Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
SQLWas muss ich beim Design einer Datenbank beachten, um dem Recht auf Löschung durch Vernichtung btw. Entfernung der Daten zu entsprechen?
ich habe keine Ahnung, was mit dieser Frage gemeint ist.
Sind damit so allgemeine Sachen wie die referenzielle Integrität, die Konsistenz, Löschweitergabe gemeint?
Hat jemand damit Erfahrungen, wie man DB DSGVO-konform gestaltet?
Was sind wichtige, wesentliche Punkte?
Löschen/Vernichten kannst du immer etwas in einer Datenbank, wenn eine betroffene Person dies wünscht. Dies bildet jede moderne SQL ab.
Hierzu muss es sich natürlich erst mal um "Persönliche Daten" handeln wenn diese gespeichert werden, um auch das Recht der Auskunft sowie Löschung zu haben.
Da ist die Datenbank nicht das Problem! Sondern wie du mit der DSGVO aufgestellt bist? Löschkonzept. Wie, womit und welche Daten werden erhoben und verarbeitet?
Ich habe am Mittwoch Lehrabschlussprüfung und das ist eine Vorbereitungsfrage:
"Der Datenschutzbeauftragte Ihres Unternehmens verlangt bei jeder neuen Anwendung im Unternehmen ein Löschkonzept. Was müssen Sie beim Design einer Datenbank beachten, um dem Recht auf Löschung durch Vernichtung btw. Entfernung der Daten zu entsprechen? Geben Sie drei Punkte an."
Bitte um eine klare Antwort. Und nein, es ist keine Hausaufgabe.
mMn nach DSGVO nichts mit dem Design einer Datendank zu tun. Technische Umsetzung und Design sind verschiedene Sachen.
Selbst, dass Daten, die andere Einträge referenzieren, die dann gelöscht sind, irgendwie behandelt werden, ist technisch und nicht Design.
Das ist mehr auf das "Löschkonzept" bezogen. Allgemein gibt es "Ein Löschkonzept" was alle Aspekte behandelt. Wenn es sich um "Projekt" bezogene Tätigkeiten handelt, dann wird dies in einem Projektplan behandelt, bevor das Projekt beginnt.
Mach dich bitte nicht nur mit dem Löschrecht, sondern auch mit der gesetzlichen Aufbewahrungpflicht von Geschäfts- und Buchführungsunterlagen vertraut. Du darfst schliesslich nichts löschen, was noch unter die Aufbewahrungspflicht fällt.
Wenn ein Auftrag abgeschlossen bzw. ein Vertragsverhältnis beendet wurde, wäre es nicht schlecht im Datensatz den Ablauf der Aufbewahrungsfrist zu hinterlegen. Mit dieser Information könnten dann durch jährliche Bereinigungsläufe die löschfähigen Datensätze entfernt werden.
Bei solcher Art Fragen habe ich den Prüfern auch immer gesagt, die Frage ist so nicht eindeutig und korrekt formuliert, weil usw. Sowie dann den Inhalt der Frage, in dem Fall DSGVO und Datenbank, adressiert, aber auf technischer Ebene. Und DSGVO ist eine rechtliche Sache, die man technisch und juristisch lösen muss, aber nicht in einem Datenbankdesign.
1. Zugangs- und die Zugriffskontrolle. (Wer hat Zugang. Meistens der IT-Verantwortliche. Dieser muss benannt werden. Zugriffe von 3ten oder von außen ist nicht möglich, da z.B. nur Terminalzugang)
2. Kryptografie + Passwortrichtline -> Verschlüsselungen etc. (Die Datenbank ist 256bit Verschlüsselt. Das Passwort unterliegt der Passwortrichtlinie und muss daher mindestens 16 Zeichen haben)
3. Die "Löschanfrage" muss vom DSB kommen, egal ob Intern oder Extern. Die Löschung muss Protokolliert werden. Dazu sollte es ein ordentliches Formular für den Antrag sowie die Durchführung geben. Kann auch via Ticketsystem wie z.B. JIRA abgedeckt werden.
4. Das Löschkonzept gibt auch vor, wie lange Daten gespeichert werden dürfen/müssen. Hier kommt es auf die "Art" der Daten an.
5. Die Löschung wurde protokolliert. Protokollierungskonzept.
Du kannst doch nachlesen oder googeln welche Anforderungen ein Löschkonzept erfüllen muss und im nächsten Schritt was die Datenbank leisten muss, um das technisch zu ermöglichen.
Ich liebe ja solche Fragen von Abschlussprüfungen. Du kannst noch noch soviel wissen haben, aber diese Fragen sind der Horror. Am Ende zielen die auf irgendwas ab, was so so abstrus ist, dass... Ich schweife ab.
Könnte damit sowas ganz simples wie z. B. kaskadierendes Löschen bei Ftemdschlüsseln gemeint sein? Beispiel: Wenn ich eine Person lösche sollen die Daten automatisch mitgelöscht bzw. durch NULL nicht mehr einer Person zugeordnet werden.
1. Zugangs- und die Zugriffskontrolle. (Wer hat Zugang. Meistens der IT-Verantwortliche. Dieser muss benannt werden. Zugriffe von 3ten oder von außen ist nicht möglich, da z.B. nur Terminalzugang)
2. Kryptografie + Passwortrichtline -> Verschlüsselungen etc. (Die Datenbank ist 256bit Verschlüsselt. Das Passwort unterliegt der Passwortrichtlinie und muss daher mindestens 16 Zeichen haben)
3. Die "Löschanfrage" muss vom DSB kommen, egal ob Intern oder Extern. Die Löschung muss Protokolliert werden. Dazu sollte es ein ordentliches Formular für den Antrag sowie die Durchführung geben. Kann auch via Ticketsystem wie z.B. JIRA abgedeckt werden.
4. Das Löschkonzept gibt auch vor, wie lange Daten gespeichert werden dürfen/müssen. Hier kommt es auf die "Art" der Daten an.
5. Die Löschung wurde protokolliert. Protokollierungskonzept.
Das klingt gut. Ich übernehme das einfach mal und werde versuchen es bis Mi zu lernen. Auch wenn's falsch sein sollte, soll es nicht an der einen Frage scheitern.
Aber das Protokollieren gefällt mir, das hab ich schon mal gehört - und darauf stehen ja die Prüfer immer
Hat auch was mit dem Design zu tun, zB einen Trigger zu erstellen. Also das macht für mich Sinn. Bevor ich ausschweife, bedanke ich mich!
"Der Datenschutzbeauftragte Ihres Unternehmens verlangt bei jeder neuen Anwendung im Unternehmen ein Löschkonzept. Was müssen Sie beim Design einer Datenbank beachten, um dem Recht auf Löschung durch Vernichtung btw. Entfernung der Daten zu entsprechen? Geben Sie drei Punkte an."
Und hier würde ich Antworten: Das sollte bereits im Datenschutzkonzept durch den Datenschutzverantwortlichen niedergeschrieben sein, und daran hat man sich zu orientieren
Denn wenn es nicht definiert ist durch das Datenschutzkonzept, na dann "Arbeitskreis" bilden haha
Die Fragen hat vermutlich sowas wie eine Berufsgenossenschaft aka IHK gestellt, die sind für so blöde Fragen bekannt.
chr1zZo schrieb:
Ich würde es so machen:
1. Zugangs- und die Zugriffskontrolle. (Wer hat Zugang. Meistens der IT-Verantwortliche. Dieser muss benannt werden. Zugriffe von 3ten oder von außen ist nicht möglich, da z.B. nur Terminalzugang)
Ich kenne hier kein Gesetz, welches das so vorschreiben würde. Daher eher nicht. Was aber gefordert sein könnte, daß es eine entsprechende Löschroutine gibt, die einfach ausgeführt werden kann.
chr1zZo schrieb:
2. Kryptografie + Passwortrichtline -> Verschlüsselungen etc. (Die Datenbank ist 256bit Verschlüsselt. Das Passwort unterliegt der Passwortrichtlinie und muss daher mindestens 16 Zeichen haben)
Das hat, streng gesehen, auch nichts mit der Frage zu tun! Für das Löschen der persönlichen Informationen ist erst mal so keine Verschlüsselung nötig. Sie erleichtert das Löschen auf technischer Ebene, aber ob das so der Hintergrund der Frage sein soll?
chr1zZo schrieb:
3. Die "Löschanfrage" muss vom DSB kommen, egal ob Intern oder Extern. Die Löschung muss Protokolliert werden. Dazu sollte es ein ordentliches Formular für den Antrag sowie die Durchführung geben. Kann auch via Ticketsystem wie z.B. JIRA abgedeckt werden.
Nein. Der DSB muß nur das Verfahren sicherstellen! Üblicherweise hat der DSB in einem Unternehmen überhaupt keine solchen Befügnisse, Löschanträge zu stellen wie durchzuführen. Der Löschauftrag kommt direkt vom Kunden, und dann muß der Prozess dafür sorgen, daß alles seinen Gang geht. Aber hier ist gefragt:
DeepComputer schrieb:
Was müssen Sie beim Design einer Datenbank beachten, um dem Recht auf Löschung durch Vernichtung btw. Entfernung der Daten zu entsprechen?
Haha, eines der übelsten Stolperfallen überhaupt, der in der Praxis gesetztlich bis heute an sich nicht einheitlich geregelt ist. Hier aber auch beachten, es geht um Technik, nicht um Gesetze oder Prozesse!
Aber Deine Antworten zeigen teilweise die richtige Richtung an.
Ergänzung ()
madmax2010 schrieb:
Was dsgvo angeht:
Personenbeziehbare Daten dürfen nur nach Zustimmung gesammelt werden.
Schon hättest Du 0 Punkte, weil Deine Antworten sich wieder auf Prozesse und Gesetze beziehen. Nochmals, es geht um das Design der Datenbank!
Ergänzung ()
DeepComputer schrieb:
Das klingt gut. Ich übernehme das einfach mal und werde versuchen es bis Mi zu lernen. Auch wenn's falsch sein sollte, soll es nicht an der einen Frage scheitern.
Ja. Aber was ist mit den bisherigen gesammelten Logs und Protokollen? 😉 Wenn Du das löst, hast Du schon wieder einen Punkt mehr.
@DeepComputer
Im Endeffekt ist es einfach, diese 3 Fragen zu beantworten, wenn man sich rein auf die Technik bezieht. Aber da ich ja selbst auch ausbilde, nur ein paar Hinweise. Geh doch einfach mal den Prozess komplett runter:
Stell Dir vor, Du willst Daten sammeln in einer Datenbank. Darunter sind auch persönliche Daten. Und Du hast so was wie Bestellungen von einem Benutzer. So, Frage, mußt Du die Bestellungen löschen? Was machst Du mit den Bestellungen, die persönliche Daten enthalten? Nun scharf nachgedacht, was konnte hier das Design nun sein, um eine Bestellung darzustellen, so daß der Benutzer gelöscht werden kann?
Genauso mit den bisherigen Logs, die Daten enthalten, was mußt Du machen, damit diese, selbst nach dem Löschen nicht mehr den Benutzer enthalten? Hinweis, die Logs müssen weiter aufbewahrt werden.
Weiter mit allen weiteren Daten, die persönlich sind, und die in Zusammenhang mit anderen Daten erstellt werden: Rechnungen, Bestellungen, usw. An sich müßtest Du das im Unterricht gehabt haben, wie und was Du da in einer Datenbank machen mußt.
@nutrix jop. Es ist wirklich Privacy by Design, denn hier geht es ja um die technischen Aspekte sowie die dazugehörigen TOMs. Meine Vorschläge sind eine Kombi aus dem Löschkonzept sowie IT-Sicherheitsrichtlinie, Verantwortungs Matrix usw. Aber das geht schon mehr richtung ISMS 27001