diff --git a/docs/Konzeption und Umsetzung/Sicherheits- und Datenschutzanforderungen/index.md b/docs/Konzeption und Umsetzung/Sicherheits- und Datenschutzanforderungen/index.md index f3a59b0..41628d7 100644 --- a/docs/Konzeption und Umsetzung/Sicherheits- und Datenschutzanforderungen/index.md +++ b/docs/Konzeption und Umsetzung/Sicherheits- und Datenschutzanforderungen/index.md @@ -126,6 +126,7 @@ Abbildung 3: Kategorisierung von Daten ### Daten nach Kritikalität Zunächst einmal unterscheiden wir zwischen personenbezogenen Daten und nicht-personenbezogenen Daten. Währen bei personenbezogenen Daten der Datenschutz greift, ist dies bei nicht-personenbezogenen Daten nicht der Fall. Dennoch sind diese Daten schützenswert, häufig im Sinne des Geschäftsgeheimnisschutzes. Diese sind für das datengebende Unternehmen individuell schützenswert. Im Bereich Datenschutz unterscheidet die DSGVO zwischen personenbezogenen Daten und besonderen Kategorien personenbezogener Daten, die ein erhöhtes Schutzniveau haben. Was der Datenschutz nicht vorsieht, im Kontext eines DTHs aber durchaus relevant ist, ist, dass personenbezogene Daten für eine betroffen Person auch dann besonders schützenswert sein können, wenn sie nicht unter die besonderen Kategorien fallen. Wir befinden uns hier dann im Bereich der Datensouveränität, also der Idee, dass Datengeber selbstbestimmt über ihre Daten bestimmen können. + | **Datenkategorie** | **Beschreibung** | **Beispiele** | |--|--|--| | **Daten ohne Personenbezug** | Daten, welche sich nicht auf eine Person beziehen bzw. ihr nicht zugeordnet werden können. Der Personenbezug kann auch entfernt worden sein, z. B. durch Anonymisierung. | Anonymisierte Daten, Regelungen, Organisationsanweisungen | @@ -663,4 +664,4 @@ Detektion und Reaktion Im vorliegenden Dokument haben wir basierend auf dem IT-Grundschutz und entsprechend des in Kapitel 3.3 beschriebenen Vorgehens systematisch Stakeholder, Assets, Gefährdungen und Sicherheitsanforderungen beschrieben, welche einem Basis-Grundschutz entsprechen. -Um diese Maßnahmen umzusetzen, müssen konkrete TOMs für die Umsetzung und den Betrieb von DTH definiert werden. Diese müssen mit den unternehmensweiten Richtlinien konform gehen, weswegen es eine enge Abstimmung zwischen dem Projektteam und den Sicherheitsverantwortlichen bei DTH betreibenden Unternehmen geben muss. Die technischen Maßnahmen müssen schlussendlich in die DTH-Architektur integriert und vom Entwicklerteam entsprechend umgesetzt werden. \ No newline at end of file +Um diese Maßnahmen umzusetzen, müssen konkrete TOMs für die Umsetzung und den Betrieb von DTH definiert werden. Diese müssen mit den unternehmensweiten Richtlinien konform gehen, weswegen es eine enge Abstimmung zwischen dem Projektteam und den Sicherheitsverantwortlichen bei DTH betreibenden Unternehmen geben muss. Die technischen Maßnahmen müssen schlussendlich in die DTH-Architektur integriert und vom Entwicklerteam entsprechend umgesetzt werden.