Datenintegrität bedeutet die verlässliche Korrektheit von Daten. Das ist wichtig und keineswegs selbstverständlich! Denn eine der Gefahren ist die ungewollte Veränderung der Information. Jeder kennt das lustige Spiel „Stille Post“; also das Weiterreichen und die damit manchmal verbundenen, falschen Informationen. Im richtigen Leben ist das aber kein Spaß!
Zusätzlicher Aufwand oder Vertrauensverlust sind die häufigsten Schäden, wenn Daten zerstört oder ungewollt verändert werden.
Auch die DSGVO verlangt nach korrekten, personenbezogenen Informationen, denn dies sind Schutzrechte in der EU.
Für die DSGVO und IT-Sicherheit gehört Daten-Integrität zu einem wichtigen Schutzziel.
In Artikel 5 DSGVO steht: „Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).“
Die DSGVO Art. 32 Abs. 1 Buchst. b verlangt „die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen“
Sicherheitsmaßnahmen müssen auch in den technisch-organisatorischen Maßnahmen (TOM) dokumentiert werden.
Ungewollt veränderte Informationen, in Dateien genau wie auf Papier, kommen im Alltag sehr häufig vor. Daher wundert es, dass viele Datenschutzkonzepte ihren Fokus auf Backups, Verschlüsselung und Verfügbarkeit legen. Veränderungen an den Daten führen aber dazu, dass die Daten nicht mehr nutzbar sind. Das ist genauso schlimm wie verlorene Daten.
Personenbezogene Daten müssen also vor Manipulationen geschützt sein, so das Datenschutz-Gesetz. Alle anderen wertvollen Informationen sollten aber auch geschützt werden. Bei der Umsetzung der DSGVO nutzt Tulos oft Informationssicherheits-Standards, wie die ISO27001. Der Standard ist weltweit verbreitet und man erreicht dadurch die Schutzziele sowohl für die DSGVO als auch für die Informationssicherheit anderer unternehmenswertvoller Daten.
Maßnahmen für die Kontrolle und den Schutz der Integrität personenbezogener Daten dürfen also nicht fehlen, da Verantwortliche die Sicherheit der Verarbeitung auch in diesem Punkt gewährleisten müssen.
Empfehlungen und Checkliste des BayLDA zur Integrität
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) nennt in seiner Checkliste zur „Good Practice bei technischen und organisatorischen Maßnahmen nach Artikel 32 DSGVO“ Maßnahmen, um den Grundsatz der Integrität personenbezogener Daten umzusetzen.
Die Datenschutz-Aufsichtsbehörde: „Verantwortliche müssen sowohl den Datenaustausch mit anderen Stellen über elektronische Kommunikationsnetze als auch den physikalischen Transport von mobilen Datenträgern und Dokumenten absichern. Vertraulichkeit und Integrität der personenbezogenen Daten sollen nicht beeinträchtigt werden.“
Tipp aus der Praxis:
Digitale Signaturen können bei der Datenweitergabe Sicherheit geben. Außerdem sind kryptographische Verfahrenund Hashwerte ebenfalls bei sehr vertraulichen Daten empfohlen.
Hash-Verfahren erkennen Manipulation an Daten, da sich dadurch Hash-Werte verändern. Hash-Werte sind für Daten digitale Fingerabdrücke. Wer also Hash-Werte von Daten zu einem bestimmten Zeitpunkt erzeugt und dies an einem späteren Zeitpunkt wiederholt, erkennt, ob die Daten verändert wurden oder gleich geblieben sind.
Quellen: Oliver Schonschek, Datenschutz-Praxis, DSGVO, BayLDA