Diese Norm stellt den Entwicklern von Komponenten und Teilsystemen einen frühzeitig formalisierten Prozess zur Identifizierung von Datenschutzzielsetzungen und -anforderungen sowie die notwendige Anleitung für die damit verbundene Abschätzung bereit, um Datenschutz und Datensicherheitsaspekte früh im Entwicklungsprozess ihrer Produkte und Dienste zu berücksichtigen und als Grundeinstellung umzusetzen.

Diese Norm wird für alle Sektoren inklusive der Sicherheitswirtschaft anwendbar sein.

Inhalt

Europäisches Vorwort
Einleitung

1 Anwendungsbereich

2 Normative Verweisungen

3 Begriffe und Abkürzungen

Vermerk: vgl. DIN EN ISO/IEC 27018, DIN EN ISO/IEC 29100

4 Allgemeines

4.1 Grundlagen für den Datenschutz und den Schutz der Privatsphäre durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

4.2 Struktur für die Zerlegung von Produkten und Diensten in anwendbare Kategorien

4.2.1 Einleitung
4.2.2 Produktperspektiven
4.2.3 Dienstelemente

4.3 Eigenerklärung und Zielerreichungsgrade

5 Datenschutzbewusste Entwicklung von Produkten und Diensten

5.1 Führung und Marktkenntnis

5.2 Vorbereitung

5.3 Gestaltung

5.3.1 Bestimmung der Anforderungen für DSTV
5.3.2 Entwicklung
5.3.3 Produktion und Diensterbringung
5.3.4 Freigabe von Produkten und Diensten

5.4 Leistungsbewertung

5.5 Verbesserung

6 Anforderungen an die Datenschutzfähigkeit bei der Gestaltung von Produkten und Diensten

6.1 Zugang

6.1.1 Zugang zu Daten
6.1.2 Kopie der Daten

6.2 Verantwortlichkeit

6.3 Genauigkeit

6.4 Entpersonalisierung von Daten

6.5 Datenminimierung

6.6 Datenübertragbarkeit

6.7 Vertraulichkeit

6.8 Löschung

6.9 Einwilligung und Kinder

6.9.1 Bestimmung des Benutzeralters
6.9.2 Konfigurierbare Altersgrenze für Kinder

6.10 Informationssicherheit

6.10.1 Unbefugte oder unrechtmäßige Verarbeitung
6.10.2 Datenverlust
6.10.3 Ziele des Informationsschutzes
6.10.4 Wiederherstellung

6.11 Rechtmäßigkeit

6.11.1 Datenoffenlegung
6.11.2 Einwilligung

6.12 Widerspruch gegen die Verarbeitung

6.13 Automatisierte Entscheidungsfindung

6.14 Einschränkung der Verarbeitung

6.15 Speicherbegrenzung

6.16 Transparenz

6.16.1 Informationen
6.16.2 Verzeichnis von Verarbeitungstätigkeiten

7 Anforderungen an die Eigenerklärung datenschutzbewusster Gestaltung

7.1 Prozessanforderungen

7.1.1 Vorbereitung basierend auf den Anforderungen der Produktperspektive und des Dienstelements
7.1.2 Zusätzliche Überlegungen im Zusammenhang mit DSFA
7.1.3 Bestimmung des Zielerreichungsgrads

7.2 Aussage zur Eigenerklärung

Anhang A (informativ) - Zuordnung der Anwendbarkeit zwischen den Anforderungen und Perspektiven oder Elementen von Abschnitt 6

Anhang B (informativ) - Ansatz für a Spezifikation

B.1 Allgemeines
B.2 Datenschutz
B.3 Privatsphäre
B.4 Datenschutz und Privatsphäre durch Technikgestaltung
B.5 Datenschutz und Privatsphäre durch datenschutzfreundliche Voreinstellungen

Anhang C (informativ) - Leitfaden in Bezug auf DIN EN ISO 9001

C.1 Allgemeines

C.2 Kontext der Organisation

C.2.1 Verstehen der Organisation und ihres Kontextes
C.2.2 Verstehen der Erfordernisse und Erwartungen der interessierten Parteien
C.2.3 Festlegen des Anwendungsbereichs des Qualitätsmanagementsystems
C.2.4 Qualitätsmanagementsystem und seine Prozesse

C.3 Führung

C.3.1 Führung und Verpflichtung
C.3.2 Politik
C.3.3 Organisatorische Rollen, Verantwortlichkeiten und Befugnisse

C.4 Planung

C.4.1 Maßnahmen zum Umgang mit Risiken und Chancen
C.4.2 Qualitätsziele und Planung zu deren Erreichung
C.4.3 Planung von Änderungen

C.5 Unterstützung

C.5.1 Ressourcen
C.5.2 Kompetenz
C.5.3 Bewusstsein
C.5.4 Kommunikation
C.5.5 Dokumentierte Informationen

C.6 Betrieb

C.6.1 Betriebliche Planung und Steuerung
C.6.2 Anforderungen an Produkte und Dienste
C.6.3 Gestaltung und Entwicklung von Produkten und Diensten
C.6.4 Steuerung von extern bereitgestellten Prozessen, Produkten und Diensten
C.6.5 Produktion und Diensterbringung
C.6.6 Freigabe von Produkten und Diensten
C.6.7 Steuerung fehlerhafter Ausgaben

C.7 Leistungsbewertung

C.7.1 Überwachung, Messung, Analyse und Bewertung
C.7.2 Internes Audit
C.7.3 Managementbewertung

C.8 Verbesserung

C.8.1 Allgemeines
C.8.2 Nichtkonformität und Korrekturmaßnahmen
C.8.3 Fortlaufende Verbesserung

Anhang ZA (informativ) -Zusammenhang zwischen dieser Europäischen Norm und den Anforderungen der abzudeckenden Verordnung (EU) 2016/679 (EU-DSGVO) an den Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

Literaturhinweise