Datenschutzgrundverordnung und IBM i

23. Januar 2018 | Von admin | Kategorie: Programmierung, Strategische Berichte

Ab dem 25. Mai 2018 gilt es, die europäische Datenschutzgrundverordnung (DSGVO) einzuhalten. Obwohl diese bereits 2016 in Kraft getreten ist, räumt Artikel 99 DSGVO eine zweijährige Schonfrist ein. Genug Zeit, um sich auf die umfangreichen Neuerungen einzustellen. Sollte das bei Ihnen noch nicht geschehen sein, kann Ihnen dieser Artikel wertvolle Ansatzpunkte zur Umsetzung einiger der gravierendsten Anforderungen liefern.

Read Offline:

Download PDF

Download ePub

c Burgy Zapp

Betroffenenrechte mit RCAC und Temporal Support wahren

von Patrick Arnold

Die in den Artikeln 16 bis 18 der DSGVO verankerten Rechte der – von einer Verarbeitung personenbezogener Daten betroffenen – Person auf Berichtigung, Löschung und Einschränkung der Verarbeitung lassen sich mit Bordmitteln der IBM Db2 for i umsetzen, ohne zwingend auf kostspielige Zusatzprodukte zurückgreifen zu müssen.

Gerade das tatsächliche Löschen von Daten erweist sich als schwierig, hängt es doch stark von der verwendeten Anwendung, dem Datenmodell und weiteren, darauf zugreifenden, Systemen ab. Das neue, ebenfalls ab Mai 2018 gültige, Bundesdatenschutzgesetz weicht die kategorische Löschpflicht der DSGVO per Öffnungsklausel auf und lässt unter bestimmten Voraussetzungen eine Einschränkung der Verarbeitung statt des Löschens zu.
Ob diese Bedingungen vorliegen, gilt es im Zweifelsfall durch eine Rechtsberatung sicherzustellen, die dieser Artikel natürlich nicht ersetzen kann. Zum Thema „Löschen“ existieren gegensätzliche Auffassungen, vermutlich wird erst die Rechtsprechung ab Juni 2018 Klarheit schaffen.

Formulierungen der DSGVO lassen allerdings die Schlussfolgerungen zu, dass die Daten nicht vernichtet, sondern lediglich für gewöhnliche Zugriffe unbenutzbar gemacht werden müssen, und dass auch nicht auf allen Sicherungskopien gelöscht werden muss [vgl. Härting].

Es muss allerdings gewährleistet werden, dass beim Wiedereinspielen gesicherter Daten die Änderungen hinsichtlich Sperrung/Löschung übernommen werden. Betroffenenanfragen und daraufhin veranlasste Tätigkeiten müssen dokumentiert werden, wobei darauf zu achten ist, dass auch über Protokolle nicht auf gelöschte/gesperrte Daten zugegriffen werden kann [vgl. Schäffter].

Row and Column Access Control: Einschränkung der Verarbeitung, Sperrung statt Löschung

Mit RCAC ist es möglich, ab Db2 for i 7.2 eine Zugriffskontrolle auf Datei- bzw. Tabellenebene einzurichten. Diese ist unabhängig von der verwendeten Schnittstelle und greift damit auch bei Zugriffen per SQL, ODBC, FTP etc.

RCAC besteht aus zwei Teilen, der Zeilenberechtigung und der Spaltenmaskierung. Zugriffsrechte werden nach Benutzer- und Gruppenvorgaben erteilt. Nutzer oder Anwendungen mit entsprechenden Nutzerrechten, die keine Berechtigung für bestimmte Datensätze haben, bekommen diese bei einer Abfrage nicht ausgegeben. Spalteninhalte werden hingegen maskiert wiedergegeben.

Dabei gilt es, die Maske entsprechend des Datentyps des originären Feldes einzurichten. Durch den Einsatz von RCAC werden damit Privacy-by-Design-Vorgaben und das Need-to-Know-Prinzip unterstützt.

Vor dem Einsatz von RCAC muss aber zwingend ein Berechtigungskonzept angefertigt werden, da bei der Einrichtung nicht aufgeführte Nutzer keine Zugriffsrechte bekommen. Selbst ein *ALLOBJ-User stellt hierbei keine Ausnahme dar.

Spaltenmaskierung definieren

In Zeile 1 der Abbildung 1 wird die Spaltenmaske GEBDAT_MASK definiert, deren Aufgabe es ist, die Ausgabe der Jahreszahl für unberechtigte Benutzer der Gruppe „MITARBEITER“ mit „9999“ zu maskieren (Zeile 6 und 7), sodass das Geburtsjahr nur berechtigten Benutzern aus der Gruppe „PERSONAL“ (Zeile 4 und 5) angezeigt wird.

Abb. 1: Spaltenmaskierung definieren und aktivieren

Abb. 2: Zeilenberechtigung setzen und aktivieren

Abb. 3: Abfrage aus Nutzergruppe „Mitarbeiter“

Sie müssen sich als Abonnent anmelden um den hier fehlenden Teil des Inhalts zu sehen. Bitte Login für Zugriff.

Noch nicht Abonnent? Sonderaktion nutzen.

Quellen

BDSG (2018) und EU-DSGVO

BDSG (2018) veröffentlicht im Bundesgesetzblatt Nr. 44 vom 05.07.2017 http://www.bgbl.de/xaver/bgbl/start.xav?startbk=Bundesanzeiger_BGBl&jumpTo=bgbl117s2097.pdf
Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 http://eur-lex.europa.eu/legal-content/DE/ALL/?uri=CELEX:32016R0679

Löschung und Sperrung von Daten

Härting, Niko: Datenschutz-Grundverordnung : Das neue Datenschutzrecht in der betrieblichen Praxis. 1. Auflage 2016, Dr. Otto Schmidt, Köln. – Auszugweise auch online abrufbar:

DSGVO: Was bedeutet „Löschung“ eigentlich genau?

Schäffter, Markus: Datenschutzmanagement 2.0 : EU-konformen Datenschutz effizient planen und umsetzen. Erstausgabe Oktober 2017, CreateSpace by Amazon (Selbstpublikation).

Temporal Support und Row and Column Access Control

IBM Db2 for i 7.3 SQL Reference: <https://www.ibm.com/support/knowledgecenter/ssw_ibm_i_73/ db2/rbafzpdf.pdf>
IBM Redpaper – Row and Column Access Control: https://www.redbooks.ibm.com/redpapers/pdfs/redp5110.pdf

Über den Autor

Patrick Arnold, Technical Consultant bei der All for One Steeb AG im Fachbereich DCW, erkundet neue Technologien (TS, RCAC, Node.js etc.) und deren Wert für die Stakeholder.