A.8 Technologische Maßnahmen
Datenmaskierung
Datenmaskierung muss gemäß der Zugriffskontrollrichtlinie und anderen relevanten Anforderungen eingesetzt werden, um die Offenlegung sensibler Daten zu begrenzen.
Was fordert dieses Control?
Datenmaskierung muss gemäß der Zugriffskontrollrichtlinie und anderen relevanten Anforderungen eingesetzt werden, um die Offenlegung sensibler Daten zu begrenzen.
Warum ist das wichtig?
Maskierung und Pseudonymisierung reduzieren das Risiko, dass sensible Daten in Test-, Analyse- oder Supportumgebungen ungeschützt offengelegt werden.
Cross-Standard-Mapping
| Standard | Control-ID | Relevanz |
|---|---|---|
| DSGVO | Art. 25/32 | Direkt |
| TISAX | 5.2.4 | Indirekt |
Was der Auditor erwartet
- 1Einsatz von Maskierung/Pseudonymisierung wo angemessen
- 2Schutz sensibler Daten in Nicht-Produktivumgebungen
- 3Bezug zur Zugriffskontrolle
Audit-Checkliste
Dokumente
Vorgaben zur Datenmaskierung
Wann und wie Daten maskiert oder pseudonymisiert werden
Nachweise
Beispiel Testdaten
Maskierte oder synthetische Daten in Test/Support
Praxis-Tipps zur Umsetzung
Test ohne Echtdaten
In Test- und Entwicklungsumgebungen maskierte oder synthetische Daten verwenden.
Rollenbezogen maskieren
Sensible Felder nur für berechtigte Rollen im Klartext anzeigen.
Pseudonymisieren
Für Analysen Daten pseudonymisieren statt im Klartext zu nutzen.
Häufige Fehler
Echtdaten im Test
Produktive personenbezogene Daten werden ungeschützt zum Testen kopiert.
Vollzugriff für alle
Support sieht sensible Felder ohne Notwendigkeit im Klartext.
Häufig gestellte Fragen
Was ist der Unterschied zwischen Maskierung und Pseudonymisierung?
Maskierung verbirgt Daten (z.B. nur letzte Ziffern sichtbar), Pseudonymisierung ersetzt sie durch Kennungen, die nur mit Zusatzwissen rückführbar sind.
Ist Datenmaskierung Pflicht?
Sie ist anzuwenden, wo angemessen, besonders bei sensiblen Daten in Nicht-Produktivumgebungen und für Datenschutz.
Hilft das bei der DSGVO?
Ja, Pseudonymisierung ist eine ausdrücklich genannte technische Maßnahme der DSGVO.
So hilft CompliantDesk bei A.8.11
Dokumentieren Sie Maskierungs- und Pseudonymisierungsvorgaben als Kontrolle und verknüpfen Sie sie mit den betroffenen Verarbeitungstätigkeiten im VVT.