EU-DSGVO
Zwischen Anforderung und Wirklichkeit
Fortsetzung des Artikels von Teil 1
IT-Sicherheit versus Datensparsamkeit
In diesem Spannungsfeld zwischen Datensicherheit und Datensparsamkeit beginnt oft ein Dilemma, das in vielen Unternehmen nicht oder unzureichend gelöst ist: Die unter vielen Gesichtspunkten notwendigen und hilfreichen Tracing- und Monitoring-Systeme stellen ein potenzielles Risiko zum Datenmissbrauch dar. In Abhängigkeit der verwendeten Technologie (Verfügbarkeitsmonitoring, Flow-Monitoring, paketbasiertes Monitoring) und der konkreten Ausprägung sind die Risiken bezüglich Datenmissbrauch unterschiedlich groß. Die bei der Fehlersuche und -analyse weit verbreitete und hilfreiche Kombination aus IT-Mitarbeiter, Notebook, einer bestimmten Open-Source-Software zum Mitschneiden und Dekodieren von Netzwerkdaten sowie konfigurierten Mirror-Ports an zentralen Switchen stellt ein besonders hohes Risiko für Datenmissbrauch dar. Der anlassbezogene und zeitbegrenzte Einsatz legitimiert unter Datenschutzgesichtspunkten zwar die zuvor geschilderte Vorgehensweise, in der Praxis kann aber keine Einschränkung bei der Analyse auf die zur Fehleranalyse tatsächlich relevanten Netzwerkdaten erfolgen. Insofern können IT-Mitarbeiter sehr schnell und sehr einfach mit vielen personenbezogenen Daten, die in den Netzwerkdaten enthalten sind, in Kontakt kommen.
Ebenfalls gängig und mit Risiken verbunden ist die Weitergabe von Trace-Files (Mitschnitt von Netzwerkdaten) an Lieferanten von IT-Systemen zur Fehleranalyse oder Inbetriebnahme. Auch hier kann es schnell dazu kommen, dass personenbezogene Daten oder kritische Infrastrukturinformationen in die falschen Hände geraten. Beim Einsatz eigener IT-Mitarbeiter kann man durch arbeitsvertragliche Regelungen und organisatorische Maßnahmen zwar ein höheres Maß an Rechtssicherheit erlangen, einen Datenmissbrauch allerdings nicht komplett ausschließen. In der Zusammenarbeit mit IT-Dienstleistern wird die vertragliche Regelung bezüglich der Einhaltung von Datenschutz schon aufwändiger. Schwierig wird es beim Arbeiten mit Dienstleisterketten, da die Vertragslage zwischen den involvierten Parteien in der Praxis nahezu unkontrollierbar werden kann.
Lösungsansätze
Im Rahmen der nahenden Anwendung der EU-DSGVO empfiehlt es sich für alle Unternehmen zu prüfen, welche Systeme und Prozesse von der neuen Gesetzgebung betroffen sind. Das bestehende Datenschutzmanagement muss dabei auf Gesetzeskonformität überprüft werden und die bestehenden Risiken sollten analysiert und bewertet werden. Dabei sollte auch ein Augenmerk auf das Datenmissbrauchsrisiko durch Tracing & Monitoring-Systeme gelegt werden. Das vom Gesetzgeber geforderte Risikomanagement sowie die im Rahmen der EU-DSGVO geforderte IT-Sicherheit und damit einhergehende Überprüfung der Wirksamkeit der ergriffenen Maßnahmen steht anderen Forderungen des Datenschutzes entgegen. Diesem Widerspruch können sich Unternehmen nicht völlig entziehen. Durch entsprechende vertragliche Regelungen und organisatorische Maßnahmen können die sich widersprechenden Forderungen ausbalanciert werden.
Tracing- und Monitoring-Systeme, die es durch entsprechende Zugriffs- und Berechtigungssysteme ermöglichen, den Zugriff auf die notwendigen Bereiche im Netzwerk und die zur Bewältigung der konkreten Aufgaben notwendigen Informationen zu beschränken, helfen beim Ausbalancieren, die Grenze Richtung ‚mehr IT-Sicherheit‘ und ‚leistungsfähigerem Monitoring‘ rechtssicher zu verschieben. Unterstützen derartige Systeme zudem die Pseudonymisierung beziehungsweise Anonymisierung von Netzwerkdaten, so kann das grundsätzlich bestehende Datenmissbrauchsrisiko erheblich gesenkt werden und das zuvor angesprochene Ausbalancieren zwischen Datensicherheit und anderen wichtigen Aspekten des Datenschutzes noch stärker Richtung IT-Sicherheit und praxistauglichen Prozessen bei der Inbetriebnahme, bei der Wartung oder der Fehleranalyse von IT-Systemen verschoben werden.
Thomas Sinnwell ist CEO R&D bei Consistec Engineering & Consulting aus Saarbrücken
- Zwischen Anforderung und Wirklichkeit
- IT-Sicherheit versus Datensparsamkeit
Lesen Sie mehr zum Thema
