Die wichtigsten Datenschutzpunkte für Netzwerk-Admins
Netzwerke geben Zugang zu personenbezogenen Daten und ermöglichen die Datenübertragung. Deshalb gibt es für Netzwerk-Admins einiges zu beachten, damit die DSGVO eingehalten wird.
Überwachung, Pflege und Betreuung von Netzwerken klingt vielleicht im ersten Moment wie ein Bereich, in dem Datenschutz eine eher untergeordnete Rolle spielt. Doch genau das Gegenteil ist der Fall. Deutlich macht dies ein Blick auf die Themen, die besonders im Fokus der aktuellen Datenschutzdiskussion stehen.
Vernetzte Fahrzeuge tragen die Netzwerke bereits im Namen, bei IoT (Internet of Things) und Industrie 4.0 ist es vor allem die Vernetzung der Dinge, die zu neuen Angriffsmöglichkeiten und Datenrisiken führt.
Es versteht sich, dass dies auch bei anderen Vernetzungen gilt: Netzwerke bilden Zugangsmöglichkeiten zu personenbezogenen Daten und ermöglichen die Übertragung dieser Daten. Dabei muss jeweils der Datenschutz beachtet werden, mit allen Aspekten, die die Datenschutz-Grundverordnung (DSGVO) der EU und das neue Bundesdatenschutzgesetz (BDSG-neu) mit sich bringen.
Datenschutzaufgaben für Netzwerk-Admins
Die Datensicherheit hängt eng mit der Netzwerksicherheit und der Netzwerkadministration zusammen. So lassen sich viele der Vorgaben, die die DSGVO für die Sicherheit der Verarbeitung personenbezogener Daten aufstellt, nur umsetzen, wenn die Netzwerksicherheit stimmt oder entsprechende Einstellungen von den Netzwerkadministratoren vorgenommen werden, zum Beispiel bei der Protokollierung des Netzwerkverkehrs.
Folgende Datenschutzforderungen sind für Netzwerk-Admins besonders wichtig:
Meldepflicht bei Datenschutzverletzung: Damit mögliche Datenschutzverletzungen fristgerecht an die zuständige Aufsichtsbehörde für den Datenschutz gemeldet werden können (nach Artikel 33 DSGVO), müssen Angriffe auf das Netzwerk und innerhalb des Netzwerkes (zum Beispiel Innentäter) erkannt und umgehend abgewehrt werden. Hierzu müssen der Datenverkehr im Netzwerk sowie die Zugriffe auf das Netzwerk und über das Netzwerk überwacht und analysiert werden. Dazu gehört auch das Management der Netzwerk-Firewalls und die Auswertung der Meldungen von Lösungen wie NAC (Network Access Control).
Datenminimierung und Zweckbindung: Für den Datenschutz ist es aber auch wichtig, dass Nutzerdaten und andere personenbezogene Daten nicht in zu großem Umfang protokolliert werden, sondern nur nach dem tatsächlichen Bedarf für den definierten Zweck der Datenerhebung. Eine Zweckentfremdung von Protokollen muss verhindert werden. Stichwort ist hier die Nutzung von sicherheitsrelevanten Protokollen zu Zwecken der Verhaltens- und Leistungskontrolle bei Beschäftigten.
Ohne eine aktive Unterstützung der Administratoren kann der Datenschutz nicht auskommen, eine Partnerschaft ist deshalb das Ziel, kein anlassloses Misstrauen.
Die zur DSGVO gehörenden Erwägungsgründe besagen hierzu folgendes: Die Verarbeitung von personenbezogenen Daten durch Behörden, Computer-Notdienste (Computer Emergency Response Teams – CERT, beziehungsweise Computer Security Incident Response Teams – CSIRT), Betreiber von elektronischen Kommunikationsnetzen und -diensten sowie durch Anbieter von Sicherheitstechnologien und -diensten stellt in dem Maße ein berechtigtes Interesse des jeweiligen Verantwortlichen dar, wie dies für die Gewährleistung der Netz- und Informationssicherheit unbedingt notwendig und verhältnismäßig ist. (…) Ein solches berechtigtes Interesse könnte beispielsweise darin bestehen, den Zugang Unbefugter zu elektronischen Kommunikationsnetzen und die Verbreitung schädlicher Programmcodes zu verhindern sowie Angriffe in Form der gezielten Überlastung von Servern (DoS-Angriffe) und Schädigungen von Computer- und elektronischen Kommunikationssystemen abzuwehren.
Vertraulichkeit und Integrität: Zum Schutz der Vertraulichkeit und Integrität müssen zum einen die Zugänge über das Netzwerk kontrolliert werden, über die andernfalls Datenausspähung und Datenmanipulation möglich wären. Ebenso müssen Maßnahmen ergriffen werden, um die Übertragung von personenbezogenen Daten entsprechend zu schützen. Dazu gehören zum Beispiel Verschlüsselungsmaßnahmen.
Gewährleistung der Belastbarkeit: Wenn die DSGVO fordert, die Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen, bedeutet dies auch, dass die Netzwerke, die Zugang zu den Daten geben, entsprechend verfügbar und belastbar sein müssen. Unter anderem ist deshalb ein Schutz vor Überlastungsangriffen (DDoS-Attacken) erforderlich.
Gewährleistung der Wiederherstellbarkeit: Eine weitere Forderung der DSGVO gilt der Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen. Kommt es also zu einem Ausfall des Netzwerkes und ist der Zugang zu personenbezogenen Daten dadurch nicht mehr möglich, ist es auch eine Forderung des Datenschutzes, Netzwerke so schnell wie möglich wieder in Betrieb zu setzen. Andernfalls ist die Verfügbarkeit der Daten nicht gewährleistet, eine zentrale Forderung im Datenschutz.
Es zeigt sich, dass Netzwerk-Admins wie auch andere Administratoren im IT-Betrieb eine weitaus größere Rolle im Datenschutz spielen, als man auf den ersten Blick glauben könnte. Datenschutz und die verschiedenen Administrationsaufgaben in der IT hängen eng zusammen, weshalb Administratoren und Datenschutzbeauftragte auch eng kooperieren sollten.
Das ist auch für Datenschutzbeauftragte ein wichtiger Punkt: Administratoren werden häufig als Personen gesehen, die sehr hohe Privilegien in den IT-Systemen besitzen und deshalb auch zu einem Datenrisiko werden könnten. Doch ohne eine aktive Unterstützung der Administratoren kann der Datenschutz nicht auskommen, eine Partnerschaft ist deshalb das Ziel, kein anlassloses Misstrauen, aber auch keine Einstellung, der Datenschutz sei hinderlich bei der Administratortätigkeit.
