Die wichtigsten Datenschutzpunkte für Security-Admins

Umsetzung der technisch-organisatorischen Maßnahmen

Die Bedeutung der Datensicherheit für den Datenschutz erkennt man auch daran, dass es in der DSGVO einen eigenen Abschnitt „Sicherheit personenbezogener Daten” gibt. Der erste Artikel in diesem Abschnitt ist Artikel 32 „Sicherheit der Verarbeitung“.

Darin wird zum einen gesagt, wie die Sicherheitsmaßnahmen auszuwählen sind, und zwar „unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen“. Zudem müssen die Maßnahmen geeignet sein, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Auch wenn man als IT-Sicherheitsadministrator nicht unbedingt die Risikoanalysen durchführt oder die Security-Lösungen auswählt und erwirbt, hat man doch einen wichtigen Anteil bei der Auswahl, da man als Security-Experte oftmals um Rat gebeten wird.

In jedem Fall aber sind die vorhandenen Lösungen so einzurichten und zu betreiben, dass die Aufgaben und Schutzziele im Datenschutz erfüllt werden können. Dazu zählt die DSGVO:

• die Pseudonymisierung und Verschlüsselung personenbezogener Daten
• die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen
• die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen
• ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Wie dies genau umzusetzen ist, regelt die DSGVO ganz bewusst nicht, denn die Maßnahmen muss das Unternehmen jeweils selbst auswählen, nach den oben genannten Kriterien.

Erkennen von Datenschutzverletzungen

Kommt es zu einer Verletzung der Datenschutzvorgaben, treten in vielen Fällen Meldepflichten gegenüber der zuständigen Aufsichtsbehörde für den Datenschutz (Artikel 33 DSGVO) und teilweise gegenüber den Betroffenen ein (Artikel 34 DSGVO). Dafür muss es zügige Maßnahmen geben, um eine Datenpanne zu erkennen und um das Ausmaß der Datenpanne zu ermitteln, denn die Meldefrist beträgt in aller Regel 72 Stunden gegenüber der zuständigen Aufsichtsbehörde.

Security-Admins sind hier also gefordert, dass es zeitnah Warnungen, Meldungen und Berichte bei IT-Sicherheitsvorfällen gibt, die personenbezogene Daten betreffen können. SIEM-Lösungen (Security Information and Event Management) spielen hier eine wichtige Rolle, sie müssen aber durch weitere Produkte ergänzt werden, um zu jedem (möglichen) Vorfall die im Unternehmen definierten Stellen mit folgenden Informationen zu versorgen:

• eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze
• eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
• eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen

Datenschutz durch Technikgestaltung und Voreinstellungen

Alle IT-Verfahren müssen so entwickelt und administriert werden, dass der Datenschutz nicht nachträglich, sondern bereits vom Beginn an gewährleistet wird (Artikel 25 DSGVO, Privacy by Design, Privacy by Default). Das gilt auch für alle Security-Verfahren. Security-Administratoren müssen deshalb die IT-Sicherheitsverfahren datenschutzkonform einrichten und betreiben.

Dabei müssen zum Beispiel folgende Forderungen der DSGVO besonders bei der Protokollierung in Security-Lösungen beachtet werden:

Personenbezogene Daten müssen

• für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden (Zweckbindung)
• dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (Datenminimierung, früher Datensparsamkeit genannt))
• in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist (Speicherbegrenzung)

Der Datenschutz kann ohne entsprechende Maßnahmen in der IT-Sicherheitsadministration nicht gelingen. Security-Admins sind deshalb wertvolle Partner jedes Datenschutzbeauftragten.