30-11-2016 Gedruckt am 25-03-2017 aus www.monitor.co.at/index.cfm/storyid/17051

Hausaufgabe: Datenschutz

Wie setze ich die EU-DSGVO technisch um?

Die EU-Datenschutz-Grundverordnung hängt derzeit wie ein Damoklesschwert über so manchem Unternehmer, dabei handelt es sich genau genommen um Evolution statt Revolution. Vieles ist schon heute im österreichischen Datenschutzrecht 2000 geregelt und sollte längst umgesetzt sein – Zeit also, die Datenschutz-Hausaufgaben mit Blick in die Zukunft zu machen.

Bild: pixabay.com CC0

Wie setze ich die EU-DSGVO technisch um? Grundsätzlich ist festzustellen, dass wir beim Thema EU-DSGVO trotz der erst anstehenden Umsetzung im Mai 2018 nicht von einem Zukunftsthema sprechen. Die neue Vereinbarung ist vor allem eine Weiterentwicklung der seit langem geltenden EU-Datenschutzrichtlinien, die auch im nationalen Datenschutzrecht 2000 umgesetzt sind. Die Aktualität ergibt sich einerseits aus der neuen Gesetzgebung („Kündigung des Safe-Harbor-Abkommens“), einer neuen EU-Strategie zum besseren Datenschutz und somit einer höheren Prozessorientierung samt optimierter IT-Security.
 
 

Jürgen Kolb (c) iQSol GmbH

Ohne Zweifel kann man konstatieren, dass alleine die Anwendung des gut gelungenen und gut kommentierten Datenschutzgesetzes für sehr viele Unternehmen eine riesige Herausforderung darstellt. Die gute Nachricht lautet somit, dass die Umsetzung des DSG 2000 eine solide Basis darstellt, um rechtskonform den Unternehmensbetrieb führen können. 
 
In technischer Hinsicht ist das österreichische Datenschutz-Gesetz mit dem § 14 eindeutig geregelt und bezieht sich konkret auf acht Punkte, die für jedermann verständlich sind. Besonderen Stellenwert haben jedoch Zugriffsberechtigungen, Dokumentationspflicht und Verschlüsselung. 
 

Zutrittsberechtigungen und Passwörter 

So werden unter anderem die physischen Zutrittsberechtigungen angeführt, die umfassend geregelt sind und am effizientesten in einem technischen System sein sollten. Besonderes Augenmerk ist hier aus Datenschutzsicht auf Videosysteme zu legen, die allerdings gesondert geregelt sind.
 
Zugriffsberechtigungen müssen jedoch auch anderweitig vorhanden und Rollen sowie Verantwortlichkeiten nachvollziehbar überprüfbar sein. Oftmals liegen zwar technische Standardprozeduren wie bspw. Active Directory vor, die organisatorische Anbindung ist jedoch mangelhaft. Entsprechend wird im Gesetz gefordert, dass bspw. mobile Endgeräte wie Smartphones mittels Mobile-Device-Management abgesichert werden. Konzepte wie BYOD (Bring-your-own-Device) werden damit zwar nicht unmöglich, doch die völlig freie Nutzung verschiedener Apps mit Geschäftsrelevanz sowie der Abfluss sensibler Daten im Sinne der Sicherheit erschwert. Ebenfalls ein Thema ist die Network-Access-Control, mit der der Zugriff auf im Netzwerk befindliche Geräte durch Gäste und interne Mitarbeiter gesteuert wird. Nicht zuletzt sind die Überwachung von Wartungszugängen, bspw. beim Einsatz von Service-Technikern, sowie die Dokumentation und sogar Sperrung der Zugänge inzwischen juristisch verankert – und durch ein Privileged-Access-Management realisierbar. 
 
Auch sind Passwort-Richtlinien längst die Regel, doch ob diese auch durchgesetzt und nicht umgangen werden, steht auf einem anderen Blatt. Darüber hinaus sind triviale Vorgänge wie das automatische Sperren von Bildschirmen bei Abwesenheit längst in die Gesetzgebung eingeflossen. 
 

Neue Protokollierungspflicht mit Log Management im Griff 

Eine wichtige Neuerung ist die Protokollierungspflicht, die Datenanwendungen nachvollziehbar und damit den Schutz vor unberechtigten Zugriffen auf Systeme nachvollziehbar machen soll. So ist in § 14 geregelt, dass Änderungen, Abfragen und die Übermittlung von Daten künftig festgehalten und je nach Zweck regelmäßig oder in Stichproben kontrolliert werden müssen. 
 
Rein technisch lässt sich hier auf das Log Management verweisen, das nach aktuellem Stand der Technik eben diese Protokollierung von Datenzugriffen zulässt. So wird ein Log-Management-System in ein Unternehmensnetzwerk ein und an Server und andere Systeme angebunden. Dann lassen sich sämtliche Bewegungen wie unberechtigte oder ungewöhnliche Zugriffe, enorme und ungewöhnliche Datenströme und andere sogenannte Events in Echtzeit überwachen und zudem revisionssicher archivieren. Selbst die Abstufung, ob regelmäßig oder nur ein Stichproben Daten überprüft werden, lässt sich vornehmen. So kann ein angeschlossenes Alarmierungssystem Signale aussenden, wenn etwas abseits der Norm an Systemen geschieht – Datenschutzbeauftragte sind aber auch in der Lage, dies über ein Frontend live zu verfolgen. 
 

Cloud-Verschlüsselung erforderlich

Dass Unternehmen inzwischen vermehrt auf Angebote aus der Cloud setzen, spart Ressourcen und Kosten. Doch trotz dieses Umstands sind Firmen gefordert, auch hier für Schutz vor Datenverlusten zu sorgen – insbesondere dann, wenn der Cloud-Anbieter Übersee angesiedelt ist. Dies kann im Grunde nur durch eine Anonymisierung der Daten geschehen, was teilweise jedoch nicht möglich ist. Alternativ empfiehlt sich zumindest die Verschlüsselung, sodass nur Berechtigte mit einer Lese-, Schreib- oder anderen Berechtigung ausgestattet werden. Gelten sollte das übrigens auch bei europäischen Anbietern, dann ganz gleich, welches Land es betrifft: Datenabflüsse sind jederzeit zu verhindern. 
 
 
 
Veranstaltungshinweis:
 
Weitere Informationen und Tipps aus erster Hand bekommen Sie beim nächsten "Compliance Breakfast" am 16.2.2017 in Wien:
 

Compliance Breakfast Teil 3: f5 Networks

Save the Date
Termin:
16. Februar 2017
8:30-11:00 Uhr
Business Park Vienna 
 
 
Die Teilnahme ist kostenlos!
Aufgrund begrenzter Teilnahmeplätze wird ersucht, sich online verbindlich anzumelden.