Egal, um welchen Dienst es sich dreht, den Benutzern geht es immer zu langsam. Der Schwerpunkt des ADMIN-Magazins 05/2011 verrät, mit welchen Tools man ... (mehr)

Was ist zu kontrollieren?

Nach der Anlage zu § 9 BDSG sind insbesondere folgende Maßnahmen zu treffen, um die IT-Sicherheit zu gewährleisten:

  • Zutrittskontrolle: Unbefugte Personen dürfen keinen Zutritt zu den Datenverarbeitungsanlagen haben.
  • Zugangskontrolle: Unbefugte dürfen die Datenverarbeitungssysteme nicht benutzen.
  • Zugriffskontrolle: Es müssen Zugriffsberechtigungen für Ordner und Daten für die berechtigten Nutzer eingerichtet und unbefugter Zugriff unterbunden werden.
  • Weitergabekontrolle: Personenbezogene Daten dürfen bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
  • Eingabekontrolle: Es soll jederzeit festgestellt werden können, wer wann welche Daten eingegeben, verändert oder gelöscht hat.
  • Auftragskontrolle: Personenbezogene Daten dürfen nur entsprechend den Weisungen des Auftraggebers verarbeitet werden.
  • Verfügbarkeitskontrolle: Die gespeicherten personenbezogenen Daten müssen jederzeit abrufbar und gegen Verlust geschützt sein.
  • Verarbeitungskontrolle: Daten, die zu unterschiedlichen Zwecken erhoben wurden, dürfen nicht zusammen verarbeitet werden.

Was ist beim Auswerten erlaubt?

Darf das Unternehmen die Daten wegen einer Einwilligung oder eines Gesetzes speichern, so darf es diese entsprechend dem darin vorher festgelegten Zweck auch auswerten. Im Gesetz heißt es: "Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden, dürfen nur für diese Zwecke verwendet werden" (§31 BDSG). Das soll etwa verhindern, dass die Daten zur Leistungs- oder Verhaltenskontrolle der Mitarbeiter ohne deren vorherige Einwilligung verwendet werden.

Ganz entscheidend ist also immer der bei der Erhebung festgelegte Zweck der Speicherung. Nach § 100 Urheberrechtsgesetz haftet der Inhaber eines Unternehmens auch für Verstöße gegen das Urheberrechtsgesetz, die seine Arbeitnehmer im Betrieb begangen haben. Es drohen Abmahnungen, Gerichtsverfahren, schlimmstenfalls die Beschlagnahmung der Rechner. In § 32 BDSG heißt es: "Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind."

Die Datenschutzvorschriften sind sehr komplex. Ein betrieblicher oder externer Datenschutzbeauftragter sollte bei der Umsetzung helfen. Den benötigt jedes Unternehmen, in dem mehr als neun Personen ständig mit personenbezogenen Daten befasst sind. § 5 BDSG verlangt, dass bei der Datenverarbeitung beschäftigte Personen bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten sind. Das Datengeheimnis besteht nach Beendigung der Tätigkeit fort. Die Auswertung sensibler Daten sollte möglichst nur im Vier-Augen-Prinzip erfolgen und mit anonymen Auswertungsmethoden.

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023