DSGVO: Administratoren zwischen Datenschutz und Informationssicherheit

Am Scheideweg

Der Admin ist Pragmatiker: Systeme am Laufen halten, der Rest ergibt sich von selbst. Gleichzeitig ist er sich jedoch bewusst, dass es beim Umgang mit personenbezogenen Daten Grenzen gibt, über die der Datenschutzbeauftragte wacht. Dessen Ziele stehen jedoch oft im Widerspruch zur Sicherheit der Daten. Ein Konflikt, für den nicht selten der Rücken des Admins als Austragungsort herhalten muss.
Den Schutz vor Angreifern und Malware hat sich IT-Administrator im März auf die Fahnen geschrieben. So lesen Sie in der Ausgabe, mit welchen Handgriffen Sie ... (mehr)

Die Zielvorgaben von Informationssicherheitsbeauftragten (ISB) und Datenschutzbeauftragten (DSB) sind nicht immer kompatibel. Im operativen Tagesgeschäft soll der Administrator den Betrieb der IT sicherstellen, sieht sich aber hin und wieder widersprüchlichen Anforderungen dieser beiden Beauftragten ausgesetzt.

Hinzu kommt, dass sich nicht nur Technik und Organisation laufend verändern, sondern auch die Gesetzgebung. Im Bereich Datenschutz wird zur Zeit auf ein europäisches Modell umgestellt und alle Unternehmen, die in der EU personenbezogene Daten verarbeiten, müssen sich darauf einstellen. Während sich in der Informationssicherheit Entscheidungen häufig betriebswirtschaftlich abwägen und fällen lassen, gibt es für den Datenschutz feste gesetzliche Rahmenbedingungen. Beide Beauftragte, ISB und DSB, versuchen ihre Arbeit jeweils gut zu machen, kommen sich dabei aber wegen der unterschiedlichen Zielsetzungen zwangsläufig manchmal in die Quere.

EU-Datenschutz-Grundverordnung kommt

Für den Datenschutz gibt es mit der EU-Datenschutz-Grundverordnung (EU DS-GVO) seit dem 25. Mai 2016 eine neue europaweit geltende Rechtsgrundlage. Sie gilt unmittelbar für alle Unternehmen, die in oder für Europa personenbezogene Daten verarbeiten. Derzeit befindet sich Europa in der gesetzlichen Übergangsphase, da die EU DS-GVO erst ab dem 25. Mai 2018 angewendet wird. Bis dahin haben Unternehmen Zeit, die vom Gesetzgeber geforderten Anpassungen umzusetzen.

Ein wichtiger Umstand ist, dass die EU DS-GVO ganz konkret Maßnahmen fordert, die die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit sicherstellen sollen. Das ist eigentlich die Domäne des Sicherheitsbeauftragten, doch künftig wird der DSB hier intensiver mitwirken. Schauen wir uns die Rollen des ISB, des DSB und des Administrators an, wird schnell deutlich, dass es aufgrund der unterschiedlichen Zielsetzungen zu Problemen kommen kann. Denn der Sicherheitsbeauftragte schützt die Assets des Unternehmens, der Datenschutzbeauftragte schützt die Rechte von Personen und der Administrator soll – auch nach Vorgaben der beiden Beauftragten – für den sicheren Betrieb der IT sorgen.

Die Rollen der Beteiligten

Um den Unternehmenserfolg zu gewährleisten, ist eine sichere Informationsverarbeitung ein allgemein anerkanntes Ziel. Nur wenn die technischen und organisatorischen Abläufe störungsfrei verlaufen, kann das Unternehmen seinen Daseinszweck optimal erfüllen. Dabei gibt es innerhalb der Unternehmen durchaus unterschiedliche Interessenlagen, die teils vom Gesetzgeber kommen, teils aus der Organisation heraus entstehen und Einfluss auf die IT-Administration nehmen wollen.

Das Unternehmen hat ein hohes Interesse daran, dass betriebliche Abläufe optimal gestaltet sind. Organisationen erfordern Strukturen, die ihren Daseinszweck fördern und Hindernisse aus dem Weg räumen. Zum Schutz der Informationsverarbeitung installiert die Geschäftsleitung dazu den Informationssicherheitsbeauftragten. Dieser kümmert sich darum, notwendige Strukturen und Abläufe zum Schutz der Unternehmenswerte gegen Schäden und Angriffe zu schaffen. Sein Ziel ist es, die Unternehmenswerte zu schützen. Er setzt primär die Interessen der Organisation um. Dazu formuliert er Konzepte, Richtlinien und Verhaltensregeln, die den Rahmen der organisatorischen Umsetzung definieren. Er möchte eine transparente Informationsverarbeitung, um mögliche Angriffe und Störungen frühzeitig erkennen zu können.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019