Die neue Datenschutz-Grundverordnung aus Sicht eines Systemadministrators
EDV-Betreuer, IT-Administrator, Systemadministrator, Netzwerkbetreuung, Datensicherung
Alexa, Google Assistant, Siri – und wer hört mit?
15. Dezember 2017
IT-Systemhaus, Netzwerkbetreuuer, EDV Administrator, Reinheimer, Darmstadt, Frankfurt, Wiesbaden
Risiken und Nebenwirkungen der neuen EU-Datenschutz-Grundverordnung
22. April 2018

Die neue Datenschutzgrundverordnung (EU-DSGVO)

Empfindliche Geldstrafen bis in zweistellige Millionenhöhen drohen Unternehmen, Kanzleien und Organisationen, wenn sie gegen Bestimmungen der neuen EU-Datenschutzgrundverordnung, EU-DSGVO, verstoßen. „Die neuen Bestimmungen treten zum 25. Mai 2018 in Kraft“, so der Hinweis des Darmstädter IT-Dienstleisters Pascal Reinheimer, Geschäftsführer des im Großraum Frankfurt tätigen Systemhauses reinheimer systemloesungen. Reinheimer geht davon aus, dass nach Konzernen auch kleine und mittlere Unternehmen ins Visier der Aufsichtsbehörden geraten können. Das Risiko ist groß. Der erfahrene System-Admin aus Darmstadt: „Nach einer Umfrage des Branchenverbandes BITKOM im Herbst 2017 bekannte jede zweite Firma, dass die die Vorgaben der neuen EU-Datenschutzgrundverordnung zum Stichtag des Inkrafttretens nur teilweise umgesetzt sein werden. Dabei geht das Thema alle an! Denn die Strafen bei Verstößen können existenzbedrohend sein.“

Reinheimer-Tipp: EDV-Prozesse professionell dokumentieren

„Potenziell betroffen sind alle, die die Daten über Personen verarbeiten, sammeln und nutzen, die in der Europäischen Union ansässig sind“, so der erfahrene IT-Netzwerk-Betreuer.

Während in Konzernen gut ausgebildete EDV-Experten die IT-Infrastruktur, Datenserver und das EDV-Netzwerk überwachen, gibt es in kleineren Betrieben, Kanzleien und Praxen vielfach keine professionelle Datenverwaltung. „Wer nicht weiß, wo, wann und wie seine personenbezogenen Daten gespeichert sind, wer im Betrieb Zugriffsrechte darauf hat und nach welchen Kriterien einmal erhobene Daten gelöscht werden, geht kaum kalkulierbare Risiken ein“, so der Chef des im Großraum Frankfurt tätigen EDV-Unternehmens reinheimer systemloesungen. „Essenziell ­sind in der Datenverarbeitung gut dokumentierte Prozesse, das gilt jetzt mehr denn je“, so der im Raum Rhein/Main aktive Informatiker Pascal Reinheimer.

Das Thema „personenbezogene Daten“ ist komplex. Denn auch pseudonymisierte oder anonymisierte Teilinformationen, die sich auf „identifizierte oder identifizierbare lebende Personen“ beziehen, und theoretisch zu diesen führen könnten, fallen laut EU-DSGVO darunter.

Reinheimer-Tipp: Zugriffsrechte auf sensible Daten aufs Nötige beschränken

Ein Einfallstor für künftige Probleme mit der neuen europäischen Datenschutzgrundverordnung EU-DSGVO ist auch ein unorganisierter Umgang mit Administratorenrechten, Zugriffsrechten auf Daten und der Passwortsicherheit. EDV-Systembetreuer Pascal Reinheimer: „Zugriff auf personenbezogene Daten sollten im Unternehmen nur jene haben, die es auch wirklich angeht. Die Datenverwaltung, -sicherung und -löschung sowie die Organisation abgestufter Zugriffs- und Änderungsrechte sollten in der Hand eines darauf spezialisierten IT-Admins oder Administratoren-Teams liegen.“

Die Computer-Firma reinheimer systemloesungen aus Darmstadt übernimmt die Administration von Firmennetzwerken als externer IT-Dienstleister mit hohen Standards auch beim Datenschutz. Die Überwachung nach Kriterien der EU-DSGVO muss dabei allerdings dazu qualifizierten Dritten überlassen werden, so die Vorschriftenlage.

Systemadministrator und Datenschutzbeauftragter dürfen nicht identisch sein!

Eine zentrale Rolle im komplexer gewordenen Vorschriften-Dschungel spielt der Datenschutzbeauftragte in Unternehmen, Praxen oder Kanzleien. „Gerade auch kleinere Unternehmen beauftragen externe Fachleute mit dieser Aufgabe“, so der in der in der Metropolregion Frankfurt/Rhein-Main tätige EDV-Experte Pascal Reinheimer. Er selbst steht für diese Aufgabe bei seinen Kunden allerdings nicht zur Verfügung, „weil die Person des Datenschutzbeauftragten nicht identisch mit dem Hardware- und Software-Haus sein darf, das die IT-Infrastruktur, die Serverlandschaft und/oder das Datennetzwerk installiert und/oder betreut“.

Der Darmstädter Informatiker machte aber deutlich, dass sein langjährig in der Region Rhein-Main aktives IT-Unternehmen vernetzt ist mit EDV-Fachleuten, die über die notwendigen Qualifikationen verfügen, um als verlässliche externe Datenschutzbeauftragte aktiv zu werden. Reinheimer warnt in diesem Kontext auch vor schwarzen Schafen in der IT-Branche, die sich zunächst als Datenschutzbeauftragte beschäftigen lassen und am Ende doch versuchen, den Betreuten auch Hard- und Software zu verkaufen. „Die Trennung zwischen dem Aufbau einer EDV-Infrastruktur sowie der Administration eines IT-Netzwerks und der Aufgabe eines Datenschützers muss klar sein“, erklärt der erfahrene Systemadministrator, dessen Unternehmen seine Prozesse langjährig extern zertifizieren lässt und Mitglied der Ingenieurkammer Hessen ist.

Erster Schritt zu mehr DSGVO-Sicherheit: nur Marken-Software einsetzen

Zum Datenschutzproblem werden können auch historisch gewachsene Altsysteme, sogenannte „legacy systems“.

Der EDV-Experte Reinheimer rät dazu, solche Systeme gegen aktuelle Software etablierter Hersteller auszutauschen. „Wenn man beispielsweise zu MS Office 365 und den Cloud-Dienst Azure wechselt, kann man auch unter Datenschutzaspekten sehr hohe Standards erreichen.

Zum einen ist die Software durch Hersteller-Updates stets auf dem neuesten Stand: Sie verfügt über einen nach ISO/IEC 27018 geprüften Datenschutz. Zum anderen bietet Microsoft die Möglichkeit, Daten ausschließlich auf deutschen Servern der Telekom-Tochter T-Systems lagern und verwalten zu lassen“, so der Chef der Darmstädter IT-Firma reinheimer systemloesungen. Mehr dazu hier: Office 365 und Azure – wie Sie produktiver werden können

Datenspeicherung nur mit Einwilligung der Betroffenen

Natürlich wirft die neue EU-Datenschutzgrundverordnung vor allem auch viele rechtliche Fragen auf, die kleine und mittlere Unternehmen, KMU, ohne eigene Hausjuristen nicht ohne weiteres beantworten können. So muss die Einwilligung Betroffener zur Verarbeitung und Speicherung ihrer Daten nach den Regeln der neuen europäischen Datenschutzverordnung EU-DSGVO aufwändig belegt und am besten in einer Datenbank mit genauer Datums- und Zeitangabe dokumentiert werden. Auch Widerrufe der Einwilligung, die jederzeit erfolgen können, müssen erfasst und bearbeitet werden.

Firmen mit mehr als 250 Mitarbeitenden haben künftig ein Verzeichnis aller Vorgänge bezüglich ihrer Datenverarbeitung zu führen. Systemadministrator Reinheimer: „Das wirft auch Fragen der Datensicherung auf, denn eine solche Dokumentation muss mittel- und langfristig gesichert sein, damit sie im Fall einer Überprüfung – zuständig sind die deutschen Datenschutzbehörden – auch zur Verfügung steht.“

Pascal Reinheimer, Chef von reinheimer systemloesungen in Darmstadt: „Wir unterhalten auch gute Kontakte zu Fachanwälten, die Sie bei der Umsetzung der ab dem 25. Mai 2018 gültigen neuen europäischen Datenschutzverordnung EU-DSGVO beraten und vor möglicherweise teuren datenrechtlichen Fallstricken bewahren können.

Mehr zum Thema

Umfrage des Branchenverbandes BITKOM, Selbsteinschätzung von Unternehmen bei der Umsetzung der EU-DSGVO. Der Verband hat dazu Geschäftsführer, IT-Leiter und betriebliche Datenschutzbeauftragte aus Firmen mit 20 und mehr Mitarbeitern befragt. Hier geht es zum Umfrageergebnis.

Lesen Sie hier mehr über ein Gespräch des Informatikers mit dem Kölner Medienrechtler und Wirtschaftsanwalt Stephan Stiletto. Hier geht es zum einen um die neue verschärfte Vorschriftenlage in Sachen EU-Datenschutz, aber auch um Fragen, wie beispielsweise das Impressum der eigenen Firmenwebseite umgestaltet werden sollte.