Reinheimer-Tipp: EDV-Prozesse professionell dokumentieren
„Potenziell betroffen sind alle, die die Daten über Personen verarbeiten, sammeln und nutzen, die in der Europäischen Union ansässig sind“, so der erfahrene IT-Netzwerk-Betreuer.
Während in Konzernen gut ausgebildete EDV-Experten die IT-Infrastruktur, Datenserver und das EDV-Netzwerk überwachen, gibt es in kleineren Betrieben, Kanzleien und Praxen vielfach keine professionelle Datenverwaltung. „Wer nicht weiß, wo, wann und wie seine personenbezogenen Daten gespeichert sind, wer im Betrieb Zugriffsrechte darauf hat und nach welchen Kriterien einmal erhobene Daten gelöscht werden, geht kaum kalkulierbare Risiken ein“, so der Chef des im Großraum Frankfurt tätigen EDV-Unternehmens reinheimer systemloesungen. „Essenziell sind in der Datenverarbeitung gut dokumentierte Prozesse, das gilt jetzt mehr denn je“, so der im Raum Rhein/Main aktive Informatiker Pascal Reinheimer.
Das Thema „personenbezogene Daten“ ist komplex. Denn auch pseudonymisierte oder anonymisierte Teilinformationen, die sich auf „identifizierte oder identifizierbare lebende Personen“ beziehen, und theoretisch zu diesen führen könnten, fallen laut EU-DSGVO darunter.
Reinheimer-Tipp: Zugriffsrechte auf sensible Daten aufs Nötige beschränken
Ein Einfallstor für künftige Probleme mit der neuen europäischen Datenschutzgrundverordnung EU-DSGVO ist auch ein unorganisierter Umgang mit Administratorenrechten, Zugriffsrechten auf Daten und der Passwortsicherheit. EDV-Systembetreuer Pascal Reinheimer: „Zugriff auf personenbezogene Daten sollten im Unternehmen nur jene haben, die es auch wirklich angeht. Die Datenverwaltung, -sicherung und -löschung sowie die Organisation abgestufter Zugriffs- und Änderungsrechte sollten in der Hand eines darauf spezialisierten IT-Admins oder Administratoren-Teams liegen.“
Die Computer-Firma reinheimer systemloesungen aus Darmstadt übernimmt die Administration von Firmennetzwerken als externer IT-Dienstleister mit hohen Standards auch beim Datenschutz. Die Überwachung nach Kriterien der EU-DSGVO muss dabei allerdings dazu qualifizierten Dritten überlassen werden, so die Vorschriftenlage.
Systemadministrator und Datenschutzbeauftragter dürfen nicht identisch sein!
Eine zentrale Rolle im komplexer gewordenen Vorschriften-Dschungel spielt der Datenschutzbeauftragte in Unternehmen, Praxen oder Kanzleien. „Gerade auch kleinere Unternehmen beauftragen externe Fachleute mit dieser Aufgabe“, so der in der in der Metropolregion Frankfurt/Rhein-Main tätige EDV-Experte Pascal Reinheimer. Er selbst steht für diese Aufgabe bei seinen Kunden allerdings nicht zur Verfügung, „weil die Person des Datenschutzbeauftragten nicht identisch mit dem Hardware- und Software-Haus sein darf, das die IT-Infrastruktur, die Serverlandschaft und/oder das Datennetzwerk installiert und/oder betreut“.
Der Darmstädter Informatiker machte aber deutlich, dass sein langjährig in der Region Rhein-Main aktives IT-Unternehmen vernetzt ist mit EDV-Fachleuten, die über die notwendigen Qualifikationen verfügen, um als verlässliche externe Datenschutzbeauftragte aktiv zu werden. Reinheimer warnt in diesem Kontext auch vor schwarzen Schafen in der IT-Branche, die sich zunächst als Datenschutzbeauftragte beschäftigen lassen und am Ende doch versuchen, den Betreuten auch Hard- und Software zu verkaufen. „Die Trennung zwischen dem Aufbau einer EDV-Infrastruktur sowie der Administration eines IT-Netzwerks und der Aufgabe eines Datenschützers muss klar sein“, erklärt der erfahrene Systemadministrator, dessen Unternehmen seine Prozesse langjährig extern zertifizieren lässt.
Erster Schritt zu mehr DSGVO-Sicherheit: nur Marken-Software einsetzen
Zum Datenschutzproblem werden können auch historisch gewachsene Altsysteme, sogenannte „legacy systems“.
Der EDV-Experte Reinheimer rät dazu, solche Systeme gegen aktuelle Software etablierter Hersteller auszutauschen. „Wenn man beispielsweise zu MS Office 365 und den Cloud-Dienst Azure wechselt, kann man auch unter Datenschutzaspekten sehr hohe Standards erreichen.
Zum einen ist die Software durch Hersteller-Updates stets auf dem neuesten Stand: Sie verfügt über einen nach ISO/IEC 27018 geprüften Datenschutz. Zum anderen bietet Microsoft die Möglichkeit, Daten ausschließlich auf deutschen Servern der Telekom-Tochter T-Systems lagern und verwalten zu lassen“, so der Chef der Darmstädter IT-Firma reinheimer systemloesungen. Mehr dazu hier: Office 365 und Azure – wie Sie produktiver werden können
Datenspeicherung nur mit Einwilligung der Betroffenen
Natürlich wirft die neue EU-Datenschutzgrundverordnung vor allem auch viele rechtliche Fragen auf, die kleine und mittlere Unternehmen, KMU, ohne eigene Hausjuristen nicht ohne weiteres beantworten können. So muss die Einwilligung Betroffener zur Verarbeitung und Speicherung ihrer Daten nach den Regeln der neuen europäischen Datenschutzverordnung EU-DSGVO aufwändig belegt und am besten in einer Datenbank mit genauer Datums- und Zeitangabe dokumentiert werden. Auch Widerrufe der Einwilligung, die jederzeit erfolgen können, müssen erfasst und bearbeitet werden.
Firmen mit mehr als 250 Mitarbeitenden haben künftig ein Verzeichnis aller Vorgänge bezüglich ihrer Datenverarbeitung zu führen. Systemadministrator Reinheimer: „Das wirft auch Fragen der Datensicherung auf, denn eine solche Dokumentation muss mittel- und langfristig gesichert sein, damit sie im Fall einer Überprüfung – zuständig sind die deutschen Datenschutzbehörden – auch zur Verfügung steht.“
Pascal Reinheimer, Chef von reinheimer systemloesungen in Darmstadt: „Wir unterhalten auch gute Kontakte zu Fachanwälten, die Sie bei der Umsetzung der ab dem 25. Mai 2018 gültigen neuen europäischen Datenschutzverordnung EU-DSGVO beraten und vor möglicherweise teuren datenrechtlichen Fallstricken bewahren können.
