DSGVO – Technisch organisatorische Maßnahmen
Im Jahr 2018 ist die Datenschutzgrundverordnung in Kraft getreten und hat für einiges an Aufregung im Bereich der Unternehmerschaft gesorgt. Insbesondere eine Fülle an Dokumentationen musste erstellt und der eine oder andere interne Prozess musste abgeändert werden, um sich dem neuen Gesetz anzupassen. Was viele Unternehmen durchaus übersehen haben, ist jedoch, dass neben der Einhaltung bestimmter Prozesse sowie der Datenweitergabe auch vorgesehen ist, dass sich die technische Infrastruktur auf dem sogenannten „Stand der Technik“ befindet.
Stand der Technik – ein andauernder Prozess
Grundsätzlich ist es positiv, dass der Gesetzgeber keine konkreten Technologien genannt hat, dies würde aufgrund der Geschwindigkeit der Entwicklung von technischen Neuerungen im Alltag zu Problemen führen, da das Gesetz immer zeitlich hinter der aktuellen Entwicklung hinterherhinkt – durchaus nachvollziehbar.
Aufgrund des Bereiches und der ständig fortschreitenden Technologiewechsel erscheint es nachvollziehbar, dass der Stand der Technik nur mit einer laufenden Evaluierung und Kontrolle gehalten werden kann. Natürlich ist die Unternehmensgröße und damit einhergehend Komplexität der eingesetzten technischen Elemente relevant. Gleichzeitig wird es aus rechtlicher Sicht auch nicht ausreichen, dass z.B. Kleinstunternehmer eine solche Evaluierung nur alle 5-10 Jahre durchführen, realistischer werden eher alle 1-2 Jahre sein.
Was ist nun Stand der Technik
Für alle Unternehmensgrößen gleich sind die Basiskriterien für eine sicheren IT-Betrieb:
- Schutz bei jedweder Datenübertragung vor Zugriff
- Evaluierung & Aktualisierung der eingesetzten Software
- Kurz- und langfristiges Backup der Daten, unabhängig vom Speicherort/Gerät
- Prüfung neuer Soft- und Hardware vor Inbetriebnahme
- Rollenbasiertes Zugriffsmodell für Zugangsbeschränkungen
- Passwort-Policy oder z.B. der Einsatz von Multi-Faktor-Passwörter
- Je nach Branche revisionssichere Datenbestände
- Antivirenmanagement sowie zentrale Überwachung der Dienste
Verschiedene Lösungsmöglichkeiten
Um den Stand der Technik zu erreichen und hier nicht fahrlässig zu handeln, muss somit eine Gesamtperspektive eingenommen werden. Nur damit ist sichergestellt, dass die technischen Systeme lückenlos die Aufgaben zur betrieblichen aber auch zur datenschutzrechtlichen Zufriedenheit durchführen.
Interne IT-Abteilung
Viele Unternehmen beschäftigen interne Abteilungen für den Betrieb der IT-Systeme im eigenen Haus. Hier ist darauf acht zu geben, dass dieses Personal regelmäßig geschult werden muss, um auch auf dem aktuellen Wissensstand zu sein. Hier entsteht oftmals ein Zielkonflikt zwischen Management und der jeweiligen Fachabteilung, da dieser Know-How-Transfer, welcher keinen direkten Nutzenvorteil bringt, naturgemäß einen Teil der eigenen Arbeitszeit beansprucht.
Externe IT-Profis als Outsourcing-Partner
Eine weitere Möglichkeit ist es natürlich, einen externen Outsourcing-Partner zu wählen. Die Vorteile liegen auf der Hand. Durch eine externe, professionelle Betreuung, gestützt durch Zertifikate aber auch regelmäßige Schulungen sind die Mitarbeiter des Outsourcing-Partners in den meisten Fällen bestens ausgebildet und können etwaige Missstände im IT-System klar aufzeigen. Jedoch kann auch hier ein Zielkonflikt entstehen. Aufgrund der geschlossenen Verträge, welche meistens auf einer gewissen Betreuungszeit basieren, können gewisse Maßnahmen kostenrelevant werden und zur Diskussion über die Sinnhaftigkeit zwischen Anbieter und Kunde führen. In vielen Fällen setzt sich letztlich der Kunde durch, meist wird die Haftung dann auch nicht übernommen.
Cloud-Lösungen als Auftragsdatenverarbeiter
Verschiedene Cloud-Lösungen verbinden das Element von externen IT-Profis mit einem klar spezifizierten Leistungsumfang sowie einer klaren und garantierten Kostenstruktur. Die Kompetenz der Mitarbeiter wird durch den externen Partner garantiert, ebenso die fortschreitende, technische Kontrolle sichergestellt. Sollten aufgrund von technischen Entwicklungen Änderungen im System notwendig sein, werden diese nahezu immer vom Cloud-Anbieter durchgeführt.
Ist die Cloud nicht unsicher?
Das Wort Cloud erscheint vielen mit Datenschutz nicht vereinbar, hier ist anzumerken, dass die meisten Kunden lediglich US-basierte Cloud-Dienste kennen, da diese aufgrund von großen Marketing-Budgets eine entsprechende Durchschlagskraft haben. Hier lohnt es sich konkret nach österreichischen oder europäischen Anbietern zu suchen, man genießt mitunter den Vorteil der gemeinsamen Sprache aber auch der deutlich einfacheren Rechtsdurchsetzung als bei internationalen Konzernen – letztlich wird auch eine individuellere und persönliche Betreuung möglich.
Was ist ein Hosted Desktop?
Natürlich ist die Nutzung von vielen verschieden Cloud-Angeboten, teilweise in Kombination zwischen lokalen Geräten und der Cloud sowie mehrerer Anbieter nicht nur wirtschaftlich, sondern auch technisch und vertraglich nicht immer einfach zu orchestrieren. Hier erscheint es sinnvoller, einen Partner, idealerweise aus dem eigenen Land oder dem EU-Raum, mit einer Hosted Desktop Lösung zu beauftragen, welcher auch rechtlich dann die gesamte IT-Lösung verantworten kann (vom Rechenzentrum bis zum Endgerät und den darin befindlichen Daten).
Die Vorteile von Hosted Desktop liegen klar auf der Hand:
- Keine eigenen Server-Hardware und Software-Lizenzen kaufen
- Bereits eingesetzte Produkte, wie Windows sowie Office (Word, Excel, PowerPoint) sind enthalten
- „Konzern-IT“ auch für kleinst- und mittelständische Unternehmen ohne Investments
- Die Windows-Arbeitsplätze und Programme laufen im sicheren Rechenzentrum
- Updates, Antivirenschutz, Spamschutz, Backup, Langzeitarchivierung werden laufend und zentral geprüft
- Sämtliche Datenschutzmaßnahmen sind zertifiziert und bestätigt
- Zentraler technischer Ansprechpartner per Telefon & E-Mail oder vor Ort
- Optionale Sicherheitsfeatures, wie Zwei-Faktor-Authentifizierung ohne Implementationskosten
- Kostenbasis pauschal und pro Benutzer pro Monat – ohne Kostenfalle – ab 60€/Monat
Somit können die Vielzahl der technischen Faktoren für eine korrekte Einhaltung der DSGVO einfach und unkompliziert zugekauft werden, mit dem gleichzeitigen Effekt, dass die gesamte IT-Lösung mitunter von vielen kleinen Insellösungen, welche kaum überschaubar sind, zu einer gesamten, harmonisierten Lösung werden.
Mag. Martin Puaschitz
Geschäftsführender Gesellschafter Puaschitz IT GmbH
Gerichtssachverständiger für IT
Certified Data & IT Security Expert
Fachgruppenobmann UBIT Wien
Linzer Strasse 372/3/5, 1140 Vienna Austria, 01/93094
Email: office@puaschitz.at | Fernwartung | www.puaschitz.at