Sie sind hier: HomeTelekommunikation

EU-DSGVO: Wissen Sie, wer wo Zugriff hat?

Spätestens mit Einführung der DSGVO müssen Unternehmen unbefugte Zugriffe auf sensible Daten wirksam unterbinden. Durchführen lässt sich diese Aufgabe, wenn die Informationen zu Nutzern und Daten sinnvoll verknüpft und analysiert werden.

Schlüssel Hand Zugriff Bildquelle: © Andrea Danti – Fotolia

In so gut wie jedem Filesystem liegen sensible Finanz-, Personal-, Produkt- und Kundendaten. Und regelmäßig wollen Datenschützer, Revision, Wirtschaftsprüfer oder Vorstände wissen, wer darauf zugreift. Viele IT-Verantwortliche kommen bei derartigen Fragen ins Schwitzen, die Informationen müssen mühsam aus NTFS, ACLs, Zugriffsmasken, Gruppen- und Einzelberechtigungen zusammengetragen werden. Fehler lassen sich kaum ausschließen, schließlich haben sich Benutzerrechte über die Jahre angesammelt, auch dringen Wechsel von Beschäftigten nicht immer bis zu den Administratoren durch.

DSGVO macht Druck

Doch kann dieses Unwissen in Bezug auf personenbezogene Daten ab dem 25. Mai teuer werden, dann gilt die Datenschutz Grundverordnung (DSVGO): Wer in Zukunft keine „geeigneten technischen und organisatorischen Maßnahmen“ trifft, um personenbezogene Daten vor unbefugten Zugriffen zu schützen, sieht sich mit einer Bußgelddrohung von bis zu vier Prozent des weltweiten Gesamtumsatzes konfrontiert. Damit nimmt auch der Druck von außen zu, die eigenen Systeme und Daten in den Griff zu bekommen.

Artikel 5 DSGVO, Ziffer 1 f: Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);

Das Gesetz verfügt über Brisanz für fast alle Unternehmen, schließlich lässt sich die Regelung sehr weit fassen. So sind sich viele Juristen beispielsweise darüber einig, dass auch ausscheidende Mitarbeiter ihre Rechte für die Daten ihres früheren Jobs verlieren müssen. Diese Vorgaben betreffen demnach sogar Abteilungswechsel. So muss jedes Unternehmen sicherstellen, dass die entsprechenden Änderungen unmittelbar mit Austritt oder Wechsel wirksam werden und diesen Zustand auch nachweisen.