Alte Systeme DSGVO Konformität

altmetaller
Goto Top
Hallo,

ich habe eben die Behauptung gelesen, dass z.B. ein SBS2011 grundsätzlich nicht DSGVO konform ist (unabhängig davon, ob dieser überhaupt aus dem Internet erreichbar ist).

Bei der Menge an Daten, die z.B. ein Server 2019 ins Netz schaufelt und bei den Nutzungsbedingungen, laut denen Microsoft jederzeit beliebig Software installieren kann ohne Verantwortung zu übernehmen, sehe ich das eigentlich genau anders herum.

Wie seht Ihr das? Und - wie stellt Ihr z.B. sicher, dass im Rahmen von Chrashdumps usw. keine Daten in Länder außerhalb der EU (USA, Irland usw.) geschickt werden?

Ich bin inzwischen so weit, dass ich Windows-Systeme nicht mehr (gewerblich) betreue.

Gruß,
Jörg

Content-Key: 640941

Url: https://administrator.de/contentid/640941

Ausgedruckt am: 28.05.2022 um 15:05 Uhr

Mitglied: wiesi200
wiesi200 15.01.2021 um 09:35:34 Uhr
Goto Top
Hallo,

also ich bezweifle das man damit ein DSGVO Problem bekommt.
Wobei es ja auch auf den Umgang mit dam AD ankommt. Wenn ich von jedem Benutzer die Privatdaten hinterlege und schlimmsten Falls bis zum Sankt Nimmerleinstag aufheben, ist das unklug. Aber das Problem hättest du mit nem aktuellen Server auch.
Ähnlich ist's beim Exchange
Mitglied: Doskias
Doskias 15.01.2021 um 10:01:13 Uhr
Goto Top
Hallo Jörg,

das was du meinst steht hier:
https://dsgvo-gesetz.de/bdsg/64-bdsg/

im Absatz 1 steht:
Der Verantwortliche und der Auftragsverarbeiter haben unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und der Schwere der mit der Verarbeitung verbundenen Gefahren für die Rechtsgüter der betroffenen Personen die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um bei der Verarbeitung personenbezogener Daten ein dem Risiko angemessenes Schutzniveau zu gewährleisten, insbesondere im Hinblick auf die Verarbeitung besonderer Kategorien personenbezogener Daten. Der Verantwortliche hat hierbei die einschlägigen Technischen Richtlinien und Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik zu berücksichtigen.

Es ist (wie bei Gesetzen üblich) sehr schwammig und mit Spielraum interpretiert. Der Support für den SBS 2011 ist am 14. Januar 2020 (wenn ich mich jetzt nicht irre) abgelaufen. Also vor exakt einem Jahr. Er ist damit sicherlich nicht mehr Stand der Technik. Am 15.01.2020 wäre er aber wohl bestimmt noch nicht angemahnt worden. Des weiteren steht da auch Art des Umfanges, Zwecke der Verarbeitung, Eintrittswahrscheinlichkeit. Sprich: wenn der Server nicht von extern erreichbar ist und beispielsweise eine abgeschlossene Produktionslinie betreut, dann ist dort keine Eintrittswahrscheinlichkeit im Bereich Datenschutz (meine Meinung) zu sehen und es wäre daher sicherlich nicht zu beanstanden. Wenn du auf dem SBS 2011 allerdings einen aus dem Internet erreichbaren Webshop betreibst, würde ich es anders bewerten.

Die Behauptung, er sei Grundsätzlich nicht DSGVO-konform, würde ich daher nicht teilen. Es steht dort in dem Auszug ja auch explizit "um bei der Verarbeitung personenbezogener Daten ein dem Risiko angemessenes Schutzniveau zu gewährleisten". Daher wenn der SBS keinen Zugriff auf Kundendaten in irgendeiner Form hat und auch sonst keinen Kontakt mit kundendatenverarbeitenden Systemen hat, wäre er laut DSGVO bedenkenlos einsetzbar.

Bei der Menge an Daten, die z.B. ein Server 2019 ins Netz schaufelt und bei den Nutzungsbedingungen, laut denen Microsoft jederzeit beliebig Software installieren kann ohne Verantwortung zu übernehmen, sehe ich das eigentlich genau anders herum.

Hier geht es aber bei der DSGVO um Personendaten. Klar gibt es hier viel Kommunikation zur Mutter, aber sind es Daten die unter die DSGVO fallen? Ich denke überwiegend nicht. Daten wie Betriebszeit, Patch-Stand, installierte Software, aufgerufene Websiten sind sicherlich interessante Informationen, aber solange sie mit keiner Person in Verbindung gebracht werden oder persönliche Daten enthalten ist das kein Problem. Die Tatsache, dass zum Beispiel 2000 Pornoseiten am Tag aufgerufen werden unterliegt nicht dem Datenschutz. Der greift erst dann, wenn es um die Personendaten geht. Sprich: Als Administrator MUSS ich wissen, dass die Informationen abgerufen werden, ich DARF aber nicht ermitteln von wem.

Wie seht Ihr das? Und - wie stellt Ihr z.B. sicher, dass im Rahmen von Chrashdumps usw. keine Daten in Länder außerhalb der EU (USA, Irland usw.) geschickt werden?

MS hat in dem Bereich einiges investiert. Es gibt ja sogar ein eigenes RZ in D (oder EU?, weiß ich grade nicht mehr genau). Wenn man zum Beispiel Office 365 einsetzt, dann kann, sollte und muss man die Firewall entsprechend konfigurieren. Man muss nicht alle Daten an MS senden. Wenn man die (von MS öffentlich genannten Ports und IPs) freigibt, dann kann der Rechner nicht einfach alle Daten raussenden. Das hat MS extra dafür gebaut, damit 0365 DSGVO-Konform betrieben werden kann.

Das ist die Sache wie ich Sie sehe. Ich bin aber auch kein Datenschutzbeauftragter, aber hab mit einigen dieser Leuten zu tun und so haben Sie es mir erklärt. Ob das alles stimmt? Ich weiß es nicht aber es klingt für mich plausibel. Das hier ist keine Rechtsberatung, denn selbst wenn du 3 Anwälte nach der DSGVO-Konformität fragst, wirst du vermutlich 4 antworten erhalten. :) face-smile

Gruß
Doskias
Mitglied: Carsqul
Carsqul 15.01.2021 um 10:54:26 Uhr
Goto Top
Hallo altmetaller,

in einer "autarken Umgebung" kannst du DS-GVO technisch alles betreiben, dass nicht von "außen" erreichbar ist.

Z. B. betreibt ein Kunde einen SBS2011 der komplett in sicherer Umgebung läuft (segmentiertes internes Netzwerk vorausgesetzt) und die andockenden Clients, keinen Internetzugriff benötigen, ist das rein DS-GVO technisch konform, solange alle weiteren Punkte (Passwortrichtlinie, Verschlüsselung, Netzwerksicherheit etc..) ebenfalls abgedeckt sind.

Zumindest moniere ich sowas als Auditor nicht, sofern der Rest passt. Gibts immer wieder. Altes Röntgengerät das nicht mit neuem Server klarkommt.

beste Grüße
Carsqul
Mitglied: yoppi1
yoppi1 18.01.2021 um 11:27:34 Uhr
Goto Top
Zitat von @altmetaller:

ich habe eben die Behauptung gelesen, dass z.B. ein SBS2011 grundsätzlich nicht DSGVO konform ist (unabhängig davon, ob dieser überhaupt aus dem Internet erreichbar ist).


Das ist eine juristische Frage. Und die kann man grundsätzlich nicht mit "grundsätzlich" beantworten ;-) face-wink
Es kommt eben drauf an, wie und wo ein SBS2011 eingesetzt wird. Betreibt man den Server auf eigener Hardware und klemmt die Kommunikation mit MIcrosoft ab, dann schafft man sich damit ein geschlossenes System, was man nach DSGVO betreiben kann. Wenn man das entsprechend Dokumentiert (im Verzeichnis der Verarbeitungstätigkeiten).

Wenn SBS2011 allerdings genauso ein Labersystem wie Windows 10 ist (das weiss ich leider nicht, vermute es aber stark), dann wird es schwer fallen, dem Server die Geschwätzigkeit abzutrainieren. Wahrscheinlich bezieht sich die Behauptung, von der Du gehört hast, darauf.
Mitglied: altmetaller
altmetaller 18.01.2021 um 16:29:49 Uhr
Goto Top
Hallo,

Zitat von @yoppi1:

Wenn SBS2011 allerdings genauso ein Labersystem wie Windows 10 ist (das weiss ich leider nicht, vermute es aber stark),

Eher weniger. Das ist ein 2008r2 mit einem Exchange 2010, einem WSUS, etwas SharePoint und einer administrativen Oberfläche, die das Ganze zusammenhält.

Wahrscheinlich bezieht sich die Behauptung, von der Du gehört hast, darauf.

Nein. Ich beziehe mich eher darauf, dass die DSGVO als "Angstmachargument" herangezogen wird, wenn jemand ein neues System verkaufen möchte.

Die Kunden haben Respekt vor der DSGVO, wissen eigentlich gar nicht was drin steht und diverse "Systemhäuser" nutzen das all zu gerne aus, um dem Kunden etwas aufzuschwatzen. Ich empfinde das als ausgesprochen unseriös.

Gruß,
Jörg