Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst DSGVO - Verschlüsselung von personenbezogenen Daten

Mitglied: MrCount

MrCount (Level 2) - Jetzt verbinden

26.09.2019, aktualisiert 11:25 Uhr, 2996 Aufrufe, 12 Kommentare, 4 Danke

Servus zusammen,

nach DSGVO müssen personenbezogene Daten ja verschlüsselt sein....

Unsere Personalabteilung hat das aktuell so gelöst, dass sie auf ihrem Netzlaufwerk (Windows Server) eine TrueCrypt-Datei mit den entsprechenden Inhalten pflegen.
So weit, so gut...

Jetzt können natürlich nicht mehrere Personen gleichzeitig dieses TrueCrypt-File öffnen/bearbeiten, weshalb ich nach einer DSGVO-konformen Lösung suche.

Wie habt ihr das umgesetzt?
Gibt's da was von Ratiopharm?


VG,
MrCount
Mitglied: em-pie
LÖSUNG 26.09.2019 um 11:29 Uhr
Moin,

ich, kein Anwalt oder DSB, erachte das als Quatsch.
Meines Wissens nach geht es nur darum, dass die Transportwege zum Austausch solcher Daten verschlüsselt sind (SSL/ TLS, Speichermedien wie USB-Sticks, ...)

Wenn der Container einmal geöffnet ist, können ohnehin Zugriffe im Kontext des Users stattfindet...

Packe den Personalkram auf eine seperate LUN/ einen separaten Server, welcher die Daten selbst verschlüsselt (Zugriff, wenn Kiste aus, ist dann nicht möglich) und riegle den Rest per ACLs ab...

Ggf. noch alles in einen eigenen DaSi-Job Packen, der das Medium dann verschlüsselt....

Das ist meine Sicht der Dinge.

Wie willst du denn die Mails im Mailserver verschlüsseln, die personenbezogene Daten beinhalten (was ja quasi jede Mail ist, die explizite Personen im Empfänger-/ Absenderkreis inne hat)?

Gruß
em-pie
Bitte warten ..
Mitglied: Lochkartenstanzer
LÖSUNG 26.09.2019 um 12:54 Uhr
Moin,

Eigenes Volume/Share, das verschlüsselt ist, z.B. Bitlocker. Und nur Berechtigte bekommen Zugriff darauf.

lks
Bitte warten ..
Mitglied: MrCount
26.09.2019 um 13:10 Uhr
Trotzdem ist es dabei möglich, dass sich die Administratoren Zugriff verschaffen.
Bitte warten ..
Mitglied: Sheogorath
LÖSUNG 26.09.2019 um 13:12 Uhr
Moin,

Wie willst du denn die Mails im Mailserver verschlüsseln, die personenbezogene Daten beinhalten (was ja quasi jede Mail ist, die explizite Personen im Empfänger-/ Absenderkreis inne hat)?

Nur kleiner Hinweis: Da muss man erst mal den Schutzbedarf dieser Daten erfassen. Und da gilt: Natürlich haben Personalstammdaten und umso mehr Daten wie die Lohn- und Gehaltsdaten einen weit höheren Schutzbedarf als z.B. seine E-Mail Addresse die den Namen eines Betroffenen enthält. Das Schutzniveau muss daher angemessen für die zu verarbeitenden Daten sein.

Da man dank Kirchsteuer z.B. die Religionszugehörigkeit angeben muss, gelten so ziemlich alle Personalstammdaten als Hochsensibel, sprich auf jeden Fall verschlüsseln. Siehe DSGVO Artikel 9.

Was da nun angemessen ist, ist jetzt natürlich die große Frage. Für alles was "data at rest" angeht, würde ich eine Verschlüsselung als notwendig ansehen, gleiches natürlich für Transport Verschlüsselung. Die exakte Realisierung, wie sie hier in der Fragestellung aufgekommen ist, ist nun der knifflige Teil.

Physisch separater Server, erscheint angebracht, wenn keine logische Trennung durch sichere Verschlüsselungsmethoden möglich ist. Letzteres wäre z.B. der erwähnte TrueCrypt container. Diese separate physische Maschine sollte dann eben einen sehr eingeschränkten Personenkreis haben (Personalabteilung, ein paar ausgewählte Admins) und sollte selbstverständlich physisch (Serveraum mit Schloss, also eigentlich selbstredend) sowie auf Netzwerkebene (im besten Fall, eigenes Subnet/vlan, firewall seitig nur aus der Personalabteilung und einem separaten Adminnetz erreichbar) ebenfalls nur start eingeschränkt erreichbar sein. Dann sehe ich auch ein Netzwerkshare für diesen Server nicht als Problem an. Ansonsten, wie der TO schon sagte, TrueCrypt oder eine vergleichbare Technologie zur Trennung.

Gruß
Chris
Bitte warten ..
Mitglied: Lochkartenstanzer
LÖSUNG 26.09.2019, aktualisiert um 14:43 Uhr
Zitat von MrCount:

Trotzdem ist es dabei möglich, dass sich die Administratoren Zugriff verschaffen.

Darum sind sie Admins! Wenn man ihnen nicht Vertraut, darf man sie nicht zum Admin des Systems mit den Daten machen.

lks

Edit. typos.
Bitte warten ..
Mitglied: em-pie
LÖSUNG 26.09.2019 um 13:21 Uhr
Moin,


Zitat von Lochkartenstanzer:

Zitat von MrCount:

Trotzdem ist es dabei möglich, dass sich die Administratoren Zugriff verschaffen.

Darum sind sie Admins! Wenn man ihnen micht Vertraut, darf nan sie nicht zum Admin des Syszems mit den Daten nachen.

lks
Sehe ich auch so!

Ansonsten: der Personalleiter bekommt das Passwort für den Admin User und für sämtliche Wartungsarbeiten, die ihr durchführen müsst, müsst ihr euch mit dem Personaler abstimmen... Dann löst sich das Problem auch schnell und ihr (oder ein ausgewählter Personenkreis) erhaltet wieder Zugriff. Das erfordert aber dann, dass der betroffene Server nicht in der (selben) Domain betrieben wird...

Bei der Gelegenheit: wer administriert eigentlich die Zeitwirtschafts-/ Lohnbuchhaltungssoftware?

Gruß
em-pie
Bitte warten ..
Mitglied: MrCount
26.09.2019 um 13:36 Uhr
Zitat von em-pie:
Bei der Gelegenheit: wer administriert eigentlich die Zeitwirtschafts-/ Lohnbuchhaltungssoftware?


Hör bloß auf....
Bitte warten ..
Mitglied: MrCount
26.09.2019 um 13:39 Uhr
Danke für die Antworten!

Ich werde da mal drüber schlafen und dann dem Chef entsprechend einen Vorschlag machen.
Es könnte alles so einfach sein, dank DSGVO ist es das aber nicht (mehr).....

Falls noch jemandem die ultimative (und einfache!) Lösung einfällt, ich bin ganz ohr.
Bitte warten ..
Mitglied: Lochkartenstanzer
26.09.2019 um 14:45 Uhr
Zitat von MrCount:

Falls noch jemandem die ultimative (und einfache!) Lösung einfällt, ich bin ganz ohr.


Alles mit Papier und Bleistift erledigen und in den Safe einschließen.

lks
Bitte warten ..
Mitglied: Lochkartenstanzer
LÖSUNG 26.09.2019 um 15:05 Uhr
Zitat von Lochkartenstanzer:

Zitat von MrCount:

Falls noch jemandem die ultimative (und einfache!) Lösung einfällt, ich bin ganz ohr.


Alles mit Papier und Bleistift erledigen und in den Safe einschließen.

Und nicht vergessen, den Mitarbeiter, der die Daten gesehen und bearbeitet hat, auch in den Safe zu tun. oder zumidest seinen Kopf.

lks
Bitte warten ..
Mitglied: rzlbrnft
LÖSUNG 26.09.2019, aktualisiert um 17:16 Uhr
Zitat von MrCount:
Trotzdem ist es dabei möglich, dass sich die Administratoren Zugriff verschaffen.

Da hast du was falsch verstanden. Personenbezogene Daten müssen vor unbefugtem Zugriff geschützt werden, und die Kommunikationswege dahin sollten nach Möglichkeit verschlüsselt sein.

Wer befugt ist, definiert nicht die DSGVO, sondern die Organisation. Wenn Administratoren aus organisatorischen Gründen, wie z.B. Backup usw. auf die Daten zugreifen können müssen, dann ist das so.

Wichtig ist, das du "geeignete Maßnahmen" ergreifst, damit ein unbefugter Zugriff im Rahmen deiner Möglichkeiten ausgeschlossen ist, und diese auch dokumentierst.
Dazu gehört, den Mitarbeitern einen Schriebs in die Hand zu drücken, der ihnen mitteilt, das ihre Daten für betriebliche Zwecke erhoben und verarbeitet werden. Das sollten sie unterschreiben, dann hast du im Falle einer Klage etwas vorzuweisen.

Die frühere Richtlinie hatte explizit von den TOMs geschrieben, die sind zwar jetzt rausgefallen aber immer noch relevant.
https://www.datenschutz-wiki.de/Technische_und_organisatorische_Ma%C3%9F ...

Wenn du diese Maßnahmen berücksichtigst und in einer für euren Betrieb geeigneten Form umsetzt und dokumentierst, kann dir keiner einen Vorwurf machen.
Bitte warten ..
Mitglied: MrCount
27.09.2019 um 10:57 Uhr
Das klingt schon besser.
Vielen Dank für die Information!!
Bitte warten ..
Ähnliche Inhalte
Datenschutz
DSGVO und Zeiterfassung
gelöst Frage von Stewy0310Datenschutz13 Kommentare

Hallo zusammen, nachdem unsere Firma von dem neuen Gerichtsurteil zur Zeiterfassung erfahren hat, müssen wir in ein Zeiterfassungssystem Geld ...

Datenschutz
DSGVO Datenschutzgesetz
Anleitung von 1Werner1Datenschutz9 Kommentare

Moin, ja was ist das, da ist die DSGVO Datenschutzverordnung. Wie das Gesetz gibt es schon 2 Jahre? Nun ...

Humor (lol)
DSGVO - Lösungsansatz
Frage von emeriksHumor (lol)4 Kommentare

Hi, das Thema DSGVO ist ja hier schon ein paar Mal angesprochen worden. Mir ist jetzt ein wirklich sehr ...

Datenschutz
Datenschutzbeauftragter DSGVO
Frage von leon123Datenschutz15 Kommentare

Hallo zusammen, ich werde vermutlich zum Datenschutzbeauftragen verdonnert, weil ich hier auf 2 IHK Vorträgen war Da mir bewusst ...

Neue Wissensbeiträge
Humor (lol)
Das IoT wird schlimmer
Erfahrungsbericht von Henere vor 3 StundenHumor (lol)

Nun auch schon über den WSUS:

Sicherheit

Win10 1809 und höher erlauben nun das Sperren und Whitelisten von bestimmten Geräten

Tipp von DerWoWusste vor 13 StundenSicherheit1 Kommentar

Vor 1809 konnten nur Geräteklassen gesperrt werden, nun können endlich einzelne Device instance IDs gewhitelistet werden (oder andersherum: gesperrt ...

Windows 10

Hands-On: What is new in the Windows 10 November 2019 Update?

Information von DerWoWusste vor 19 StundenWindows 10

Die wenigen (aber zum Teil interessanten) Neuheiten werden in diesem Video sehr schnell erklärt und vorgeführt.

Grafik

Gute Spiele aus der Ubuntu Repository: SuperTuxKart

Information von NetzwerkDude vor 1 TagGrafik1 Kommentar

Fall jemand die Firmenpolicy hat das man Linux Software nur aus dem default Repository installieren kann: Ich habe festgestellt ...

Heiß diskutierte Inhalte
Netzwerke
VPN auf Firmennetzwerk (Festplatten, Computer) einrichten, aber wie?
Frage von 81083Netzwerke34 Kommentare

Hallo, es ist ein Bisschen frustrierend. Wir haben einen 2012 R2 Server, eine Fritzbox und etwa 10-12 PC die ...

Ubuntu
Ubuntu-Putty hilfe
Frage von Nickolas.GroheUbuntu27 Kommentare

Hallo Wie ändere ich einen ssh Port auf Linux Ubuntu? LG Nickolas

Windows 7
Festplatte in einen anderen PC umziehen lassen
Frage von Ghost108Windows 724 Kommentare

Hallo zusammen, ich bekomme die nächsten Tage einen neuen PC (komplett andere Hardware als in meinem jetzigen) Was für ...

Windows Tools
Suche Suchprogramm
Frage von tsunamiWindows Tools24 Kommentare

Hallo, ich brauche einen Tipp für ein profesionelles Suchprogramm. Es geht um rund 3 TB Dokiumente auf ner externen ...