12
DSGVO - Verschlüsselung von personenbezogenen Daten
Servus zusammen,
nach DSGVO müssen personenbezogene Daten ja verschlüsselt sein....
Unsere Personalabteilung hat das aktuell so gelöst, dass sie auf ihrem Netzlaufwerk (Windows Server) eine TrueCrypt-Datei mit den entsprechenden Inhalten pflegen.
So weit, so gut...
Jetzt können natürlich nicht mehrere Personen gleichzeitig dieses TrueCrypt-File öffnen/bearbeiten, weshalb ich nach einer DSGVO-konformen Lösung suche.
Wie habt ihr das umgesetzt?
Gibt's da was von Ratiopharm?
VG,
MrCount
nach DSGVO müssen personenbezogene Daten ja verschlüsselt sein....
Unsere Personalabteilung hat das aktuell so gelöst, dass sie auf ihrem Netzlaufwerk (Windows Server) eine TrueCrypt-Datei mit den entsprechenden Inhalten pflegen.
So weit, so gut...
Jetzt können natürlich nicht mehrere Personen gleichzeitig dieses TrueCrypt-File öffnen/bearbeiten, weshalb ich nach einer DSGVO-konformen Lösung suche.
Wie habt ihr das umgesetzt?
Gibt's da was von Ratiopharm?
VG,
MrCount
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 498613
Url: https://administrator.de/contentid/498613
Printed on: April 19, 2024 at 02:04 o'clock
12 Comments
Latest comment
Moin,
ich, kein Anwalt oder DSB, erachte das als Quatsch.
Meines Wissens nach geht es nur darum, dass die Transportwege zum Austausch solcher Daten verschlüsselt sind (SSL/ TLS, Speichermedien wie USB-Sticks, ...)
Wenn der Container einmal geöffnet ist, können ohnehin Zugriffe im Kontext des Users stattfindet...
Packe den Personalkram auf eine seperate LUN/ einen separaten Server, welcher die Daten selbst verschlüsselt (Zugriff, wenn Kiste aus, ist dann nicht möglich) und riegle den Rest per ACLs ab...
Ggf. noch alles in einen eigenen DaSi-Job Packen, der das Medium dann verschlüsselt....
Das ist meine Sicht der Dinge.
Wie willst du denn die Mails im Mailserver verschlüsseln, die personenbezogene Daten beinhalten (was ja quasi jede Mail ist, die explizite Personen im Empfänger-/ Absenderkreis inne hat)?
Gruß
em-pie
ich, kein Anwalt oder DSB, erachte das als Quatsch.
Meines Wissens nach geht es nur darum, dass die Transportwege zum Austausch solcher Daten verschlüsselt sind (SSL/ TLS, Speichermedien wie USB-Sticks, ...)
Wenn der Container einmal geöffnet ist, können ohnehin Zugriffe im Kontext des Users stattfindet...
Packe den Personalkram auf eine seperate LUN/ einen separaten Server, welcher die Daten selbst verschlüsselt (Zugriff, wenn Kiste aus, ist dann nicht möglich) und riegle den Rest per ACLs ab...
Ggf. noch alles in einen eigenen DaSi-Job Packen, der das Medium dann verschlüsselt....
Das ist meine Sicht der Dinge.
Wie willst du denn die Mails im Mailserver verschlüsseln, die personenbezogene Daten beinhalten (was ja quasi jede Mail ist, die explizite Personen im Empfänger-/ Absenderkreis inne hat)?
Gruß
em-pie
Moin,
Eigenes Volume/Share, das verschlüsselt ist, z.B. Bitlocker. Und nur Berechtigte bekommen Zugriff darauf.
lks
Eigenes Volume/Share, das verschlüsselt ist, z.B. Bitlocker. Und nur Berechtigte bekommen Zugriff darauf.
lks
Trotzdem ist es dabei möglich, dass sich die Administratoren Zugriff verschaffen.
Moin,
Nur kleiner Hinweis: Da muss man erst mal den Schutzbedarf dieser Daten erfassen. Und da gilt: Natürlich haben Personalstammdaten und umso mehr Daten wie die Lohn- und Gehaltsdaten einen weit höheren Schutzbedarf als z.B. seine E-Mail Addresse die den Namen eines Betroffenen enthält. Das Schutzniveau muss daher angemessen für die zu verarbeitenden Daten sein.
Da man dank Kirchsteuer z.B. die Religionszugehörigkeit angeben muss, gelten so ziemlich alle Personalstammdaten als Hochsensibel, sprich auf jeden Fall verschlüsseln. Siehe DSGVO Artikel 9.
Was da nun angemessen ist, ist jetzt natürlich die große Frage. Für alles was "data at rest" angeht, würde ich eine Verschlüsselung als notwendig ansehen, gleiches natürlich für Transport Verschlüsselung. Die exakte Realisierung, wie sie hier in der Fragestellung aufgekommen ist, ist nun der knifflige Teil.
Physisch separater Server, erscheint angebracht, wenn keine logische Trennung durch sichere Verschlüsselungsmethoden möglich ist. Letzteres wäre z.B. der erwähnte TrueCrypt container. Diese separate physische Maschine sollte dann eben einen sehr eingeschränkten Personenkreis haben (Personalabteilung, ein paar ausgewählte Admins) und sollte selbstverständlich physisch (Serveraum mit Schloss, also eigentlich selbstredend) sowie auf Netzwerkebene (im besten Fall, eigenes Subnet/vlan, firewall seitig nur aus der Personalabteilung und einem separaten Adminnetz erreichbar) ebenfalls nur start eingeschränkt erreichbar sein. Dann sehe ich auch ein Netzwerkshare für diesen Server nicht als Problem an. Ansonsten, wie der TO schon sagte, TrueCrypt oder eine vergleichbare Technologie zur Trennung.
Gruß
Chris
Wie willst du denn die Mails im Mailserver verschlüsseln, die personenbezogene Daten beinhalten (was ja quasi jede Mail ist, die explizite Personen im Empfänger-/ Absenderkreis inne hat)?
Nur kleiner Hinweis: Da muss man erst mal den Schutzbedarf dieser Daten erfassen. Und da gilt: Natürlich haben Personalstammdaten und umso mehr Daten wie die Lohn- und Gehaltsdaten einen weit höheren Schutzbedarf als z.B. seine E-Mail Addresse die den Namen eines Betroffenen enthält. Das Schutzniveau muss daher angemessen für die zu verarbeitenden Daten sein.
Da man dank Kirchsteuer z.B. die Religionszugehörigkeit angeben muss, gelten so ziemlich alle Personalstammdaten als Hochsensibel, sprich auf jeden Fall verschlüsseln. Siehe DSGVO Artikel 9.
Was da nun angemessen ist, ist jetzt natürlich die große Frage. Für alles was "data at rest" angeht, würde ich eine Verschlüsselung als notwendig ansehen, gleiches natürlich für Transport Verschlüsselung. Die exakte Realisierung, wie sie hier in der Fragestellung aufgekommen ist, ist nun der knifflige Teil.
Physisch separater Server, erscheint angebracht, wenn keine logische Trennung durch sichere Verschlüsselungsmethoden möglich ist. Letzteres wäre z.B. der erwähnte TrueCrypt container. Diese separate physische Maschine sollte dann eben einen sehr eingeschränkten Personenkreis haben (Personalabteilung, ein paar ausgewählte Admins) und sollte selbstverständlich physisch (Serveraum mit Schloss, also eigentlich selbstredend) sowie auf Netzwerkebene (im besten Fall, eigenes Subnet/vlan, firewall seitig nur aus der Personalabteilung und einem separaten Adminnetz erreichbar) ebenfalls nur start eingeschränkt erreichbar sein. Dann sehe ich auch ein Netzwerkshare für diesen Server nicht als Problem an. Ansonsten, wie der TO schon sagte, TrueCrypt oder eine vergleichbare Technologie zur Trennung.
Gruß
Chris
Zitat von @MrCount:
Trotzdem ist es dabei möglich, dass sich die Administratoren Zugriff verschaffen.
Trotzdem ist es dabei möglich, dass sich die Administratoren Zugriff verschaffen.
Darum sind sie Admins! Wenn man ihnen nicht Vertraut, darf man sie nicht zum Admin des Systems mit den Daten machen.
lks
Edit. typos.
1
Moin,
Ansonsten: der Personalleiter bekommt das Passwort für den Admin User und für sämtliche Wartungsarbeiten, die ihr durchführen müsst, müsst ihr euch mit dem Personaler abstimmen... Dann löst sich das Problem auch schnell und ihr (oder ein ausgewählter Personenkreis) erhaltet wieder Zugriff. Das erfordert aber dann, dass der betroffene Server nicht in der (selben) Domain betrieben wird...
Bei der Gelegenheit: wer administriert eigentlich die Zeitwirtschafts-/ Lohnbuchhaltungssoftware?
Gruß
em-pie
Zitat von @Lochkartenstanzer:
Darum sind sie Admins! Wenn man ihnen micht Vertraut, darf nan sie nicht zum Admin des Syszems mit den Daten nachen.
lks
Sehe ich auch so!Zitat von @MrCount:
Trotzdem ist es dabei möglich, dass sich die Administratoren Zugriff verschaffen.
Trotzdem ist es dabei möglich, dass sich die Administratoren Zugriff verschaffen.
Darum sind sie Admins! Wenn man ihnen micht Vertraut, darf nan sie nicht zum Admin des Syszems mit den Daten nachen.
lks
Ansonsten: der Personalleiter bekommt das Passwort für den Admin User und für sämtliche Wartungsarbeiten, die ihr durchführen müsst, müsst ihr euch mit dem Personaler abstimmen... Dann löst sich das Problem auch schnell und ihr (oder ein ausgewählter Personenkreis) erhaltet wieder Zugriff. Das erfordert aber dann, dass der betroffene Server nicht in der (selben) Domain betrieben wird...
Bei der Gelegenheit: wer administriert eigentlich die Zeitwirtschafts-/ Lohnbuchhaltungssoftware?
Gruß
em-pie
Zitat von @em-pie:
Bei der Gelegenheit: wer administriert eigentlich die Zeitwirtschafts-/ Lohnbuchhaltungssoftware?
Bei der Gelegenheit: wer administriert eigentlich die Zeitwirtschafts-/ Lohnbuchhaltungssoftware?
Hör bloß auf....
Danke für die Antworten!
Ich werde da mal drüber schlafen und dann dem Chef entsprechend einen Vorschlag machen.
Es könnte alles so einfach sein, dank DSGVO ist es das aber nicht (mehr).....
Falls noch jemandem die ultimative (und einfache!) Lösung einfällt, ich bin ganz ohr.
Ich werde da mal drüber schlafen und dann dem Chef entsprechend einen Vorschlag machen.
Es könnte alles so einfach sein, dank DSGVO ist es das aber nicht (mehr).....
Falls noch jemandem die ultimative (und einfache!) Lösung einfällt, ich bin ganz ohr.
Zitat von @MrCount:
Falls noch jemandem die ultimative (und einfache!) Lösung einfällt, ich bin ganz ohr.
Falls noch jemandem die ultimative (und einfache!) Lösung einfällt, ich bin ganz ohr.
Alles mit Papier und Bleistift erledigen und in den Safe einschließen.
lks
1Zitat von @Lochkartenstanzer:
Alles mit Papier und Bleistift erledigen und in den Safe einschließen.
Zitat von @MrCount:
Falls noch jemandem die ultimative (und einfache!) Lösung einfällt, ich bin ganz ohr.
Falls noch jemandem die ultimative (und einfache!) Lösung einfällt, ich bin ganz ohr.
Alles mit Papier und Bleistift erledigen und in den Safe einschließen.
Und nicht vergessen, den Mitarbeiter, der die Daten gesehen und bearbeitet hat, auch in den Safe zu tun. oder zumidest seinen Kopf.
lks
1
Zitat von @MrCount:
Trotzdem ist es dabei möglich, dass sich die Administratoren Zugriff verschaffen.
Trotzdem ist es dabei möglich, dass sich die Administratoren Zugriff verschaffen.
Da hast du was falsch verstanden. Personenbezogene Daten müssen vor unbefugtem Zugriff geschützt werden, und die Kommunikationswege dahin sollten nach Möglichkeit verschlüsselt sein.
Wer befugt ist, definiert nicht die DSGVO, sondern die Organisation. Wenn Administratoren aus organisatorischen Gründen, wie z.B. Backup usw. auf die Daten zugreifen können müssen, dann ist das so.
Wichtig ist, das du "geeignete Maßnahmen" ergreifst, damit ein unbefugter Zugriff im Rahmen deiner Möglichkeiten ausgeschlossen ist, und diese auch dokumentierst.
Dazu gehört, den Mitarbeitern einen Schriebs in die Hand zu drücken, der ihnen mitteilt, das ihre Daten für betriebliche Zwecke erhoben und verarbeitet werden. Das sollten sie unterschreiben, dann hast du im Falle einer Klage etwas vorzuweisen.
Die frühere Richtlinie hatte explizit von den TOMs geschrieben, die sind zwar jetzt rausgefallen aber immer noch relevant.
https://www.datenschutz-wiki.de/Technische_und_organisatorische_Ma%C3%9F ...
Wenn du diese Maßnahmen berücksichtigst und in einer für euren Betrieb geeigneten Form umsetzt und dokumentierst, kann dir keiner einen Vorwurf machen.
2
Das klingt schon besser. 
Vielen Dank für die Information!!
Vielen Dank für die Information!!
