Personaldaten in den Datenraum - Personnel data

Personaldaten in den Datenraum? Das müssen Vorstände beachten

In deutschen Unternehmen gibt es mit Human Resources einen Bereich, in dem Datenverarbeitung stets gleichbedeutend mit der Verarbeitung personenbezogener Daten ist. Da Personaldaten definitionsgemäß stets einen Personenbezug haben, weisen sie häufig auch einen erhöhten Schutzbedarf auf.

DSGVO regelt den Umgang mit Personaldaten

Natürlich sind personenbezogene Daten nicht erst seit Inkrafttreten der Datenschutz-Grundverordnung angemessen zu schützen. Bereits das Bundesdatenschutz-gesetz (alt) formulierte konkrete Regeln für den Umgang mit personenbezogenen Daten, die auch unter der DSGVO weiter Bestand haben.

Allerdings fordert die DSGVO bei Datenschutz-Verstößen mitunter hohe Strafen. Je nach Fall sind Geldbußen von bis zu 20 Millionen Euro oder vier Prozent des weltweit erzielten Jahresumsatzes möglich. Besonders heikel: Pflichtverletzungen im Datenschutzbereich können Geschäftsführer und Vorstände unter bestimmten Umständen persönlich ersatzpflichtig machen; diese haften gegebenenfalls mit ihrem Privatvermögen[1]. In ganz extremen Fällen können sogar Haftstrafen verhängt werden. Viele Unternehmen bemühen sich daher um vermeintlich sichere Storage-Angebote wie beispielsweise digitale Datenräume.

Risiko: Privilegierter Zugriff

Doch selbst, wenn Firmen die üblichen „technischen und organisatorischen Maßnahmen“ (vgl. DSGVO Art. 32) zum Schutz der Daten treffen, bleibt ein nicht zu unterschätzendes Restrisiko bestehen. Denn gerade die organisatorischen Maßnahmen wie etwa sorgfältig durchdachte Rechte- und Rollenkonzepte lassen sich mit verhältnismäßig geringem Aufwand umgehen. Außerdem können sich Administratoren in der Regel privilegierten Zugriff zu den Servern verschaffen und vertrauliche Daten einsehen, manipulieren oder entwenden. Das bringt die Verantwortlichen in arge Bedrängnis – schließlich haben sie die Integrität der Daten sicherzustellen.

Personaldaten: Datenschutz durch Technologie?

Um Personaldaten vor Einsicht, Manipulation oder Verlust zu schützen, braucht es eine technische Lösung, die jeglichen Zugriff – auch privilegierten Admin-Zugriff – zuverlässig unterbindet. Herkömmliche Public-Cloud-Angebote können diese Anforderung in der Regel nicht erfüllen. Sogar viele Business Clouds tun sich schwer, unerwünschte Datenzugriffe wirkungsvoll zu unterbinden. Die meisten gängigen Server-Infrastrukturen sehen nämlich privilegierte Admin-Zugänge vor, beispielsweise zu Wartungs- oder Monitoring-Zwecken.

Einen besseren, weil sichereren Ansatz verfolgen hingegen betreibersichere bzw. versiegelte Infrastrukturen: Hier wurden die organisatorischen Schutzmaßnahmen ausnahmslos durch technische Maßnahmen ersetzt, die sich auch mit hohem Aufwand nicht umgehen lassen. Die Server sind hermetisch abgeriegelt, ein privilegierter Admin-Zugriff ist nicht vorgesehen. Eine Kenntnisnahme vertraulicher Daten ist somit ebenso ausgeschlossen wie Diebstahl und Manipulation. Das gilt nicht nur für Administratoren, sondern für alle externen sowie internen Angreifer.

Unternehmen, die zur Speicherung und Verarbeitung vertraulicher und personenbezogener Daten auf betreibersichere Cloud- und Datenraum-Angebote wie uniscons idgard setzen, sind damit rechtlich auf der sicheren Seite. Die passenden Zertifikate können den Verantwortlichen überdies die Erfüllung ihrer Rechenschaftspflichten erleichtern.

[1] https://www.rosepartner.de/geschaeftsfuehrerhaftung-datenschutzrecht.html

So funktioniert Secure Content Collaboration
Secure Content Collaboration: So geht digitale Zusammenarbeit heute! Secure Content Collaboration ist eine der zentralen Herausforderungen digitaler Zusammenarbeit. Wann und warum ist die Sicherheit beim Austauschen und gemeinsamen Bearbeiten von Dateien besonders wichtig? [...] Weiterlesen »
Darum spielt der Server-Standort eine Rolle
5 Gründe, warum der Server-Standort Deutschland eine Rolle spielt Spielt es eine Rolle, wo ein Cloud-Anbieter seine Server betreibt? Allerdings! Erfahren Sie, welche Vorteile der Server-Standort Deutschland bringt. Weiterlesen »
Data Governance – wie gelingt der richtige Umgang mit Daten?
Data Governance in der Cloud – wie gelingt der richtige Umgang mit Daten? (Dieser Beitrag wurde im Mai 2022 veröffentlicht und im Juli 2022 aktualisiert.) In Zeiten von Homeoffice und hybriden Arbeitsplätzen ist Data Governance in der Cloud [...] Weiterlesen »
Wir halten Sie sicher auf dem Laufenden.