Hard- und Software datenschutzkonform nutzen und warten

Hat man die Herausforderung „Inventare von Hard- und Software“ gemeistert, geht es im nächsten Schritt an die Bewertung mit den Augen des Datenschutzes (Wie Sie zu einer Liste aller vorhandenen Hard- und Software kommen, lesen Sie in den Ausgaben 10/17 und 11/17).

Prüfung aller Hardware-Komponenten

Sobald die Liste der Hardware steht, sollten Datenschutzbeauftragte ermitteln, ob die Geräte Daten enthalten, die entweder direkt personenbezogen oder auf Personen beziehbar sind. Ist das der Fall, ist eine Beschreibung der Verarbeitungstätigkeit nach Art. 30 Abs. 1 Datenschutz-Grundverordnung (DSGVO) nötig.

Zumeist handelt es sich um technische Daten, die aber trotzdem nicht selten auf Personen beziehbar sind. Bei Netzwerkkomponenten können dies IP-Daten sein oder Benutzerkennungen, die die IT-Komponente bei An- oder Abmeldung weitergibt und die Rückschlüsse auf die Person des Nutzers zulassen.

In etlichen Fällen können direkt Benutzerdaten vorhanden sein. Das ist z.B. bei Smartphones der Fall, wenn der Nutzer die Kontaktliste vor Weitergabe des Geräts an Dritte – z.B. für eine Reparatur oder bei Weitergabe an einen neuen Anwender – nicht gelöscht hat.

Ein spektakulärer (realer) Fall

Vor einigen Jahren machte ein Datenschutzvorfall Furore, bei dem ein Verantwortlicher Netzwerkkomponenten über eine Online-Versteigerung angeboten hatte. Der Käufer der Hardware fand auf diesen Netzwerkkomponenten Daten, die es zuließen, dass sich die Netzwerkebene aufrufen ließ.

Zwar waren keine konkreten Anwenderdaten mehr verfügbar, sodass Angreifer das Netzwerk nicht unmittelba…