Gratis
18. Mai 2020 - Methoden für die Überwachung des Datenschutzes

DSGVO: Tools zur Kontrolle der Verfügbarkeit

Drucken

Personenbezogene Daten müssen nach der Datenschutz-Grundverordnung (DSGVO) gegen Zerstörung und Verlust geschützt sein, Stichwort: Verfügbarkeit. Doch wie erkennen Sie, ob das gewährleistet ist? Monitoring-Tools helfen zum Beispiel dabei, die Backups zu überwachen.

Backups gehören zur Verfügbarkeitskontrolle Backups sind nicht der einzige, aber ein wichtiger Baustein für die Verfügbarkeit (Bild: f9photos / iStock / Thinkstock)

Personenbezogene Daten müssen verfügbar sein. Die DSGVO fordert in Artikel 32 die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen

Hier geht es also insbesondere um Maßnahmen, die personenbezogene Daten gegen Verlust und ungewollte Zerstörung schützen.

Darüber hinaus benötigen Unternehmen nach DSGVO die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.

Maßnahmen, um Verfügbarkeit zu gewährleisten

Zur Kontrolle der Verfügbarkeit gehören u.a. Maßnahmen

  • zum Brandschutz,
  • zum Diebstahlschutz,
  • zur Klimatisierung,
  • zur sicheren Stromversorgung,
  • zur Datensicherung in Form von Backups,
  • zur Wiederherstellung der Daten nach einem Zwischenfall und
  • zur Gewährleistung der Belastbarkeit der Systeme, die die Daten verarbeiten. Denn bei einem Systemausfall kann die Verfügbarkeit der Daten ebenfalls gefährdet sein.

Backups sind nur ein Baustein

Beim Thema Verfügbarkeit der Daten denken die meisten zuerst an Backups, manche denken auch nur an die Backups.

Die Prüfung der Verfügbarkeit muss aber eine ganze Reihe von Maßnahmen enthalten, die als Überblick in der Checkliste aufgeführt sind.


Download:


Viele der Maßnahmen erfordern manuelles Handeln. Dazu gehört etwa das Durchsehen von Brandschutz- und Backupkonzepten oder Gespräche mit dem Brandschutzbeauftragten und der IT-Administration.

Einiges lässt sich zum Glück automatisieren und dadurch auf Stichproben in der Nachkontrolle reduzieren.

Monitoring hilft dabei, Verfügbarkeit zu kontrollieren

Ein wesentlicher Teil bei der Prüfung der Verfügbarkeit besteht darin, zu kontrollieren, ob bestimmte Prozesse auch tatsächlich laufen, wie eben die regelmäßigen Backups.

Ebenso muss kontrolliert werden, ob die Daten für Zugriffsberechtigte erreichbar sind. Liegen die Daten in einer Datenbank oder werden sie von einem Online-Dienst vorgehalten, müssen Sie klären, ob sich die Datenbank oder der Online-Dienst auch erreichen lässt. Diese Erreichbarkeit lässt sich mit speziellen Monitoring-Lösungen automatisch testen.

Dabei muss gewährleistet sein, dass die Dienste und Systeme auch unter Belastung erreichbar sind (Sicherstellung der Belastbarkeit nach Artikel 32 DSGVO).

Prozesse und Zustand von Services überwachen

Mit einem Monitoring lässt sich nachvollziehen, ob die Backups im gewünschten Intervall stattfinden, worüber sich in der Regel Berichte erzeugen lassen. Zudem können die Monitoring-Tools oftmals eine Kontrolle durchführen, ob sich ein Backup auch wieder lesen lässt (Sicherstellung der Wiederherstellbarkeit nach einem Zwischenfall).

Im Fall von Datenbanken oder Online-Diensten simulieren die Monitoring-Werkzeuge Abfragen oder Anfragen und werten die Antworten des überwachten Systems aus. Dabei können auch hohe Belastungen simuliert werden, um den Schutz gegen Überlastungsangriffe (DDoS-Attacken, Distributed Denial of Service) zu testen.

Natürlich ist darauf zu achten, dass das Monitoring datenschutzkonform abläuft, das Monitoring also keine vertraulichen Daten abfragt und in Berichte schreibt.

Ebenso müssen Sie an die Zweckbindung bei den Protokollen denken. Eine heimliche, anlasslose Kontrolle, welcher Mitarbeiter wann wie zuverlässig seine Backups macht, gilt es zu verhindern.

Mit der IT in Verbindung setzen

Sprechen Sie mit den Administratoren,

  • welche Monitoring-Dienste bereits verfügbar sind,
  • welche Berichte generiert werden und
  • welche Informationen zur Verfügbarkeit der Daten, Wiederherstellbarkeit der Daten und Belastbarkeit der Systeme Sie daraus erhalten können.

Solche Werkzeuge ersparen Ihnen aufwändige Datenschutzkontrollen in vielen Bereichen der Verfügbarkeit. Es lohnt sich, sich mit dem Monitoring vertraut zu machen – nicht nur, um die Datenschutzkonformität des Monitorings selbst zu hinterfragen, sondern um die Überwachung der Verfügbarkei zu vereinfachen.

Auch die Kontrolle anderer technisch-organisatorischer Maßnahmen nach DSGVO lässt sich mit Tools vereinfachen, so

  • die Überwachung der Zugänge zu Daten und Systemen,
  • die Überwachung der Zugriffe auf personenbezogene Daten und
  • die Überwachung der Weitergabe personenbezogener Daten.

Oliver Schonschek
Oliver Schonschek, Diplom-Physiker, ist IT-Fachjournalist und IT-Analyst.