Zuletzt haben wir in unserer Serie zum Thema Datenschutz verschiedene Begriffe getrennt und definiert sowie allgemeine Anforderungen an die praktische Integration von Datenschutz diskutiert. Im dritten Teil fokussieren wir die technische Umsetzung. Der abschließende und letzte Teil thematisiert die so genannten technischen Schulden.
Einleitung
Die korrekte technische Umsetzung steht und fällt mit dem detaillierten Wissen über die eigene IT-Infrastruktur, ihre Funktionsweise und dem Zusammenspiel aller Komponenten. Eine konkrete Empfehlung kann hier nur bedingt gegeben werden, da diese abhängig von den verwendeten Systemen ist und einer dedizierten Betrachtung bedarf.
Allgemein lassen sich jedoch ein paar Maßnahmen ableiten, die gleichermaßen für alle Infrastrukturen gelten. Diese sind in keiner Weise vollständig und sollen eher als Anstoß für eigene Maßnahmen dienen.
Beispiele technischer Maßnahmen für eine effiziente Datenschutz-Integration
Systeme sollten möglichst homogen und einheitlich konfiguriert werden, um überall die gleichen Löschmechanismen verwenden zu können. Datenbanken sollten, sofern dies nicht über die übergeordnete Software geschieht, regelmäßig inhaltlich überprüft und notfalls händisch bereinigt werden. Jede bestehende oder neu eingeführte Anwendung muss einem detaillierten Security Check-Up unterzogen werden, um zu ermitteln, welche Daten wissentlich oder unwissentlich erhoben und gespeichert werden, um entsprechende Maßnahmen zur Bereinigung zu etablieren. Die Speicherdauer von Daten der Firewall oder der IDS/IPS Systeme sollte auf ein vertretbares Maß reduziert werden. Dort wo es möglich ist, sollte mit der Maskierung von Daten gearbeitet werden, spätestens wenn es um die fachliche Nutzung und Auswertung von Daten geht. Ein vorab benannter Datenschutzbeauftragter muss mit den notwendigen Befugnissen ausgestattet werden, um seiner Aufgabe nachkommen zu können. In jedem Fall gilt, eine Einzelfallbetrachtung vorzunehmen und jedes System individuell zu bewerten, denn häufig steckt der Teufel im Detail.
All diese Maßnahmen mögen sinnvoll und zielführend erscheinen, wäre da nicht die alte Architektur und die historisch gewachsene Heterogenität und Komplexität der eigenen Infrastruktur. Bei dem Aufbau neuer Systeme auf ebenjene Punkte zu achten und diese konsequent umzusetzen, mag gut und hilfreich sein, doch bei den bestehenden (Alt-)Systemen hilft dies wenig. Sich vor der eigenen IT geschlagen zu geben, stellt allerdings keine valide Option dar. Hier hilft nur ein strukturiertes Vorgehen bei der Beseitigung der technischen Schulden.
Die hieraus resultierenden technischen Schulden sind ein Thema für Sie? Für unseren Autoren, Steffen Hoyer, auch. Lesen Sie hierzu den Abschlussartikel unserer Reihe mit einem kleinen Fazit. In der Zwischenzeit laden wir Sie ein, Kontakt zu uns aufzunehmen, um das Thema unverbindlich zu vertiefen.
