SIEM-Systeme: Sicherheit versus Datenschutz?

Datensicherheit und Datenschutz verhalten sich zumeist wie oszillierende Röhren: Eine Erhöhung des Niveaus der Datensicherheit bringt zugleich besseren Datenschutz mit sich und vice versa.


Unternehmen ab 50 Mitarbeitenden sind zur Einrichtung einer internen Meldestelle verpflichtet. Bei Nichteinrichtung droht ein Bußgeld bis 20.000,00 Euro. Auch wenn die Zahl potentieller Hinweise und Hinweisgeber aktuell gering scheint, bleibt doch die Pflicht, die geforderte Meldestelle einzurichten. Das ist kostengünstig möglich.

Weitere Informationen zum Hinweisgeberschutzgesetz finden Sie hier auf dieser Seite.
Oder gleich zu unserem Angebot: Outsourcing der Verpflichtung nach dem Hinweisgeberschutzgesetz ab 49,- Euro monatlich.
Warum eine Software zum HinSchG alleine nicht ausreicht, lesen Sie hier.


Auch wenn die Gewährleistungsziele der Datensicherheit und des Datenschutzes teilweise identisch sind, können dennoch Abwägungsentscheidungen entstehen.

Gewährleistungsziele des Datenschutzes und der Datensicherheit

SIEM – Security Information and Management Systeme

Die manuelle Überwachung und Kontrolle von Netzwerkaktivitäten und das Aufspüren möglicher Unregelmäßigkeiten über punktuell mögliche Stichproben, Einsicht in Log-Dateien, etc., ist bei größeren Netzwerken unmöglich. Abhilfe schaffen hier SIEM- (Security Information and Management) Systeme, die aus der Fülle unstrukturierter Daten strukturierte, damit maschinell auswertbare Daten schaffen. Was aus Sicherheitsaspekten sinnvoll erscheint (umfangreiche längerfristige Speicherung und Auswertung auch personenbezogener Daten), kann im Einzelfall durchaus zu Konflikten mit den Sicherheitszielen des Datenschutzes, insbesondere mit den Zielen der Datenminimierung und Transparenz (für den Betroffenen) führen. Der Konflikt unterschiedlicher Gewährleistungsziele ist dem Auftrag der Sicherstellung des Grundrechts auf informationelle Selbstbestimmung immanent.

Sie benötigen einen betrieblichen Datenschutzbeauftragten?

Wir betreuen mittelständische Unternehmen und Unternehmensgruppen aus unterschiedlichen Branchen und stellen bei Bedarf den betrieblichen Datenschutzbeauftragten auch im Konzernverbund.

Kein SIEM-System ohne DSFA nach Art. 35 DSGVO

Alleine die Fülle der anfallenden, zunächst unstrukturierten Daten, in Verbindung mit der Möglichkeit, diese in strukturierte umzuwandeln und der menschlichen, wie maschinellen Auswertung zuzuführen, was beispielsweise zu einer lückenlosen Überwachung der Beschäftigten führen kann, verbietet die Enführung eines SIEM-Systems ohne vorangehende Datenschutzfolgeabschätzung (DSFA) nach Art. 35 DSGVO. Die Abwägung zwischen den (berechtigten) Interessen des Unternehmens und denjenigen des Betroffenen kann im konkreten Einzelfall dazu führen, dass Systeme modifiziert und angepasst werden müssen. Noch komplizierter wird es, kommen dabei in besonderer Weise schützenswerte Daten nach Art. 9 ins Spiel

Abwägungssache: Ein rechtskonformer Betrieb eines SIEM-Systems ist möglich

Die Aufgabe der Datenschutzfolgeabschätzung besteht darin, dem Verantwortlichen Hilfe zur rechtskonformen Implementierung eines SIEM-Systems an die Hand zu geben. In Abwägung zwischen den Gewährleistungszielen des Datenschutzes und der Datensicherheit müssen technisch-organisatorische Maßnahmen implementiert werden, die einerseits geeignet sind, das Recht des Betroffenen auf informationelle Selbstbestimmung zu wahren und andererseits den rechtlichen und technischen Notwendigkeiten der Datensicherheit gerecht werden. Dazu können Maßnahmen der Pseudonymisierung bzw. Anonymisierung, der Verschlüsselung, der Datenminimierung, der Löschbarkeit und der Datenübertragbarkeit gehören.

DSFA – Team

Die Durchführung einer Datenschutzfolgeabschätzung erfordert im Unternehmen ein interdisziplinäres Team unter Beteiligung des bestellten betrieblichen Datenschutzbeauftragten. Bei von uns unterstützten Datenschutzfolgeabschätzungen übernimmt Dr. W. Steinmetz, Volljurist und Wirtschaftsinformatiker, die Leitung des DSFA-Teams. Bei Bedarf können weitere externe Teammitglieder hinzu gezogen werden. Gerne evaluieren wir in einem persönlichen Gespräch, welche Leistungen inhouse erbracht werden können und erstellen ein individuelles Angebot über die benötigte externe Unterstützung.

Wichtig zu wissen: Unterlassen Geschäftsführer trotz Rechtsverpflichtung die Einleitung eines DSFA-Prozesses, kommen Sie unter Umständen auch in die Situation, mit ihrem Privatvermögen haften zu müssen. Mehr Informationen zur Haftung von Geschäftsführern finden Sie hier.
Sollten Sie unsicher sein, nehmen Sie doch einfach Kontakt mit uns auf. Das Erstgespräch per Telefon oder Videocall ist kostenfrei.


Diese Seite verwendet die Shariff-Lösung der Ct.
Ihre Daten werden erst dann an Dritte übertragen, wenn Sie auf den entsprechenden Button klicken.

Herzlichen Dank fürs Teilen und Bekanntmachen dieser Seite.