SIEM-Systeme: Sicherheit versus Datenschutz?

Die Gewährleistungsziele der Datensicherheit und des Datenschutzes sind teilweise identisch, können aber im Einzelfall durchaus im Widerspruch zueinander stehen.

Gewährleistungsziele des Datenschutzes und der Datensicherheit

SIEM – Security Information and Management Systeme

Die manuelle Überwachung und Kontrolle von Netzwerkaktivitäten und das Aufspüren möglicher Unregelmäßigkeiten über punktuell mögliche Stichproben, Einsicht in Log-Dateien, etc., ist bei größeren Netzwerken unmöglich. Abhilfe schaffen hier SIEM- (Security Information and Management) Systeme, die aus der Fülle unstrukturierter Daten strukturierte, damit maschinell auswertbare Daten schaffen. Was aus Sicherheitsaspekten sinnvoll erscheint (umfangreiche längerfristige Speicherung und Auswertung auch personenbezogener Daten), kann im Einzelfall durchaus zu Konflikten mit den Sicherheitszielen des Datenschutzes, insbesondere mit den Zielen der Datenminimierung und Transparenz (für den Betroffenen) führen. Der Konflikt unterschiedlicher Gewährleistungsziele ist dem Auftrag der Sicherstellung des Grundrechts auf informationelle Selbstbestimmung immanent.

Kein SIEM-System ohne DSFA nach Art. 35 DSGVO

Alleine die Fülle der anfallenden, zunächst unstrukturierten Daten, in Verbindung mit der Möglichkeit, diese in strukturierte umzuwandeln und der menschlichen, wie maschinellen Auswertung zuzuführen, was beispielsweise zu einer lückenlosen Überwachung der Beschäftigten führen kann, verbietet die Enführung eines SIEM-Systems ohne vorangehende Datenschutzfolgeabschätzung (DSFA) nach Art. 35 DSGVO. Die Abwägung zwischen den (berechtigten) Interessen des Unternehmens und denjenigen des Betroffenen kann im konkreten Einzelfall dazu führen, dass Systeme modifiziert und angepasst werden müssen. Noch komplizierter wird es, kommen dabei in besonderer Weise schützenswerte Daten nach Art. 9 ins Spiel.

Abwägungssache: Ein rechtskonformer Betrieb eines SIEM-Systems ist möglich

Die Aufgabe der Datenschutzfolgeabschätzung besteht darin, dem Verantwortlichen Hilfe zur rechtskonformen Implementierung eines SIEM-Systems an die Hand zu geben. In Abwägung zwischen den Gewährleistungszielen des Datenschutzes und der Datensicherheit müssen technisch-organisatorische Maßnahmen implementiert werden, die einerseits geeignet sind, das Recht des Betroffenen auf informationelle Selbstbestimmung zu wahren und andererseits den rechtlichen und technischen Notwendigkeiten der Datensicherheit gerecht werden. Dazu können Maßnahmen der Pseudonymisierung bzw. Anonymisierung, der Verschlüsselung, der Datenminimierung, der Löschbarkeit und der Datenübertragbarkeit gehören.

DSFA – Team

Die Durchführung einer Datenschutzfolgeabschätzung erfordert im Unternehmen ein interdisziplinäres Team unter Beteiligung des bestellten betrieblichen Datenschutzbeauftragten. Bei von uns unterstützten Datenschutzfolgeabschätzungen übernimmt Dr. W. Steinmetz, Volljurist und Wirtschaftsinformatiker, die Leitung des DSFA-Teams. Bei Bedarf können weitere externe Teammitglieder hinzu gezogen werden. Gerne evaluieren wir in einem persönlichen Gespräch, welche Leistungen inhouse erbracht werden können und erstellen ein individuelles Angebot über die benötigte externe Unterstützung.

Diese Seite verwendet die Shariff-Lösung der Ct.
Ihre Daten werden erst dann an Dritte übertragen, wenn Sie auf den entsprechenden Button klicken.

Herzlichen Dank fürs Teilen und Bekanntmachen dieser Seite.