Dipl.-Volksw. Fritz Schmidt
Personenbezogene Daten sind gegen Zerstörung oder Verlust zu schützen.
Die Regelung zielt auf den Schutz der Daten vor zufälliger Zerstörung oder Verlust ab. Im Kern geht es um den sicheren Betrieb der Datenverarbeitungssysteme und ihren Schutz vor einem plötzlichen Systemausfall. Besonderes Augenmerk ist hierbei auf die Funktionsfähigkeit der Server und deren Absicherung zu legen.
Elemente einer wirksamen Verfügbarkeitskontrolle sind ein wirkungsvolles Datensicherungskonzept und der Schutz der Server vor Sabotage, Feuer, Hitze, Überspannung durch Blitzschlag und Wasser. Darüber hinaus müssen die Server über eine unterbrechungsfreie Stromversorgung (USV) verfügen, um im Fall eines plötzlichen Stromausfalls ein geordnetes Herunterfahren der Server zu garantieren. Zu den organisatorischen Maßnahmen zählt die Schulung der Mitarbeiter z. B. zu Gefahren aus dem Internet (vgl. unten Kap. 3.3 Die Schlüsselrolle der Mitarbeiter für Datenschutz und Datensicherheit).
In der praktischen Umsetzung bedeutet dies, dass Datensicherungen in einem anderen Brandabschnitt oder extern (z. B. in einem Bankschließfach) zu lagern sind. Der Serverraum sollte verschlossen sein und nur von wenigen Mitarbeitern betreten werden können und sollte nicht als Lagerraum, insbesondere nicht zur Lagerung der Sicherungskopien, verwendet werden. Die Server sind darin so zu lagern, dass sie vor eindringendem Wasser geschützt sind. Gegebenenfalls ist eine Klimatisierung anzubringen, sodass die Server auch bei hochsommerlichen Temperaturen störungsfrei arbeiten. Ein Rauchmelder bzw. Brandmeldeanlagen und Feuerlöscher vervollständigen den Schutz im Brandfall. Leider ist in der Praxis festzustellen, dass die meisten Architekten selbst beim Bau neuer Verwaltungsgebäude nicht auf diese Anforderungen achten, sodass häufig die Hauptwasserleitung durch den Serverraum führt.
Eine Firewall dient neben der Zutrittskontrolle auch der Verfügbarkeitskontrolle.
Teilweise handelt es sich bei den in der Wohnungswirtschaft verwendeten EDV-Programmen um Rechenzentrumslösungen. Dabei werden unternehmenswichtige Daten in einem fremden Rechenzentrum gespeichert. Der Rechenzentrumsbetreiber hat dann als Auftragsverarbeiter für eine Sicherstellung der Verfügbarkeit von personenbezogenen Daten und sensiblen Unternehmensdaten zu sorgen.
Musterformulierung
Folgende Maßnahmen wurden ergriffen, die dazu führen sollen, dass personenbezogene Daten dauernd und uneingeschränkt verfügbar und insbesondere vorhanden sind, wenn sie benötigt werden.
Unsere Server befinden sich in einem gesonderten Serverraum. Der Serverraum ist verschlossen, der Zugang nur einem begrenzten Mitarbeiterkreis möglich. Eine unterbrechungsfreie Stromversorgung der Server ist vorhanden. Die Lagerung der Server erfolgt über dem Bodenniveau, sodass ein Schutz vor eindringendem Löschwasser gewährleistet ist. Wasserschäden durch Hochwasser wird durch die Auslagerung von Sicherungskopien in ________________ vorgebeugt. Die Klimatisierung des Serverraums ist gegeben (alternativ: ist nicht erforderlich, da er sich in den Kellerräumen befindet).
Ein Feuerlöscher ist im Serverraum vorhanden, ebenso ein Rauchmelder.
Auf die bereits gemachten Ausführungen zur Einsatz eines Virenscanners und zur Firewall wird verwiesen.
Die Maßnahmen für den Fall physischer oder technischer Zwischenfälle sind in einem IT-Notfallhandbuch inklusive Wiederanlaufplanung dokumentiert. Die Maßnahmen werden regelmäßig geprüft und aktualisiert.
Falls die Datenverarbeitung in einem Rechenzentrum erfolgt: Unsere Datenverarbeitung erfolgt im Rechenzentrum ______________, die technischen und organisatorischen Maßnahmen des Rechenzentrums sind in der Vereinbarung zur Auftragsverarbeitung dargestellt, darauf wird verwiesen.