Das Büro brummt, die Buchhalter sind mit der Buchhaltung beschäftigt, die Marketingexperten mit dem Marketing, die Vertriebsmitarbeiter mit dem Verkauf und die Systemadministratoren … was tun die denn?

In den meisten Fällen bleibt ein guter Systemadministrator tagelang, wenn nicht sogar wochenlang unbemerkt. Nicht, weil er sich versteckt, sondern weil er sein Handwerk beherrscht und die integrierten Systeme eines Unternehmens orchestrieren, warten und sichern kann, während er im normalen Tagesgeschäft wenig bis gar keine Spuren hinterlässt. Einfach ausgedrückt: Wenn ein Systemadministrator seine Arbeit perfekt ausführt, gibt es wenig (oder gar nichts) zu bemerken. Und obwohl Systemadministratoren oft vergessen werden, spielen sie eine der wichtigsten Rollen für die Sicherheit eines Unternehmens.

Von der Wartung und Instandhaltung von Servern bis hin zur Gewährleistung der Sicherheit und des Schutzes interner Systeme vor Sicherheitsverletzungen und Viren sind Systemadministratoren die Wächter eines Unternehmens und der darin enthaltenen Daten. Zu den wichtigsten Aufgaben eines Systemadministrators gehören unter anderem:

• Überwachung und Wartung aller Computerserver, Plattenspeicher und Virtualisierungsprodukte im gesamten Unternehmen
• Erstellen und Installieren neuer Systeme und Anwendungen
• Mitwirkung bei der Planung der Infrastruktur und der Redundanzplanung
• Fehlersuche und Übernahme von Verantwortung für Probleme, die bei verschiedenen Anwendungen und Systemen auftreten, und Arbeit an deren Behebung
• Erleichterung effektiver und unterstützender Teambeziehungen, um betriebliche und abteilungsübergreifende Probleme schnell zu lösen.
• Konfigurieren interner Systeme
• Diagnostizieren und Beheben von technischen Problemen
• Instandhaltung und Aufrüstung der Netzwerkinfrastruktur
• Installieren von Servern, Geräten und Firewalls
• Überwachung der Leistung von Servern, Software und Hardware
• Sicherstellung der reibungslosen Einführung neuer Anwendungen

Administratoren haben Zugriff auf sämtliche Daten. Dadurch entsteht ein besonderes Risiko für alle Beteiligten. Sie können durch Hackerangriffen bedroht werden, der Versuchung des Social Engineering unterliegen oder den Wunsch verspüren, sich sensible Daten einmal anzuschauen.

Administratorkonten und Administrator-Benutzerkonnten sollten in jedem Fall getrennt voneinander behandelt werden.

Aus den genannten Gründen sollten Administratoren besonders zur Einhaltung der durch die DSGVO geltenden Bestimmungen angehalten werden.

Die unverzichtbare Rolle der Administratoren

Administratoren beziehen personenbezogene Daten aus verschiedenen Quellen. Sie sammeln E-Mail-Adressen von Personen, die Ihr (Firmen-)Blog lesen oder Ihre Landing Pages besuchen (Inbound-Quellen), Sie suchen auf LinkedIn und anderen Plattformen nach potenziellen B2B-Kunden und erstellen Listen mit Kontakten für Cold-E-Mails (Outbound-Quellen).

Wie auch immer sie die Daten erhalten – sie sammeln sie, haben Zugang zu ihnen und verarbeiten sie auf bestimmte Weise. Sie verwalten also die Daten. Das macht Sie zum Datenverwalter im Sinne der Datenschutz-Grundverordnung. Diese Rolle macht Sie verantwortlich für den Zweck und den Umfang der Datenverarbeitung. Sie können die Daten nicht einfach als willkürliche Listen von E-Mail-Adressen behandeln, die Sie für Ihre eigenen, nicht spezifizierten Zwecke gesammelt haben.

Die Personen, die sich in Ihre Liste eingetragen haben, haben Ihnen die Erlaubnis erteilt, ihre Daten auf bestimmte Weise zu verarbeiten. Sie können ihre Daten nicht anders verwenden, als Sie es ihnen versprochen haben, sobald sie sich für Ihre Liste angemeldet haben.

Was aber, wenn sie sich gar nicht angemeldet haben? Bei den Personen, deren Daten Sie selbst gesammelt haben, sollte es sich um sorgfältig ausgewählte Interessenten handeln, deren Websites, soziale Profile, Kommentare auf verschiedenen Plattformen usw. eindeutige Anzeichen dafür enthalten, dass sie tatsächlich von dem profitieren könnten, was Sie ihnen in Ihren Werbe-E-Mails anbieten werden. Mehr dazu im Abschnitt über die Relevanz, weiter unten.

Administratoren haben Einsicht in empfindliche Daten

Der Administrator trägt Verantwortung für sich selbst, für die Organisation, für die von der Organisation betreuten Kunden und für die Mitarbeiter, die in der Organisation Dienstleistungen erbringen.

Mit der zunehmenden Verbreitung von Informationssystemen stellt die Vertraulichkeit von Informationen ein ethisches Problem dar, das sich dem Administrator ständig stellt. Vertrauliche Informationen beziehen sich auf Fakten, die privat, geheim oder privilegiert sind. Die Vertraulichkeit von Informationen für den Administrator geht über z. B. die medizinischen Daten der Patienten hinaus und erstreckt sich auf umfassendere Informationssysteme, die die Organisation als Unternehmen und Arbeitsplatz einbeziehen.

Der Umgang mit vertraulichen Informationen erfordert ethisches Bewusstsein, Wissen und Entscheidungsfähigkeit. Um eine „zynische Sichtweise” der Verwaltungsangestellten auf die Bedeutung des ethischen Umgangs mit vertraulichen Informationen zu vermeiden, müssen diese Themen verstärkt aufgeklärt und diskutiert werden.

Es bleibt zu hoffen, dass sich durch Diskussionen, rückblickende Analysen und ethische Schulungen innovative Wege zur effektiven Beantwortung schwieriger Fragen im Zusammenhang mit vertraulichen Informationen ergeben.

Zusätzliche Verpflichtungserklärung für Administratoren

Unter welchen Umständen vertrauliche Informationen weitergegeben werden sollten, ist ein Thema, mit dem die meisten Verwalter irgendwann in ihrer Verwaltungspraxis konfrontiert werden. Die Freigabe vertraulicher Informationen ist oft mit ethischen und rechtlichen Fragen verbunden.

Verwaltungsangestellte sind verpflichtet, die Vertraulichkeit von Informationen zu wahren, die sie in ihrer Rolle als Vertreter der Organisation erwerben, pflegen und verwenden. Zu den vertraulichen Informationen gehören u. a. die persönlichen Daten der Mitarbeiter und ihre Gehaltsabrechnungen. Der Zugang zu diesen Informationen privater Natur bringt die treuhänderische Verpflichtung mit sich, die Vertraulichkeit zu wahren und mit der gebotenen Sorgfalt vorzugehen, um Informationen nicht über das im Rahmen der geschäftlichen Bemühungen erforderliche Maß hinaus offenzulegen oder freizugeben.

Die Datenschutzgrundverordnung (DSGVO) sieht innerhalb ihrer Bestimmungen die folgenden Ansätze vor:

Beschäftigte eines Verantwortlichen, z. B. einer Behörde, dürfen personenbezogene Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten, es sei denn, eine gesetzliche Regelung schreibt eine Verarbeitung dieser Daten vor (Art. 29 DSGVO).

Sowie:

Der Verantwortliche hat Schritte zu unternehmen, um sicherzustellen, dass ihm unterstellte Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Weisung verarbeiten, es sei denn, eine gesetzliche Regelung schreibt eine Verarbeitung dieser Daten vor (Art. 32 Abs. 4 DSGVO).

Sie sollten darauf achten, dass insbesondere Ihre Administratoren eine zusätzliche Verpflichtungserklärung eingehen. Denn Sie haben Kenntnisse bzw. Zugriff auf sämtliche (sensible) Daten des Unternehmens.

An dieser Stelle muss ein besonderes Vertrauensverhältnis zwischen den Administratoren, dem Arbeitgeber sowie allen anderen Mitarbeitern geben.

Die Freigabe von Informationen außerhalb des für solide Geschäftszwecke erforderlichen Rahmens kann persönliche und geschäftliche Haftungsfolgen nach sich ziehen. Gut gemeinte Handlungen können ebenso wie ungerechtfertigte Handlungen eine Haftung für den Verwalter persönlich und für die Organisation nach sich ziehen, wenn eine gesetzliche Verpflichtung zur Wahrung der Vertraulichkeit bestand und die Verletzung der Vertraulichkeit einem anderen Schaden zugefügt hat. Vertrauliche Informationen sollten mit einem hohen Maß an Professionalität und Qualität behandelt werden. Jegliche Freigabe vertraulicher Informationen sollte angemessen und auf bestimmte Verwendungszwecke durch geeignete Parteien beschränkt sein. Es sollten Richtlinien und Verfahren vorhanden sein, die den Schutz vertraulicher Informationen gewährleisten. Geeignete Schulungsprogramme sollten eingerichtet werden, damit die Mitglieder der Gesundheitsorganisation verstehen, was eine Verletzung vertraulicher Informationen ist und was nicht.

Zusammenfassung

Wie Sie sehen, haben Administratoren eine wichtige Rolle in Ihrem Unternehmen. Sie verfügen zudem über den Zugang zu sensiblen Daten und sollten sich ihrer Verantwortung bewusst sein.

Im Rahmen der DSGVO kommen auf Administratoren vielfältige Aufgaben zu, um die Privatsphäre der User:innen zu schützen.

Selbst wenn Sie einen Administrator haben, der Ihr Vertrauen genießt, kann er Bedrohungen von außen evtl. nur bedingt standhalten. Bei der Bearbeitung von sensiblen Daten bietet sich zum Beispiel ein Vier-Augen-Prinzip an.