DSGVO und SSH-Zugriff: der Compliance-Leitfaden, den Ihr Team braucht

Die DSGVO beschränkt sich nicht auf Cookie-Banner

Wenn die meisten Teams an die DSGVO denken, denken sie an Einwilligungsformulare und Datenschutzrichtlinien. Doch Artikel 32 DSGVO verlangt „geeignete technische und organisatorische Maßnahmen“, um die Sicherheit personenbezogener Daten zu gewährleisten. Dazu gehört, wie Ihr Team auf Server zugreift, die diese Daten verarbeiten.

Worauf Aufsichtsbehörden achten

Datenresidenz

Wenn Ihr SSH-Zugriffsverwaltungstool Verbindungsdaten über US-Server leitet, haben Sie ein Problem mit der Datenübermittlung. Nach Schrems II erfordert die Übermittlung personenbezogener Daten in die USA zusätzliche Garantien, die die meisten SSH-Tools nicht bieten.

Die Lösung: Tools verwenden, die alle Daten innerhalb der EU-Grenzen halten. Die SecurSSH-Infrastruktur wird ausschließlich in der EU gehostet.

Zugriffskontrollen

Aufsichtsbehörden wollen sehen, dass der Zugriff auf Systeme, die personenbezogene Daten verarbeiten, auf befugtes Personal beschränkt ist. „Jeder hat den SSH-Schlüssel“ erfüllt diese Anforderung nicht.

Die Lösung: rollenbasierte Zugriffssteuerung implementieren. Definieren Sie, wer auf welche Server zugreifen darf, und setzen Sie dies zentral durch.

Audit-Trails

Artikel 5 Absatz 2 verlangt den Nachweis der Compliance. Wenn eine Aufsichtsbehörde fragt: „Wer hat in den letzten 6 Monaten auf die Kundendatenbank zugegriffen?“, brauchen Sie eine Antwort in Minuten, nicht in Wochen.

Die Lösung: vollständige, durchsuchbare Audit-Logs mit Zeitstempeln, Nutzeridentifikation und Serverdetails. Exportierbar für Compliance-Reviews.

Auftragsverarbeitungsverträge

Wenn Sie ein Drittanbietertool für SSH-Zugriff nutzen, brauchen Sie einen DPA. Viele SSH-Tools bieten keinen, oder ihr DPA deckt nicht die spezifischen Daten ab, die sie verarbeiten.

Die Lösung: sicherstellen, dass Ihr SSH-Zugriffsanbieter einen DSGVO-konformen DPA bereitstellt, der Verbindungsmetadaten, Audit-Logs und Schlüsselmaterial abdeckt.

Das Wesentliche

DSGVO-Compliance für SSH-Zugriff ist für europäische Teams nicht optional. Die gute Nachricht: Mit dem richtigen Werkzeug ist die Behebung einfach. SecurSSH wurde von Anfang an für europäische Compliance-Anforderungen entwickelt.