Cryptshare erleichtert die Einhaltung von Compliance-Vorgaben.
Notizbuch mit Eule.


Die Europäische Union betrachtet den Datenschutz seit langem als ein wichtiges Thema und arbeitet emsig daran, eine einheitliche Gesetzgebung zu erlassen, die die Interessen aller Bürgerinnen und Bürger der EU schützt – egal ob sich deren Daten inner- oder außerhalb der EU befinden.

Es handelt sich nicht um ein komplett neues Gesetz. Die ursprünglichen Arbeitsentwürfe gehen bis ins Jahr 1995 zurück. Aber in der derzeitigen Form sind einige bedeutende neue Bestimmungen mit weitreichenden Auswirkungen enthalten.

Sowohl große als auch kleine Unternehmen müssen diese Neuerungen berücksichtigen. Nachdem wir mit Vertretern der EU, mit eigenen Kunden und mit Kunden anderer Technologieanbieter in den USA, der EU und in den APAC Ländern gesprochen haben, ziehen wir die folgenden Schlussfolgerungen, die wir gern mit Ihnen teilen möchten.

Wichtige Schlussfolgerungen zur DSGVO:

  • Die meisten Unternehmen haben einen Teil der Schutzmaßnahmen, die benötigt werden, implementiert aber nur wenige haben alle Grundvoraussetzungen geschaffen. Es gibt noch einiges zu tun.

  • Nutzen Sie die Gelegenheit, um einige alte Technologien durch modernere, preiswertere, spezialisierte Lösungen zu ersetzen, die genau das tun, was Sie brauchen und kein Vermögen kosten.

  • Verwenden Sie etablierte Technologien wie E-Mail aber lösen Sie zuerst deren bekannte Unzulänglichkeiten: Defizite beim Übertragen großer Dateien und mangelnde Sicherheit. Warum? Das können Sie schnell umsetzen und allen Nutzern eine bekannte Lösung zur Verfügung stellen. Für Sie ein einfach kalkulierbarer Erfolg.
  • Technologie ist der Schlüssel zur Lösung der Probleme, aber der Faktor Mensch (und sein Verhalten) muss mitberücksichtigt werden. Nur wenige Unternehmen haben genügend Geld oder Zeit kalkuliert, um die neuen Anforderungen zu bewältigen.

  • Außereuropäische Unternehmen haben viel mehr zu tun und können bei Kontrollen angreifbarer sein. Höchste Zeit aufzuholen.

  • Harte Strafen werden impulsive Handlungen nach sich ziehen. Davon profitieren vor allem Security-Anbieter, die ihre Lösungsansätze mit nicht gerechtfertigte Behauptungen untermauern und ein schnelles Geschäft machen werden. Es wird schwer, die Spreu vom Weizen zu trennen.

Zentrale Forderungen der DSGVO

die Sie bereits heute mit Cryptshare erfüllen können

Auskunftsrecht und Recht auf Berichtigung

  • Verschlüsselter Dateitransfer zum Empfänger möglich
  • Ad-hoc nutzbar
  • Metadaten werden verschlüsselt

Recht auf Vergessenwerden / Datensäuberungsregeln

  • Begrenzte Aufbewahrungszeit der Dateien auf dem Server einstellbar
  • Vermeidung von "Datenfriedhöfen"

Datenübertragbarkeit

  • Übertragung aller Dateiformate möglich
  • Global genutzter Übertragungsweg per E-Mail 

Datenschutzeinstellungen auf hohem Niveau … einschließlich die für ausgehende E-Mails

  • E-Mail Schutz-Klassifizierung reguliert die Sicherheitseinstellungen für die Anwender im Unternehmen
  • Zentrales Management der Policy Einstellungen
  • IT-Compliance

Data Loss Prevention (DLP)

  • Schutz der transferierten Dateien, bei versehentlich falsch gewähltem Empfänger. Nur der richtige Empfänger kennt das vereinbarte Passwort.
  • Analyse durch externe DLP Lösung vor oder nach Upload der Daten möglich (reverse proxy server / pre-processing)

Cloud-Dienste & Auftragsdatenverarbeitung (ADV)

  • Cryptshare Betrieb in eigener DMZ möglich
  • ADV entfällt beim Austausch personenbezogener Daten

Whitepaper herunterladen

EU-DSGVO - Ein praktischer Leitfaden

Lesen Sie auch unseren Blogbeitrag zu DSGVO

Die 6 Ws zur EU Datenschutzgrundverordnung

Die 6 Ws zur EU Datenschutzgrundverordnung
Heute geben wir einen kurzen Überblick über das Wer – Wie – Wo – Was – Wann – Warum zur EU Datenschutzgrundverordnung (1) – kurz und prägnant. Weiter unten findet der interessierte Leser durchnummeriert detailliertere Informationen zur Europäischen Datenschutzgrundverordnung.

Datenschutz in der EU: GDPR

WAS ist die EU-DSGVO?

EU DSGVO steht für Europäische Datenschutzgrundverordnung. Es ist eine Verordnung, die EU-Bürgern mehr Rechte und besseren Schutz in Bezug auf ihre Daten (2) geben soll.

WANN ist die EU-DSGVO anwendbares Recht?

Am 25.05.2018.
In Kraft getreten ist die Datenschutzgrundverordnung am 5. Mai 2016. Gut zwei Jahre danach werden nationale Gesetze, auch das BDSG (3), obsolet und andere Regelwerke in dem Zusammenhang nur noch sehr begrenzt anwendbar sein. 

WARUM ist die EU-DSGVO notwendig?

Die Verarbeitung (4) von Daten wird immer digitaler und globaler. Bestehende länderspezifische Gesetze, die den Datenschutz regeln, wurden vor vielen Jahren erlassen als das Internet noch in den Kinderschuhen steckte. Heute ist eine Regelung vonnöten, die der digitalen Welt gerecht wird: grenzübergreifend und einheitlich, d.h. eine Regelung, die Rechte jedes EU-Bürgers in Bezug auf seine Daten gleichermaßen regelt. Zahlreiche Erwägungsgründe (5) haben zur Erstellung der EU DSGVO geführt.

WER ist betroffen bzw. muss sich an die EU-DSGVO halten?

„Betroffen“ sind alle EU-Bürger. Die Verordnung einhalten müssen alle Unternehmen, die Daten von EU-Bürgern verarbeiten (siehe Ziffer 4).

WIE können die Richtlinien eingehalten werden?

Unternehmen müssen alles dafür tun, um Daten sicher zu verarbeiten. Dafür ist Technik (6) (Stichpunkte: Privacy by Design & Privacy by Default) und Know-How (7) notwendig.

… und WIE kann das überprüft werden?

Hohe Strafen (8) sollen Unternehmen dazu bringen, Datenschutzverstöße zu vermeiden. Neu ist, dass sie 72 Stunden Zeit haben Verstöße zur Selbstanzeige (9) zu bringen. Aufsichtsbehörden und akkreditierte Stellen (10) führen Kontrollen durch und gehen Beschwerden nach, die an sie herangetragen werden. Unternehmen müssen ihrer Dokumentations- und Informationspflicht nachkommen und entsprechende Nachweise erbringen. Darüber wacht in einem Unternehmen der Datenschutzbeauftragte, der u.a. die Aufgabe hat, seine Vorgesetzten und die Mitarbeiter über Unzulänglichkeiten zu informieren, Vorschläge macht, wie es besser gehen kann, und dazu entsprechende Maßnahmen einleitet, z.B. indem er Schulungen für das Personal oder die Anschaffung notwendiger Hard- & Software veranlasst.

WO gilt die EU-DSGVO?

Die Verordnung gilt in der EU, sobald Daten von EU-Bürgern im Spiel sind, also verarbeitet werden, weltweit (11)

  1. Die EU Datenschutzgrundverordnung kann unterschiedlich abgekürzt und umschrieben werden: EU-DSGVO, DSGVO, EU Datenschutzverordnung, Datenschutz Grundverordnung, Datenschutzrichtlinie, Datenschutz-Grundverordnung der EU.

  2. Die EU-DSGVO hat zum Ziel, personenbezogene Daten zu schützen. Dazu zählen alle Daten, die die Identifikation einer natürlichen Person ermöglichen. Dazu gehören z.B. Namen sowie Daten und Kennnummern, die auf die Identität dieser natürlichen Person schließen lassen.

  3. Das Bundesdatenschutzgesetz (BDSG) regelt in Deutschland den Umgang mit personenbezogenen Daten und schützt die Persönlichkeitsrechte der Bürger. Es wird am 25.05.2018 von der EU Grundverordnung abgelöst. D.h. grundsätzlich hat EU-Recht Vorrang vor jedem nationalen Recht. Durch Öffnungsklauseln in der EU-Verordnung haben die EU-Länder jedoch die Möglichkeit, nationale Regelungen zu treffen, wie z.B. das Festlegen des Mindestalters für wirksame Einwilligungserklärungen von Minderjährigen oder z.B. zur Auftragsdatenverarbeitung.

  4. nach Kapitel 1, Art 4 DSGVO bezeichnet „Verarbeitung“: “jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

  5. insgesamt gibt es 173 Erwägungsgründe, die zur Erstellung der EU Verordnung geführt haben, u.a. sind dies: ein hohes Datenschutzniveau trotz zunehmenden Datenaustauschs zu gewährleisten (Erwägungsgrund 6), gleiche Befugnisse und Sanktionen (Erwägungsgrund 11) zu schaffen, sowie und vor allem die Sicherheit der Verarbeitung (Erwägungsgrund 83) zu gewährleisten:

    „Zur Aufrechterhaltung der Sicherheit und zur Vorbeugung gegen eine gegen diese Verordnung verstoßende Verarbeitung sollte der Verantwortliche oder der Auftragsverarbeiter die mit der Verarbeitung verbundenen Risiken ermitteln und Maßnahmen zu ihrer Eindämmung, wie etwa eine Verschlüsselung, treffen. Diese Maßnahmen sollten unter Berücksichtigung des Stands der Technik und der Implementierungskosten ein Schutzniveau – auch hinsichtlich der Vertraulichkeit – gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden personenbezogenen Daten angemessen ist.

    Bei der Bewertung der Datensicherheitsrisiken sollten die mit der Verarbeitung personenbezogener Daten verbundenen Risiken berücksichtigt werden, wie etwa – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von oder unbefugter Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden, insbesondere wenn dies zu einem physischen, materiellen oder immateriellen Schaden führen könnte.“

    Die Kommunikationslösung Cryptshare ermöglicht die Verschlüsselung von E-Mails sowie deren Metadaten und Anhängen auf dem Transportweg und bei der Zwischenspeicherung auf dem Server. In dem Zusammenhang bietet sie außerdem volle Transparenz durch die nachvollziehbare Protokollierung aller Aktivitäten.

  6. Firmen müssen Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen („Privacy-by-Design“ und „Privacy-by-Default“) umsetzen. In Artikel 25 der Datenschutzrichtlinie werden die Rahmenbedingungen für die Art und Weise formuliert, wie die Anforderungen der DS-GVO bereits bei der Prozessgestaltung und bei Voreinstellungen umzusetzen sind. Mit dem Zuweisen von E-Mails zu einer Klassifizierungsstufe mit Hilfe der „E-Mail Schutz-Klassifizierung“ von Cryptshare kommen Unternehmen der Forderung nach, Daten zu klassifizieren – einfach und sicher. Dabei werden auch die geforderten Privacy-by-Design und Privacy-by-Default-Ansätze erfüllt.

    Das Feature ist nämlich vom Administrator entsprechend der EU DSGVO und unternehmenseigener Compliance-Vorgaben konfigurierbar. Der Anwender kann oder muss – je nach Konfiguration - vor Versand eine voreingestellte Schutzklasse auswählen, um die Mail versenden zu können. Stellt der Admin für bestimmte Nachrichten die Klassifizierung frei, kann auch „ohne Klassifizierung“ versendet werden. Abhängig von der gewählten Klassifizierung werden vom System geeignete Maßnahmen zum Schutz und zur Kennzeichnung der Daten getroffen.

  7. Unternehmen, Behörden und öffentliche Stellen müssen einen Datenschutzbeauftragten benennen. Ein Datenschutzbeauftragter ist in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden. Er unterrichtet und berät seine Vorgesetzte und die Mitarbeiter seines Unternehmens hinsichtlich ihrer Pflichten denen sie laut EU-DSGVO und weiteren Datenschutzvorschriften nachkommen müssen. Er überwacht die Einhaltung, sensibilisiert, führt Schulungen durch oder organisiert diese und überprüft sie auch. Des weiteren arbeitet der Datenschutzbeauftragte mit den Aufsichtsbehörden zusammen. (Kapitel 4, Abschnitt 4).

  8. Innerhalb von 72 Stunden nachdem Unternehmen einen Verstoß gegen die Verordnung registriert haben, müssen sie ihre zuständige Aufsichtsbehörde darüber informieren - je nach Ausmaß auch ihre Kunden. Maximal kann eine Strafe von 4% das weltweiten Jahresumsatzes oder 20 Millionen € – je nachdem welcher Betrag höher ist, fällig werden. Das ist für Unternehmen schmerzhaft bis existenzbedrohend.

  9. Damit es erst gar nicht zu einer Selbstanzeige kommt, ist der Datenschutzbeauftragte u.a. verantwortlich, alle geeigneten Maßnahmen zu ergreifen, damit die Voraussetzungen im Unternehmen geschaffen sind, die Verordnung einzuhalten. Dazu müssen interne Strategien festlegt und Maßnahmen ergriffen werden, die insbesondere den Grundsätzen des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) Genüge tun.

    Zudem haben die Bürger selbst das Recht, zu erfahren, welche Daten das Unternehmen von ihnen speichert. Sie können einfordern, dass ihre Daten korrigiert oder ganz und gar gelöscht (Recht auf Vergessenwerden Kapitel 3, Art. 17) werden. Zudem haben sie das Recht, ihre Daten „in einem strukturierten, gängigen, maschinenlesbaren Format“ zu erhalten, um sie einem anderen Unternehmen zur Verfügung zu stellen. Das Recht auf Datenübertragbarkeit Kapitel 3, Art 20 erlaubt es den EU-Bürgern auch, ihre Daten direkt von einem Unternehmen an ein Zweites übermitteln zu lassen „soweit dies technisch machbar ist.“ Auch hier kann die Softwarelösung Cryptshare einfach unterstützen, indem es Daten – egal welcher Größe und in welchem Dateiformat - sicher auf digitalem Wege überträgt.

  10. Örtlich zuständige Landesaufsichtsbehörden führen Kontrollen durch. Wenn es um eine grenzüberschreitende Verarbeitung geht, gilt das neue sogenannte „One-Stop-Shop“-Verfahren: das heißt, die Behörde am Sitz der Hauptniederlassung hat eine federführende Zuständigkeit. Unternehmen müssen sich nicht mehr mit Aufsichtsbehörden in mehreren EU-Mitgliedstaaten auseinandersetzen, sondern haben nur noch einen Ansprechpartner (Art. 56 DS-GVO). Die Überwachung der Einhaltung von Verhaltensregeln kann auch von einer durch die Aufsichtsbehörde akkreditierten Stelle stattfinden. Die Stelle muss dazu zahlreiche Kriterien erfüllen, u.a. muss sie über das geeignete Fachwissen verfügen und unabhängig sein.

  11. Der Anwendungsbereich des EU-Datenschutzrechts wird erheblich erweitert: Neben dem Niederlassungsprinzip gilt auch das neue Marktortprinzip. (Art. 3 Absatz 1 und 2). Neben den datenverarbeitenden Niederlassungen in der EU müssen Unternehmen die Ihren Sitz nicht in der EU haben, jedoch Daten von EU-Bürgern verarbeiten, die EU-DSGVO einhalten.

Fazit

Die europäische Datenschutzgrundverordnung beschreibt die Rechte der EU-Bürger in Bezug auf den Umgang mit ihren personenbezogenen Daten und die Pflichten der datenverarbeitenden Unternehmen – unabhängig wo sich diese befinden. Jetzt ist die Zeit für Unternehmen, alle Vorkehrungen zu treffen und ihre (datenverarbeitenden) Prozesse technisch datenschutzkonform zu gestalten, ihre Mitarbeiter im Umgang mit personenbezogenen Daten zu schulen sowie ihnen die richtigen Bedingungen und Tools zur Verfügung zu stellen.

Sharing is caring