Anzeige

Anzeige

VERANSTALTUNGEN

IT-Tage 2018
10.12.18 - 13.12.18
In Frankfurt

Software Quality Days 2019
15.01.19 - 18.01.19
In Wien

CloudFest 2019
23.03.19 - 29.03.19
In Europa-Park, Rust

SMX München
02.04.19 - 03.04.19
In ICM – Internationales Congress Center München

Anzeige

Anzeige

Anzeige

DSGVO Datentransfer 777193192 700

Nun ist es doch tatsächlich so weit: Die allseits gefürchtete EU-Datenschutzgrundverordnung ist seit Kurzem in Kraft und sorgt für reichlich Diskussionsstoff darüber, wem sie was bringt oder, ob sie überhaupt notwendig ist. Tatsache ist: Die DSGVO ist nicht nur als Wort ein Ungetüm, sondern auch in ihrer Umsetzung alles andere als klar. 

Klar ist, dass Unternehmen, die Daten von EU-Bürgern erfassen, speichern, verarbeiten oder übertragen gesetzlich verpflichtet sind, die DSGVO einzuhalten. Was also können Unternehmen tun, um ihre Daten sicher und konform auszutauschen und zu archivieren?

Erst einmal ist es unerheblich, wo sich der Hauptsitz eines Unternehmens befindet. Für jedes Unternehmen weltweit, das Daten von EU-Bürgern speichert, verwaltet oder damit arbeitet, ist die Europäische Datenschutzgrundverordnung bindend. Auch mittelständische Unternehmen stöhnen unter der Last einer steigenden Datenflut und der explosionsartigen Zunahme unstrukturierter Daten. Häufig liegen relevante Informationen über verschiedene Systeme, Applikationen und Speichermedien verstreut und verursachen lange Suchzeiten. Nun, wo auch die DSGVO einen permanenten Überblick über die im Unternehmen verteilten Daten fordert, wird die eigene Datenhoheit umso wichtiger. Immer noch herrscht aber Unsicherheit in den Unternehmen, wie eine adäquate Datenaufbewahrung auszusehen hat, da der Gesetzgeber sehr komplexe Vorgaben macht. Viele Regelungen sind in ihrem Wortlaut nicht immer konkret und einfach nachvollziehbar, sodass die Umsetzung häufig Fragen bei den Verantwortlichen aufwirft. Doch selbst dort, wo die Ziele eindeutig formuliert sind, wünschen sich viele Unternehmen eindeutige Empfehlungen oder Handlungsanweisungen für die technische Umsetzung.

Sinnvolle Archivierungsmethoden schaffen Mehrwert

Vorausgesetzt, dass alle rechtlichen Vorgaben der DSGVO erfüllt sind, sollten Betroffene zusätzliche Mehrwerte aus einem Archivierungssystem ziehen. So kann etwa eine Lösung, die alle Quellen – also nicht nur E-Mails – archiviert und somit ein übergreifendes „Suchen und Finden“ von Unternehmensinformationen erlaubt, ein wichtiger Wettbewerbsvorteil sein. Zu den wesentlichen Anforderungen der DSGVO zählt neben der Sicherheit, vor allem die Verfügbarkeit der Daten, was Einfluss auf das sogenannte „Recht auf Vergessenwerden“ hat. Das macht ein funktionierendes Archiv zu einem wichtigen Eckpfeiler der DSGVO. Hierbei ist es wichtig, dass sowohl Datenschutz als auch Privatsphäre bereits in der Technik, beziehungsweise durch datenschutzfreundliche Voreinstellungen, Berücksichtigung finden.

Nun sind „Privacy by Design“ und „Privacy by Default“ keine neuen Begriffe. Im Rahmen der DSGVO erlangen sie jedoch neue Bedeutungen und sind dort explizit verankert. Zudem ist es sehr wichtig, Daten in ihrer unveränderten Form aufzubewahren. Es muss jederzeit sichergestellt sein, dass diese vor Manipulationen sicher sind und auf entsprechend belastbaren, widerstandsfähigen Systemen gespeichert und verarbeitet werden. Nur so können Daten im Zweifel auch vor Gericht bestehen und erfüllen die gesetzlichen Anforderungen. Das oberste Ziel der DSGVO ist der Datenschutz, daher sollten Informationen nur für entsprechend Befugte zugänglich sein und bei Bedarf sogar gelöscht werden können.

Moderne Archivierungs- und Informationsmanagement-Systeme sind durchaus in der Lage, etwa die rechtskonforme Aufbewahrung von Unternehmensdaten sicherzustellen. Alle relevanten Dokumenten- und Dateitypen – von E-Mails über klassische Schriftstücke bis hin zu Dateien in Filesystemen sowie Sprachaufzeichnungen werden mittels solcher Lösungen zentral und manipulationssicher aufbewahrt. Damit dies auch rechtsicher geschieht, sollten sie in ihrer Originalform – ohne Wandlung in andere Formate – archiviert werden. Die Unveränderbarkeit mit digitaler Signatur sowie Zeit- und Datumsstempel spielt hierbei auch bei eventuellen Rechtsstreitigkeiten eine wesentliche Rolle. Zudem sollte das System Daten exportieren können, damit diese im Bedarfsfall tatsächlich als Beweismittel zur Verfügung stehen. Um auch über Jahre hinweg zukunfts- und revisionssicher archivieren zu können, ist zudem eine Archivierung in Standardformaten – also keinen proprietären Formaten – ratsam.

Archiv Dokumentensicherheit

Eine rechtskonforme Archivierung sollte durch eine digitale Signatur mit Zeit- und Datumsstempel unveränderbar sein.

Eine DSGVO-konforme Aufbewahrung der Daten ist die eine Seite der Medaille, aber wie sieht es mit der Übertragung beziehungsweise dem Austausch von Daten aus? Managed File Transfer-Lösungen gewährleisten den regelkonformen Austausch geschäftlicher Daten und das sicher und automatisiert.

Dropbox – ein Compliance-Alptraum

Beliebte Filesharing-Plattformen in der Public Cloud wie Dropbox sind ein Alptraum für IT-Administratoren, denn hier können Anwender mit wenigen Mausklicks ihre Dateien online jedermann zugänglich machen. Die IT verliert damit jegliche Kontrolle über die Daten, einschließlich der Information darüber, wo diese vom Cloud-Provider physisch gespeichert werden. Es gibt keinen Zugriff auf die Daten und keine Chance, diese aus dem öffentlichen Raum zurückzuholen. Diese populäre Variante ist unter Compliance-Gesichtspunkten extrem risikoreich. Aus gutem Grund wird die Datenübertragung in der DSGVO daher als Verarbeitungsaktivität genannt, das heißt, Protokolle sind anzufertigen und im Bedarfsfall vorzuweisen.

Viele Unternehmen bieten bereits einen alternativen Übertragungsweg, der anders funktioniert als E-Mail, FTP oder Public Filesharing Services. Mit einem professionellen File Transfer Dienst stellen sie ihren Mitarbeitern eine Möglichkeit zum Versand von Dateien beliebiger Größe zur Verfügung – sicher, dokumentiert und protokolliert. Ein solcher Dienst entlastet den Mail-Server. Aber er lagert die Daten nicht in die Public Cloud aus, sondern entweder auf selbst gehostete Server oder in geschützte Private Clouds. Zudem sind die Daten zu jedem Zeitpunkt verschlüsselt, sowohl während des Übertragungsweges als auch in der Ablage.

Zu weiteren üblichen Features gehört, dass Datenpakete ein voreingestelltes Ablaufdatum erhalten, das die Benutzer nur innerhalb der vom Administrator vorgegebenen Grenzen verändern können. Ist das Ablaufdatum eines Datenpakets erreicht, löscht die Software die Dateien automatisch. Das heißt, der Server räumt sich, entsprechend den eingestellten Vorgaben des Administrators, selbst auf. Er wird nicht zu einem zusätzlichen Datengrab. Managed File Transfer-Lösungen bieten Unternehmen also eine zentrale und unternehmensweite Datenaustauschplattform, die gewährleistet, dass das Versenden und Empfangen von Dateien stets sicher und nachvollziehbar ist. Hierbei spielt es auch keine Rolle, ob Daten intern oder extern ausgetauscht werden.

File Transfer Protocol oder Managed File Transfer? Die DSGVO lässt keine Wahl

Wenn eine erfolgreiche Dateiübertragung, die Sicherheit der betroffenen Daten oder die Einhaltung behördlicher Vorschriften, wie eben der Datenschutzgrundverordnung, zu den Unternehmensanforderungen gehören, kommt nur eine Technologie infrage: Managed File Transfer (MFT). Gegenüber klassischen FTP-Servern punktet MFT mit benutzerfreundlichen Mail- und Webinterfaces, einfacher Benutzerverwaltung, sowie der vollen Kontrolle und Nachvollziehbarkeit sämtlicher Datenaustauschaktivitäten.

FTP-Server sind eine bewährte Methode für eine Übertragung von Dateien zwischen Benutzern oder Systemen. Sie verfügen jedoch in der Regel nicht über Kontrollmöglichkeiten, die für die Einhaltung strengerer betrieblicher oder behördlicher Auflagen, wie sie die DSGVO fordert, vorgeschrieben sind. Ein FTP-Server mag für einen Hersteller ausreichend sein, der etwa CAD-Zeichnungen überträgt. Unternehmen sollten die doch eher zwanglose FTP-Nutzung als für ihre Zwecke problematisch erachten, wenn es beispielsweise um die Übertragung von Finanzdaten, persönlich identifizierbaren Informationen oder persönlichen Angaben zum Gesundheitszustand geht.

MFT-Lösungen sind für die Erfüllung der Sicherheits-, Kontroll- und Automatisierungsanforderungen für zentrale Betriebsprozesse und die Einhaltung der Europäischen Datenschutzgrundverordnung die bessere Wahl. Für Unternehmen, die Dateien zwischen Remote-Rechenzentren, Kunden, Handelspartnern, Serviceanbietern und Cloud-Anwendungen austauschen müssen, lässt eine vollständig überprüfbare MFT-Lösung keine Alternative. Der Datenaustausch über eine professionelle Managed File Transfer-Lösung erfolgt verschlüsselt, sowohl während der Übertragung, als auch auf dem Filesystem. Dabei wird genauestens protokolliert, was mit den Daten passiert. Durch standardisierte Prozesse ist genauestens nachvollziehbar, zu welchem Zweck die Daten genutzt werden dürfen, an wen und wann die Daten versendet wurden und wer Zugriff hat. Außerdem können Dateizugriffe zeitlich begrenzt werden, sodass nach Datumswirksamkeit kein Zugriff mehr erfolgen kann. Die zeitlich begrenzte Zugriffsmöglichkeit in Verbindung mit einer genauen Protokollierung und Dokumentierung der Daten, ist zudem aus Gründen der Rechenschaftspflicht wichtig. Denn mit Einführung der DSGVO können Unternehmenskunden jederzeit Auskunft über ihre gespeicherten Daten - elektronisch gelistet - verlangen. 

MFT

Beispiel eines sicheren Datenaustausches über MFT.

Es ist also einiges zu beachten. Zum Glück gibt es Lösungstechnologien für einen regelkonformen Datenaustausch und deren Aufbewahrung. Neben der Erfüllung gesetzlicher Regelungen, ist die flexible Einbindung in die bestehende Infrastruktur jedoch dringend geraten, um „Insellösungen“ zu vermeiden, die eine technologische Unstrukturiertheit fördern, die gesetzlich ja eben vermieden werden soll.

treeconsult.de

GRID LIST
Haus mit Wappen

Massivhausanbieter Kern-Haus AG meistert DSGVO-Kür

Die EU-DSGVO ist längst gültig. Anders als manch‘ anderes Unternehmen war die Kern-Haus…
Christian Heutger

Bei der E-Mail-Verschlüsselung bewegt sich etwas

Die IETF hat mit MTA-STS einen neuen Standard zur Absicherung von Verbindungen zwischen…
DSGVO

Gemischte Bilanz nach sechs Monaten DSGVO

Ein halbes Jahr nach Inkrafttreten der Datenschutzgrundverordnung (DSGVO) in allen…
DSGVO

Wie weit sind Unternehmen wirklich in Bezug auf die DSGVO?

Noch vor wenigen Monaten beherrschte vor allem ein Thema die Geschäftswelt: die neue…
SSL

6 Tipps zur Vermeidung von SSL-Blind-Spots

Die SSL-Nutzung nimmt mit jedem Jahr kontinuierlich zu, und auch Hacker nutzen diese…
Compliance

Compliance: Firmen erst durch Schaden klug

Compliance ist bei kleinen und mittleren Unternehmen (KMU) nach wie vor ein…
Smarte News aus der IT-Welt