VERANSTALTUNGEN

IT-Sourcing 2018
03.09.18 - 04.09.18
In Hamburg

DILK 2018
17.09.18 - 19.09.18
In Düsseldorf

abas Global Conference
20.09.18 - 21.09.18
In Karlsruhe

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

Digital Marketing 4Heroes Conference
16.10.18 - 16.10.18
In Wien und München

DSGVO Datentransfer 777193192 700

Nun ist es doch tatsächlich so weit: Die allseits gefürchtete EU-Datenschutzgrundverordnung ist seit Kurzem in Kraft und sorgt für reichlich Diskussionsstoff darüber, wem sie was bringt oder, ob sie überhaupt notwendig ist. Tatsache ist: Die DSGVO ist nicht nur als Wort ein Ungetüm, sondern auch in ihrer Umsetzung alles andere als klar. 

Klar ist, dass Unternehmen, die Daten von EU-Bürgern erfassen, speichern, verarbeiten oder übertragen gesetzlich verpflichtet sind, die DSGVO einzuhalten. Was also können Unternehmen tun, um ihre Daten sicher und konform auszutauschen und zu archivieren?

Erst einmal ist es unerheblich, wo sich der Hauptsitz eines Unternehmens befindet. Für jedes Unternehmen weltweit, das Daten von EU-Bürgern speichert, verwaltet oder damit arbeitet, ist die Europäische Datenschutzgrundverordnung bindend. Auch mittelständische Unternehmen stöhnen unter der Last einer steigenden Datenflut und der explosionsartigen Zunahme unstrukturierter Daten. Häufig liegen relevante Informationen über verschiedene Systeme, Applikationen und Speichermedien verstreut und verursachen lange Suchzeiten. Nun, wo auch die DSGVO einen permanenten Überblick über die im Unternehmen verteilten Daten fordert, wird die eigene Datenhoheit umso wichtiger. Immer noch herrscht aber Unsicherheit in den Unternehmen, wie eine adäquate Datenaufbewahrung auszusehen hat, da der Gesetzgeber sehr komplexe Vorgaben macht. Viele Regelungen sind in ihrem Wortlaut nicht immer konkret und einfach nachvollziehbar, sodass die Umsetzung häufig Fragen bei den Verantwortlichen aufwirft. Doch selbst dort, wo die Ziele eindeutig formuliert sind, wünschen sich viele Unternehmen eindeutige Empfehlungen oder Handlungsanweisungen für die technische Umsetzung.

Sinnvolle Archivierungsmethoden schaffen Mehrwert

Vorausgesetzt, dass alle rechtlichen Vorgaben der DSGVO erfüllt sind, sollten Betroffene zusätzliche Mehrwerte aus einem Archivierungssystem ziehen. So kann etwa eine Lösung, die alle Quellen – also nicht nur E-Mails – archiviert und somit ein übergreifendes „Suchen und Finden“ von Unternehmensinformationen erlaubt, ein wichtiger Wettbewerbsvorteil sein. Zu den wesentlichen Anforderungen der DSGVO zählt neben der Sicherheit, vor allem die Verfügbarkeit der Daten, was Einfluss auf das sogenannte „Recht auf Vergessenwerden“ hat. Das macht ein funktionierendes Archiv zu einem wichtigen Eckpfeiler der DSGVO. Hierbei ist es wichtig, dass sowohl Datenschutz als auch Privatsphäre bereits in der Technik, beziehungsweise durch datenschutzfreundliche Voreinstellungen, Berücksichtigung finden.

Nun sind „Privacy by Design“ und „Privacy by Default“ keine neuen Begriffe. Im Rahmen der DSGVO erlangen sie jedoch neue Bedeutungen und sind dort explizit verankert. Zudem ist es sehr wichtig, Daten in ihrer unveränderten Form aufzubewahren. Es muss jederzeit sichergestellt sein, dass diese vor Manipulationen sicher sind und auf entsprechend belastbaren, widerstandsfähigen Systemen gespeichert und verarbeitet werden. Nur so können Daten im Zweifel auch vor Gericht bestehen und erfüllen die gesetzlichen Anforderungen. Das oberste Ziel der DSGVO ist der Datenschutz, daher sollten Informationen nur für entsprechend Befugte zugänglich sein und bei Bedarf sogar gelöscht werden können.

Moderne Archivierungs- und Informationsmanagement-Systeme sind durchaus in der Lage, etwa die rechtskonforme Aufbewahrung von Unternehmensdaten sicherzustellen. Alle relevanten Dokumenten- und Dateitypen – von E-Mails über klassische Schriftstücke bis hin zu Dateien in Filesystemen sowie Sprachaufzeichnungen werden mittels solcher Lösungen zentral und manipulationssicher aufbewahrt. Damit dies auch rechtsicher geschieht, sollten sie in ihrer Originalform – ohne Wandlung in andere Formate – archiviert werden. Die Unveränderbarkeit mit digitaler Signatur sowie Zeit- und Datumsstempel spielt hierbei auch bei eventuellen Rechtsstreitigkeiten eine wesentliche Rolle. Zudem sollte das System Daten exportieren können, damit diese im Bedarfsfall tatsächlich als Beweismittel zur Verfügung stehen. Um auch über Jahre hinweg zukunfts- und revisionssicher archivieren zu können, ist zudem eine Archivierung in Standardformaten – also keinen proprietären Formaten – ratsam.

Archiv Dokumentensicherheit

Eine rechtskonforme Archivierung sollte durch eine digitale Signatur mit Zeit- und Datumsstempel unveränderbar sein.

Eine DSGVO-konforme Aufbewahrung der Daten ist die eine Seite der Medaille, aber wie sieht es mit der Übertragung beziehungsweise dem Austausch von Daten aus? Managed File Transfer-Lösungen gewährleisten den regelkonformen Austausch geschäftlicher Daten und das sicher und automatisiert.

Dropbox – ein Compliance-Alptraum

Beliebte Filesharing-Plattformen in der Public Cloud wie Dropbox sind ein Alptraum für IT-Administratoren, denn hier können Anwender mit wenigen Mausklicks ihre Dateien online jedermann zugänglich machen. Die IT verliert damit jegliche Kontrolle über die Daten, einschließlich der Information darüber, wo diese vom Cloud-Provider physisch gespeichert werden. Es gibt keinen Zugriff auf die Daten und keine Chance, diese aus dem öffentlichen Raum zurückzuholen. Diese populäre Variante ist unter Compliance-Gesichtspunkten extrem risikoreich. Aus gutem Grund wird die Datenübertragung in der DSGVO daher als Verarbeitungsaktivität genannt, das heißt, Protokolle sind anzufertigen und im Bedarfsfall vorzuweisen.

Viele Unternehmen bieten bereits einen alternativen Übertragungsweg, der anders funktioniert als E-Mail, FTP oder Public Filesharing Services. Mit einem professionellen File Transfer Dienst stellen sie ihren Mitarbeitern eine Möglichkeit zum Versand von Dateien beliebiger Größe zur Verfügung – sicher, dokumentiert und protokolliert. Ein solcher Dienst entlastet den Mail-Server. Aber er lagert die Daten nicht in die Public Cloud aus, sondern entweder auf selbst gehostete Server oder in geschützte Private Clouds. Zudem sind die Daten zu jedem Zeitpunkt verschlüsselt, sowohl während des Übertragungsweges als auch in der Ablage.

Zu weiteren üblichen Features gehört, dass Datenpakete ein voreingestelltes Ablaufdatum erhalten, das die Benutzer nur innerhalb der vom Administrator vorgegebenen Grenzen verändern können. Ist das Ablaufdatum eines Datenpakets erreicht, löscht die Software die Dateien automatisch. Das heißt, der Server räumt sich, entsprechend den eingestellten Vorgaben des Administrators, selbst auf. Er wird nicht zu einem zusätzlichen Datengrab. Managed File Transfer-Lösungen bieten Unternehmen also eine zentrale und unternehmensweite Datenaustauschplattform, die gewährleistet, dass das Versenden und Empfangen von Dateien stets sicher und nachvollziehbar ist. Hierbei spielt es auch keine Rolle, ob Daten intern oder extern ausgetauscht werden.

File Transfer Protocol oder Managed File Transfer? Die DSGVO lässt keine Wahl

Wenn eine erfolgreiche Dateiübertragung, die Sicherheit der betroffenen Daten oder die Einhaltung behördlicher Vorschriften, wie eben der Datenschutzgrundverordnung, zu den Unternehmensanforderungen gehören, kommt nur eine Technologie infrage: Managed File Transfer (MFT). Gegenüber klassischen FTP-Servern punktet MFT mit benutzerfreundlichen Mail- und Webinterfaces, einfacher Benutzerverwaltung, sowie der vollen Kontrolle und Nachvollziehbarkeit sämtlicher Datenaustauschaktivitäten.

FTP-Server sind eine bewährte Methode für eine Übertragung von Dateien zwischen Benutzern oder Systemen. Sie verfügen jedoch in der Regel nicht über Kontrollmöglichkeiten, die für die Einhaltung strengerer betrieblicher oder behördlicher Auflagen, wie sie die DSGVO fordert, vorgeschrieben sind. Ein FTP-Server mag für einen Hersteller ausreichend sein, der etwa CAD-Zeichnungen überträgt. Unternehmen sollten die doch eher zwanglose FTP-Nutzung als für ihre Zwecke problematisch erachten, wenn es beispielsweise um die Übertragung von Finanzdaten, persönlich identifizierbaren Informationen oder persönlichen Angaben zum Gesundheitszustand geht.

MFT-Lösungen sind für die Erfüllung der Sicherheits-, Kontroll- und Automatisierungsanforderungen für zentrale Betriebsprozesse und die Einhaltung der Europäischen Datenschutzgrundverordnung die bessere Wahl. Für Unternehmen, die Dateien zwischen Remote-Rechenzentren, Kunden, Handelspartnern, Serviceanbietern und Cloud-Anwendungen austauschen müssen, lässt eine vollständig überprüfbare MFT-Lösung keine Alternative. Der Datenaustausch über eine professionelle Managed File Transfer-Lösung erfolgt verschlüsselt, sowohl während der Übertragung, als auch auf dem Filesystem. Dabei wird genauestens protokolliert, was mit den Daten passiert. Durch standardisierte Prozesse ist genauestens nachvollziehbar, zu welchem Zweck die Daten genutzt werden dürfen, an wen und wann die Daten versendet wurden und wer Zugriff hat. Außerdem können Dateizugriffe zeitlich begrenzt werden, sodass nach Datumswirksamkeit kein Zugriff mehr erfolgen kann. Die zeitlich begrenzte Zugriffsmöglichkeit in Verbindung mit einer genauen Protokollierung und Dokumentierung der Daten, ist zudem aus Gründen der Rechenschaftspflicht wichtig. Denn mit Einführung der DSGVO können Unternehmenskunden jederzeit Auskunft über ihre gespeicherten Daten - elektronisch gelistet - verlangen. 

MFT

Beispiel eines sicheren Datenaustausches über MFT.

Es ist also einiges zu beachten. Zum Glück gibt es Lösungstechnologien für einen regelkonformen Datenaustausch und deren Aufbewahrung. Neben der Erfüllung gesetzlicher Regelungen, ist die flexible Einbindung in die bestehende Infrastruktur jedoch dringend geraten, um „Insellösungen“ zu vermeiden, die eine technologische Unstrukturiertheit fördern, die gesetzlich ja eben vermieden werden soll.

treeconsult.de

GRID LIST
Matthias Stauch

DSGVO: personenbezogene Daten nur verschlüsselt übermitteln

Die DSGVO fordert Unternehmen dazu auf personenbezogene Daten zu schützen. Welche…
Datenschutz Superheld

Was macht einen guten Datenschutzbeauftragen aus?

Ist die IT-Infrastruktur technisch sicher und rechtssicher aufgebaut, haben Unternehmer…
Happy man with EU-Flag

DSGVO als Chance begreifen und Performance steigern

Etwas über einen Monat ist die DSGVO nun in Kraft und soll dafür sorgen, besonderes…
DSGVO

Herausforderung DSGVO: Beim Datenschutz den Durchblick haben

Die Datenschutz-Grundverordnung (DSGVO) ist in diesen Tagen omnipräsent. Seit dem…
Gérard Bauer

Bietet die DSGVO Cyberkriminellen eine Möglichkeit, sich besser zu verstecken?

Mit dem Ziel den Schutz und die Sicherheit von Daten deutlich zu verbessern, ist die…
Karl-Heinz Land

Die DSGVO bedeutet eine kalte Enteignung des Mittelstands

Was als Schutzschild gegen „Datenkraken“ wie Facebook, Twitter oder Google gedacht war,…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security