Wenn Sie sich nicht auf die DSGVO vorbereiten, werden Sie vielleicht überrumpelt

Nicht auf die DSGVO vorbereitet? Lassen Sie sich nicht überrumpeln!

Jedes Unternehmen, welches personenbezogene Daten von Personen in der EU verarbeitet, muss sich auf die DSGVO vorbereiten.

Erfahren Sie, wie SEEBURGER Managed File Transfer (MFT) Ihnen helfen kann, Risiken zu minimieren.

Datenschutzgrundverordnung (DSGVO)
und Managed File Transfer

Die EU-Datenschutzverordnung (DSGVO) führt zu einer weitgehenden Harmonisierung des europäischen Datenschutzrechts für personenbezogne Daten. Die Änderungen sind ab 25. Mai 2018 gesetzlich vorgeschrieben.

Jedes Unternehmen, welches personenbezogene Daten von Personen in der EU verarbeitet, muss sich auf die DSGVO vorbereiten.

Die Definition der DSGVO von "persönlichen Daten", die sogenannten personenbezogenen Daten (Personally Identifiable Information - PII), ist sehr allgemein gehalten: Beispielsweise fallen Namen, Geburtstage, Fotos, Adressen und sogar Beiträge aus sozialen Medien unter die DSGVO.

Die DSGVO gibt den betroffenen Personen auch das Recht zu erfahren, was und warum personenbezogene Daten erhoben werden und wie sie verwendet werden. Und sie können von den Datenverantwortlichen die Übertragung, Übergabe oder Löschung ihrer PII verlangen.

Folglich ist der sichere Datenaustausch entscheidend, wenn die Daten personenbezogene Daten enthalten. Von Rechts wegen erfordert dies:

  • Verschlüsselung und Anonymisierung der personenbezogenen Daten
  • Absichern der Vertraulichkeit von Daten und Integrität
  • Verfügbarkeit von Systemen und Diensten, um bei Bedarf auf Daten zugreifen zu können
  • Wiederherstellung von personenbezogenen Daten auf sichere Weise nach einem Fehler

DSGVO-Bereitschaft

Nicht auf die DSGVO vorbereitet?

Personenbezogene Daten können auf verschiedene Arten ausgetauscht werden, nämlich von System zu System (Upload von Batch-Dateien, geplante FTP-Übertragungen usw.), von System zu Mensch (geplante Berichte, Ad-hoc-Anfragen usw.) und von Mensch zu Mensch (E-Mails, USB-Sticks etc.).

Vor allem Unternehmen mit einem unkoordinierten und dezentralen Datenaustausch laufen ab dem 25. Mai 2018 Gefahr, den Datenschutz zu verletzen. Ob beabsichtigt oder nicht, für viele Unternehmen besteht das Risiko eines Datenverlusts aus wichtigen Geschäftsanwendungen. Datenverluste können zu Datenschutzverletzungen führen, die gegen Regeln verstoßen, darunter interne Compliance-Mandate, Partner- oder Kundenvereinbarungen (SLAs) sowie Datenschutzgesetze wie die DSGVO.

Die Nichteinhaltung der DSGVO stellt ein existenzielles Risiko für Unternehmen dar. Verstöße können das Unternehmen Bußgelder, Zeit und Geld kosten (potenziell 10 - 20 Millionen Euro und bis zu einer Höhe von 2 - 4 % des weltweiten Konzernumsatzes). Die Strafen für einen unzureichenden Schutz personenbezogener Daten haben auch Auswirkungen auf die unmittelbar Verantwortlichen, z.B. Geschäftsführer, Vorstandsmitglieder, Datenverwalter, CISO etc.

Die DSGVO erfordert ein Risikomanagement

Datenschutz-Folgenabschätzungen für Technologien, bei denen ein hohes Risiko der Verarbeitung persönlicher Daten besteht, müssen folgende Bereiche beachten:

  • Anwendungsdesign
    Das Design der Anwendung konzentriert sich gemäß den Prinzipien "Datenschutz durch Technologiedesign" und "standardmäßiger Datenschutz" bereits auf Datenschutz.
  • Sicherer Austausch von Daten
    Verschlüsselung und Anonymisierung von Daten, Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit von Systemen und Diensten sowie Wiederherstellung nach einem physischen oder technischen Vorfall sind erforderlich.
  • Möglichkeit, persönliche Daten einer Person zu löschen
    Einzelpersonen haben das Recht durch Widerrufen ihrer Zustimmung von Unternehmen zu verlangen, die personenbezogenen Daten (PII), die sich auf sie beziehen, löschen zu lassen. In Einzelfällen kann diese Anforderung schwer zu erfüllen sein, ist aber immer noch erfüllbar. In großen Organisationen oder wenn viele Anfragen gleichzeitig eingehen, kann dies jedoch ohne vorherige Vorbereitung zu schwierig werden. Dies kann dazu führen, dass ein Zustimmungsmanagement-Hub nötig ist, um zu ermitteln, wo sich PII befinden. Eine Voraussetzung für einen solchen Hub ist jedoch Integration, sodass Systeme, die PII besitzen und/oder übertragen, über Schnittstellen verfügen, um mit dem Hub zu interagieren.
  • Betrieb von sicheren Cloud-Diensten
    Die Mehrheit der Unternehmen nutzt teilweise Cloud-Dienste von externen Dienstleistern. Die von der DSGVO eingeführte Anbieterhaftung führt dazu, dass Anbieter von Cloud-Diensten zunehmend haftbar gemacht werden können; trotzdem bleiben die richtige Wahl des Dienstleisters sowie die Evaluierung der implementierten Maßnahmen zum Schutz der Daten eine echte Herausforderung. Zertifizierungen und Bescheinigungen von externen Auditoren bilden eine gute Bewertungsgrundlage.
  • Rechtliche Rahmenbedingungen
    Ein Datenaustausch mit den USA ist nur dann im Sinne der DSVGO unbedenklich, wenn innerhalb einer Konzerngruppe unternehmensverbindliche Regelungen oder Verträge, die auf den EU-Standardvertragsklauseln beruhen, geschlossen wurden. Unternehmen müssen mit ihren Kunden, IT-Dienstleistern, Consulting-Partnern und Rechenzentrumsanbietern Vereinbarungen zur Auftragsabwicklung oder Geheimhaltungsvereinbarungen (NDA) eingehen. Allgemeine Auftragsdatenverarbeitungsverträge reichen nicht mehr aus. Auftragsverarbeitungsverträge entsprechend der DSGVO müssen einen auftragsspezifischen Teil enthalten. Dieser beschreibt die auftragsspezifischen technischen und organisatorischen Datenschutzmaßnahmen im Detail. Für unstrukturierte Daten gibt es immer noch viele FTP-Kanäle, während gleichzeitig Internet-File-Sharing-Dienste üblich geworden sind. In beiden Fällen können zuverlässige Auftragsverarbeitungsverträge schwierig zu erstellen sein.
  • Beweislast
    Aufgrund der Rechenschaftspflicht entsprechend DSGVO wird die Dokumentation noch wichtiger, so dass die Datenschutzaufzeichnungen detaillierter werden müssen. Die Wirksamkeit der Maßnahmen sollte durch interne Audits, externe Zertifizierungen oder Bescheinigungen (z.B. ISO/IEC 27001 und ISAE 3402 (SOC 1) Typ 2) belegt werden können. Derzeit gibt es keinen offiziellen DSGVO-Zertifizierungsprozess. Daher kann die "DSGVO-Einhaltung" als solche derzeit nicht erkennbar erreicht werden. Die Berücksichtigung der oben genannten Technologiebereiche wird Sie jedoch auf die Einhaltung der DSGVO vorbereiten, sobald eine Zertifizierung verfügbar ist.

Datenschutz für Dateien im Transit

Die gemeinsame Nutzung von Dateien zwischen Personen und Systemen ist für die zunehmend automatisierten Geschäftsabläufe von heute unerlässlich. Wenn File-Sharing jedoch nicht in das Design, die Ausführung und die Überwachung von Kerngeschäftsprozessen einbezogen wird, sind kostspielige Schwachstellen unvermeidlich.

Mit einer sicheren MFT-Lösung (Managed File Transfer) kommen geschäftskritische Daten eines Unternehmens zum richtigen Zeitpunkt am richtigen Ort an. Neben PII können dies auch Finanzdaten, Preislisten, Verträge, Zahlungsinformationen, geistiges Eigentum, Inventar, Bestellungen oder Lieferketten-Daten usw. sein. Gleichzeitig ist der Absender in der Lage, die Sendung nachzuverfolgen und den Empfang nachzuweisen.

SEEBURGER BIS MFT ist eine Lösung, die eine sichere und überwachte End-to-End-Verwaltung aller Dateiübertragungen bietet.

Neben der Bereitschaft für die DSGVO gibt es in vielen Branchen noch andere Gründe für den Datenschutz:

  • Einzelhandel: Austausch von großen Produktbildern mit Lieferanten und finanziellen Details mit Banken
  • Konsumgüter: Marketingteams, die mit externen Partnern an Marketingmaterialien arbeiten und die Verteilen von Marketinginhalten an regionale Zentren
  • Medien: Übertragung von digitalen Videodateien und kreativen Inhalten
  • Fertigung: Verbreitung von Marketinginhalten in angeschlossene Niederlassungen
  • Engineering: Mehrparteienaustausch von CAD-Dateien für virtuelle Teams
  • Finanzdienstleistungen: Zahlungsabwicklung und der Austausch von Zahlungen für Dienstleistungen und Waren

SEEBURGER BIS MFT ist eine Lösung, die Unternehmen dabei helfen kann, die DSGVO-Anforderungen zu erfüllen. Wenn eine MFT-Lösung implementiert ist, unterliegt jede Datei Richtlinien. Sie hilft, Daten jeder Größe zwischen internen Anwendungen, Unternehmen, Partnern, Kunden und Mitarbeitern zu validieren, zu prüfen und sicher zu übertragen. Durch die Geschäftsvorteile einer Integration der Dateiübertragung in die Geschäftsprozessstrategie vermeiden Sie auch die versteckten Kosten "kostenlosen" File-Sharings.

Lesen Sie mehr über die richtige Strategie für Ihre DSGVO-Initiative und wie Ihnen SEEBURGER dabei helfen kann

Whitepaper herunterladen

GDPR Resources & Blogs

Gewinnen Sie Einblicke in die Anforderungen der DSGVO

Die zweijährige Übergangsfrist für die Einführung der DSGVO endete am 25. Mai 2018. Eine Einführung in den Geltungsbereich der DSGVO-Bestimmungen im Blog des CISO von SEEBURGER.

Weiterlesen

Die Auswirkungen der DSGVO auf die Sicherheit verstehen

Der Austausch persönlicher Daten zwischen Unternehmen ist eine häufige Sicherheitsschwäche. Lesen Sie mehr im Blog-Beitrag des SEEBURGER Leiters des Global Services & Support.

Weiterlesen

Countdown zur DSGVO

Gründe und Anforderungen der DSGVO. Lesen Sie die Perspektive einer Bank in Ulf Perssons Blog.        

Weiterlesen

 
 

 
 

DSGVO: Nutzen Sie unseren Leitfaden, um sich vorzubereiten

DSGVO sorgt international für viel Aktivität. Auch große US-amerikanische Technologieunternehmen (wie z.B. Facebook, Amazon, Netflix und Google) beschäftigen sich intensiv mit der Einhaltung der europäischen Datenschutzverordnung, die am 25.05.2018 in Kraft trat.

Weiterlesen

Diskutieren Sie die DSGVO-Anforderungen mit uns

Wir freuen uns hier über Ihre Nachricht.

Schreiben Sie uns!

GDPR-konformer Austausch personenbezogener Daten zwischen Unternehmen mit SEEBURGER Cloud Services

Secure Data Room

Sichere Speicherung und Weitergabe durch die SEEBURGER Cloud – Nutzen Sie Upload und Download zum Austausch von Dateien mit externen Partnern.

Mehr erfahren
 
 

Secure Attachments for Outlook

Sichere Auslieferung von Dateianhängen über ein Add-in für Outlook Dateien – Senden Sie verschlüsselte und durch ein Kennwort geschützte Anhänge.

Mehr erfahren
 

Klärungsfall-Bearbeitungsservice

Überführen Sie vertrauliche personenbezogene Daten für Klärungsfälle – Erzeugung und Bearbeitung von Klärungsfällen auf schnelle, einfache und sichere Art und Weise.

Mehr erfahren

Erfahren Sie mehr über unsere ISO 27001 zertifizierten sicheren Cloud Dienste

Entdecken Sie unsere Cloud Services