Wie wirkt sich die GDPR auf mein Unternehmen aus?

Wie wirkt sich die GDPR auf mein Unternehmen aus?

GDPR, die Allgemeine Datenschutzverordnung, betrifft jedes Unternehmen, das personenbezogene Daten von EU-Bürgern verarbeitet.

Erfahren Sie, wie SEEBURGER MFT File Transfer (MFT) Ihnen hilft, die Vorschriften einzuhalten und die Risiken zu minimieren.

Datenschutzgrundverordnung (DSGVO)
und Managed File Transfer

Die EU-Datenschutzverordnung (DSGVO) führte zu einer weitgehenden Harmonisierung des europäischen Datenschutzrechts für personenbezogene Daten. Die Änderungen sind seit 25. Mai 2018 gesetzlich vorgeschrieben.

Jedes Unternehmen, welches personenbezogene Daten von Personen in der EU verarbeitet, muss die DSGVO anwenden.

Die Definition der DSGVO von "persönlichen Daten", die sogenannten personenbezogenen Daten (Personally Identifiable Information – PII), ist sehr allgemein gehalten: Beispielsweise fallen Namen, Geburtstage, Fotos, Adressen und sogar Beiträge aus sozialen Medien unter die DSGVO.

Die DSGVO gibt den betroffenen Personen auch das Recht zu erfahren, was und warum personenbezogene Daten erhoben werden und wie sie verwendet werden. Und sie können von den Datenverantwortlichen die Übertragung, Übergabe oder Löschung ihrer PII verlangen.

Folglich ist der sichere Datenaustausch entscheidend, wenn die Daten personenbezogene Daten enthalten. Von Rechts wegen erfordert dies:

  • Verschlüsselung und Anonymisierung der personenbezogenen Daten
  • Absichern der Vertraulichkeit von Daten und Integrität
  • Verfügbarkeit von Systemen und Diensten, um bei Bedarf auf Daten zugreifen zu können
  • Wiederherstellung von personenbezogenen Daten auf sichere Weise nach einem Fehler

DSGVO-Bereitschaft

Personenbezogene Daten können auf verschiedene Arten ausgetauscht werden, nämlich von System zu System (Upload von Batch-Dateien, geplante FTP-Übertragungen usw.), von System zu Mensch (geplante Berichte, Ad-hoc-Anfragen usw.) und von Mensch zu Mensch (E-Mails, USB-Sticks etc.).

Vor allem Unternehmen mit einem unkoordinierten und dezentralen Datenaustausch laufen seit dem 25. Mai 2018 Gefahr, den Datenschutz zu verletzen. Ob beabsichtigt oder nicht, für viele Unternehmen besteht das Risiko eines Datenverlusts aus wichtigen Geschäftsanwendungen. Datenverluste können zu Datenschutzverletzungen führen, die gegen Regeln verstoßen, darunter interne Compliance-Mandate, Partner- oder Kundenvereinbarungen (SLAs) sowie Datenschutzgesetze wie die DSGVO.

Die Nichteinhaltung der DSGVO stellt ein existenzielles Risiko für Unternehmen dar. Verstöße können das Unternehmen Bußgelder, Zeit und Geld kosten (potenziell 10 - 20 Millionen Euro und bis zu einer Höhe von 2 - 4 % des weltweiten Konzernumsatzes). Die Strafen für einen unzureichenden Schutz personenbezogener Daten haben auch Auswirkungen auf die unmittelbar Verantwortlichen, z.B. Geschäftsführer, Vorstandsmitglieder, Datenverwalter, CISO etc.

Datenschutz-Folgenabschätzungen für Technologien, bei denen ein hohes Risiko der Verarbeitung persönlicher Daten besteht, müssen folgende Bereiche beachten:

  • Anwendungsdesign
    Das Design der Anwendung konzentriert sich gemäß den Prinzipien "Datenschutz durch Technologiedesign" und "standardmäßiger Datenschutz" bereits auf Datenschutz.
  • Sicherer Austausch von Daten
    Verschlüsselung und Anonymisierung von Daten, Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit von Systemen und Diensten sowie Wiederherstellung nach einem physischen oder technischen Vorfall sind erforderlich.
  • Möglichkeit, persönliche Daten einer Person zu löschen
    Einzelpersonen haben das Recht durch Widerrufen ihrer Zustimmung von Unternehmen zu verlangen, die personenbezogenen Daten (PII), die sich auf sie beziehen, löschen zu lassen. In Einzelfällen kann diese Anforderung schwer zu erfüllen sein, ist aber immer noch erfüllbar. In großen Organisationen oder wenn viele Anfragen gleichzeitig eingehen, kann dies jedoch ohne vorherige Vorbereitung zu schwierig werden. Dies kann dazu führen, dass ein Zustimmungsmanagement-Hub nötig ist, um zu ermitteln, wo sich PII befinden. Eine Voraussetzung für einen solchen Hub ist jedoch Integration, sodass Systeme, die PII besitzen und/oder übertragen, über Schnittstellen verfügen, um mit dem Hub zu interagieren.
  • Betrieb von sicheren Cloud-Diensten
    Die Mehrheit der Unternehmen nutzt teilweise Cloud-Dienste von externen Dienstleistern. Die von der DSGVO eingeführte Anbieterhaftung führt dazu, dass Anbieter von Cloud-Diensten zunehmend haftbar gemacht werden können; trotzdem bleiben die richtige Wahl des Dienstleisters sowie die Evaluierung der implementierten Maßnahmen zum Schutz der Daten eine echte Herausforderung. Zertifizierungen und Bescheinigungen von externen Auditoren bilden eine gute Bewertungsgrundlage.
  • Rechtliche Rahmenbedingungen
    Ein Datenaustausch mit den USA ist nur dann im Sinne der DSVGO unbedenklich, wenn innerhalb einer Konzerngruppe unternehmensverbindliche Regelungen oder Verträge, die auf den EU-Standardvertragsklauseln beruhen, geschlossen wurden. Unternehmen müssen mit ihren Kunden, IT-Dienstleistern, Consulting-Partnern und Rechenzentrumsanbietern Vereinbarungen zur Auftragsabwicklung oder Geheimhaltungsvereinbarungen (NDA) eingehen. Allgemeine Auftragsdatenverarbeitungsverträge reichen nicht aus. Auftragsverarbeitungsverträge entsprechend der DSGVO müssen einen auftragsspezifischen Teil enthalten. Dieser beschreibt die auftragsspezifischen technischen und organisatorischen Datenschutzmaßnahmen im Detail. Für unstrukturierte Daten gibt es immer noch viele FTP-Kanäle, während gleichzeitig Internet-File-Sharing-Dienste üblich geworden sind. In beiden Fällen können zuverlässige Auftragsverarbeitungsverträge schwierig zu erstellen sein.
  • Beweislast
    Aufgrund der Anforderungen der DSGVO an die Rechenschaftspflicht ist die Dokumentation äußerst wichtig und muss detaillierte Datenschutzprotokolle umfassen.
    Derzeit gibt es kein offizielles Verfahren zur Zertifizierung der Einhaltung der DSGVO. Die Wirksamkeit der Maßnahmen kann und sollte jedoch durch Maßnahmen wie interne Audits und externe Zertifizierungen geprüft und bestätigt werden, z. B. durch ISO/IEC 27001 und ISAE 3402 (SOC 1) Type 2.

Die gemeinsame Nutzung von Dateien zwischen Personen und Systemen ist für die zunehmend automatisierten Geschäftsabläufe von heute unerlässlich. Wenn File-Sharing jedoch nicht in das Design, die Ausführung und die Überwachung von Kerngeschäftsprozessen einbezogen wird, sind kostspielige Schwachstellen unvermeidlich.

Eine sichere Managed-File-Transfer (MFT)-Lösung bringt geschäftskritische Daten zur richtigen Zeit an den richtigen Ort und ermöglicht es dem Absender, den Empfang der Daten von Anfang bis Ende zu verfolgen und nachzuweisen. Neben klassischen personenbezogenen Daten kann es sich dabei auch um Finanzdaten, Preislisten, Verträge, Zahlungsinformationen, geistiges Eigentum, Inventar, Bestellungen oder Lieferkettendaten usw. handeln. Einige der oben genannten Daten enthalten natürlich auch personenbezogene Daten.

SEEBURGER BIS MFT ist eine Lösung, die eine sichere und überwachte End-to-End-Verwaltung aller Dateiübertragungen bietet.

Neben der Bereitschaft für die DSGVO gibt es in vielen Branchen noch andere Gründe für den Datenschutz:

  • Einzelhandel: Austausch von großen Produktbildern mit Lieferanten und finanziellen Details mit Banken
  • Konsumgüter: Marketingteams, die mit externen Partnern an Marketingmaterialien arbeiten und das Verteilen von Marketinginhalten an regionale Zentren
  • Medien: Übertragung von digitalen Videodateien und kreativen Inhalten
  • Fertigung: Verbreitung von Marketinginhalten in angeschlossene Niederlassungen
  • Engineering: Mehrparteienaustausch von CAD-Dateien für virtuelle Teams
  • Finanzdienstleistungen: Zahlungsabwicklung und der Austausch von Zahlungen für Dienstleistungen und Waren

SEEBURGER BIS MFT ist eine Lösung, die Unternehmen dabei helfen kann, die DSGVO-Anforderungen zu erfüllen. Wenn eine MFT-Lösung implementiert ist, unterliegt jede Datei Richtlinien. Sie hilft, Daten jeder Größe zwischen internen Anwendungen, Unternehmen, Partnern, Kunden und Mitarbeitern zu validieren, zu prüfen und sicher zu übertragen. Profitieren Sie von den geschäftlichen Vorteilen der Managed File Transfers, die über die Einhaltung von Vorschriften hinausgehen, und vermeiden Sie gleichzeitig die versteckten Kosten der "kostenlosen" Dateifreigabe.

Lesen Sie mehr über die richtige Strategie für Ihre DSGVO-Initiative und wie Ihnen SEEBURGER dabei helfen kann

Whitepaper herunterladen

Diskutieren Sie die DSGVO-Anforderungen mit uns

Wir freuen uns hier über Ihre Nachricht.

GDPR-konformer Austausch personenbezogener Daten zwischen Unternehmen mit SEEBURGER Cloud Services

Secure Data Room

Sichere Speicherung und Weitergabe durch die SEEBURGER Cloud – Nutzen Sie Upload und Download zum Austausch von Dateien mit externen Partnern.

Mehr erfahren

Secure Attachments for Outlook

Sichere Auslieferung von Dateianhängen über ein Add-in für Outlook Dateien – Senden Sie verschlüsselte und durch ein Kennwort geschützte Anhänge.

Mehr erfahren
 

Erfahren Sie mehr über unsere ISO 27001 zertifizierten sicheren Cloud Dienste

Entdecken Sie unseren Cloud Service