DSGVO: Organisationen müssen sich neu aufstellen Sharefile erfüllt Vorgaben der DSGVO
4. November 2017Das Ziel der Datenschutzgrundverordnung (DSGVO) lautet, ein einheitlich hohes Datenschutzniveau in der gesamten EU zu erreichen und alle EU-Bürger vor Datenschutzverletzungen zu schützen. Denn die Welt erweist sich heutzutage datenorientierter denn je und hat sich seit der Verabschiedung der Datenschutzrichtlinie stark verändert. Die Verordnung tritt am 25. Mai 2018 in Kraft und ist für alle EU-Mitgliedsstaaten gültig. Unternehmen müssen daher schnellstmöglich mit der Umsetzung beginnen. Dabei kann die Filesharing-Lösung Sharefile helfen, wichtige Klauseln der DSGVO einzuhalten.
Warum DSGVO?
Die Datenschutzgrundverordnung (DSGVO) wurde im April 2016 vom EU-Parlament verabschiedet. Sie ersetzt die Datenschutzrichtlinie 95/46/EG. Das Ziel der DSGVO ist es, ein einheitlich hohes Datenschutzniveau in der gesamten EU zu erreichen und alle EU-Bürger vor Datenschutzverletzungen zu schützen. Die Welt ist datenorientierter denn je und hat sich seit der Verabschiedung der Datenschutzrichtlinie stark verändert. Die Verordnung tritt am 25. Mai 2018 in Kraft und ist für alle EU-Mitgliedsstaaten gültig. Organisationen, die zu diesem Zeitpunkt nicht mit der DSGVO konform sind, müssen unter Umständen hohe Geldstrafen zahlen. Wenn die DSGVO in Kraft tritt, wird das Vereinigte Königreich seinen EU-Austritt noch nicht vollständig abgeschlossen haben und unterliegt damit ebenso der Verordnung. Die britische Regierung hat angekündigt, dass sie gleichwertige oder alternative Gesetze einführen wird.
Die DSGVO gilt, wenn sich der Datenverantwortliche (die Organisation, die Daten sammelt), der Datenverarbeiter (die Organisation, die Daten im Auftrag des Datenverantwortlichen verarbeitet, z. B. Cloud-Service-Provider) oder die betroffene Person, deren Daten verarbeitet werden, in der EU befindet. Die Verordnung gilt für alle Organisationen, ganz gleich, ob sie ihren Sitz in der EU haben oder nicht.
Sie gilt auch für Organisationen außerhalb der Europäischen Union, wenn personenbezogene Daten von EU-Bürgern gesammelt oder verarbeitet werden. Laut der EU-Kommission sind personenbezogene Daten alle Informationen aus dem Privat-, Berufs- oder öffentlichen Leben einer Person. Dabei kann es sich um Informationen wie den Namen, die Adresse, ein Foto, eine E-Mail-Adresse, Bankangaben, Social-Media-Beiträge, Patientendaten oder die IP-Adresse eines Computers handeln.
Im Rahmen der DSGVO können Unternehmen, die gegen die Verordnung verstoßen, zu einer Strafzahlung von bis zu 4 Prozent des weltweiten Jahresumsatzes bzw. 20 Millionen Euro verurteilt werden (je nachdem, was größer ist). Die Geldstrafen werden stufenweise festgelegt. Zum Beispiel kann eine Geldstrafe von 10 Millionen Euro oder 2 Prozent des Jahresumsatzes verhängt werden (je nachdem, was größer ist), wenn die Unterlagen eines Unternehmens nicht ordnungsgemäß sind (Artikel 28), die Aufsichtsbehörde und die betroffenen Personen nicht über eine Datenschutzverletzung unterrichtet wurden oder keine Datenschutz-Folgenabschätzung durchgeführt wurde. Dabei ist es wichtig zu beachten, dass diese Vorschriften sowohl für den Datenverantwortlichen als auch für den Datenverarbeiter gelten. Cloud-Services sind also nicht von der DSGVO ausgenommen.
Die ToDo-Liste
Aufgrund dieser Herausforderungen stehen die Organisationen in der Pflicht. Sie haben bestimmte Aufgaben zu erledigen. Dabei sollte sich der Lösungsansatz im Bereich von Sicherheit und Compliance auf vier wesentliche Grundsätze konzentrieren:
• Wenn möglich, sollten Anwendungen und Daten zentral im Rechenzentrum oder in der Cloud gehostet werden, damit keine personenbezogenen Daten auf Endgeräten gespeichert werden.
• Wenn vertrauliche Daten verteilt, auf Mobilgeräten bereitgestellt oder offline verwendet werden müssen, sollten sie in einem abgesicherten Bereich geschützt sein.
• Es sollten Richtlinien verfügbar sein, die anhand des Kontexts, also basierend auf dem Anwender, dem Endgerät, dem Standort, der Anwendung und dem Vertraulichkeitsniveau, Zugriff auf Ressourcen gewähren.
• IT-Administratoren sollten einen umfassenden Überblick über die gesamte IT-Infrastruktur haben und anwendungs- und datenspezifische Sicherheitsmaßnahmen zentral managen können.
Geht man so vor, ergibt sich als Ergebnis ein vereinfachter Ansatz, der vollständige Compliance und erstklassige Sicherheit ermöglicht, ohne die Produktivität einzuschränken.
Sharefiles DSGVO-Konformität
Generell ist Sharefile Organisationen in der Lage, Organisationen bei der Einhaltung verschiedener Klauseln der DSGVO zu unterstützen.
Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen: Personenbezogene Daten können über die Data Loss Prevention (DLP)-Integration von Sharefile identifiziert werden. Dabei wird die bestehende Lösung des Kunden zum Schutz vor Datenverlust genutzt. Der Zugriff auf personenbezogene Daten kann durch Freigaberichtlinien eingeschränkt werden. Zudem lässt sich der Zugriff auf personenbezogene Daten weiterhin durch Authentifizierungsfunktionen wie einer Verifizierung in zwei Schritten, SAML-Integration, Passwortrichtlinien sowie Sicherheitsmaßnahmen für mobile Endgeräte und Netzwerke schützen.
Verzeichnis von Verarbeitungstätigkeiten: Sharefile erfüllt einen Teil der Anforderungen durch die DLP-Integration. Von der DLP gescannte Dateien, die personenbezogene Daten enthalten, werden protokolliert und in Audits geprüft. Dazu gehören Upload und Download von sowie der Zugriff auf personenbezogene Daten.
Sicherheit der Verarbeitung: Alle Daten in Sharefile, darunter personenbezogene Daten, werden verschlüsselt gespeichert. Sharefile bietet zudem Key Management Services und erleichtert Kunden das Management ihrer eigenen Verschlüsselungsschlüssel. Des Weiteren lassen sich durch das Information Rights Management (Rechteverwaltung von Informationen, IRM) Daten noch weiter verschlüsseln und schützen.
Technische und organisatorische Maßnahmen, Zugriffsbeschränkungen: Sharefile unterstützt durch die Verfügbarkeit der Sharefile-Steuerebene in der EU beliebige Datenhoheitsanforderungen. Zudem ermöglicht das IRM geeignete Schutzmaßnahmen für die Übertragung personenbezogener Daten in ein Drittland oder zu einer internationalen Organisation. (rhh)
Hier geht es zu Citrix