Nun ist es doch tatsächlich so weit: Die allseits gefürchtete EU-Datenschutzgrundverordnung ist seit Kurzem in Kraft und sorgt für reichlich Diskussionsstoff darüber, wem sie was bringt oder, ob sie überhaupt notwendig ist. Tatsache ist: Die DSGVO ist nicht nur als Wort ein Ungetüm, sondern auch in ihrer Umsetzung alles andere als klar. 

Klar ist, dass Unternehmen, die Daten von EU-Bürgern erfassen, speichern, verarbeiten oder übertragen gesetzlich verpflichtet sind, die DSGVO einzuhalten. Was also können Unternehmen tun, um ihre Daten sicher und konform auszutauschen und zu archivieren?

Erst einmal ist es unerheblich, wo sich der Hauptsitz eines Unternehmens befindet. Für jedes Unternehmen weltweit, das Daten von EU-Bürgern speichert, verwaltet oder damit arbeitet, ist die Europäische Datenschutzgrundverordnung bindend.

Auch mittelständische Unternehmen stöhnen unter der Last einer steigenden Datenflut und der explosionsartigen Zunahme unstrukturierter Daten. Häufig liegen relevante Informationen über verschiedene Systeme, Applikationen und Speichermedien verstreut und verursachen lange Suchzeiten. Nun, wo auch die DSGVO einen permanenten Überblick über die im Unternehmen verteilten Daten fordert, wird die eigene Datenhoheit umso wichtiger. Immer noch herrscht aber Unsicherheit in den Unternehmen, wie eine adäquate Datenaufbewahrung auszusehen hat, da der Gesetzgeber sehr komplexe Vorgaben macht. Viele Regelungen sind in ihrem Wortlaut nicht immer konkret und einfach nachvollziehbar, sodass die Umsetzung häufig Fragen bei den Verantwortlichen aufwirft. Doch selbst dort, wo die Ziele eindeutig formuliert sind, wünschen sich viele Unternehmen eindeutige Empfehlungen oder Handlungsanweisungen für die technische Umsetzung.

Sinnvolle Archivierungsmethoden schaffen Mehrwert

Vorausgesetzt, dass alle rechtlichen Vorgaben der DSGVO erfüllt sind, sollten Betroffene zusätzliche Mehrwerte aus einem Archivierungssystem ziehen. So kann etwa eine Lösung, die alle Quellen – also nicht nur E-Mails – archiviert und somit ein übergreifendes „Suchen und Finden“ von Unternehmensinformationen erlaubt, ein wichtiger Wettbewerbsvorteil sein. Zu den wesentlichen Anforderungen der DSGVO zählt neben der Sicherheit, vor allem die Verfügbarkeit der Daten, was Einfluss auf das sogenannte „Recht auf Vergessenwerden“ hat. Das macht ein funktionierendes Archiv zu einem wichtigen Eckpfeiler der DSGVO. Hierbei ist es wichtig, dass sowohl Datenschutz als auch Privatsphäre bereits in der Technik, beziehungsweise durch datenschutzfreundliche Voreinstellungen, Berücksichtigung finden.

Nun sind „Privacy by Design“ und „Privacy by Default“ keine neuen Begriffe. Im Rahmen der DSGVO erlangen sie jedoch neue Bedeutungen und sind dort explizit verankert. Zudem ist es sehr wichtig, Daten in ihrer unveränderten Form aufzubewahren. Es muss jederzeit sichergestellt sein, dass diese vor Manipulationen sicher sind und auf entsprechend belastbaren, widerstandsfähigen Systemen gespeichert und verarbeitet werden. Nur so können Daten im Zweifel auch vor Gericht bestehen und erfüllen die gesetzlichen Anforderungen. Das oberste Ziel der DSGVO ist der Datenschutz, daher sollten Informationen nur für entsprechend Befugte zugänglich sein und bei Bedarf sogar gelöscht werden können.

Moderne Archivierungs- und Informationsmanagement-Systeme sind durchaus in der Lage, etwa die rechtskonforme Aufbewahrung von Unternehmensdaten sicherzustellen. Alle relevanten Dokumenten- und Dateitypen – von E-Mails über klassische Schriftstücke bis hin zu Dateien in Filesystemen sowie Sprachaufzeichnungen werden mittels solcher Lösungen zentral und manipulationssicher aufbewahrt. Damit dies auch rechtsicher geschieht, sollten sie in ihrer Originalform – ohne Wandlung in andere Formate – archiviert werden. Die Unveränderbarkeit mit digitaler Signatur sowie Zeit- und Datumsstempel spielt hierbei auch bei eventuellen Rechtsstreitigkeiten eine wesentliche Rolle. Zudem sollte das System Daten exportieren können, damit diese im Bedarfsfall tatsächlich als Beweismittel zur Verfügung stehen. Um auch über Jahre hinweg zukunfts- und revisionssicher archivieren zu können, ist zudem eine Archivierung in Standardformaten – also keinen proprietären Formaten – ratsam.

Archiv Dokumentensicherheit

Eine rechtskonforme Archivierung sollte durch eine digitale Signatur mit Zeit- und Datumsstempel unveränderbar sein.

Eine DSGVO-konforme Aufbewahrung der Daten ist die eine Seite der Medaille, aber wie sieht es mit der Übertragung beziehungsweise dem Austausch von Daten aus? Managed File Transfer-Lösungen gewährleisten den regelkonformen Austausch geschäftlicher Daten und das sicher und automatisiert.

Dropbox – ein Compliance-Alptraum

Beliebte Filesharing-Plattformen in der Public Cloud wie Dropbox sind ein Alptraum für IT-Administratoren, denn hier können Anwender mit wenigen Mausklicks ihre Dateien online jedermann zugänglich machen. Die IT verliert damit jegliche Kontrolle über die Daten, einschließlich der Information darüber, wo diese vom Cloud-Provider physisch gespeichert werden. Es gibt keinen Zugriff auf die Daten und keine Chance, diese aus dem öffentlichen Raum zurückzuholen. Diese populäre Variante ist unter Compliance-Gesichtspunkten extrem risikoreich. Aus gutem Grund wird die Datenübertragung in der DSGVO daher als Verarbeitungsaktivität genannt, das heißt, Protokolle sind anzufertigen und im Bedarfsfall vorzuweisen.

Viele Unternehmen bieten bereits einen alternativen Übertragungsweg, der anders funktioniert als E-Mail, FTP oder Public Filesharing Services. Mit einem professionellen File Transfer Dienst stellen sie ihren Mitarbeitern eine Möglichkeit zum Versand von Dateien beliebiger Größe zur Verfügung – sicher, dokumentiert und protokolliert. Ein solcher Dienst entlastet den Mail-Server. Aber er lagert die Daten nicht in die Public Cloud aus, sondern entweder auf selbst gehostete Server oder in geschützte Private Clouds. Zudem sind die Daten zu jedem Zeitpunkt verschlüsselt, sowohl während des Übertragungsweges als auch in der Ablage.

Zu weiteren üblichen Features gehört, dass Datenpakete ein voreingestelltes Ablaufdatum erhalten, das die Benutzer nur innerhalb der vom Administrator vorgegebenen Grenzen verändern können. Ist das Ablaufdatum eines Datenpakets erreicht, löscht die Software die Dateien automatisch. Das heißt, der Server räumt sich, entsprechend den eingestellten Vorgaben des Administrators, selbst auf. Er wird nicht zu einem zusätzlichen Datengrab. Managed File Transfer-Lösungen bieten Unternehmen also eine zentrale und unternehmensweite Datenaustauschplattform, die gewährleistet, dass das Versenden und Empfangen von Dateien stets sicher und nachvollziehbar ist. Hierbei spielt es auch keine Rolle, ob Daten intern oder extern ausgetauscht werden.

File Transfer Protocol oder Managed File Transfer? Die DSGVO lässt keine Wahl

Wenn eine erfolgreiche Dateiübertragung, die Sicherheit der betroffenen Daten oder die Einhaltung behördlicher Vorschriften, wie eben der Datenschutzgrundverordnung, zu den Unternehmensanforderungen gehören, kommt nur eine Technologie infrage: Managed File Transfer (MFT). Gegenüber klassischen FTP-Servern punktet MFT mit benutzerfreundlichen Mail- und Webinterfaces, einfacher Benutzerverwaltung, sowie der vollen Kontrolle und Nachvollziehbarkeit sämtlicher Datenaustauschaktivitäten.

FTP-Server sind eine bewährte Methode für eine Übertragung von Dateien zwischen Benutzern oder Systemen. Sie verfügen jedoch in der Regel nicht über Kontrollmöglichkeiten, die für die Einhaltung strengerer betrieblicher oder behördlicher Auflagen, wie sie die DSGVO fordert, vorgeschrieben sind. Ein FTP-Server mag für einen Hersteller ausreichend sein, der etwa CAD-Zeichnungen überträgt. Unternehmen sollten die doch eher zwanglose FTP-Nutzung als für ihre Zwecke problematisch erachten, wenn es beispielsweise um die Übertragung von Finanzdaten, persönlich identifizierbaren Informationen oder persönlichen Angaben zum Gesundheitszustand geht.

MFT-Lösungen sind für die Erfüllung der Sicherheits-, Kontroll- und Automatisierungsanforderungen für zentrale Betriebsprozesse und die Einhaltung der Europäischen Datenschutzgrundverordnung die bessere Wahl. Für Unternehmen, die Dateien zwischen Remote-Rechenzentren, Kunden, Handelspartnern, Serviceanbietern und Cloud-Anwendungen austauschen müssen, lässt eine vollständig überprüfbare MFT-Lösung keine Alternative. Der Datenaustausch über eine professionelle Managed File Transfer-Lösung erfolgt verschlüsselt, sowohl während der Übertragung, als auch auf dem Filesystem. Dabei wird genauestens protokolliert, was mit den Daten passiert. Durch standardisierte Prozesse ist genauestens nachvollziehbar, zu welchem Zweck die Daten genutzt werden dürfen, an wen und wann die Daten versendet wurden und wer Zugriff hat. Außerdem können Dateizugriffe zeitlich begrenzt werden, sodass nach Datumswirksamkeit kein Zugriff mehr erfolgen kann. Die zeitlich begrenzte Zugriffsmöglichkeit in Verbindung mit einer genauen Protokollierung und Dokumentierung der Daten, ist zudem aus Gründen der Rechenschaftspflicht wichtig. Denn mit Einführung der DSGVO können Unternehmenskunden jederzeit Auskunft über ihre gespeicherten Daten - elektronisch gelistet - verlangen. 

MFT

Beispiel eines sicheren Datenaustausches über MFT.

Es ist also einiges zu beachten. Zum Glück gibt es Lösungstechnologien für einen regelkonformen Datenaustausch und deren Aufbewahrung. Neben der Erfüllung gesetzlicher Regelungen, ist die flexible Einbindung in die bestehende Infrastruktur jedoch dringend geraten, um „Insellösungen“ zu vermeiden, die eine technologische Unstrukturiertheit fördern, die gesetzlich ja eben vermieden werden soll.

Für weitere Informationen stehen wir gerne zur Verfügung.

Ihr treeConsult Team

Wir freuen uns auf Ihre Kontaktaufnahme!

 

Quelle: it-daily.net vom 05. Juni 2018 / Datenaustausch und Archivierung in Zeiten der DSGVO











IT Infrastrukturmanagement

treeConsult liefert Infrastrukturlösungen für die wesentlichen IT-Basisdienste der Unternehmen: Von uns getestete und ausgewählte Applikationen und innovative Spezialanwendungen – genau auf Ihr Infrastrukturthema zugeschnitten.

IT Datenmanagement

treeConsult bietet Lösungen für den maßgeschneiderten Schutz Ihrer Daten. Sie haben stets den Überblick: Automatisiert kontrollieren und steuern Sie die Verteilung von Daten, erbringen jederzeit den Nachweis, wer Zugriff auf die Daten hat und erfüllen Ihre gesetzlichen Pflichten. Selbst weit verteilte Standorte arbeiten schnell und zuverlässig zusammen. Die Produktivität steigt, die Kosten sinken.

IT Prozessoptimierung

treeConsult bietet Top-Technologien: Erprobte, stabile Systeme – alle Prozesse greifen reibungslos ineinander. Wir finden innovative, zukunftsweisende Lösungen und entwickeln nachhaltige Systeme zu angemessenem Preis- Leistungsverhältnis.

IT Services

Wir übergeben Ihnen Ihr System, es läuft, und Sie beherrschen es! Wir entwickeln Software exakt nach Ihren Wünschen. Sie erhalten jederzeit kompetente Beratung, umfangreiche Einweisungen, ein Bündel an Schulungen und laufende Unterstützung.

Was können wir für Sie tun?

Port folio

treeConsult bietet umfangreiche IT-Services und ist Partner führender IT-Anbieter. Seit gut 20 Jahren verfolgt das Unternehmen den Leitgedanken, Geschäftsprozesse und IT eng miteinander zu verzahnen.

Die treeConsult-Experten vereinfachen mit zukunftsorientierten und flexiblen Lösungen Abläufe, standardisieren, sichern und beschleunigen sie. Ergänzend implementiert treeConsult Technologien, die IT-Infrastrukturen pflegeleicht, sicher und kostengünstig gestalten.

Implementierung, Erfahrung, Support

Wir implementieren die Lösungen, wir passen sie in Ihr System ein – so wie Sie es wollen. Sie sind nie alleine: Für alle Lösungen gibt es deutschsprachigen Support, verschiedene Supportmodelle, direkt von uns, aus einer Hand. Das gibt es nur bei treeConsult. Dahinter stecken viele Erfahrung! Daher wissen wir: Eine überzeugende Lösung muss Zeit und Geld sparen, sie muss Wettbewerbsvorteile generieren, und Ihre User müssen sie mögen!


  • Top-Lösungen und besondere Dienstleistungen
  • Verbessern und überwachen:
    IT-Infrastrukturmanagement, IT-Datenmanagement und IT-Prozessoptimierung
  • Umfangreiche Programmierleistungen
  • Beratung und Support aus langjähriger Erfahrung
  • Attraktive Dienstleistungspakete, vielfältige Schulungen, deutschsprachiger Support