1 Jahr DSGVO – Zwischenbilanz beim B2B-Datenaustausch
MFT – Managed File Transfer Trends & Innovationen

Ein Jahr Datenschutzgrundverordnung (DSGVO) – Zwischenbilanz zum sicheren B2B-Datenaustausch

| | Corporate Information Security Officer (Co-CISO), SEEBURGER

DSGVOAm 25.05.2018 ging die EU-Datenschutzgrundverordnung (EU-DSGVO) bzw. EU General Data Protection Regulation (GDPR) nach einer 2-jährigen Übergangsphase live. Nach einem Jahr ist es Zeit für eine Zwischenbilanz aus Sicht der B2B-Integration:

Erste Strafen

Die DSGVO verlangt, dass Unternehmen und Organisationen die Sicherheit von Geschäfts- und Kundendaten einzelner Personen gewährleisten. Die Standards des Datenschutzes sind deutlich erhöht worden und werden insbesondere in Deutschland sehr ernst genommen. Unternehmen, die die DSGVO nicht einhalten, werden mittlerweile mit Bußgeldern belegt.  Das trifft sowohl auf große, internationale Unternehmen wie auch auf kleine Firmen zu.

Die Strafen sind empfindlich und können auch für daran Beteiligte gelten, z.B. Geschäftsführer, Vorstand, Datenschutzbeauftragter, CISO etc.

Unterschiedliche Handhabung innerhalb der EU

Die DSGVO sollte zur weitgehenden Harmonisierung des europäischen Datenschutzrechts für personenbezogene Daten führen. Ich habe nicht den Eindruck, dass die Risiken und die von der DSGVO in Artikel 35 geforderten Datenschutz-Folgeabschätzungen in allen Mitgliedsländern gleich bewertet werden: Einen bestehenden Wartungs- und Supportvertrag mit einem Auftragsverarbeitungsvertrag (AVV) zu ergänzen, wird bei SEEBURGER zu über 90% von deutschen Kunden nachgefragt; dadurch ist Deutschland in Anbetracht der Kundenverteilung deutlich überrepräsentiert. Auch sind die Gespräche zu formalen Vertragsfragen hier in aller Regel deutlich intensiver als bei Anfragen zu AVVs aus dem Ausland. Interessanterweise werden dabei die Art der Daten, um die es eigentlich geht sowie die technischen und organisatorischen Schutzmaßnahmen (TOMs) oft nur am Rande betrachtet.

Austausch von personenbezogenen Daten zwischen Unternehmen

Der sichere Austausch von personenbezogenen Daten über Unternehmensgrenzen hinweg ist nach wie vor ein gängiger Schwachpunkt.

Im Grunde geht es beim regelmäßigen B2B-Datenaustausch zwischen Unternehmen um folgende Varianten:

  • System-to-System (Upload von Batch-Dateien, geplante Übertragungen)
  • System-to-Human (Verteilung geplanter Reports oder anderer regelmäßig verwendeter Daten)
  • Human-to-Human (Ad hoc-E-Mails oder manuelle FTP-Uploads)

Dabei fehlt es häufig an einer Reihe von Vorsichtsmaßnahmen rund um die

  • Verschlüsselung und Pseudonymisierung der Daten
  • Sicherstellung der Vertraulichkeit und Integrität
  • Verfügbarkeit der Systeme und Dienste
  • Wiederherstellung nach einem Ausfall
  • Nachvollziehbarkeit

Zudem  werden  immer noch erstaunlich viele FTP-Kanäle, unverschlüsselte E-Mails und Internetdienste wie Dropbox genutzt, bei denen belastbare Auftragsverarbeitungsverträge (AVV) problematisch sind. Eine Managed File Transfer-Lösung (MFT) schafft Abhilfe.

Unternehmenskritische Daten müssen nicht nur am richtigen Ort oder beim korrekten Adressaten zur richtigen Zeit ankommen. Dies muss auch nachvollziehbar und belegbar sein. Daher gelangt man nur durch eine Kombination von organisatorischen und technischen Maßnahmen auf die sichere Seite.

Fazit

Nehmen Sie das Thema DSGVO in jedem Falle ernst. Wenn Sie noch keine Managed File Transfer-Lösung (MFT) im Einsatz haben, dann haben Sie beim Datenaustausch  über Unternehmensgrenzen hinweg vermutlich Handlungsbedarf.

 

Haben Sie Fragen oder Anmerkungen?

Wir freuen uns hier über Ihre Nachricht.

Teilen Sie diesen Beitrag, wählen Sie Ihre Plattform!

Frank Stegmueller

Ein Beitrag von:

Frank Stegmüller ist einer der beiden Corporate Information Security Officers bei SEEBURGER und ist seit 2008 im Unternehmen. Er verfügt über 25 Jahre Erfahrung im Service, Support und in der Informationssicherheit rund um Enterprise Application Integration, EDI, B2B, MFT, API, ITSM und digitale Transformation - sowohl auf eigenbetriebenen Systemen als auch aus der Cloud. Er arbeitet an ISO/IEC 27001, ISAE 3402 (SOC 1) Typ 2 und TISAX Zertifizierungen für SEEBURGER Cloud Services und kennt die Feinheiten des richtlinienkonformen Rechenzentrumsbetriebes in internationalen Umfeldern.