Das Damoklesschwert GDPR
MFT – Managed File Transfer Trends & Innovationen

General Data Protection Regulation (GDPR): Das Damoklesschwert für internationale Unternehmen

| | Corporate Information Security Officer (CISO), SEEBURGER

Mit dem 25.05.2018 endet die 2-jährige Übergangsfrist für die Einführung der Anforderungen der GDPR.

Ab dann nimmt der europäische Datenschutz einen bisher nie dagewesenen Stellenwert ein.

Durch die Vereinheitlichung der Grundsätze auf europäischer Ebene sind nationale Alleingänge im Hinblick auf Abschwächungen des Schutzes personenbezogener Daten unmöglich geworden. Datenschutzverletzungen werden nicht mehr auf nationaler sondern auf europäischer Ebene geahndet. Durch den gesteckten maximalen Rahmen von 2-4% des weltweiten Konzernumsatzes aber mindestens 10-20 Mio. € stellt die Nichteinhaltung der Anforderungen der GDPR für Unternehmen ein existenzielles Risiko dar.

GDPR erfordert Risikomanagement u.a. bei den vorgeschriebenen Datenschutz-Folgenabschätzungen für die Einführung von neuen Technologien und bei risikobehafteten Verarbeitungen von personenbezogenen Daten.

Für international agierende Unternehmen kommt verschärfend hinzu, dass Mitte Dezember 2017 bekannt wurde, dass die Art-29-Gruppe der Datenschutzbeauftragten der Auffassung ist, dass das gegenwärtige Privacy Shield Abkommen mit den USA nicht den vom Europäischen Gerichtshof verlangten Schutz für personenbezogene Daten gewährleistet.

Speziell Unternehmen mit einem unkoordinierten und dezentralen Datenaustausch laufen ab dem 25.05.2018 Gefahr, Datenschutzverletzungen durch die fehlende Einhaltung der Grundsätze der Rechtmäßigkeit, Zweckbindung, Datenminimierung, Datenrichtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit zu begehen. Dies wird durch die Ausweitung des Schutzes von personenbezogenen Daten auf alle Formen der Verarbeitung noch einmal verschärft.

In diesem zunehmend komplexer werdenden Umfeld kommt dem Thema Compliance eine zentrale Bedeutung zu.
Beherrschen Sie die Risiken?

1) Rechtliche Rahmenbedingungen

Ein Datenaustausch mit den USA ist nur legitimiert, wenn innerhalb einer Konzerngruppe Corporate Binding Rules oder Verträge auf der Basis der EU-Standard-Vertragsklauseln geschlossen wurden.

Unternehmen müssen Auftragsverarbeitungsverträge (AVV) und Geheimhaltungs-vereinbarungen (NDA) mit ihren Kunden, IT-Dienstleistern, Consulting-Partnern und Rechenzentrums-Providern abschließen. Generische oder pauschalisierte Auftragsdatenverarbeitungsverträge (ADV) sind nicht mehr zulässig.  Die von der GDPR geforderten AVVs müssen einem auftragsspezifischen Teil beinhalten. In dem sind die auftragsspezifischen technischen und organisatorischen Maßnahmen im Detail zu beschreiben.

Durch die Rechenschaftspflicht der Einhaltung der GDPR wird die Dokumentation noch wichtiger unter anderem durch wesentlich detailliertere Verfahrensverzeichnisse.

2) Applikationsdesign

Bereits beim Design der Applikation steht der Datenschutz mit den Prinzipien „Datenschutz durch Technikgestaltung“ und  „Datenschutz durch Voreinstellungen“ im Vordergrund.

3) Betrieb von sicheren Cloud-Diensten

Die Mehrzahl der Unternehmen nutzt Cloud-Dienste externer Service-Dienstleister in mehr oder weniger großem Umfang. Durch die mit der GDPR eingeführte Providerhaftung, werden Anbieter von Cloud-Diensten zwar verstärkt mit in die Haftung genommen, die richtige Auswahl des Dienstleisters, sprich die Bewertung der umgesetzten Maßnahmen zum Schutz der Daten, bleibt eine echte Herausforderung. Zertifizierungen und Attestierungen durch externe Auditoren und Wirtschaftsprüfer bilden hierbei eine gute Basis zur Bewertung.

4) Sicherer Austausch von Daten

Verschlüsselung und Pseudonymisierung der Daten, Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste sowie die Wiederherstellung nach einem physischen oder technischen Zwischenfall sind erforderlich.

5) Nachweispflicht

Nachweis der Wirksamkeit der Maßnahmen durch interne Audits und externe Zertifizierungen und Attestierungen (z.B. ISO/IEC 27001 und ISAE 3402 (SOC 1) Typ 2).

Die gute Nachricht ist, dass die GDPR den Datenschutz auf europäischer Ebene vereinheitlicht und so den internationalen Datenaustausch vereinfacht, da keine individuellen nationalen Regelungen zu berücksichtigen sind. Dies reduziert den Aufwand.

SEEBURGER ist seit mehr als 30 Jahren ein Experte für den sicheren Austausch von Daten zwischen nationalen und internationalen Kunden und deren Handelspartnern. SEEBURGER-Produkte werden weltweit von mehr als 10.000 Kunden vor Ort oder als Cloud-Dienste genutzt.

Haben Sie Fragen oder Anmerkungen?

Wir freuen uns hier über Ihre Nachricht.

Teilen Sie diesen Beitrag, wählen Sie Ihre Plattform!

Twitter
Christoph Staeb

Ein Beitrag von:

Christoph Stäb ist Corporate Information Security Officer (CISO) bei SEEBURGER. Er hat 14 Jahre Erfahrung mit dem Qualitätsmanagement und Sicherheitsthemen von SEEBURGER Produkten und Diensten. Er hat federführend ISO/IEC 27001 und ISAE 3402 (SOC 1) Typ 2 Zertifizierungen für SEEBURGER Cloud Services erreicht und kennt die Feinheiten des richtlinienkonformen Rechenzentrumsbetriebes in internationalen Umfeldern.

Ähnliche Beiträge

GDPR Managed File Transfer

GDPR und Managed File Transfer

DSGVO

Ein Jahr Datenschutzgrundverordnung (DSGVO) – Zwischenbilanz zum sicheren B2B-Datenaustausch

Blockchain EDI

Herausforderungen und Trends in der Blockchain

Extended Reality (XR) in der Arbeitswelt der Fertigungsindustrie

Extended Reality (XR) in der Arbeitswelt: Eine neue Dimension der Produktivität und Zusammenarbeit vor dem Durchbruch?!

Der Ad-hoc-Integrator

Was ist ein Ad-hoc-Integrator?

Ändere-Dein-Passwort-Tag

Ändere-Dein-Passwort-Tag