Cyber-Security

Data Residency: eperi-Techniken helfen bei der Umsetzung

Am 1. Juni 2017 hat die Regierung der Volksrepublik China das sogenannte Cybersecurity-Gesetz (CSG) aktiviert, das immer noch viele Datenschutzbeauftragte verunsichert.  Für ein besseres Verständnis, wie sich die darin verankerten Regelungen auf in China operierenden Firmen auswirken können, habe ich es mir ein wenig genauer angesehen.

Das CSG wurde vor allem wegen möglichst hoher Datenschutz-Sicherheitsstandard  verabschiedet. Und es geht ein gutes Stück weiter als die Datenschutzgrundverordnung. Denn im Gegensatz zur DSGVO, die das Verarbeiten von Daten auch außerhalb des europäischen Hoheitsgebietes vorsieht, schreibt das Cybersecurity-Gesetz eindeutig vor, dass die in China erhobenen und verarbeiteten Daten um jeden Preis in der Volksrepublik bleiben müssen.

An das Cybersecurity-Gesetz sollte man sich penibel halten!

Mit dem CSG sollen Hackerangriffe und Cyber-Terrorismus bekämpft und unterbunden werden. Daher sieht das Gesetz bei Verstößen drakonischen Strafen wie den Entzug der sogenannten Bei’an-Lizenz vor, was faktisch einem unternehmerischen Aus in China gleichkommt, da ohne diese Lizenz in der Volksrepublik keinerlei Geschäftsaktivitäten möglich sind.

Daraus ergeben zahlreiche Fragen wie zum Beispiel: Wer ist vom CSG tatsächlich betroffen? Auch an dieser Stelle hilft eine Blick in den Gesetzestext: Das Gesetz kommt für alle Firmen zur Anwendung, die im elektronischen Geschäftsverkehr in China aktiv sind. Die Rede ist also von Onlineshop-Betreibern und Anbietern von Netzwerk- und Critical Information-Infrastrukturen. Das sind zum Beispiel das Rechenzentrum einer Bank, eine medizinische Einrichtung, etc. Es geht also stets um sensible und unternehmenskritische Daten und deren Erfassung, Verarbeitung und Speicherung. 

Cloud-Services in China unterliegen höchsten Anforderungen

Ein weitere Rolle in diesem Szenario spielt die große Entfernung Chinas zu Europa und den damit verbundenen hohen Latenzzeiten. Außerdem sorgt die „Große Firewall“ der chinesischen Regierung oft dafür, dass Daten die Volksrepublik gar nicht verlassen oder erreichen können. In beiden Fällen behelfen sich viele Firmen mit „gespiegelten“ Inhalten, die sich innerhalb der chinesischen Grenzen befinden. Oft handelt es sich dabei um cloud-basierte Datenserver, die akzeptable Ladezeiten und das Umgehen der chinesischen Firewall ermöglichen.

Und genau daraus ergibt sich ein nicht zu unterschätzendes Dilemma: Wie kombiniert man in geeigneter Art und Weise die technischen und datenschutzrelevanten Herausforderungen, die sich aus dem CSG ergeben? 

Das „Schweizer Bundesgesetz über den Datenschutz“ im CSG-Kontext

Neben der Volksrepublik China verschärft auch die Schweiz seinen Datenschutz in erheblichem Maße. So wird gerade das „Bundesgesetz über den Datenschutz“ (DSG) an die aktuellen Veränderungen angepasst. Dies ist unter anderem der europäischen Datenschutzgrundverordnung geschuldet, an welche die Schweiz ja nicht gebunden ist. So wird der Schweizer Gesetzgeber das DSG an die DSGVO anpassen, ohne die speziellen Anforderungen der Schweiz zu vernachlässigen. Namentlich sind das die Forderungen nach einem Datenschutzverantwortlichen mit Hauptsitz in der Schweiz und eine bevorzugte Datenerhebung und -verarbeitung in der Schweiz.

Verschlüsseln von Cloud-Daten = CSG- und DSG-konform

Will man also als Unternehmer sicher stellen, die Daten CSG- und DSG-konform zu verarbeiten und zu speichern, kommt man um das Verschlüsseln seiner Cloud-Daten nicht herum. Denn die VR China und die Schweiz fordern einen sachgemäßen Umgang mit personenbezogenen und unternehmenskritischen Daten, die sich vor allem auf Cloud-Infrastrukturen befinden.

Damit ist eine Verschlüsselung vonnöten, die Cloud-Daten auf spezielle Art und Weise unleserlich macht. Dazu gehört ein Verschlüsselungsverfahren, das die Daten VOR dem Speichern auf dem Cloud-Server bestmöglich verschlüsselt. Und das außerdem sicherstellt, dass ausschließlich der Eigentümer der Daten über die notwendigen Schlüssel verfügt, da nur er dann Zugriff auf personenbezogene oder geschäftskritische Daten hat.

Cyber-Security 2

Das eperi Gateway erfüllt Data Residency-Auflagen

Damit sollte man als Sicherheitsbeauftragter auf ein Verschlüsselungsverfahren setzen, das die Daten verschlüsselt, bevor sie auf dem Cloud-Server landen. Und das obendrein sicherstellt, dass die originären Daten die IT-Landschaft nicht verlassen, um geltendes Recht einzuhalten, wie es das Cybersecurity-Gesetz der chinesischen Regierung vorsieht.

Das eperi Gateway und die damit in Verbindungen stehenden eperi Cloud Data Protection Lösungen stellen genau diese Forderungen sicher. Damit lassen sich Data Residency-Anforderungen  erfüllen, da sensible Daten verschlüsselt werden, sodass diese nachweislich innerhalb eines vorgesehenen Rechtsraumes verbleiben und nur als verschlüsselte, unlesbare Daten diesen Raum verlassen.

Disclaimer: Dieser Beitrag basiert auf diesem verlinkten Blogartikel, den ich für meinen Kunden eperi verfasst habe.

Funktionsweise des eperi Gateway

DSGVO mithilfe von eperi-Tools effektiv umsetzen

Stellen Sie sich vor, Sie haben Ihre IT-Infrastruktur in eine Cloud-Umgebung transferiert. Weil Sie einfach keine teuren Rechenmaschinen mehr kaufen und verwalten wollten, weil der Zugriff auf Anwendungen und Daten seitens externer Mitarbeiter und Geschäftspartner einfacher werden sollte, und vielem mehr.

Spätestens an dieser Stelle könnte Ihnen auffallen, dass es trotz der vielen schönen Vorzüge von Cloud-basierten IT-Infrastrukturen eine erhebliche Schwachstelle gibt: die Datensicherheit. Damit ist vor allem die Datensicherheit und der Datenschutz im Sinne der DSGVO gemeint, die am 25. Mai 2018 endgültig in Kraft tritt. Ab diesem Tag wird auf die elektronische Datenverarbeitung personenbezogener Daten ganz besondere Herausforderungen zukommen. Dazu zählt unter anderem die sogenannte Datenschutz-Folgenabschätzung sowie weitere Prüf- und Dokumentationspflichten. Das ist vor allem dann der Fall, wenn Unternehmen Auftragsdatenverarbeiter und Cloud-Dienste in Anspruch nehmen.

Das hat auch damit zu tun, dass die DSGVO eine explizite Datenverarbeitung personenbezogener Daten auch außerhalb der EU vorsieht, unabhängig davon, ob der Auftragsverarbeiter (also ein Cloud Service Provider zum Beispiel) innerhalb oder außerhalb der EU sitzt. Daraus lassen sich diverse Konsequenzen ableiten: So können Cloud-Anbieter beispielsweise selbst zu Datenverantwortlichen werden, wenn sie den Zweck der Datenverarbeitung selbstständig bestimmen.

Liegt die Datenverantwortung beim Unternehmen oder Cloud-Provider?

Laut DSGVO wird künftig nicht mehr der Auftraggeber der externen Datenverarbeitung allein bei möglichen Verstößen haftbar gemacht, sondern auch der externe Auftragsverarbeiter, da Datenverarbeiter und Auftragsverarbeiter künftig gemeinsam haften.

DSGVO = besondere Pflichten für Datenverantwortliche

Ab 25. Mai 2018 müssen die Datenschutzverantwortlichen der Unternehmen sicherstellen und nachweisen können, dass die Verarbeitung von personenbezogenen Daten jederzeit im besten Sinne der DSGVO erfolgt. Dazu gehören diverse Prinzipien wie Pseudonymisierung und Verschlüsselung von Daten, die Datenminimierung, die Einhaltung des Verarbeitungszwecks, etc. Daraus ergibt sich unter anderem, welche Daten in welchem Umfang und wie lange verarbeitet und gespeichert werden dürfen.

DSGVO = großer Aufwand für größere Unternehmen

Gerade in größeren Unternehmen werden teils äußerst sensible Daten verarbeitete und gespeichert. Ob das Personaldaten sind oder die E-Mail-Adresse und Anschrift eines Kunden – über all diese Daten muss akribisch Buch im Sinne der DSGVO geführt werden. Dieser Aufwand verschärft sich zusätzlich, wenn personenbezogen Daten innerhalb einer Cloud-Umgebung gespeichert und verarbeitet werden.

Um dieses große Dilemma elegant zu umgehen, sollten sensible Daten am besten vor der Speicherung beim Cloud-Anbieter verschlüsselt werden. Denn damit werden sie automatisch pseudonymisiert, so wie es die DSGVO explizit fordert. Damit sind Datenschutzrechtsverletzung auf Seiten des Cloud-Anbieters gar nicht möglich, was sich auf die Umsetzung der DSGVO enorm positiv auswirkt.

Mit eperi Cloud Data Protection (CDP) entspannt ins DSGVO-Zeitalter

Damit wären wir beim eigentlichen Kern dieses Beitrags. Denn mithilfe des eperi-Gateways lassen sich die Forderungen der DSGVO zum Schutz personenbezogener Daten relativ unaufwendig umsetzen. So können Unternehmen auf Basis der eperi-Lösung ihre Datenschutz-Prozesse kontrollieren. Damit garantieren sie auch, die DSGVO-Vorgaben peinlich genau einzuhalten, wenn Cloud-Services im Unternehmen genutzt werden. Damit reduzieren sich der Prüfaufwand und die damit verbundene Nachweispflicht auf die Vorkehrungen und Datenschutzmaßnahmen, die im eigenen Unternehmen umgesetzt werden müssen.

Funktionsweise des eperi Gateway

„Erst verschlüsseln, dann speichern“ – so lautet die eperi-Devise

Die eperi-Devise in Sachen DSGVO-konforme Cloud-Daten lautet: „Erst verschlüsseln, dann speichern!“. Damit lassen sich nämlich sämtliche sensible Daten für Unbefugte unleserlich machen, bevor personenbezogene Daten überhaupt in der Cloud landen. Folge: Die Unternehmen behalten die volle Kontrolle über ihre personenbezogene Daten und erfüllen damit die strengen Auflagen in Sachen Datenschutz-Konformität „on the fly“.

Doch dieser eperi-Ansatz bietet einen weiteren Vorzug: Dank der transparenten Verschlüsselung der Cloud-Daten können sehr elegant zahlreiche Risiken „ad acta“ gelegt werden, die bei der Auswahl des geeigneten Cloud-Konzepts respektive des dazu passenden Cloud Service Providers entstehen können. Denn wer kann schon genau sagen, ob der infrage kommende Cloud-Anbieter die strengen Auflagen der DSGVO so ernst nimmt, wie er das eigentlich tun sollte.

Office 365, Salesforce & Co: eperi Gateway als zentraler Kontrollpunkt

Mithilfe des eperi Gateway für Cloud-Anwendungen wie Office 365 oder Salesforce stellen Unternehmen ebenfalls sicher, dass besonders sensible personenbezogene Daten jederzeit und vollumfänglich vor fremden Zugriffen geschützt sind. Denn weder der Cloud-Provider noch ein externer Auftragsverarbeiter erhält Zugriff auf die Daten, da die Schlüssel im alleinigen Besitz des Cloud-Anwenders, also des Unternehmens bleiben. Damit wird ein zentraler Kontrollpunkt für das Datenschutz- und Verschlüsselungsmanagement festgelegt, das dem Datenverantwortlichen die alleinige Kontrolle über die Verschlüsselungs- und Tokenisierungsprozesse garantiert.

eperi Cloud Data Protection bedeutet darüber hinaus, dass sich die Verschlüsselung der Daten in keiner Weise auf die Cloud-Plattform und deren Techniken auswirkt und darüber hinaus alle wichtigen Anwendungsfunktionalitäten bei komfortabler Bedienerfreundlichkeit erhalten werden.

Fazit: eperi sorgt für DSGVO-konforme Cloud-Daten

Zusammenfassend kann man also sagen: Unternehmen, die sich für eine Verschlüsselung auf Basis der eperi Cloud Data Protection-Lösung entscheiden, gehen einen großen Schritt in Sachen DSGVO-Konformität. Denn ihr Datenschutz wird ohne größeren Aufwand auf einen Level gehievt, um den sie so mancher Datenschutzbeauftragte beneidet.

Disclaimer: Dieser Beitrag basiert auf diesem verlinkten Blogartikel, den ich für meinen Kunden eperi verfasst habe.

Yasser Eissa, IBM, über IBM-Cloud, Datenschutz und DSGVO

[Videochat] Yasser Eissa über IBM-Cloud, DSGVO und Datensicherheit

Ich durfte wieder einmal in den heiligen Hallen des von mir hoch geschätzten IBM Watson IoT Tower sein. Gefolgt bin ich dabei dem Ruf der Presseabteilung von IBM München, die eingeladen hatte zu einem Pressegespräch. Thema desselben: „Sicher und flexibel – die IBM-Cloud ist fit für 2018“.

Anwesend waren neben einigen Kollegen von der Presse Yasser Eissa von IBM und Patrick Palacin vom Startup-Unternehmen TeleClinic auf München. Mit beiden durfte ich im Anschluss an die sehr lebendige Diskussionsrunde ein Videointerview führen, das mir die Gelegenheit bot, jeweils drei Fragen zu stellen.

httpss://twitter.com/mhuelskoetter/status/956104942611202049

Das Gespräch mit Yasser Eissa war geprägt vom Thema „Sicherheit & Cloud“. Genauer gesagt drehte sich unser Videochat um die Fragen, …

… was der EU Cloud Code of Conduct für Europa bedeutet- und damit auch für IBM

Da gerade in Europa das Thema Datenschutz und Datensicherheit personenbezogener Daten von enormer Wichtigkeit ist, hat es sich die IBM nicht nehmen lassen, den EU Cloud Code of Conduct (EU-CCoC) über einen Zeitraum von etwa vier Jahren aktiv mitzugestalten. Seit Februar 2017 ist diese vornehmlich für Cloud Service Provider gültige Vereinbarung in Kraft getreten. Sie regelt vor allem, wie Datensicherheit und Datenschutz innerhalb der Cloud-Umgebung des jeweiligen Anbieters sichergestellt werden soll – speziell im Hinblick auf die ab 25. Mai 2018 geltenden DSGVO.

Da mit dem EU-CCoC eine Zertifizierung einher geht (die IBM bereits vorweisen kann), können Cloud-Kunden künftig sicherstellen, dass der von ihnen infrage kommende bzw. gewählte Anbieter sämtliche Maßnahmen ergreift, die die notwendigen Sicherheitsstandards im Sinne der EU-Richtlinien gewährleisten kann.

… wie IBM die Cloud-Daten ihrer Kunden vor Zugriffen von außen schützt

Hierbei stellte Herr Eissa erst einmal klar: Die Daten der IBM-Kunden gehören den Kunden selbst, und sonst niemandem! Darüber hinaus gewährleistet IBM, dass die Daten ihrer Kunden IBM Cloud-Rechenzentren in Europa ohne deren Zustimmung nicht verlassen. Zudem hat IBM im Dezember 2017 angekündigt, dass auf das IBM Cloud-Rechenzentren in Frankfurt künftig von außerhalb der EU nicht mehr zugegriffen werden kann. Damit ist der Datenzugriff auf IBM-Mitarbeiter beschränkt, die Daten sind außerdem komplett verschlüsselt.

… wie IBM seine Kunden bei der Umsetzung der zahlreichen DSGVO-Aufgaben unterstützt

Selbstverständlich wird die IBM-Cloud „DSGVO-ready“ sein – alleine schon wegen der Zertifizierung gemäß des EU Cloud Code of Conduct. Darüber hinaus können sich IBM-Kunden in Sachen DSGVO von IBM und den zuständigen Beratungsteams komplett unterstützen lassen. Aber auch erweiternde Sicherheitsmaßnahmen können mithilfe von IBM beim Kunden implementiert und installiert werden. Und diese Angebote werden laut Herrn Eissa bereits von zahlreichen Kunden in Anspruch genommen.

Die Antworten dieser drei Fragen befinden sich auch im nachfolgenden Video. Na dann: Film ab!

CAST Analysetool Enlighten

DSGVO: Software-Hersteller sollten wissen, wie ihre Applikationen mit Daten umgehen

Ende Mai 2018 beginnt in Sachen Datenschutz eine neue Zeitrechnung. Dann tritt die europaweite, einheitliche Regelung namens DSGVO endgültig in Kraft. Diese bestimmt sehr genau, wie personenbezogene Daten verarbeitet, gespeichert und gelöscht werden müssen. Damit kommen auch auf die Anbieter von Anwendungssoftware zahlreiche Aufgaben zu, die sie bis spätestens 25. Mai 2018 erledigt haben müssen. Doch welche Regelungen umfasst die DSGVO eigentlich, wenn es um den Schutz personenbezogener Daten geht? Nun, in diesem Kontext werden fünf wesentliche Aspekte genannt:

  1. Datenübertragung
  2. Datenlöschung
  3. Meldepflicht
  4. angepasster Datenschutz
  5. technik-bezogener Datenschutz

Diese fünf DSGVO-Prinzipien haben für Anbieter von Software-Anwendungen weitreichende Konsequenzen, die sie bei der Bewertung ihrer Applikationen unbedingt berücksichtigen müssen.

So bedeutet Prinzip #1 („Datenübertragung“), dass personenbezogene Daten sehr einfach und komfortabel von einem Anbieter auf einen anderen übertragen werden können. Dies hat zur Folge, dass stets klar sein muss, an welchen Stellen eine Applikation Daten speichert und wie man diese mit einfachen Methoden zusammenfassen und speichern kann.

Software-Bewertung: An welchen Stellen werden Daten gespeichert? Wie lassen sich Daten transferieren? Wie lassen sich mehrere Datensätze eines Anwenders zu einem einzigen Datensatz zusammenfassen?  

Prinzip #2 („Datenlöschung“) wiederum besagt, dass Anwender jederzeit das Löschen ihrer Daten verlangen können, sobald die Legitimierung für das Speichern ihrer Daten entfällt. Daraus ergibt sich die Konsequenz, dass sämtliche Daten eines bestimmten Nutzers innerhalb der Anwendung gelöscht werden müssen. Das betrifft alle zentral und dezentral gespeicherte Daten.

Software-Bewertung: An welchen Stellen werden Daten gespeichert? Wie lassen sich diese rückstandsfrei löschen? Wie kann das am besten mit wenigen Handgriffen geschehen?

Das dritte Prinzip („Meldepflicht“) hat weitreichende Folgen für sämtliche Unternehmen, die in den Geltungsbereich der DSGVO fallen (und das sind so ziemlich alle). Es besagt nämlich, dass eine Firma, die Opfer eines Hackerangriffs wurde, (in dessen Zuge personengezogene Daten entwendet wurden) diesen Datenklau sofort der nationalen Aufsichtsbehörde melden müssen.

Software-Bewertung: Wie lässt sich feststellen, ob Daten abhanden gekommen sind? Welche Daten sind besonders schützenswürdig? Wie anfällig ist die Software-Applikation gegenüber möglichen Hackerangriffen? An welchen Stellen der Anwendung ist das Risiko eines Datenklaus besonders hoch?

Prinzip Nummer 4 („angepasster Datenschutz“) besagt, dass Datenschutz nicht mehr generell betrachtet werden kann, sondern den jeweiligen Risiken angepasst werden muss, denen ein Unternehmen ausgesetzt ist. Das soll sicherstellen, dass Firmen beispielsweise eine Risikobewertung ihrer gesamten IT-Infrastruktur vornehmen, um klarzustellen, dass ihnen diese Risiken bewusst sind und wie sie diese zu minimieren bzw. auszuschließen gedenken.

Software-Bewertung: Wie sicher sind die Daten innerhalb einer Anwendung? Wie hoch ist das Risiko eines Datenstörfalls? Wie lassen sich vorhandene Risiken reduzieren? An welchen Schnittstellen bestehen besondere Risiken?

Das Prinzip #5 („technik-bezogener Datenschutz“) schließlich wendet sich direkt an Software-Anbieter und -Hersteller, indem es die Einhaltung bestimmter Grundsätze fordert. So sollen Anwendungsprogramme künftig personenbezogene Daten bestmöglich schützen und diese von Anfang an nur dann verarbeiten bzw. speichern, wenn sich das überhaupt nicht vermeiden lässt. Diese zwei Ansätze sind unter den Begriffen „Privacy by Design“ und „Privacy by Default“ bekannt.

Software-Bewertung: Wie lässt sich sicherstellen, dass Software von Anfang den hohen Datenschutzanforderungen der DSGVO entspricht? Welche default-mäßigen Einstellungen sorgen für einen bestmöglichen Datenschutz? 

CAST-Analysesoftware hilft beim Bewerten der eigenen Anwendungssoftware

Bei der Beantwortung all dieser und weiterer Fragen rund um die DSGVO helfen die Analysetools von CAST, indem die Anwendungssoftware einmal vollständig auf Schwachstellen und mögliche Risiken untersucht wird. Anhand dieser Bewertung kann der Anbieter seiner Anwendungssoftware einen exakten Maßnahmenkatalog erstellen, wie er die identifizieren Sollbruchstellen eliminieren kann. Denn nur dann können Software-Hersteller sicher sein, dass ihre Produkte den Anforderungen der DSGVO entsprechen.

So lässt sich beispielsweise mithilfe des Analysetools CAST Enlighten identifizieren, wo und wie Daten verarbeitet werden. Und das mittels einer durchgängigen Visualisierung aller Transaktionen einer Anwendungen. Aber auch das Anlegen eines Registers bzw. einer Matrix aller schützenswerter Daten ist mit den CAST mühelos möglich.

CAST Analysetool Enlighten

Disclaimer: Dieser Blogbeitrag ist im Auftrag der Firma CAST entstanden, die mir bei der Ausgestaltung und Formulierung nahezu freie Hand lässt.

 

DSGVO-Studie: Lehrreiches IDC-Event zum Thema Datenschutz

Eigentlich wollte ich Freitag Morgen mit dem werten Karl Fröhlich von speicherguide.de via Skype ein Treffen vereinbaren. Am Ende des kurzen Chats stand die Einsicht, dass ich mich spontan ins Münchner Hotel „Le Meridien“ begeben sollte. Dort fand nämlich eine IDC-Veranstaltung zum Thema EU-DSGVO statt. Ein sehr spannendes Thema, in dessen Kontext IDC eine aktuelle Studie vorstellen wollte.

httpss://twitter.com/mhuelskoetter/status/918752209373925376

Und ich habe es nicht bereut, alleine schon wegen des sehr informativen und interaktiven Charakters der Veranstaltung. So wurden zunächst die Ergebnisse der Auguststudie von IDC zum Thema EU-DSGVO vorgestellt, anschließend nahmen drei Vertreter namhafter Firmen auf Hockern Platz, um sich den Fragen der IDC-Moderatorin und der anwesenden KollegInnen zu stellen.

Erkenntnis: Viele Firmen sind in Sachen DSGVO deutlich in Verzug

Das Gute an solch einer aktuellen Studie (Erhebungszeitraum: August 2017) ist deren Relevanz, denn man weiß sofort: Wenn im Rahmen der Umfrage 44 Prozent aller Probanden angaben, auf die EU-DSGVO noch nicht vorbereitet zu sein, dann wirft das ein eher erschütterndes Bild auf den aktuellen Status Quo der befragten Firmen. Und das waren genau 251 Unternehmen mit mehr als 20 Mitarbeitern, über alle Branchen hinweg.

httpss://twitter.com/mhuelskoetter/status/918753041150631936

Damit befinden sich 110 Unternehmen rund neun Monate im Verzug, was das Ergreifen der notwendigen Maßnahmen in Sachen Datenschutz betrifft. Dabei wird bereits seit Mai 2016 eine zweijährige Übergangsfrist gewährt, und trotzdem sind gerade einmal 15 Prozent (oder 38 von 251 der befragten Unternehmen) zu 100 Prozent auf die neue Datenschutzgrundverordnung vorbereitet.

Doch was ist für das hundertprozentige Erfüllen aller DSGVO-Kriterien überhaupt erforderlich? Nun, das betrifft vor allem vier Bereiche:

Organisation: Bestellung eines Datenschutzbeauftragten

Prozesse: Benachrichtigung bei Datenschutzverletzungen innerhalb von 72 Stunden

Technik: Berücksichtigung von „Privacy by Design“ und „Privacy by Default“

Recht: Gesonderte Einwilligung pro Verwendungszweck

Sieht man sich dazu die Ergebnisse der Studie an, fallen vor allem folgende Dinge auf:

„Datenschutzbeauftragter?! Damit warten wir noch ein bisschen…“

Gerade einmal 17 Prozent aller befragten Unternehmen beschäftigen (Stand heute) einen externen bzw. internen Datenschutzbeauftragten. Und das, obwohl sie allesamt zu der Bestellung eines Verantwortlichen verpflichtet wären, was sich aus der Größe der Studienteilnehmer ergibt.

httpss://twitter.com/mhuelskoetter/status/918755221865730048

„Stand der Technik?! Nun, wo sollen wir denn da anfangen?!“

Die Vielzahl an technischen Voraussetzungen in Sachen DSGVO ist derart unüberschaubar, dass wohl alleine wegen dieser enormen Komplexität zahlreiche Unternehmen wie das Kaninchen vor der Schlange stehen und mit weit geöffneten Augen starr vor Schreck ob dieser Herausforderungen im Nichtstun verharren.

httpss://twitter.com/mhuelskoetter/status/918760285170749440

„Wie sollen wir all diese notwendigen Maßnahmen umsetzen können?!“

Und sieht man sich die folgende Folie an, bekommt man eine leise Ahnung davon, warum so viele Unternehmen im DSGVO-Zeitplan ein Dreiviertel Jahr und mehr hinterher hinken. So gaben die Befragten an, vor allem hinsichtlich des Umbaus der IT-Systeme, hinsichtlich der Klassifizierung von Daten und bei der Schulung von Mitarbeitern an ihre Grenzen zu stoßen.

httpss://twitter.com/mhuelskoetter/status/918762493253750784

„Verschlüsselung?! Ja, da sind wir gerade dran…“

Doch die Studie offenbart noch weitere Schwächen in der aktuellen Umsetzung vieler Unternehmen in Sachen DSGVO. So sind zahlreiche Firmen beim Thema „Privacy by Design“ und „Privacy by Default“ deutlich hinter dem Zeitplan zurück. Es gaben mehr als 30 Prozent an, ihre Daten erst in den nächsten 12 Monaten DSGVO-konform verschlüsseln zu können, und das sowohl auf Datenbank- als auch auf Speicherebene. Zudem stellt die zweckgebundene Datenverarbeitung viele Unternehmen vor Probleme: Hier sind es fast die Hälfte, die noch keine entsprechenden Maßnahmen ergriffen haben.

Zahlreiche Rückstände in Sachen DSGVO

Exkurs: „Privacy by Design“ und „Privacy by Default“

Zwei Schlagworte, eine Forderung: Im Rahmen des europäischen Datenschutzes, der in der DSGVO geregelt ist, müssen alle betroffenen Firmen dafür sorgen, dass die zum Einsatz kommende Hard- und Software den hohen datenschutzrechtlichen Anforderungen genügt. Das bedeutet konkret, das die Unternehmenstechnik zum einen die Grundsätze der DSGVO vollständig unterstützen muss („by Design“) und zum anderen datenschutzkonforme Grundeinstellungen aufweist („by Default“).

Teil zwei der IDC-Veranstaltung: Fragen und Antworten

Im Anschluss an die Vorstellung der Studie wurden fünf Hocker aufgestellt, auf denen drei Vertreter namhafter Unternehmen Platz nahmen, die allesamt eine Menge zum Thema (Daten)Sicherheit zu sagen haben. Namentlich waren das Hans-Peter Bauer von McAfee, Tommy Grosche von Fortinet und Milad Aslaner von Microsoft. Ergänzt wurde die Runde von Matthias Zacher als IDC-Vertreter und Lynn-Kristin Thorenz, ebenfalls IDC, die für die Moderation zuständig war.

httpss://twitter.com/mhuelskoetter/status/918765799317307392

httpss://twitter.com/mhuelskoetter/status/918773663494737920

CeBIT 2017: Yasser Eissa (IBM) über kognitive Cloud-Services in Frankfurt

Während der CeBIT durfte ich dieses Videointerview mit Yasser Eissa von IBM Deutschland führen. Darin spricht er über die IBM Cloud-Highlights während der IT-Messe in Hannover, über das neue kognitive Angebot im IBM Cloud Center zu Frankfurt und was das alles mit dem deutschen und europäischen Datenschutz zu tun hat.

Ganz im Zentrum des Cloud-Auftritts von IBM stand die Cloud-Plattform IBM Bluemix, mit der sich kognitive Cloud-Anwendungen realisieren lassen. Zu den Bluemix-Partner gehörten bekannte Namen wie VMware, Materna und Bacardi, die gemeinsam Anwendungsbeispiele mit IBM Bluemix auf der CeBIT 2017 demonstrierten.

IBM Bluemix ist im IBM Cloud-Center in Frankfurt verfügbar

Aber auch über eine Neuheit konnte Yasser Eissa berichten: So sind ab sofort aus dem IBM Cloud-Center in Frankfurt am Main heraus IBM Bluemix-basierte Public Cloud-Services verfügbar. Damit folgt IBM zahlreichen Anfragen seitens deutscher Kunden, die sich IBM Bluemix auch auf deutschem Boden gewünscht haben.

Das hat natürlich vor allem mit den strikten Datenschutzregeln zu tun, mit denen vor allem deutsche Unternehmen konfrontiert werden, wenn sie Cloud-Dienste à la IBM Bluemix nutzen wollen. Dazu zählen unter anderem IBM-Kunden aus dem Banken-, Versicherungs- und dem öffentlichen Bereich.

In diesem Zusammenhang wies Yasser auch drauf hin, dass IBM erst kürzlich den EU Cloud Code of Conduct unterzeichnet hat, und das im ersten Schritt für die Bluemix Infrastructure Services. Weitere Dienste sollen folgen. Das ist vor allem für die bevorstehende EU-Datenschutzgrundverordnung ein wichtiger Schritt, die Mai 2018 in Kraft treten wird.