Cyren Security Blog

Was DSGVO-Compliance für Sie bedeutet

von John Callon

Security Research & Analysis

Am 25. Mai 2018 trat die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union in Kraft. Einer der Zwecke dieser neuen Verordnung besteht darin, personenbezogene Daten von EU-Bürgern besser zu schützen. Falls Sie in den letzten zwei Jahren in der IT-Abteilung eines Unternehmens in der EU gearbeitet haben, werden Ihnen diese fünf Buchstaben bestimmt untergekommen sein.

Wir bei Cyren wissen mehr als die meisten anderen um diese Probleme. Wir betreiben seit vielen Jahren Cloudsicherheits-Datenzentren in der EU. Wir erkennen aber immer mehr, dass es signifikante Unterschiede darin gibt, wie Anbieter die DSGVO implementieren – ein Thema, mit dem Sie sich eingehender befassen sollten.

Die DSGVO macht die Beziehungen zwischen SaaS-Anbietern und Kunden komplizierter

Der Schutz personenbezogener Daten hat für verschiedene Personen und Organisationen unterschiedliche Bedeutung. Für DSGVO-Zwecke bedeuten personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen und mit denen diese direkt oder indirekt identifiziert werden kann. Neben offensichtlichen Daten wie einer E-Mail-Adresse kann dies u. a. Ortsdaten oder auch Online-Kennungen umfassen. Für den Schutz dieser Daten sind Datenverantwortliche (für die Zwecke dieser Abhandlung in der Regel Organisationen, die im Besitz von Daten in Bezug auf ihre Mitarbeiter sind) und Datenauftragsverarbeiter (in der Regel die Anbieter oder Serviceprovider, die die Daten für die Datenverantwortlichen verarbeiten) zuständig. Die DSGVO erfordert, dass Datenauftragsverarbeiter Daten nur in Übereinstimmung mit den Anweisungen und der Erlaubnis des Verantwortlichen verarbeiten. Diese neue Verordnung stellt in der Tat komplizierte Herausforderungen sowohl für Datenverantwortliche als auch Auftragsverarbeiter dar.

Wo werden Ihre Daten nach dem 25. Mai aufbewahrt?

Hier der kritische Punkt: Die DSGVO schreibt NICHT vor, dass personenbezogene Daten in der EU aufbewahrt werden. Sie verlangt von Auftragsverarbeitern vielmehr, den Verantwortlichen darüber zu informieren, wo die Daten verarbeitet werden, und die Zustimmung des Datenverantwortlichen dazu anzufordern. Manche Auftragsverarbeiter haben viel Zeit und Arbeit in die Änderung ihrer Infrastruktur, Services und Workflows investiert, um zu gewährleisten, dass personenbezogene Daten in der EU verarbeitet werden. Andere, die nicht in der Lage (oder nicht gewillt) sind, diese Anpassungen vorzunehmen, benachrichtigen ihre Datenverantwortlichen lediglich, dass sie Daten an Orte außerhalb der EU senden, und bitten die Datenverantwortlichen um deren Zustimmung. In beiden Fällen sind angemessene Sicherheitsmaßnahmen zum Schutz personenbezogener Daten erforderlich. Wir stellen fest, dass es einen großen Unterschied zwischen dem gibt, was Unternehmen sich unter „DSGVO-Compliance“ vorstellen und dem, was sie letztendlich erhalten.

Die DSGVO behandelt verschiedene Länder nicht gleich. Die Verordnung definiert verschiedene Regionen:

  1. Zunächst wäre da der Europäische Wirtschaftsraum (EWR). Daten in diesen Ländern unterliegen den EU-Datenschutzvorschriften und können daher innerhalb des EWR übertragen werden, ohne dass zusätzliche Sicherheitsmaßnahmen vorgeschrieben sind.  Manche Organisationen ziehen es aber weiterhin vor oder verlangen, dass Daten in ihrem jeweiligen Land bleiben. 
  2. Die zweite Stufe sind Länder (wie Kanada und Israel), die laut EU-Kommission einen angemessenen Schutz und dadurch zusätzliche Sicherheitsmaßnahmen für die Datenübertragung bieten (d. h. US-EU Privacy Shield oder EU-Standardvertragsklauseln müssen nicht implementiert werden). 
  3. Die dritte Stufe sind Länder (wie die USA und China), die der Verordnung zufolge keinen angemessenen Schutz bieten. Um Daten in diesen Ländern zu verarbeiten, müssen zusätzliche Maßnahmen implementiert werden wie z. B. US-EU Privacy Shield, bindende Unternehmensvorschriften oder EU-Standardvertragsklauseln. 

Wer greift auf Ihre Daten zu?

Für die DSGVO geht es bei der Datenverarbeitung nicht nur um den Ort, an dem die Daten gespeichert werden. Sie betrifft auch die Standorte der Personen, die auf die Daten zugreifen (denn der Zugriff auf die Daten wird als „Verarbeitung“ betrachtet). Bei der Arbeit mit einem SaaS-Anbieter müssen Sie sich daher die folgenden Fragen stellen:

  • Wo befindet sich das Supportteam und wer kann personenbezogene Daten während des Supportprozesses anzeigen oder erhalten? 
  • Wo befinden sich die Entwicklungsmitarbeiter, die auf Produktionsdaten zugreifen können? 
  • Wo befinden sich Unterauftragsverarbeiter? Unterauftragsverarbeiter sind Dienstanbieter, die Ihr SaaS-Anbieter für Zwecke wie Datenbereinigung oder Kontorecherchen nutzt. Diese Gruppen können personenbezogene Daten anderen Dritten (z. B. einem Supportservice, der von einem Auftragnehmer oder einem cloudbasierten CRM-System bereitgestellt wird) gegenüber exponieren. 

Was sind Ihre Ziele hinsichtlich der DSGVO-Compliance?

Ich habe versucht, die oben angegebenen Definitionen zu vereinfachen. Die Frage bleibt aber: Was versuchen Sie in puncto DSGVO für Ihre Organisation zu erreichen?

Wenn andere mir diese Frage stellen, meinen sie in der Regel: Bleiben meine Daten in der EU? Das ist nämlich das Ergebnis, das sie sich bezüglich der DSGVO am meisten wünschen. Der Grund dafür, dass sie die Daten in der EU halten, ist auf zwei grundlegende Anliegen zurückzuführen:

  1. Mangelndes Vertrauen in die Sicherheitsbehörden von Ländern außerhalb der EU 
  2. Der Glaube, dass an anderen Orten ohne angemessene Vorschriften die Daten nicht sicher genug sind 

Daher gilt: Selbst wenn sich ein US-basierter Auftragsverarbeiter nach dem Privacy Shield Framework zertifizieren lässt und die Daten diesem Rahmenwerk entsprechend überträgt, bedeutet das trotzdem, dass die Daten in die USA übertragen werden, und genau das versuchen viele Leute zu vermeiden.

Die DSGVO ist für Dienstanbieter nicht zu unterschätzen

Aus Sicht eines Dienstanbieters ist das Ziel, personenbezogene Daten ganz in der EU zu belassen, nicht einfach zu erfüllen. Ich werde Cyren als Beispiel verwenden. Im vergangenen Jahr bestand ein großer Teil der Arbeit der Forschungs- und Entwicklungs-, Detektions-, Cloud Operations- und IT-Abteilungen von Cyren in der Schaffung der korrekten Infrastruktur, mit der wir personenbezogene Daten für eine Reihe unserer Serviceangebote in der EU belassen können. Das ist aufgrund der globalen Cloud-Infrastruktur sowohl für Bedrohungsdetektions- als auch Internet- und E-Mail-Sicherheitslösungen eine komplizierte Aufgabe. Das Ziel war klar: bestätigen zu können, dass Cyren die personenbezogenen Daten unserer Kunden in der EU verarbeitet.

Helfen Ihre Dienstanbieter Ihnen, Ihre DSGVO-Ziele zu erfüllen?

Wenn Sie Ihre Ziele in puncto DSGVO-Compliance bestimmt haben, sollten Sie prüfen, was jeder Ihrer Dienstanbieter und Lieferanten hinsichtlich deren DSGVO-Compliance bieten kann und wie Sie von ihnen unterstützt werden können.

Um zu erklären, wie präzise wir (als Auftragsverarbeiter) sind, entwickelten wir in unserer DPA eine Tabelle mit all unseren Produkten und Dienstleistungen und spezifizierten genau, welche Verarbeitung personenbezogener Daten wir in jedem Bereich durchführen. Manche Dienstleistungen werden vollständig in der EU bereitgestellt, andere in den USA und wieder andere in der EU, doch kann der Tier 3- oder Tier 4-Support in einem anderen, angemessenen Rechtsgebiet stattfinden. Wenn Supportpersonal Zugang zu den personenbezogenen Daten der Benutzer hat (E-Mail-Adresse allein reicht aus, um dieser Definition zu entsprechen), dann ist der Standort des Supportteams von Bedeutung. Der Auftragsverarbeiter ist dafür verantwortlich, die korrekte Erklärung hinsichtlich des Datenverarbeitungsorts bereitzustellen.

Das wirkliche Ziel ist der Datenschutz

Die Arbeit von Cyren in Bezug auf die DSGVO betraf auch viele individuelle Merkmale in unseren Services, die die Bemühungen unserer Kunden zum Schutz der Privatsphäre ihrer Mitarbeiter unterstützen. Als Beispiel haben wir unser Administrator-Berechtigungsmodell ausgeweitet und die Rolle eines Data Guardian (Datenschützer) geschaffen. Nur Administratoren mit dieser Berechtigung können die tatsächlichen Namen der Benutzer in Berichten sehen. Die anderen Administratoren sehen nur unleserliche Namen. Dies ergänzt eine ähnliche Berechtigung, die die Daten von Benutzern in unserem E-Mail-Archivierungsservice schützt und nur einen der vielen Wege darstellt, wie wir den Anforderungen unserer Kunden entgegenkommen.

Es gibt natürlich weitere Anforderungen und wir mussten zusätzliche Entwicklungsmaßnahmen implementieren, um die DSGVO zu unterstützen. Dabei steht stets eine Frage an erster Stelle: Was bedeutet DSGVO-Compliance für Sie?

Lesen Sie mehr darüber, wie Cyren Ihnen helfen kann, Ihre DSGVO-Compliance-Bemühungen zu vereinfachen.

Die Informationen auf dieser Website dienen nur für allgemeinen Informationszwecken und sind nicht als juristische Ratschläge gedacht. Die bereitgestellten Informationen und Materialien sind allgemeiner Art und gelten evtl. nicht für spezifische Sachlagen oder rechtliche Umstände. Nichts auf dieser Website soll die Beratung durch einen Rechtsanwalt ersetzen. Falls Sie Rechtsberatung benötigen, wenden Sie sich daher bitte an einen kompetenten, für Ihr Rechtsgebiet lizenzierten Anwalt.

Zurück