In deutschen Unternehmen gibt es einen Bereich, in dem Datenverarbeitung immer gleichbedeutend mit der Verarbeitung personenbezogener Daten ist: Human Resources. Denn Personaldaten haben definitionsgemäß stets einen Personenbezug und weisen damit in den meisten Fällen einen erhöhten Schutzbedarf auf.
Personaldaten: DSGVO diktiert die Regeln
Selbstverständlich sind personenbezogene Daten nicht erst seit Inkrafttreten der Datenschutzgrundverordnung angemessen zu schützen. Bereits das Bundesdatenschutzgesetz (alt) formulierte konkrete Regeln für den Umgang mit personenbezogenen Daten, die auch unter der DSGVO weiter Bestand haben:
- Rechtsgrundlage zur Datenverarbeitung ist erforderlich
- Daten dürfen nicht unbegrenzt gespeichert werden
- Verarbeitung der Daten darf nur für den beabsichtigten Zweck erfolgen
- Datenschutzverletzungen sind meldepflichtig
- Daten sind angemessen zu schützen
Doch darüber hinaus fordert die DSGVO bei Zuwiderhandlungen empfindliche Strafen – vorgesehen sind Geldbußen von bis zu 20 Millionen Euro oder vier Prozent des weltweit erzielten Jahresumsatzes [1]. Besonders heikel: Pflichtverletzungen im Datenschutzbereich können Geschäftsführer und Vorstände persönlich ersatzpflichtig machen; diese haften dann gegebenenfalls auch mit ihrem Privatvermögen [2]. In Extremfällen können sogar Gefängnisstrafen verhängt werden [3]. Viele Unternehmen setzen daher auf vermeintlich sichere Storage-Angebote wie beispielsweise digitale Datenräume.
Risiko: Privilegierter Zugriff
Doch selbst, wenn die üblichen »technischen und organisatorischen Maßnahmen« zum Schutz der Daten getroffen werden, bleibt ein nicht zu unterschätzendes Restrisiko. Dieses Risiko besteht selbst dann, wenn die personenbezogenen Daten in einem virtuellen Datenraum oder einer Business Cloud abgelegt sind. Denn gerade organisatorische Maßnahmen wie etwa sorgfältig durchdachte Rechte- und Rollenkonzepte lassen sich mit verhältnismäßig überschaubarem Aufwand umgehen. Darüber hinaus können sich Administratoren in der Regel privilegierten Zugriff zu den Servern verschaffen und vertrauliche Daten einsehen, manipulieren oder entwenden. Das aber bringt die Verantwortlichen in Bedrängnis, denn diese haben die Integrität der Daten sicherzustellen.
Abhilfe durch Technik?
Um personenbezogene Daten wie Personaldaten vor Einsicht, Manipulation oder Verlust zu schützen, braucht es eine technische Lösung, die jeglichen – auch privilegierten – Zugriff zuverlässig unterbindet. Herkömmliche Public-Cloud-Angebote können diese Anforderung in der Regel nicht erfüllen. Sogar viele Business Clouds tun sich schwer, unerwünschte Datenzugriffe wirkungsvoll zu unterbinden – die meisten klassischen Server-Infrastrukturen sehen privilegierte Admin-Zugänge vor, beispielsweise zu Wartungs- oder Monitoring-Zwecken.
Einen besseren Ansatz verfolgen betreibersichere Infrastrukturen [4]: Hier wurden die organisatorischen Schutzmaßnahmen ausnahmslos durch technische Maßnahmen ersetzt, die sich auch mit hohem Aufwand nicht umgehen lassen. Die Server sind hermetisch abgeriegelt, ein privilegierter Admin-Zugriff ist nicht vorgesehen – eine Kenntnisnahme vertraulicher Daten ist ebenso ausgeschlossen wie Diebstahl und Manipulation. Das gilt nicht nur für Administratoren, sondern für alle externen und internen Angreifer.
Unternehmen, die zur Speicherung und Verarbeitung vertraulicher und personenbezogener Daten auf betreibersichere Cloud- und Datenraum-Angebote setzen, sind damit rechtlich auf der sicheren Seite. Stehen die Server noch dazu in einem EU-Land mit besonders hohem Datenschutzniveau wie etwa Deutschland, schafft dies zusätzlich Vertrauen. Die passenden Zertifikate erleichtern den Verantwortlichen überdies die Erfüllung ihrer Rechenschaftspflichten [5].
________________________________________
[1] https://dsgvo-gesetz.de/art-83-dsgvo/
[2] https://www.rosepartner.de/geschaeftsfuehrerhaftung-datenschutzrecht.html
[3] https://diligent.com/wp-content/uploads/2017/11/WP0032_US_The-GDPR-Checklist-for-Directors.pdf
[4] https://de.wikipedia.org/wiki/Sealed_Cloud
[5] https://dsgvo-gesetz.de/art-5-dsgvo/
Betreibersichere Infrastrukturen sind eine noch recht junge Alternative zu herkömmlichen Cloud-Infrastrukturen und werden wegen ihres hohen Datenschutzniveaus seit einigen Jahren zunehmend im geschäftlichen Umfeld eingesetzt. Dazu zählen unter anderem die versiegelte Cloud der Deutschen Telekom und die Sealed Platform der TÜV SÜD-Tochter Uniscon GmbH.
CLOUD COMPUTING | IT-SECURITY | SERVICES | AUSGABE 3-4-2015
Sealed Cloud – Big Data mit Datenschutz
Big Data verheißt Transparenz und Einsicht in Geschäftsvorgänge: Wenn Unternehmen Massendaten systematisch auswerten können, bedeutet das oft einen erheblichen Wettbewerbsvorteil. Doch wo bleibt der Datenschutz? Eine Frage, die bei Kundendaten hohe Brisanz hat. Wer darauf eine befriedigende Antwort finden will, sollte aktuellen Entwicklungen in der IT-Sicherheitstechnologie seine besondere Aufmerksamkeit schenken.
NEWS | STRATEGIEN | TIPPS
Gebrauchtsoftware: Hohes Einsparpotenzial für Unternehmen
Wie Unternehmen vom An- und Verkauf von Gebrauchtsoftware profitieren. Der Handel mit gebrauchter Software ist nicht neu. Aber immer noch muss die kostengünstigere Alternative zu Neulizenzen um Akzeptanz buhlen. Vor allem SaaS-Lösungen lassen das Thema Second Hand überholt erscheinen. Dabei spart der Einsatz von Gebrauchtsoftware Unternehmen bis zu 70 Prozent ihrer jährlichen IT-Kosten. Die Relicense…
AUSGABE 5-6-2019 | NEWS | BLOCKCHAIN | BUSINESS
Gebrauchte Software im Unternehmen – Mehr Sicherheit durch Blockchain?
AUSGABE 5-6-2019 | NEWS | BLOCKCHAIN | STRATEGIEN
Die zweite Stufe der Digitalisierung: Blockchain – eine der drei globalen Mega-Innovationen
Der Begriff der Blockchain zirkuliert nun schon seit mehr als zehn Jahren in der Öffentlichkeit und spätestens seit den Kurssprüngen von Bitcoin und anderen Währungen im Jahr 2017 ist das Thema auch der Masse der Bevölkerung ein Begriff. Blockchain ist so viel mehr als nur Bitcoin oder Kryptowährungen. Genauso wie das Internet mehr ist als nur Amazon. Bitcoin ist nur eine Anwendung auf der Blockchain.
NEWS | BLOCKCHAIN | BUSINESS | FAVORITEN DER REDAKTION | IT-SECURITY | WHITEPAPER
Blockchain: BSI untersucht Sicherheitseigenschaften
Spätestens der finanzielle Höhenflug der Kryptowährung Bitcoin im Jahr 2017 hat dazu geführt, dass auch außerhalb der Fachwelt über die Blockchain diskutiert wurde. Diese Technologie zur verteilten Datenhaltung bietet die Möglichkeit, durch eine dezentrale Struktur die Manipulation von Daten rein technisch zu verhindern, größtmögliche Transparenz zu bieten und Intermediäre in Geschäftsprozessen zu ersetzen. Nachdem…
NEWS | E-COMMERCE | GESCHÄFTSPROZESSE | IT-SECURITY | TIPPS
Online-Zahlungsdienste: Wann ist »sicher« sicher genug?
Banken und Finanzdienstleister müssen ihre Transaktionsdienste ab September 2019 durch Verschlüsselung und Zwei-Faktor-Authentifizierung absichern. Doch um sensible Daten zuverlässig zu schützen, sollten Unternehmen mehr tun als das. Online bezahlen war noch nie so einfach: Die EU-Richtlinie PSD2 (»Payment Services Directive 2«) mischt bereits seit Anfang 2018 die Payment-Branche auf. Sie erlaubt Unternehmen, auf Daten…
TRENDS 2019 | NEWS | BLOCKCHAIN
Ist Blockchain ein kurzlebiger Trend?
Die Hälfte der deutschen Unternehmen sehen die Blockchain nicht als »Game Changer«. Rund 50 Prozent aller hierzulande im Zuge einer Erhebung Befragten glauben, dass die Blockchain-Technologie keinen tiefgreifenden Umbruch mit sich bringen wird. Dementsprechend schleppend läuft auch die Umsetzung zugehöriger Projekte: Zwei Drittel der Studienteilnehmer in Deutschland gaben an, dass ihr Unternehmen noch keine relevanten…
TRENDS 2019 | TRENDS WIRTSCHAFT | NEWS | TRENDS INFRASTRUKTUR | BUSINESS | TRENDS KOMMUNIKATION | INFRASTRUKTUR | KOMMUNIKATION | SICHERHEIT MADE IN GERMANY
Deutsche Wirtschaft ist Blockchain-Nachzügler
Nur zwei Prozent der für eine Bitkom-Research-Analyse befragten Unternehmen arbeiten mit Blockchain-Anwendungen – lediglich bei großen Unternehmen ab 500 Mitarbeitern wird der Anteil zweistellig. Diejenigen deutschen Unternehmen, die sich intensiv mit der Blockchain auseinandersetzen oder diese bereits einsetzen, sehen sich zwar generell als Vorreiter auf diesem Gebiet, sind aber der Meinung, dass Deutschland insgesamt ein…
TRENDS 2019 | TRENDS SECURITY | NEWS | BLOCKCHAIN | BUSINESS | BUSINESS PROCESS MANAGEMENT | EFFIZIENZ | GESCHÄFTSPROZESSE | INFOGRAFIKEN | IT-SECURITY | SERVICES
Studie: Deutschland ist bei der Blockchain aktuell nur Mittelmaß
Im internationalen Vergleich sieht jedes zweite Unternehmen Deutschland als Nachzügler. Blockchain-Technologie bietet enormes Potenzial. Bitkom veröffentlicht zur hub.berlin Studienbericht zum Blockchain-Einsatz in der deutschen Wirtschaft. Blockchain ist eine relativ junge Technologie, die besonders in der Logistik, im Verkehrswesen oder von Banken getestet wird. Die deutsche Wirtschaft sieht sich bei der Blockchain allerdings bereits…
NEWS | BLOCKCHAIN | CLOUD COMPUTING | IT-SECURITY
Die perfekte Ergänzung zur Blockchain
Alle reden von der Blockchain: Seit dem beispiellosen Boom der Kryptowährung »Bitcoin« Ende 2017 ist die Technologie in aller Munde. Doch folgt auf den Hype nun die große Ernüchterung? Nachdem Experten der Blockchain-Technologie zunächst eine schillernde Zukunft ausgemalt hatten – nicht unbedingt als Kryptowährung, sondern vielmehr als Verfahren, um etwa Transaktionen abzusichern – mehren sich…
TRENDS WIRTSCHAFT | NEWS | BUSINESS | TRENDS 2018
Deloitte Technology Fast 50: Das sind Deutschlands Senkrechtstarter in Sachen Technologie
Foto: Deloitte Sie helfen Unternehmen, die richtigen Mitarbeiter zu finden, revolutionieren das Performance-Marketing oder machen die Cloud sicher – und sind dabei extrem erfolgreich. Bereits zum 16. Mal hat Deloitte die am schnellsten wachsenden Unternehmen der Tech-Branche ausgezeichnet. Wer über erfolgreiche Tech-Unternehmen spricht, denkt heutzutage viel zu schnell ans Silicon Valley oder an Shenzhen.…
NEWS | BUSINESS | CLOUD COMPUTING | IT-SECURITY | KOMMENTAR | RECHENZENTRUM | SERVICES
Unternehmen in der Cloud – und wo bleibt der Know-how-Schutz?
Sobald die EU-Mitgliedsstaaten die Know-how-Schutz-Richtlinie umgesetzt haben, müssen Unternehmen angemessene Maßnahmen zum Schutz von Geschäftsgeheimnissen vornehmen. Zählt dazu auch die Wahl des Cloud-Providers? Ziel der Richtlinie 2016/943 ist ein einheitlicher Mindestschutz für Geschäftsgeheimnisse in Europa – doch was ändert sich damit? Und was hat die Wahl eines sicheren Cloud-Dienstes damit zu tun? Die Richtlinie…