Fazit: 1 Jahr Datenaustausch und DSGVO

Im vergangenen Jahr im Mai ist die Übergangsfrist für die lange erwartete EU-Datenschutzgrundverordnung (EU-DSGVO) abgelaufen. Damit ist ein Regelwerk in Kraft getreten, das sich inzwischen zum zentralen Dreh- und Angelpunkt für Unternehmen entwickelt hat, wenn es um Datenaustausch und DSGVO geht. Unternehmen, die Daten von EU-Bürgern erfassen, speichern, verarbeiten oder übertragen, sind gesetzlich dazu verpflichtet, die DSGVO einzuhalten. Darunter fallen beispielsweise Kundendaten, Namen, Telefonnummern, E-Mail-Adressen oder andere Daten, mit denen Personen identifiziert werden können.

Gut ein Jahr nach ihrer Einführung haben die Datenschutzbehörden jede Menge zu tun. Wie im Juli 2019 bekannt wurde, fordert beispielsweise die britische Datenschutzbehörde wegen einer Datenpanne bei Onlinebuchungen 2018 ein Millionenbußgeld von über 2 Millionen Euro von der Fluggesellschaft British Airways. Bei einem Angriff hatten Cyberkriminelle im Jahr 2018 persönliche Daten und Kreditkarteninformationen inklusive Sicherheitscodes von Passagieren abgegriffen. Rund 500.000 Kunden waren davon betroffen. Nach Ansicht der britischen Datenschutzbehörde ICO (Information Commissioner´s Office) geschah dies, weil die Sicherheitsvorkehrungen der Airline zu schwach waren. Die Datenschutzbeauftrage des ICO, Elisabeth Denham, äußerte sich ganz klar zu diesem Fall: „Persönliche Daten von Menschen sind genau das – persönlich. Wenn eine Organisation sie nicht vor Verlust, Schaden oder Diebstahl schützen kann, ist das mehr als eine Unannehmlichkeit. Deshalb ist das Gesetz eindeutig – wenn Sie mit personenbezogenen Daten betraut sind, müssen Sie sich darum auch kümmern. Diejenigen, die das nicht tun, werden von meiner Behörde überprüft.“

Aber auch der US-Hotelkette „Marriott“ hat in den Augen der Behörden zu wenig für den Datenschutz getan; um ihre Computersysteme ausreichend zu sichern. Im November 2018 musste sich das Unternehmen ein massives Datenleck eingestehen, über das Hacker an Informationen zu 383 Millionen Gästen gelangt war. Dabei wurden 5,25 Millionen Ausweisnummern und 385.000 gültige Zahlungskartennummern ausspioniert.

Aber man kehrt am besten vor seiner eigenen Tür: In Baden-Württemberg wurde ein Bußgeld über 50.000 Euro gegen eine Bank verhängt, die unbefugt Daten ehemaliger Kunden verarbeitet hatte.

Nach wir vor sind die Verunsicherung und Verwirrung bei den Bürgern, aber auch bei Unternehmen groß. Auch wenn die nun geltenden Vorschriften mitunter paradoxe Fälle hervorzaubern – erinnern wir uns nur einmal an die Überlegung von „Bild“ und dem Eigentümerverband Haus & Grund, ob es im Zuge der DSGVO ggf. irgendwann aus datenschutzrechtlichen Gründen notwendig sei, dass man alle Klingelschilder abmontiert – steht eigentlich der Schutz sensibler Daten im Fokus. Und den sollte man keinesfalls außer Acht lassen. Denn vorrangig geht es darum, das Recht des Einzelnen zu wahren und zu schützen.

 

Die DSGVO hat das Sicherheitsbewusstsein verbessert

Durch die DSGVO steht der Schutz sensibler Daten mehr denn je im Vordergrund. Die darin verankerten Grundsätze rufen dazu auf, präventive Maßnahmen zu treffen; um genau diesen Schutz umfassend zu gewährleisten. Dadurch sollen Risiken im Datenmissbrauch deutlich minimiert werden. Durch Konzepte wie Privacy by Design, Standardisierung und Zertifizierung verlagern die datenschutzrechtlichen Anforderungen verstärkt auf die technische Ebene. Unternehmen sollten die DSGVO als Chance nutzen, um ihre Daten zu konsolidieren und damit auch interne Abläufe nachhaltiger zu steuern. Datenschutzrechtliche Anforderungen, die auf gewissen Standards und Zertifizierungen basieren, sowie die entsprechenden Nachweise zur Datenverarbeitung führen inzwischen bereits dazu, dass die mit der Datenverarbeitung verbundenen Risiken besser eingeschätzt und kontrolliert werden können. Und genau das ist ein guter Nährboden für datengetriebene Geschäftsmodelle und die weiter voranschreitende Digitalisierung.

Die DSGVO hat folgende Veränderungen erwirkt:

Räumlicher Anwendungsbereich

Die DSGVO kommt immer dann zum Einsatz, wenn eine Niederlassung in der EU personenbezogene Daten verarbeitet. Hier spielt der Ort, an dem die Daten verarbeitet werden, keine Rolle, sondern entscheidend ist der Ort, an dem die Niederlassung ihren Sitz hat.
(Art. 3 Absatz 1 DSGVO).

Datenaustausch im Konzern

Obwohl es auf den ersten Blick nicht so aussieht, erleichtert die DSGVO den Datenaustausch in Konzernen. Denn die DSGVO besagt, dass die Datenverarbeitung zur Wahrung berechtigter Interessen von Verantwortlichen oder eines Dritten erlaubt sind, sofern die Interessen der Betroffenen nicht überwiegen (Art. 6 DSGVO).

>>> Datenschutzproblematik bei internationalen Konzernen

In herkömmlichen Unternehmen ist die Rang- und Entscheidungsfolge sehr klar geregelt. Fast schon pyramidenähnlich sitzt ganz oben der Chef und darunter angeordnet – je nach ihren Bereichen – die Mitarbeiter. Wird ein Unternehmen zum Konzern, ändert sich allerdings oft diese Aufteilung. In vielen Fällen führen internationale Konzerne gewisse Kompetenzen in ausgewählten Konzerngesellschaften zusammen. Dieses Vorgehen ist auf der einen Seite zwar effektiv, bringt auf der anderen Seite jedoch gerade beim Datenschutz große Herausforderungen. In der Praxis bedeutet das gerade bei Projekten, die mehrere Bereiche betreffen, dass beispielsweise ein Projektmanager in einem anderen Unternehmen tätig ist sein kann, als sein disziplinarischer Vorgesetzter. Um den schnellen Erfolg und die Effizienz dieser Projekte zu garantieren, kommt es auf dieser Art und Weise zu einem permanenten Austausch von personenbezogenen (Mitarbeiter-)Daten. Rechtlich wasserdicht ist dies nur, wenn die „Voraussetzung einer Erlaubnisnorm“ gegeben ist, die das rechtliche Interesse belegt. Generell muss jedoch immer eine Interessensabwägung zwischen den Rechten der Betroffenen (Mitarbeiter) und denen des Konzerns stattfinden. Im sogenannten „Erwägungsgrund 48“ der EU-DSGVO ist im Rahmen von internen Verwaltungszwecken geregelt, dass auch Konzerne berechtigtes Interesse zur Nutzung von Daten haben können. Hier muss jedoch immer geprüft werden, ob nicht ein milderes Mittel gleich effektiv ist. Ist dies nicht der Fall, muss die Begründung für die Datenübermittlung entsprechend dokumentiert werden.

 „Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln. […]“

>>> Schutzmaßnahmen des Konzerns

Werden Daten konzernintern genutzt, sind bestimmte Schutzmaßnahmen zu treffen. Dazu zählen auch umfangreiche technische und organisatorische Maßnahmen (wie z.B. ein Datenschutz-Managementsystem und ein Information Security Management System, kurz ISMS genannt). Außerdem müssen die Grundsätze der Datenverarbeitung durch eine konkrete Umsetzung beachtet werden (Artikel 5 und 6 DSGVO). Darüber hinaus regelt der Artikel 12 bis 14 DSGVO die transparente Darstellung, inwiefern die personenbezogenen Daten übermittelt werden. Ein hohes Maß an Sicherheit der Verarbeitung gibt außerdem der Art. 32 DSGVO vor. Darüber hinaus wird verlangt, dass konzerninterne Richtlinien zum Datenschutz oder auch konzerninterne Datenschutzverträge wie z.B. die Binding Corporate Rules oder die Intra-Group Data Transfer Agreements geschaffen und eingesetzt werden.

Außerdem muss die Verwendung der Mitarbeiterdaten mit einem entsprechenden Passus auch im Arbeitsvertrag geregelt sein. Werden gewisse Tätigkeiten zentralisiert, macht es Sinn, diese im Zuge der Transparenz hervorzuheben. Bestehende Arbeitsverträge lassen sich einfach um entsprechende Paragraphen erweitert. Bevor dies geschieht, müssen allerdings die konzerninternen Datenströme, die relevant sind, eruiert und festgeschrieben werden.

§ 1 Präambel
Dieser Arbeitsvertrag wird zwischen dem Arbeitnehmer und dem Arbeitgeber geschlossen. Bei dem Arbeitgeber handelt es sich um ein Unternehmen der XXX Unternehmensgruppe. Bestimmte Dienste, wie etwa IT-Service-Dienstleistung, …. werden durch die XXX Gesellschaft zentralisiert durchgeführt.

Fakt ist jedoch, dass trotz aller Auflistungen und Ergänzungen die Prüfung des Einzelfalles niemals außer Acht gelassen werden sollte.

Datenübermittlung an Drittländer

Eine Datenübermittlung an Drittländer oder an internationale Organisationen regeln die Artikel 44 bis 50 DSGVO. Die Datenübermittlung ist z.B. dann erlaubt, wenn die EU-Kommission für dieses Drittland einen sogenannten Angemessenheitsbeschluss erlassen hat. Dieser attestiert, dass in dem Drittland ein angemessenes Datenschutzniveau herrscht. Aktuell hat die EU-Kommission dies für folgende Länder anerkannt:

  • Andorra
  • Argentinien
  • Kanada
  • Faroer Inseln
  • Guernsey
  • Israel
  • Isle of Man
  • Jersey
  • Neuseeland
  • Schweiz
  • sowie Uruguay

Ist dies nicht der Fall, dürfen personenbezogenen Daten dennoch übermittelt werden, wenn ausreichende Garantien für ein angemessenes Datenschutzniveau gegeben sind und den betroffenen Personen wirksame und durchsetzbare Rechte und Rechtsbehelfe zur Verfügung stehen.

Darunter zählen:

  • Genehmigte Zertifizierungsmechanismen nach Artikel 42 DSGVO, zusammen mit einer rechtsverbindlichen und durchsetzbaren Verpflichtung des Verantwortlichen, die geeigneten Garantien anzuwenden
  • Sogenannte Binding Corporate Rules Artikel 47 DSGVO, also genehmigte und verbindliche interne Datenschutzvorschriften
  • Genehmigte Verhaltensregeln nach Artikel 40 DSGVO, zusammen mit einer rechtsverbindlichen und durchsetzbaren Verpflichtung des Verantwortlichen, die geeigneten Garantien anzuwenden
  • Genehmigte Standardschutzklauseln
  • EU-Standardschutzklauseln

In diesen Fällen ist keine gesonderte Genehmigung der Datenübermittlung durch die Aufsichtsbehörden erforderlich. Mit Zustimmung der Aufsichtsbehörde kann eine Datenübermittlung erfolgen, wenn entsprechende Vertragsklauseln vereinbart wurden.

Basierend auf Artikel 49 DSGVO kann eine Datenübermittlung in einem Drittland außerdem u.a. auf folgenden Grundlagen basieren:

  • Ausdrückliche Einwilligung der betroffenen Person nach umfassender Information über die Risiken
  • Datenübermittlung zur Erfüllung eines Vertrages mit dem Verantwortlichen oder zur Durchführung vorvertraglicher Maßnahmen auf Antrag der betroffenen Person
  • Datenübermittlung zum Zwecke des Abschlusses oder der Erfüllung eines von dem Verantwortlichen im Interesse der betroffenen Person geschlossenen Vertrages
  • Datenübermittlung zur Geltendmachung, Ausübung oder der Verteidigung von Rechtsansprüchen

In diesen Fällen ist nach Artikel 49 Absatz 6 DSGVO im Verzeichnis der Verarbeitungstätigkeiten ausdrücklich zu dokumentieren, mit welchen Risiken die Datenübermittlung behaftet ist und welche Garantien zur Herstellung eines angemessenen Datenschutzes im Drittstaat getroffen wurden. Nach Artikel 49 Absatz 5 DSGVO können die EU oder Mitgliedstaaten ausdrückliche Beschränkungen bei der Übermittlung bestimmter Kategorien von Daten an Drittländer vorsehen.

Auftragsdatenverarbeitung

Wenn ein Auftragsverarbeiter auf Basis eines eigenständigen Vertrages in Verbindung mit einer entsprechenden Beauftragung Daten im Auftrag des Verantwortlichen verarbeitet, müssen vertraglich folgenden Punkte schriftlich oder elektronisch enthalten sein (Artikel 28 DSGVO):

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten
  • Kategorien betroffener Personen
  • Rechte und Pflichten des Verantwortlichen
  • Festlegungen, dass die Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeitet werden
  • Festlegung, dass
    • Unterbeauftragungen nur mit vorheriger Genehmigung des Verantwortlichen erfolgen dürfen,
    • Unterbeauftragte die Anforderungen der DSGVO einhalten müssen,
    • beabsichtigte Änderungen dem Verantwortlichen mitzuteilen sind, wobei diesem ein Einspruch zusteht.
  • Regelung der in Artikel 32 der DSGVO geregelten technischen und organisatorischen Sicherheitsmaßnahmen zum Schutz der Datenverarbeitungsvorgänge

Neue Betroffenenrechte und erweiterte Haftung

Im Rahmen der DSGVO wurde auch das bisherige Auskunftsrecht aus § 34 BDSG (Bundesdatenschutzgesetz) für betroffene Personen erweitert (Artikel 15 DSGVO).
Bisher drehte sich das Auskunftsrecht um

  • Inhalt und Herkunft der gespeicherten Daten,
  • Empfänger oder die Kategorien von Empfängern der Daten und
  • den Zweck der Speicherung.

Nun müssen zusätzlich folgende Informationen bereitgestellt werden:

  • Speicherdauer und die dafür festgelegten Kriterien
  • Rechte des Betroffenen (Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch, Beschwerderecht bei der Auskunftsbehörde)
  • Datenübermittlung an Drittstaaten und geeigneten Garantien zur Sicherstellung eines angemessenen Datenschutzniveaus

>>> Neu ist außerdem, dass dem Betroffenen kostenlos eine Kopie seiner gespeicherten Daten zur Verfügung zu stellen ist. Für weitere Kopien kann ein Entgelt auf Grundlage der Verwaltungskosten verlangt werden (Artikel 15 Absatz 3 DSGVO). Zudem besteht ein Recht auf Berichtigung unrichtiger und Vervollständigung unvollständiger Daten (Artikel 16 DSGVO).

>>> Das „Recht auf Vergessenwerden“ regelt Artikel 17 DSGVO. Verlangt das ein Betroffener, müssen seine personenbezogenen Daten unverzüglich gelöscht werden, sofern der Verarbeitungszweck nicht mehr erforderlich ist oder die Einwilligung widerrufen wird und keine andere Rechtsgrundlage für die Verarbeitung vorliegt. Hat der Verantwortliche Daten öffentlich gemacht, so muss er aktiv Dritte, die die Daten nutzen, über das Löschbegehren informieren.

>>> Neu eingeführt wurde das Recht auf Datenübertragbarkeit (Artikel 20 DSGVO)
Erfolgte die Verarbeitung aufgrund einer Einwilligung oder mithilfe automatisierter Verfahren, so sind die Daten dem Betroffenen auf Anfrage in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung zu stellen. Soweit dies technisch machbar ist, sind die Daten auf Anforderung durch den Betroffenen direkt einem anderen Verantwortlichen zu übermitteln.

>>> Erweitert wurden auch die Schadensersatzansprüche der Betroffenen (Artikel 82 DSGVO)
Verantwortliche und Auftragsverarbeiter haften nun für alle materiellen und immateriellen Schäden der Betroffenen, die aus einem Verstoß gegen die Verordnung resultieren.
Die neuen Regelungen führen zu einer deutlichen Erweiterung der Schadensersatzverpflichtungen. Die bisherige Rechtslage sah Schadensersatzansprüche im Regelfall nur bei materiellen Schäden vor. Ersatz für immaterielle Schäden wurde nur in solchen Fällen zugesprochen, in denen es zu einer schwerwiegenden Rechtsverletzung mit hoher Eingriffsintensität gekommen ist. Das ist nun anders.

Betroffenen steht nach Artikel 77 DSGVO ein Recht auf Beschwerde bei einer Aufsichtsbehörde zu und nach Artikel 79 ein Recht auf wirksamen gerichtlichen Rechtsbehelf, wenn zustehende Rechte aus der DSGVO verletzt wurden.

Transparenzvorschriften, Datenschutzerklärung

Ein wesentlicher Kernpunkt der DSGVO ist die Transparenz der Datenverarbeitung für den Betroffenen. Artikel 12-14 DSGVO sehen deshalb umfangreiche Informationspflichten des Verantwortlichen vor.

Betroffenen müssen bei Erhebung der Daten alle wesentlichen Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermittelt werden (Artikel 13 DSGVO). Betroffene sind vor allem über

  • den Namen und die Kontaktdaten des Verantwortlichen,
  • die Kontaktdaten des Datenschutzbeauftragten,
  • die Zwecke und die Rechtsgrundlage (NEU) der Verarbeitung,
  • die Empfänger oder Kategorien der Empfänger der Daten (NEU),
  • die geplante Übermittlung an Drittländer einschließlich eines Verweises auf die bestehenden Garantien, die ein ausreichendes Datenschutzniveau sicherstellen (NEU),
  • die Speicherdauer bzw. die Kriterien für die Festlegung der Speicherdauer (NEU),
  • das Bestehen einer gesetzlichen oder vertraglichen Pflicht zur Bereitstellung der Daten und die Folgen der Nichtbereitstellung

und über ihre Rechte (NEU)

  • Auskunft (Artikel 15 DSGVO)
  • Berichtigung (Artikel 16 DSGVO)
  • Löschung (Artikel 17 DSGVO)
  • Einschränkung der Verarbeitung (Artikel 18 DSGVO)
  • Widerspruch (Artikel 21 DSGVO)
  • Datenübertragung (Artikel 20 DSGVO
  • Widerruf der Einwilligung (Artikel 7 Abs. 3 DSGVO)
  • Beschwerde bei der Auskunftsbehörde (Artikel 77 DSGVO)

zu informieren.

Stellen die Daten den Ausgangspunkt für eine automatisierte Entscheidungsfindung dar (einschließlich Profiling), müssen Informationen über die involvierte Logik (NEU) und die Auswirkungen für die betroffenen Personen (NEU) angegeben werden.

Wenn die Absicht besteht, dass die Daten zu anderen Zwecken weiterverarbeitet werden (NEU), müssen die Betroffenen ebenfalls vorab darüber informiert werden. Bisherige Datenschutzerklärungen, insbesondere im Online-Bereich, können weiter angewendet werden. Sie sind jedoch um die zusätzlichen neuen Pflichtangaben zu ergänzen.

Der Datenschutzbeauftragte

Anders als bisher ist die Bestellung eines Datenschutzbeauftragen nur unter bestimmten Voraussetzungen verpflichtend (Artikel 37 DSGVO).
Ein Datenschutzbeauftragter muss dann bestellt werden, wenn die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, dem Umfang oder Zweck eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen oder besondere Kategorien von Daten in großem Umfang verarbeitet werden.

Ein Datenschutzbeauftragter muss außerdem dann beauftragt werden, wenn dies nach einem Recht der Mitgliedsstaaten vorgesehen ist.

Zu den Aufgaben des Datenschutzbeauftragten zählen nach Artikel 39 DSGVO:

  • Unterrichtung und Beratung des Verantwortlichen, des Auftragsverarbeiters und der Beschäftigten zu den Pflichten nach der DSGVO sowie den Durchführungsvorschriften der EU und der Mitgliedsstaaten
  • Überwachung und Überprüfung der Einhaltung der datenschutzrelevanten Vorschriften
  • Überwachung und Überprüfung der Datenschutzstrategien des Verantwortlichen oder Auftragsverarbeiters
  • Sensibilisierung und Schulung der Mitarbeiter
  • Beratung bei der Datenschutz-Folgeabschätzung und die Überwachung ihrer Durchführung
  • Zusammenarbeit mit der Aufsichtsbehörde, einschließlich der Funktion als Anlaufstelle für die Aufsichtsbehörden

Abweichend vom geltenden Recht (Artikel 37 Absatz 2 DSGVO) kann eine Unternehmensgruppe einen gemeinsamen Datenschutzbeauftragten bestellen.

Dokumentations- und Nachweispflichten, Verzeichnis der Verarbeitungstätigkeiten, Zertifizierungen

Die DSGVO nimmt Verantwortliche an verschiedenen Stellen in die Nachweispflicht:

  • Einhaltung der Grundsätze der Rechtmäßigkeit, Transparenz und Sicherheit der Datenverarbeitung (Artikel 5 Absatz 1 + 2 DSGVO)
  • Erteilung einer Einwilligung in die Datenverarbeitung durch den Betroffenen (Artikel 7 Absatz 1 DSGVO)
  • Eingeschränkte Betroffenenrechte, wenn der Verantwortliche nachweisen kann, dass er den Betroffenen nicht identifizieren kann (Artikel 11 Absatz 2 DSGVO)
  • Eingeschränkte Auskunftspflichten, wenn der Verantwortliche nachweisen kann, dass der Betroffene offenkundig unbegründete oder exzessive Auskunftsanträge stellt (Artikel 12 DSGVO)
  • Implementierung geeigneter technischer und organisatorischer Maßnahmen zum Schutz der Datenverarbeitungsvorgänge, einschließlich der IT-Sicherheitsmaßnahmen (Artikel 24 und 32 DSGVO)
  • Sicherstellung, dass der Auftragsverarbeiter hinreichende Garantien für eine verordnungskonforme Datenverarbeitung bietet (Artikel 28 Absatz 5 DSGVO)
  • Zulässigkeit der Datenübermittlung an Drittländer, da ein ausreichendes Datenschutzniveau garantiert ist (Artikel 40 Absatz 3, Artikel 42 Absatz 2, Artikel 26 Absatz 1f DSGVO)

Diese Nachweispflichten sind in bestimmten Konstellationen besonders relevant:

  • Schadensersatzpflicht: Nach Artikel 82 Absatz 3 DSGVO tragen der Verantwortliche und der Auftragsverarbeiter im Falle von Schadensersatzforderungen betroffener Personen wegen eines Verstoßes gegen die Verordnung die Beweislast dafür, nicht für den Schadenseintritt verantwortlich zu sein.
  • Kooperation mit der Aufsichtsbehörde: Auf Verlangen der zuständigen Aufsichtsbehörde, z.B. bei Datenschutzüberprüfungen oder im Falle eines vermeintlichen Verstoßes, ist die Einhaltung der Vorschriften der DSGVO nachzuweisen, die Datenverarbeitungsgänge sowie die technischen und organisatorischen Schutzmaßnahmen sind der Behörde offen zulegen. Kann der Nachweis nicht erfolgen, haben die Aufsichtsbehörden die Möglichkeit, Sanktionen zu Lasten des Betroffenen oder Auftragsverarbeiters zu erlassen (Artikel 58, 83 DSGVO).
  • Höhe von Geldbußen: Liegt tatsächlich ein relevanter Verstoß gegen die DSGVO vor, müssen die Aufsichtsbehörden nach Artikel 83 DSGVO bei der der Festlegung der Höhe einer Geldbuße unter anderem berücksichtigen, in welchem Maße der Verantwortliche oder der Auftragsverarbeiter verantwortlich sind. Hierbei ist insbesondere zu berücksichtigen, welche Maßnahmen zum Schutz der Datenverarbeitungsvorgänge getroffen und nachgewiesen wurden.

Wie diese Nachweise zu führen sind, schreibt die DSGVO im Einzelnen nicht vor. Den Verantwortlichen und Auftragsverarbeitern wird durch die DSGVO jedoch nachdrücklich die Möglichkeit eingeräumt, Datenverarbeitungsvorgänge durch akkreditierte Zertifizierungsstellen zertifizieren zu lassen (Artikel 42, 43 DSGVO) oder die Anforderungen durch Einhaltung genehmigter Verhaltensregeln (Artikel 40 und 41 DSGVO) nachzuweisen.

>>> Das Thema Zertifizierungen“ wird vor diesem Hintergrund in den nächsten Jahren drastisch an Bedeutung gewinnen. Datenschutzspezifische Zertifikate, Siegel und Prüfzeichen können nach Artikel 43 DSGVO von akkreditierten Zertifizierungsstellen oder von der Aufsichtsbehörde erteilt werden. Sämtliche zugelassenen Zertifizierungsverfahren, Datenschutzsiegel und Datenschutzprüfzeichen werden vom Europäischen Datenschutzausschuss in ein Register aufgenommen und veröffentlicht. Dieses Register bietet Verantwortlichen eine Sicherheit in Bezug auf die Vertrauenswürdigkeit des Zertifikats und der Zertifizierungsstelle. Die Aufsichtsbehörden des Bundes und der Länder arbeiten derzeit intensiv an der Entwicklung abgestimmter, länderübergreifend geltender Kriterien, damit auch im Vollzug der Aufsichtsbehörden eine einheitliche Bewertung im Sinne der DSGVO ermöglicht wird. Ein Wildwuchs zahlreicher unterschiedlicher Zertifizierungsverfahren sollte gerade mit Blick auf ein einheitliches europäisches Datenschutzniveau im Interesse aller Beteiligten vermieden werden.

>>> Branchenspezifische Verbänden oder Vereinigungen sollen außerdem gemäß Artikel 40 DSGVO Verhaltensregeln ausarbeiten, die auf die Besonderheiten einzelner Verarbeitungsbereiche zugeschnitten sind und die Anforderungen der Verordnung konkretisieren. Vor allem die Bedürfnisse von Kleinstunternehmen sowie kleinen und mittleren Unternehmen sollen hier berücksichtigt werden. Die Verhaltensregeln werden von den nationalen Aufsichtsbehörden oder vom Europäischen Datenschutzausschuss genehmigt und veröffentlicht.

Ein weiteres Mittel, um entsprechende Nachweise führen zu können, ist die Führung eines Verzeichnisses aller Verarbeitungstätigkeiten. Artikel 30 Absatz 1 DSGVO beinhaltet eine entsprechende Verpflichtung des Verantwortlichen. Wie beim bisher erforderlichen internen Verfahrensverzeichnis nach § 4 g Absatz 2 Satz 1 BDSG sind dort folgende Angaben zu treffen:

  • Verantwortlicher und Datenschutzbeauftragter
  • Kategorien der verarbeiteten Daten und der betroffenen Personen
  • Zwecken der Verarbeitung
  • Kategorien der Empfänger der Daten
  • Übermittlung in Drittländer
  • Vorgesehene Löschfristen
  • Technische und organisatorische Maßnahmen zur Sicherheit der Datenverarbeitung

>>> Aber auch der Auftragsverarbeiter muss nach Artikel 30 Absatz 2 DSGVO ein Verzeichnis aller Kategorien von und im Auftrag durchgeführten Datenverarbeitungstätigkeiten führen, welches die Kategorien der Verarbeitungen, den Namen und die Kontaktdaten des Auftragsverarbeiters und der Verantwortlichen, die Übermittlung an Drittländer und wenn möglich eine allgemeine Beschreibung der zum Zwecke der Datensicherheit getroffenen technischen und organisatorischen Maßnahmen enthält.

Das Verzeichnis muss schriftlich oder in elektronischer Form geführt werden. Weitere Formvorschriften bestehen nicht (Artikel 30 Absatz 3 DSGVO).

Datenschutz-Folgeabschätzung, Konsultation der Aufsichtsbehörde

Wenn sich aus Art, Umfang, Umständen und Zwecken der Verarbeitung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen ergibt, muss eine Datenschutz-Folgeabschätzung durchgeführt werden (Artikel 35 DSGVO). Sie soll dem Verantwortlichen oder dem Auftragsverarbeiter eine Entscheidungsgrundlage darüber bieten, welche Maßnahmen zum Schutz der Daten ergriffen werden müssen.

Bei der Beurteilung der Frage, ob ein hohes Risiko vorliegt, ist abzuwägen, welche Risiken Vernichtung, Verlust, Veränderung, unbefugte Offenlegung oder unbefugter Zugang zu den personenbezogenen Daten für den Betroffenen mit sich bringen können. Ein hohes Risiko wird unter anderem dann angenommen, wenn

  • ein erheblicher wirtschaftlicher, gesellschaftlicher oder physischer, materieller oder immaterieller Schaden für die Betroffenen droht, z.B. die Einschränkung von Rechten, Diskriminierung, Identitätsdiebstahl, Identitätsbetrug, finanzielle Verluste, Aufhebung der Pseudonymisierung, Rufschädigung und der Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten – Artikel 35 Absatz 3 DSGVO sieht diese Gefahr insbesondere bei umfassendem Profiling und auf diesem basierenden Scoring,
  • die personenbezogener Daten von besonderen Kategorien verarbeitet werden, nach Artikel 9 Absatz 1 und 10 DSGVO, z.B. Gesundheitsdaten, genetische Daten, biometrische Daten, Daten zu politischen Ansichten, sexueller Orientierung oder religiösen Überzeugungen oder
  • Daten systematischer und umfangreicher, öffentlich zugänglicher Bereiche.

Im Rahmen der Datenschutz-Folgeabschätzung sind die Notwendigkeit der Datenverarbeitung und die Risiken für die Rechte der betroffenen Personen gegenüberzustellen und die erforderlichen Datenschutzmaßnahmen aufzuführen.

>>> Stellt sich bei der Datenschutz-Folgeabschätzung heraus, dass ein so hohes Risiko besteht, dass mit den verfügbaren technischen und finanziellen Mitteln kein ausreichender Schutz der Daten gewährleistet werden kann, ist nach Artikel 36 DSGVO die Aufsichtsbehörde im Vorfeld der Datenverarbeitung zu konsultieren.

Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen

Die DSGVO gibt vor, welche Maßnahmen bei Verstößen gegen die DSGVO zu treffen sind (Artikel 33 und 34 DSGVO). Werden personenbezogene Daten verletzt, muss unverzüglich – möglichst innerhalb von 72 Stunden – die Aufsichtsbehörde darüber informiert werden. Zeitgleich müssen Art und Umfang der Verletzungen, deren Auswirkungen und die Maßnahmen, die zur Abhilfe ergriffen wurden, dokumentiert werden. Eine möglichst frühzeitige und umfassende Information der Aufsichtsbehörde und ebenso eine entsprechende Dokumentation kann sich positiv auf die Höhe einer möglichen Geldbuße auswirken. Von daher sollte es absolut im Interesse des Verantwortlichen liegen, schnell und umfassend zu handeln (Artikel 83 DSGVO).

Besteht ein hohes Risiko für die persönlichen Freiheiten und Rechte der betroffenen Personen, sind diese unverzüglich von der Verletzung zu benachrichtigen. Ein hohes Risiko ist nach Erwägungsgrund 85 DSGVO dann anzunehmen, wenn im Falle einer nicht rechtzeitigen oder angemessener Reaktion ein erheblicher wirtschaftlicher, gesellschaftlicher oder physischer, materieller oder immaterieller Schaden für die betroffenen Personen droht.

Als Beispiele werden der drohende Kontrollverlust über die Daten, die Einschränkung von Rechten, Diskriminierung, Identitätsdiebstahl, Identitätsbetrug, finanzielle Verluste, Aufhebung der Pseudonymisierung, Rufschädigung und der Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten genannt.

Verschärfte Sanktionen für Verstöße

Im Vergleich zu früher wurden durch die DSGVO auch die drohenden Bußgelder erheblich erhöht, die im Falle einer Nichteinhaltung der Vorschriften verhängt werden können.

Bisher sah das BDSG Bußgelder von bis zu 300.000 Euro pro Einzelfall vor. Dieses Bußgeld wurde nun auf einen Beitrag von bis zu 20.000.000 Euro oder 4 Prozent des globalen Jahresumsatzes des vorangegangenen Geschäftsjahres erhöht (Artikel 83 DSGVO).

Die Geldbuße wird im Einzelfall festgelegt und soll wirksam, verhältnismäßig und abschreckend sein. Die Aufsichtsbehörde berücksichtigt dabei festgelegte Kriterien, die sich auf die Höhe der zu verhängenden Geldbuße auswirken. So kommt es unter anderem auf

  • die Art, Schwere und Dauer des Verstoßes,
  • die Kategorien der betroffenen Daten,
  • vorsätzliches oder fahrlässiges Handeln,
  • die zur Schadensminderung getroffener Maßnahmen,
  • einschlägige frühere Verstöße von Verantwortlichen oder des Auftragsverarbeiters,
  • die Einhaltung früherer angeordneter Maßnahmen,
  • die Art und Weise, auf die der Verstoß der Aufsichtsbehörde bekannt wurde sowie
  • den Umfang der Zusammenarbeit mit der Aufsichtsbehörde an.

Die Höhe des Bußgeldes wird reduziert, wenn nachgewiesen werden kann, dass ausreichende technische und organisatorischer Maßnahmen zum Schutz der Daten getroffen wurden. Hier werden beispielsweise auch die Grundsätze „Privacy by Design“, „Privacy by Default“, Zertifizierungen und Einhaltung genehmigter Verhaltensregeln zu Gunsten des Verarbeiters berücksichtigt.

>>> Verantwortliche können also bereits durch eine Implementierung angemessener und sicherer Datenverarbeitungsvorgänge die Höhe einer Geldbuße maßgeblich beeinflussen.

Weitere Sanktionen können von den Mitgliedsstaaten bestimmt werden.

IT-Sicherheit dank Privacy by Design und Privacy by Default

Die DSGVO legt einen starken Fokus auf das Thema technischer Datenschutz und IT-Sicherheit.

In Abhängigkeit vom jeweiligen Schutzbedarf müssen konkrete Sicherheitsmaßnahmen implementiert werden (Artikel 32 DSGVO).
Die erforderlichen technischen und organisatorischen Maßnahmen umfassen:

  • Pseudonymisierung und Verschlüsselung von Daten,
  • Maßnahmen zur dauerhaften Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der mit der Datenverarbeitung befassten Systeme und Dienste,
  • Maßnahmen, die es ermöglichen, im Falle eines physischen oder technischen Zwischenfalls die personenbezogenen Daten und den Zugang zu ihnen rasch wiederherzustellen,
  • Maßnahmen, die sicherstellen, dass Daten nur auf Anweisung des Verantwortlichen verarbeitet werden und
  • das Aufsetzen eines Verfahrens, anhand dessen die Sicherheit der Datenverarbeitung regelmäßig überprüft, bewertet und evaluiert wird.

Bei der Ermittlung des individuellen Schutzbedarfs müssen Sie darauf achten, welche Risiken Vernichtung, Verlust, Veränderung, unbefugte Offenlegung oder unbefugter Zugang zu den personenbezogenen Daten für den Betroffenen mit sich bringt.

Privacy by Design

Nach Artikel 25 DSGVO sollen Sie die Grundsätze des Datenschutzes bereits bei der Implementierung und Entwicklung von Produkten, Diensten, Anwendungen und technischen Prozessen, die personenbezogene Daten verarbeiten, berücksichtigen (Privacy by Design). Durch entsprechende technische Implementierung soll sichergestellt werden, dass

  • nur bestimmte Daten erhoben werden,
  • diese schnellstmöglich pseudonymisiert und verschlüsselt und
  • diese nur in dem erforderlichen Umfang verarbeitet werden,
  • sie nach Ablauf der Speicherfrist gelöscht werden und
  • nur bestimmte Personen Zugriff auf die Daten haben.

Privacy by Default

Der Grundsatz der datenschutzfreundlichen Voreinstellungen (Privacy by Default) in Artikel 25 DSGVO sieht vor, dass IT-Systeme und Anwendungen so voreingestellt sind, dass sie nur solche personenbezogenen Daten verarbeiten, deren Verarbeitung für den jeweils verfolgten Zweck erforderlich sind.

Diese Grundsätze sollten Sie als zukunftsweisende Grundentscheidung unbedingt beachten. Die DSGVO setzt hier auf Prävention statt nachgelagerter Abhilfe, Datenschutz per Default, eine Einbettung von Datenschutz und Datensicherheit im Design, volle Funktionalität, Schutz über den gesamten Lebenszyklus, Sichtbarkeit und Transparenz und ein Respektieren der Privatsphäre. Wenn Sie bereits auf technischer Ebene für eine Minimierung der zu verarbeitenden Daten und ihren Schutz durch technische und organisatorische Maßnahmen sorgen, sinkt das Verarbeitungsrisiko deutlich.

Welche konkreten Sicherheitsmaßnahmen Sie treffen müssen, wird durch eine individuelle Analyse von Art, Umfang und Inhalt der verarbeiteten Daten, den Zwecken der Datenverarbeitung und den Umständen der Datenverarbeitung, einschließlich der jeweiligen Geschäftsprozesse, IT-Systeme, Anwendungen und Infrastrukturen festgestellt. Für Unternehmen bietet es sich an, das Thema IT-Sicherheit und Privacy by Design mit Hilfe entsprechender Compliance Audits, Zertifizierungen nach Artikel 42 DSGVO und Best Practice Guidelines anzugehen. Die DSGVO sieht auch die Möglichkeit vor, sich hierbei an genehmigte branchenspezifische Verhaltensregeln nach Artikel 40 DSGVO zu halten.

 

Was können Sie tun, um Ihre Daten sicher und DSGVO-konform auszutauschen und zu speichern?

Für jedes Unternehmen weltweit, das Daten von EU-Bürgern speichert, verwaltet oder damit arbeitet, ist die Europäische Datenschutzgrundverordnung bindend. Hier ist es erst einmal unerheblich, wo sich der Hauptsitz eines Unternehmens befindet. Wurden in den vergangenen Jahren Daten an verschiedensten Stellen gespeichert, schiebt nun die EU-DSGVO einen Riegel vor, in dem sie einen permanenten Überblick über im Unternehmen verteilte Daten fordert. Im Zuge dessen wird die Hoheit über gespeicherte Daten immer wichtiger.

Denn gerade Einzelpersonen haben verschiedenste Rechte, die Sie und Ihr Unternehmen auf Anfrage jederzeit erfüllen müssen:

  • Auskunftsrecht
  • Zugriffsrecht
  • Nachbesserungsrecht
  • Recht auf Löschung
  • Recht auf eingeschränkte Verarbeitung
  • Recht auf Datenübertragbarkeit
  • Widerspruchsrecht

Untrennbar damit verbunden steht, dass Sie nachweisen müssen, dass der Datenschutz und die Datensicherheit (auch durch den Einsatz einer entsprechend EU-DSGVO-konformen Software) eingehalten wird. Laut DSGVO gilt der sogenannte „eingebaute“ Datenschutz „Privacy by Design“ als verpflichtend. Er besagt, dass nur eine Software eingesetzt werden darf, die diese Voraussetzungen automatisch erfüllt. Insgesamt stellt die DSGVO stärker auf das Prinzip des risikobasierten Datenschutzes ab.

Mit der Umsetzung der neuen EU-DSGVO ist das Haftungsrisiko bei Datenschutzverletzungen nicht nur für Unternehmen, sondern auch für deren CIOs, Geschäftsführer, Mitarbeiter und interne Datenschutzbeauftragte enorm gestiegen. Seit dem 25. Mai 2018 müssen alle Beteiligten bei Verstößen gegen die Datenschutzvorschriften oder ihre Aufsichtspflichten mit viel höheren Strafen als bislang rechnen. Bei Verstößen im Umgang mit personenbezogenen Daten drohen lt. § 42 DSAnpUG (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU) über die Geldbußen hinaus strafrechtliche Sanktionen wie eine Freiheitsstrafe von bis zu drei Jahren. Um sich vor diesen schwerwiegenden Strafen zu schützen, müssen Sie eine entsprechende Compliance-Struktur aufbauen und konkrete Maßnahmen zur Einhaltung der EU-DSGVO entwickeln. Schulen Sie Ihre Mitarbeiter und bereiten Sie diese auf die geänderten Bestimmungen vor. Ein externer Datenschutzbeauftragter mindert Ihr persönliches Risiko, weil sich dadurch die Haftung verlagert. Regelmäßige Audits dienen dazu, um zu prüfen, inwieweit Sie und Ihr Unternehmen den datenschutzrechtlichen Anforderungen entsprechen.

Ein DSGVO-konformer IT-Partner kann vieles erleichtern, wenn die Infrastruktur bei diesem betrieben wird. Nutzen Sie technische Lösungen, die sich an die Grundsätze „Privacy by Design“ und „Privacy by Default“ halten sowie in Deutschland oder Europa hergestellt und betrieben werden. Diese Lösungen unterliegen den strengen europäischen Datenschutzgesetzen und sichern Ihnen eine DSGVO-konforme Datenverarbeitung. Verfügt die Software über eine Ende-zu-Ende-Verschlüsselung inklusive clientseitiger Verschlüsselung, können Sie außerdem sicher sein, dass Ihre Daten maximal geschützt sind. Denn in diesem Fall werden die Daten bereits am Endgerät verschlüsselt. Auf dem Server selbst besteht keine Möglichkeit, die Daten zu entschlüsseln, da sich das Schlüsselmaterial auf dem Client befindet. So wird sichergestellt, dass weder der Cloud-Anbieter selbst noch Dritte in der Lage sind, auf gespeicherte Daten zuzugreifen.

DRACOON ermöglicht einen datenschutzkonformen Datenaustausch

Christian Volkmer: Deutsche Cloud-Anbieter wie DRACOON bieten DSGVO konformen Datenaustausch

Christian Volkmer: „Deutsche Cloud-Anbieter wie DRACOON bieten DSGVO-konformen Datenaustausch.“

Unternehmen sollten die DSGVO nutzen, um sich für die Risiken, die eine Digitalisierung mit sich bringt, sicher aufzustellen. Die deutsche Cloud-Lösungen DRACOON unterstützt Firmen dabei, eine sichere und EU-DSGVO-konforme Datenverarbeitung zu gewährleisten.

Das findet auch Christian Volkmer, Datenschutzexperte und Geschäftsführer der Projekt 29 GmbH & Co. KG: „Ich sehe in der DSGVO die Chance für Unternehmen, um sich für die Herausforderungen, die eine Digitalisierung mit sich bringt, gut aufzustellen. Dabei liefern deutsche Cloud-Lösungen wie DRACOON die perfekte elektronische Basis, um Daten DSGVO-konform auszutauschen und zu speichern.“

DRACOON wird in Deutschland entwickelt und in ISO27001-zertifizierten Rechenzentren betrieben. Durch die integrierte clientseitige Verschlüsselung vermeiden Sie, dass Daten abfliessen. Dank datenschutzfreundlicher Technikgestaltung (Privacy by Design) und datenschutzfreundlicher Voreinstellungen (Privacy by Default) arbeiten Ihre Nutzer zudem von Beginn an datenschutzkonform. Das universell einsetzbare API ermöglicht außerdem eine Anbindung oder Integration zu anderen Anwendungen wie MS Office oder auch spezieller Branchensoftware – DRACOON dient Ihnen so als zentraler Datenspeicher für alle (sensiblen) Unternehmensdaten. Über die DRACOON Web App und Mobile Apps haben berechtige Benutzer jederzeit und überall Zugriff auf die Daten.

Im Überblick: So erfüllt DRACOON die konkreten Grundsätze der DSGVO

GRUNDSÄTZE DEFINITION LÖSUNG MIT DRACOON
Vertraulichkeit Angemessen Sicherheit der personenbezogenen Daten, einschließlich Schutz vor unbefugtem oder unrechtmäßigem Zugriff Clientseitige Verschlüsselung, Rechtevergabe
Integrität Daten liegen unverändert vor, Veränderungen sind nachweisbar Audit-Log, Rechtevergabe, Papierkorb (Versionierung)
Verfügbarkeit Verfügbarkeit und Belastbarkeit der Systeme und Dienste Vorteile einer Cloud-Lösung, Daten sind überall und jederzeit verfügbar, Backup, Papierkorb
Transparenz Personenbezogene Daten müssen in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden Audit-Log, Transparenz der Berechtigungen

 

Im Überblick: So erfüllt DRACOON die konkreten rechtlichen Vorgaben der DSGVO

RECHTLICHE VORGABE DEFINITION LÖSUNG MIT DRACOON
Artikel 15
Auskunftsrecht der betroffenen Person
Auskunft über u.a. Verarbeitungszwecke, Verarbeitungskategorien, Empfänger, Speicherungsdauer Aktivitätenprotokoll,
Audit-Log
Artikel 17
Recht auf Vergessen werden
Persönliche, digitale Daten sollen zeitlich nicht unbegrenzt zur Verfügung stehen Ablaufdatum für Benutzer, Dateien und Freigaben
Artikel 20
Recht auf Datenübertragbarkeit
Herausgabe und Übermittlung der Dateien in einem strukturierten, gängigen und maschinenlesbaren Format Über offene JSON/REST-API
Artikel 25
Datenschutzfreundliche Voreinstellung
Privacy by Default
Privacy by Design
Verschlüsselungsstandards, Rechtemanagement und Dateifreigaben
Artikel 28
Verpflichtung zur sorgfältigen Auswahl des Auftragsverarbeiters
Sorgfältige Auswahl des Auftragsverarbeiters, so dass die Datenverarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt DRACOON erfüllt relevante Datenschutz- und Compliance-Richtlinien und trägt relevante Datenschutzsiegel sowie Zertifizierungen
Artikel 32
Sicherheit der Verarbeitung
Angemessenes Schutzniveau der Daten muss gewährleistet werden Clientseitige Verschlüsselung, Rechtevergabe
Artikel 34
Benachrichtigung bei Verletzung des Datenschutzes
Entfall der Benachrichtigungspflicht bei Verletzung des Schutzes personenbezogener Daten, wenn die Daten verschlüsselt waren Clientseitige Verschlüsselung

 

Datenschutz

Erneuter Ransomware-Fall in deutschen Krankenhäusern – Gefahrenlage weiterhin angespannt

Ein Statement von Arved Graf von Stackelberg, Managing Director DRACOON 

Regensburg, 19. Juli 2019 – Wie mehrere Medien am vergangenen Mittwoch berichteten, ist die Trägerschaft Süd-West des Deutschen Roten Kreuzes Opfer eines Angriffs mit einem Verschlüsselungstrojaner geworden. Insgesamt betrifft dies 13 Kliniken, hiervon liegt ein Großteil zwischen Mannheim und Bonn, zwei weitere nahe der Grenzen zu Frankreich und Luxemburg. Die Attacke war am Sonntagmorgen festgestellt worden, die Malware hatte sowohl Server als auch Datenbanken verschlüsselt. Als Reaktion wurden die Server am Sonntagnachmittag vom Netz genommen, um sie auf einen Befall zu überprüfen und eine weitere Ausbreitung der Schadsoftware zu verhindern. Der Vorgang der Verschlüsselung konnte somit laut der Klinik-Trägerschafft am Nachmittag gestoppt werden. Das Landeskriminalamt wurde verständigt und eine Anzeige sei laut dem Sprecher der Trägerschaft erstattet worden. Auch wenn eine konkrete Forderung nach Lösegeld ausblieb, sei eine E-Mail inklusive einer Textdatei eingegangen – diese wurde aber ungeöffnet an das BKA gegeben. Es ist davon auszugehen, dass es sich hierbei um die Forderung gehandelt hat. In der Konsequenz der Attacke waren die betroffenen Kliniken zeitweise komplett vom Internet abgeschnitten und auch per Mail, Telefon oder Fax nicht erreichbar.

Der Vorfall zeigt, dass Ransomware rund zwei Jahre nach WannaCry immer noch eine große Gefahr für deutsche Organisationen ist – nicht nur für KRITIS-Unternehmen. Dies bestätigt auch die kürzlich erschienene Studie des Wirtschaftsprüfungs- und Beratungsnetzwerks KPMG „E-Crime in der deutschen Wirtschaft.“ Für die Erhebung wurden 1.000 Firmen in Deutschland, unter anderem aus den Bereichen Gesundheitswesen, Handel und der Industrie zu ihren Erfahrungen mit Cyberkriminalität befragt. Hier wird deutlich, dass jeder dritte Betrieb (31 Prozent) in den letzten zwei Jahren bereits Opfer eines Angriffs mit einem Verschlüsselungstrojaner wurde. Das sind doppelt so viele wie in der vorherigen KPMG-Befragung. Weitere 28 Prozent berichteten über Versuche, Ransomware in die Systeme einzuschleusen. Besonders bei großen Unternehmen kann man laut der Veröffentlichung einen deutlichen Anstieg der Angriffe erkennen. Angesichts dieser Zahlen verwundert es nicht, dass das BSI (Bundesamt für Sicherheit in der Informationstechnik) im April dieses Jahres in einer Pressemitteilung erneut vor gezielten Ransomware-Attacken auf Unternehmen gewarnt hat. Laut der Behörde sei eine beliebte und derzeit verbreitete Angriffstechnik der Versand von breit angelegten Spam-Kampagnen wie Emotet, um zunächst Zugang zu einzelnen Unternehmensnetzwerken zu bekommen, um dann manuell das Netzwerk und die Systeme der Betroffenen zu erforschen. Hier versuchen die Kriminellen Backups zu manipulieren oder zu löschen und verbreiten dann selektiv bei besonders lukrativen Zielen koordiniert Ransomware auf den Computersystemen. Die Folge sind teilweise massive Betriebsunterbrechungen, außerdem können die Verursacher deutlich höhere Lösegeldforderungen stellen als bei ungezielten Ransomware-Kampagnen.

In Zeiten einer Verschärfung der Bedrohungslage im Bereich Ransomware müssen Unternehmen dringend gewappnet sein. Im Falle einer Infektion rät das BSI davon ab, auf die Forderungen der Erpresser einzugehen. Auch sollten Unternehmen Geschäftspartner und Kunden zeitnah informieren und auf etwaige Angriffsversuche per Mail mithilfe gefälschter Absender ihres Betriebs hinweisen. Am besten sind Firmen allerdings beraten, wenn sie sicherstellen, dass eine Attacke von vornherein ins Leere läuft und geschäftliche Daten nicht in Gefahr sind. Hier sollten Unternehmen insbesondere ihre firmeninterne Software unter die Lupe nehmen, etwa die verwendete Cloud-Speicher-Lösung. Idealerweise ist diese mit einem integrierten Storage-Ransomware-Schutz (wie z. B. einem Papierkorb und einer Versionierung) ausgestattet, der dafür sorgt, dass die Daten bei einem Verschlüsselungsangriff nicht betroffen sind. Sollte Ransomware trotz aller Vorsichtsmaßnahmen lokale Laufwerke oder Netzwerklaufwerke verschlüsseln, verlieren Betriebe dank der Versionierung durch den Papierkorb trotzdem keine Datei. Bei einem Ransomware-Angriff werden die Daten mit den verschlüsselten Daten überschrieben – die unverschlüsselten Versionen der Daten liegen automatisch im Papierkorb und können vollständig und unbeschadet wiederhergestellt werden. Somit kann ein Verlust von wichtigen Informationen von Vornherein verhindert werden. Auch die Ende Juni dieses Jahres verbindlich für zahlreiche deutsche Kliniken in Kraft getretene BSI-KRITIS-Verordnung besagt, dass betroffene Krankenhäuser bezüglich ihrer IT-Infrastruktur dem neuesten Stand der Technik entsprechen müssen. Hier muss gewährleistet sein, dass ein Angriff jeglicher Art auf ein einzelnes System nicht sofort Auswirkungen auf das gesamte Netzwerk hat. Die Schutzmechanismen von Computer-Netzwerken müssen dies verhindern. Auch hier greift ein Feature, das eine Ransomware-Attacke eindämmt und mit der die geschädigten Daten zeitnah wiederhergestellt werden können. Insgesamt müssen Unternehmen sich auch zwei Jahre nach der historischen WannaCry-Welle darauf einstellen, dass Angreifer noch professioneller und heimtückischer agieren, um maximalen Schaden anzurichten und ihr Sicherheitsniveau anpassen.

 

 

 

 

 

 

 

DRACOON wird als erstes Softwareunternehmen ordentliches Mitglied im BDSV

Regensburg, 09. Juli 2019 – Das Regensburger Softwareunternehmen DRACOON wurde als erstes Enterprise Filesharing Unternehmen zum ordentlichen Mitglied im Bundesverband der deutschen Sicherheits- und Verteidigungsindustrie (BDSV) benannt. Der BDSV gilt als Kontaktpunkt der deutschen Sicherheits- und Verteidigungsindustrie und als Scharnier zwischen Unternehmen, Politik, Gesellschaft, Institutionen und Medien.

Der Bundesverband vertritt die gebündelten Interessen der deutschen Sicherheits- und Verteidigungsindustrie (SVI) und unterstützt damit die Unternehmen im nationalen und internationalen Wettbewerb. Er verfügt über ein weit verzweigtes Netzwerk in Deutschland und Europa, auf allen wichtigen Märkten und in internationalen Organisationen. Ziel aller Aktivitäten ist es, die Wettbewerbs- und Zukunftsfähigkeit der deutschen Sicherheits- und Verteidigungsindustrie und des Technologie- und Wirtschaftsstandorts Deutschland zu erhalten und weiter auszubauen. Die Mitgliedsunternehmen sind ein unverzichtbarer Bestandteil deutscher Sicherheitsinteressen und dienen unmittelbar der Sicherheit und Freiheit der in Deutschland lebenden Bürgerinnen und Bürger. Mit ihrem Tun und Handeln unterstützen sie bei der Aufrechterhaltung und Durchsetzung von Recht, Freiheit und Sicherheit.

Diese Ziele stehen auch für DRACOON im Vordergrund: In Zeiten von Hackerangriffen, Datenmissbrauch oder auch den strengen Regularien, die in der EU-DSGVO verankert sind, spielt die Datensicherheit für Unternehmen eine zentrale Rolle. Damit Menschen, Unternehmen und Staaten wieder Souveränität über ihre Daten gewinnen, baut DRACOON technologisch führende File Services, die auf maximaler Sicherheit, universeller Anbindbarkeit und einfacher Bedienbarkeit basieren.

„Wir freuen uns sehr, dass wir den BDSV als ordentliches Mitglied unterstützen und unsere Kompetenz im Bereich Enterprise Filesharing auch für alle anderen Unternehmen, die dort zugehörig sind, einbringen können. Auf diese Unternehmen warten mit der Digitalisierung große Herausforderungen und mit unserer Plattform DRACOON haben wir die Möglichkeit, sie exakt dabei als starker Partner zu begleiten“, betont Marc Schieder, CIO DRACOON.

„Die ‚klassische Rüstungsindustrie‘ und die Informationstechnologie wachsen in zunehmendem Maße zusammen, es entstehen neue Technologieansätze und daraus resultieren völlig neue Möglichkeiten zur Verbesserung der im Rahmen von Sicherheit und Verteidigung genutzten Produkte und Dienstleistungen“, so der Geschäftsführer beim BDSV, Andreas von Büren. „Daher freuen wir uns sehr, dass wir mit dem Softwareunternehmen DRACOON ein weiteres Unternehmen aus diesem Zukunftsbereich als Mitglied gewinnen konnten.“

CloudComputing Insider Award 2019

DRACOON ist für den CloudComputing Insider Award in der Kategorie „Filesharing & Collaboration“ nominiert.

Jetzt ist Ihre Unterstützung gefragt, damit wir den Titel nach Regensburg holen!

Als zusätzlichen Anreiz verlost CloudComputing Insider unter allen Abstimmungen drei Microsoft Surface Go 64 GB S.

Stimmen Sie jetzt für DRACOON ab!
Wir wünschen Ihnen viel Glück für die Verlosung und bedanken uns jetzt schon ganz herzlich für Ihre Stimme!

 

 

 

Zum Inkrafttreten der KRITIS-Verordnung im Gesundheitsbereich: Krankenhäuser müssen dringend handeln

Ein Statement von Arved Graf von Stackelberg, Managing Director DRACOON

Arved Graf von Stackelberg, CSO DRACOON

Regensburg, 12. Juni 2019 – Am 30. Juni dieses Jahres ist es soweit: Zahlreiche deutsche Kliniken müssen die KRITIS-Verordnung des BSI (Bundesamt für Sicherheit in der Informationstechnik) bis zu diesem Datum umsetzen. Das Gesetz umfasst insgesamt acht Branchen, die das BSI aufgrund des Betriebs kritischer Infrastrukturen als besonders angriffsrelevant und schützenswert ansieht. Unter den Begriff „Kritische Infrastrukturen“ fallen schließlich Organisationen, die eine große Rolle für das staatliche Gemeinwesen spielen.

Wen genau das Gesetz betrifft, regelt die BSI-KRITIS-Verordnung (auch „Korb I“ genannt) sowie die erste Änderungsverordnung (bekannt unter „Korb II“). Hier ist anhand transparenter Kriterien festgelegt, für welche Betreiber aus den Bereichen Energie, Wasser, Informationstechnik und Telekommunikation, Ernährung, Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr Nachweispflichten gemäß BSI-Gesetz (§ 8a) gegenüber der Behörde bestehen. Für den Gesundheitssektor bedeutet dies konkret, dass Krankenhäuser mit über 30.000 vollstationären Fällen im Jahr als „KRITIS“-Betreiber gelten. Als vollstationär gilt eine Behandlung, wenn der Patient Tag und Nacht im Krankenhaus untergebracht ist und die stationären Leistungen komplett in Anspruch nimmt. Hiervon sind in Deutschland etwa 33 % aller Kliniken betroffen.

Bis zum Stichtag in knapp zwei Wochen müssen eine Reihe von Anforderungen erfüllt sein – zum einen muss alle zwei Jahre ein Nachweis über geeignete Vorkehrungen zur IT-Sicherheit erbracht werden. Zum anderen muss von Seiten des Betriebs eine Kontaktstelle, beziehungsweise ein Funktionspostfach benannt werden, außerdem müssen IT-Störungen dem Amt umgehend gemeldet werden. Auf technischer Ebene muss sichergestellt sein, dass betroffene Healthcare-Unternehmen dem neuesten Stand der Technik entsprechen und den Prüfstandards der Bundesbehörde gerecht werden.

Wie wichtig die neue Verordnung ist, zeigt eine kürzlich erschienene Studie zur IT-Sicherheit im Gesundheitssektor, die vom Gesamtverband der Deutschen Versicherungswirtschaft (GDV)in Auftrag gegeben wurde. Hier offenbarte etwa ein Test der Mailserver mit dem Analysetool Cysmo, dass Patientendaten in deutschen Kliniken und Arztpraxen häufig nicht sicher aufgehoben sind. Insgesamt wurden neben den IT-Systemen von rund 1.200 niedergelassenen Ärzten auch 250 Kliniken und Apotheken untersucht. Das erschreckende Ergebnis war, dass lediglich 5 % der Kliniken einen sicheren Verschlüsselungsstandard nach Empfehlung des BSI verwendeten. 31 % nutzten die veralteten Standards SSL 2 und SSL 3, etwa 63 % die von der Bundesbehörde nicht mehr empfohlenen Standards TLS 1.0 oder TLS 1.1. Besonders erschreckend ist auch die Erkenntnis der Studie, dass E-Mail- und Passwortkombinationen von 60 % der Kliniken im Darknet aufzufinden waren. Angesichts dieser Zahlen überrascht die Tatsache nicht – wie eine vor zwei Jahren erschienene, großangelegte Erhebung von Roland Berger ergab – dass von 500 befragten Kliniken 64 % bereits Opfer eines Hackerangriffs wurden. Diese Zahlen deuten darauf hin, dass das Problem der Mängel in Bezug auf die IT-Sicherheit im Healthcare-Sektor ein strukturelles ist. Kliniken müssen in dieser Hinsicht unbedingt reagieren und sich auf die neuen Herausforderungen einstellen, die mit der fortschreitenden Digitalisierung einhergehen.

Vor allem aber im Hinblick auf den vom BSI geforderten Aspekt des „neuesten Standes der Technik“ müssen deutsche Krankenhäuser dringend nachrüsten und eine einheitliche zeitgemäße Lösung einsetzen. Eine große Rolle spielt hier eine lückenlose clientseitige Datenverschlüsselung, mithilfe derer die Informationen bereits am Endgerät verschlüsselt werden. Dadurch hat nicht einmal der Hersteller der Lösung die Möglichkeit, auf gespeicherte Daten zuzugreifen. Sinnvoll ist es außerdem, eine Softwarelösung „Made & Hosted in Germany“ zu wählen. Denn deutsche Anbieter unterliegen den strengen deutschen Datenschutzgesetzen und versichern zugleich, dass die Lösung auch der EU-DSGVO entspricht. Entsprechende Zertifizierungen und Auszeichnungen wie z. B. die ISO27001 untermauern die Konformität zusätzlich. Wichtig ist außerdem, dass sich von autorisierten Personen jederzeit nachvollziehen lässt, wann welche Daten von wem bearbeitet wurden. Nur so lassen sich auch unkontrollierte Datenabflüsse erkennen und vermeiden.

Ein feingranulares Rechtesystem regelt außerdem detailliert, wer auf welche Daten zugreifen und diese bearbeiten darf. Wenn die Lösung zusätzlich noch über einen integrierten Ransomware-Schutz verfügt, mittels dem sich geschädigte Daten zeitnah wiederherstellen lassen, ist ein Maximum an Datensicherheit und -schutz gewährleistet. Klinikbetreiber müssen insgesamt das Risiko ernst nehmen und sich mit der Implementierung einer technisch zeitgemäßen Lösung auseinandersetzen – auf diese Weise sind sie künftig gewappnet im Kampf gegen Cyberkriminelle und vermeiden zudem verheerende Bußgelder im Rahmen der BSI-KRITIS-Verordnung. Auch Patienten können sich somit sicher sein, dass ihre sensiblen Daten in guten Händen sind und nicht kompromittiert werden.

Weitere Infos zu KRITIS erhalten Sie hier.

 

 

 

 

 

 

DRACOON ist für den eGovernment Award Computing Reader’s Choice Award 2019 nominiert

Regensburg, 11. Juli 2019 – DRACOON wurde für den eGovernment Award in der Kategorie Cloud & Infrastruktur nominiert.
Bis zum 10. Juli 2019 kann noch für unseren beliebten Cloudservice abgestimmt werden.

>>>Hier geht’s zum Voting

 

 

DRACOON treibt internationales Vertriebsprogramm weiter voran – Mark Kieffer wird Senior Manager Channel Sales

Mark Kieffer ist der neue Senior Manager Channel Sales bei DRACOON

Regensburg, 28. Mai 2019 – DRACOON, der Marktführer im Bereich Enterprise Filesharing im deutschsprachigen Raum hat einen neuen Senior Manager Channel Sales: Mark Kieffer, der bereits über eine langjährige Erfahrung und hervorragende Kontakte in der IT-Branche verfügt, übernahm im April den neugeschaffenen Posten. Er wird sich um den Auf- und Ausbau des Channelprogramms auf internationaler Ebene kümmern.

Kieffer startete seine berufliche Karriere vor über 20 Jahren als Kundenmanager im Vertrieb bei Ingram Micro. Dort fungierte er von 2000 bis 2004 als Produktmanager Purchasing. Nach seinem Wechsel zu Corel begann er dort als Distribution Manager DACH, wurde anschließend Manager Channel Sales DACH und übernahm später die Rolle des Senior Manager Channel Sales DACH, Benelux und Skandinavien. Seit 2017 war er bei Milestone Systems als Country Manager DACH beschäftigt. Dort war er auch für den weiteren Ausbau und die Betreuung der Technologiepartner zuständig.

Das DRACOON-Partnerprogramm umfasst nicht nur Reseller, sondern auch OEM- und Technologiepartner. Er selbst beschreibt die Lösung als geballte Power mit sehr viel Potential. „In meinen Augen ist DRACOON mit dem richtigen Produkt zur richtigen Zeit am richtigen Ort“, erklärt der neue Senior Manager Channel Sales. „Meine persönliche Zielsetzung habe ich sehr klar formuliert. Ich werde mich dafür einsetzen, dass der mir anvertraute Bereich in enger Zusammenarbeit mit den Partnern zu einer der wichtigsten Umsatzsäulen im Unternehmen wird“, so Kieffer weiter.

Aber auch Arved Graf von Stackelberg, Geschäftsführer Vertrieb & Marketing, freut sich über den Neuzugang: „Mark Kieffer agiert zu 100 % channelorientiert. Mit ihm konnten wir einen erfahrenen Mann gewinnen, der über ein großes Know-how im Channel- und Partnerbereich verfügt. Bereits in den ersten Wochen konnten wir wichtige Meilensteine setzen und freuen uns auf die weitere Zusammenarbeit.“

DRACOON unterstützt Hackaburg 2019 als Sponsor

Regensburg, 27. Mai 2019 – Am vergangenen Wochenende fand zum wiederholten Mal die Hackaburg in der Tech-Base in Regensburg statt. Die Hackaburg ist ein einzigartiges Hackathon-Erlebnis, das mehr als 100 Entwickler, Designer und Unternehmer aus der ganzen Welt zusammenbringt. Innerhalb von 2 Tagen werden in über 30 Teams spannende Aufgabenstellungen gelöst, die am Finaltag dann prämiert werden.

Auch in diesem Jahr beteiligte sich DRACOON als Sponsor und schickte zugleich zwei Mitarbeiter bei den Tracks ins Rennen, die die Teilnehmer begleiteten.

Für das Regensburger IT-Unternehmen ist die Hackaburg eine gelungene Möglichkeit um mit dem regionalen IT-Nachwuchs in Kontakt zu treten.

DRACOON wird zweifach mit dem Stevie Award ausgezeichnet

Regensburg, 06. Mai 2019 – Die Cloud-Lösung des Regensburger Softwareunternehmen DRACOON wurde am vergangenen Freitag mit den Gold Stevie Awards als „Unternehmen des Jahres – Computer Software“ und „Beste Cloud-Plattform“ ausgezeichnet. Der hochkarätige Wirtschaftspreis wird einmal im Jahr von einer Expertenjury aus 50 Führungskräften verliehen.

DRACOON wird inzwischen von zahlreichen führenden Unternehmen aus Europa genutzt, die mit sensiblen Daten arbeiten. Die hochsichere, plattformunabhängige Software verfügt über höchste Sicherheitsstandards. Mit der DSGVO-konformen Softwarelösung lassen sich bequem und sicher auf sämtlichen Endgeräten Daten tauschen. Durch die offene API kann DRACOON problemlos an sämtliche bestehenden Systeme integriert werden. Sie bietet verschiedene Workflow-Integrationen – von der sicheren E-Mail-Kommunikation bis hin zur vollständigen Modernisierung des File-Services.

„Wir freuen uns sehr über die Gold Stevie Awards als ‚Unternehmen des Jahres – Computer-Software‘ und ‚Beste Cloud-Plattform‘, denn sie bestätigen unsere tägliche Arbeit und unsere Vision für eine Welt befreit von Datenmissbrauch“, betont Arved Graf von Stackelberg, einer der beiden Geschäftsführer, erfreut.

Jährlich erreichen die Stevie Awards über 12.000 Bewerbungen von Organsisationen aus über 70 Nationen. Der renommierte Wirtschaftspreis würdigt Organisationen jeder Art und Größe sowie die dahinterstehenden Personen und erkennt herausragende Leistungen am Arbeitsplatz weltweit an. Teilnahmeberechtigt bei den German Stevie Awards sind alle Unternehmen deutschlandweit. Ausgezeichnet werden die Sieger in vielen Award-Kategorien, die von Unternehmen des Jahres über die besten Kundenservice- und HR-Lösungen bis hin zu neuen Produkten und wirkungsvolle Marketingkampagnen reichen. Ebenso ist Kreativität gefragt, denn die German Stevie Awards prämieren auch unternehmensbezogene E-Books, Webseiten, Apps oder Videos.

>>>Zum Video

 

Ransomware: Die nicht endende Gefahr – BSI warnt vor neuer Angriffsmethode

Ein Statement von Marc Schieder, CIO DRACOON GmbH

Regensburg, 26. April 2019 – Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt erneut eindringlich vor Angriffen, an deren Ende die Ausführung von Verschlüsselungstrojanern stehen. Das besonders Erschreckende hierbei: Die Cyberkriminellen verwenden dieses Mal Methoden, die laut Aussage der Bundesbehörde bis vor wenigen Monaten noch nachrichtendienstlichen Akteuren vorbehalten waren. Um zunächst in die jeweiligen Unternehmensnetze zu gelangen, wird hier häufig im ersten Schritt das sogenannte Dynamit-Phishing in Form von breit angelegten Spam-Kampagnen angewandt. Diese Methodik ist bereits im Zusammenhang mit dem Trojaner Emotet bekannt, der bereits seit Jahren Schäden in Millionenhöhe bei deutschen und internationalen Unternehmen versursacht. Sind die Angreifer in das Netzwerk eingedrungen, können sie sich dort weiter ausbreiten. Hierbei versuchen die Kriminellen, etwaige Backups zu manipulieren, beziehungsweise zu löschen. Schließlich infizieren sie die Computersysteme vielversprechender Ziele koordiniert mit Ransomware, welche schließlich ausgeführt wird. Die dadurch resultierenden Störungen im Betriebsablauf sind erheblich, die geforderten Lösegeldsummen weitaus höher als dies bei früheren Ransomware-Angriffswellen der Fall war.

Die Frage, wie Firmen sich vor Angriffen solcher Art schützen können, lässt sich sowohl technisch als auch organisatorisch beantworten. In Bezug auf die IT-Umgebung von Unternehmen sollten diese bei der Implementierung neuer Lösungen, etwa im Bereich Filesharing, beispielsweise auf einen integrierten Ransomware-Schutz achten. Hier können verschlüsselte Daten im Falle eines Angriffs über den Papierkorb ohne Zeitverlust wiederhergestellt werden, da alle Informationen versioniert gespeichert werden. Dies funktioniert auf folgende Weise: Bei einer Ransomware-Attacke werden die Daten mit den verschlüsselten Informationen überschrieben – die unverschlüsselten Versionen dieser wiederum, liegen automatisch im Papierkorb und können vollständig und unbeschadet wiederhergestellt werden. Die Technologie schützt im Ernstfall vor einem massiven Datenverlust, der unter Umständen geschäftskritisch sein kann.

Auf organisatorischer Ebene gilt es, Mitarbeiter aller Abteilungen ausreichend über aktuelle Gefahren aufzuklären und zu schulen. Insbesondere ist es wichtig – wie auch das BSI in seiner Stellungnahme betont – die Bedrohung unbedingt ernst zu nehmen und vorbereitet zu sein. Präsident Arne Schönbohm macht deutlich, dass die IT-Sicherheit als Voraussetzung für die Digitalisierung gesehen werden sollte, um von dieser Entwicklung dauerhaft profitieren zu können. Als deutscher Anbieter einer Enterprise-Filesharing-Lösung haben wir uns bereits früh mit den Herausforderungen der Digitalisierung in Bezug auf die IT-Sicherheit befasst und die Aspekte Datenschutz und Datensicherheit sind seit dem ersten Tag oberste Priorität gewesen. Nur wenn Hersteller von IT-Security-Lösungen ihre Verantwortung wahrnehmen und gleichzeitig Wirtschaftsunternehmen jeglicher Branche die Bedrohungen für die Cybersicherheit ernst nehmen, kann die Gefahr gebannt werden. Sowohl Software als auch Organisationen, die diese nutzen, müssen dringend mit dem steigenden Professionalisierungsgrad der Cyberkriminellen mithalten. Auf diese Weise wird der Wirtschaftsstandort Deutschland vor massiven finanziellen Verlusten geschützt und selbst ausgeklügelte Angriffsmethoden laufen schließlich ins Leere.