+41 71 891 68 68 rs@datenschutz2019.ch

Mobile Device Management – ein wichtiger Datenschutzbestandteil der Unternehmenssicherheit

Bericht von Jasmin Lieffering, Autor

 

Unter Mobile Device Management (MDM) versteht man die zentrale Verwaltung von mobilen Endgeräten in Unternehmen, Behörden und anderen Einrichtungen, kurz gesagt: die Geräteverwaltung. Zu mobilen Endgeräten gehören alle tragbaren Kommunikationsgeräte, die ortsungebunden zur Sprach- und Datenkommunikation eingesetzt werden können, z.B. Mobiltelefone, Smartphones, Netbooks, Notebooks oder Tablets.

Mit den mobilen Endgeräten werden E-Mails, Kontakte, Kunden- und Produktinformationen sowie weitere vertrauliche und personenbezogene Daten mobil verarbeitet und gespeichert. Vorteile der Geräte sind, dass dadurch z.B. Arbeitsabläufe schneller funktionieren, weil der Mitarbeiter Zugriff auf die Software und Unternehmensdaten zu jeder Zeit und von jedem Ort aus hat.

Die Hauptaufgaben vom MDM sind zum einen personenbezogene Daten entsprechend den Vorgaben der EU-DSGVO zu schützen, die Datensicherheit zu gewährleisten und die Funktionalität zu optimieren.

Die mobilen Endgeräte können von Mitarbeitern auf verschiedenen Arten genutzt:

  • Geschäftlich: das Unternehmen stellt das Gerät dem Mitarbeiter zur Verfügung und der Mitarbeiter verwendet dieses ausschließlich für den geschäftlichen Gebrauch.
  • Privat und geschäftlich: hierbei verwendet der Mitarbeiter, das vom Unternehmen zur Verfügung gestellte Endgerät sowohl für betriebliche, als auch private Zwecke. Einige Unternehmen geben ihren Mitarbeitern kein mobiles Endgerät, so dass die Mitarbeiter ihr eigenes Gerät für beide Zwecke verwenden. Auf den ersten Blick ist das Bring Your Own Device“ (BYOD) für die Unternehmen praktisch und kostengünstig. Das Risiko hierbei, ist das Auflösen der Grenze zwischen Berufs- und Privatleben und die Unternehmen können kaum mehr kontrollieren, was auf den Privatgeräten läuft und wer den Inhalt zu Gesicht bekommt.

Durch die Verwendung der mobilen Geräte kann es zu verschiedenen Problemen und Risiken kommen:

  • Datenverlust
  • Ausspionieren von Geschäftsgeheimnissen
  • Diebstahl / Verlust des Gerätes
  • missbräuchliche Verwendung von Apps
  • Zugriff auf das Online-Banking

Ein sicherer Einsatz von mobilen Endgeräten wird durch die durch die Einführung eines Mobile Device Management möglich. Datenvertraulichkeit, -integrität und -verfügbarkeit sind wichtige   Bestandteile zur Integration der Devices in die Datenschutzsicherheit des Unternehmens. Sicherheitsrisiken, die sich durch mobile Geräte und den Business-Einsatz von Apps ergeben, können einfacher gemanagt werden. Dabei gibt es verschiedene Optionen das Mobile Device Management-System zu konfigurieren. Die finale Konfiguration sollte sich nach der individuell zu definierenden Mobile Strategie jedes Unternehmens richten. Im Mittelpunkt aller Lösungen steht jedoch die Absicherung von Geräten, Daten und Apps.

Vor allem durch die parallele Nutzung bei BYOD muss sichergestellt werden, dass beispielsweise Kontaktdaten nicht in unautorisierte Anwendungen repliziert werden. Hier kann ein App Black-/Whitelisting oder eine Container-Lösung unterstützen. Durch die Sicherstellung der Trennung von geschäftlichen und privaten Daten ist auch eine Nutzung von Messenger-Diensten wie WhatsApp oder Threma möglich.

Durch die Nutzung eines Enterprise App Stores mit zentralem App-Katalog und vorgelagertem App-Freigabeprozess, können Apps auf Legitimität und Sicherheit geprüft werden. Dadurch wird z.B. der Datenklau durch Schadsoftware reduziert.

Die Anforderungen an das Mobile Device Management werden durch die steigende Mitarbeiteranzahl und die Vielfalt der Geräte erschwert. Die Ansprüche an ein ideales Mobile-Device-Management-Tool sind schwierig: Es muss kompatibel mit allen gängigen mobilen Betriebssystemen und Anwendungen sein und zusätzlich mit verschiedenen Dienstleistern zusammenarbeiten. Zusätzlich muss es Daten und Programme sichern und ggf. wiederherstellen.

Damit die IT Abteilung eine optimale Netzwerkleistung und Sicherheit gewährleisten kann, muss man Geräte hinzuzufügen oder entfernen können.

Diese ganzen Anforderungen machen die Einführung und die Verwaltung des MDM Systems teuer und aufwendig. In der heutigen Zeit ist ein Mobile Device Management jedoch ein wichtiger Datenschutzbestandteil der Unternehmenssicherheit und somit notwendig. Vor allem für Unternehmen, die ihre Produktivität erhöhen und gleichzeitig ein hohes Niveau an Security halten wollen.

Haben Sie noch Fragen zum Thema Datenschutz und der Abgrenzung zur IT-Sicherheit bzw. Datensicherheit? E-Mail.

SaaS – Datenschutzdokumentation

Bericht von Jasmin Lieffering, Autor

 

SaaS – Datenschutzdokumentation

SaaS – Software-as-a-Service ist eines der meist genutzten Arten der Cloudnutzung. Über die Auswahl der richtigen Tools und was Sie beachten müssen, habe ich hier SaaS – Auswahl der richtigen cloudbasierten Anwendung einen Beitrag für Sie verfasst und auch mit der Minimierung der Risiken bei der Nutzung der Tools haben wir uns bereits befasst.

Heute behandeln wir das Thema der Datenschutzdokumentation und welche Dokumente Sie aus welchem Grund erstellen sollten, um die Risiken bewerten zu können.

Wozu dient eine Datenschutzdokumentation?

Grundsätzlich ist der für die Verarbeitung von personenbezogenen Daten Verantwortliche dazu angehalten, genau zu prüfen, welche Software und Hardware eingesetzt wird. Online-Tools, also SaaS-Anwendungen, fallen hier ebenfalls darunter.

Was genau muss man machen? Ganz einfach gesagt, Sie müssen die Folgen abschätzen, was der Einsatz dieser Tools für die Betroffenen bedeutet. Also die Risiken bewerten.

Welche Dokumente sollte man erstellen?

Als aller erstes, sollte man sich fragen, warum man ein Online-Tool einsetzen will. Was soll besser werden? Wozu soll es dienen? Welcher Verarbeitungsvorgang soll verbessert werden? Was ist der Zweck?

Aus den Antworten entsteht der Anforderungskatalog. Die einzelnen Anforderungen können dann einfach mit den einzelnen Anbietern abgeglichen werden. Daraus kann dann die Dokumentation zur Anbieterauswahl erstellt werden. Achten Sie dabei auch auf die Checkliste zur Anbieterauswahl, damit Sie im Zweifelsfall schnell und einfach die Wahl der Anbieter begründen und nachvollziehen können.

Nach Entscheidung für einen Anbieter werden die Risiken abgeschätzt. Hierbei stehen folgende Fragen im Mittelpunkt unsere Dokumentation:

  • Was kann wem passieren?
  • Was tut man als Unternehmen, um das Risiko zu mindern?

Anschließend sollte ein Auftragsverarbeitungsvertrag mit dem Anbieter abgeschlossen und regelmäßig (1 x jährlich) überprüft werden, da Sie als Nutzer weiterhin der Verantwortliche für die Datenverarbeitung sind. Diese Überprüfung kann auch extern vergeben werden oder anhand von Zertifikaten durchgeführt werden.

Für die Nutzung der Tools, sollten interne Arbeitsanweisungen erstellt werden. Diese können dann als Datenschutzleitlinie und IT-Leitlinie dienen. Die Arbeitsanweisungen sollten den Umgang mit den einzelnen Tools beschreiben (wofür werden sie genutzt und wofür nicht, welche Daten werden eingepflegt, welche nicht). Backup-Erstellung und Datenexport wären Beispiele für IT-Leitlinien.

Als letzten Teil der Dokumentation ist es sehr wichtig einzelne Verarbeitungsvorgänge zu bewerten und die dazugehörige Dokumentation wie Risikobewertung der Verarbeitungsvorgänge, Verarbeitungsübersichten, Datenschutzerklärungen zu erstellen.

Haben Sie noch Fragen zum Thema Datenschutz und der Abgrenzung zur IT-Sicherheit bzw. Datensicherheit? E-Mail.

SaaS – Nutzung von cloudbasierten Anwendungen

Bericht von Jasmin Lieffering, Autor

 

SaaS – Nutzung von cloudbasierten Anwendungen 

SaaS – Software-as-a-Service ist eines der meist genutzten Arten der Cloudnutzung. Über die Auswahl der richtigen Tools und was Sie beachten müssen, habe ich hier SaaS – Nutzung von cloudbasierten Anwendungen Teil 1 einen Beitrag für Sie verfasst. Heute geht es um den 2. Schritt – die Nutzung der ausgewählten Tools. 

Wenn Sie sich für ein oder mehrere Tool/s entschieden haben, gibt es einige Risiken, die durch den richtigen Umgang mit den Tools minimiert werden können:

  • Verlust und Manipulation von Daten
  • unberechtigte Zugriffe vom Anbieter, Dritter oder Geheimdiensten auf die Daten
  • Diebstahl von Identitäten
  • Accountmissbrauch
  • Cloud-Dienst ist vorübergehend nicht erreichbar

Wie sichere meine Zugänge? 

Um das Risiko des Datenklaus oder den unberechtigten Zugang von Fremden zu minimieren, ist das Passwortmanagement ein zentraler Punkt. Achten Sie darauf, dass sie ein sicheres Passwort (mind. 17 Stellen, keine Wörter aus Lexika und Wörterbüchern) verwenden und dieses mind. 1-mal im Monat ändern. Mit Hilfe einer passenden Software (z. B. LastPass (bitte prüfen, ob datenschutzkonform)) können Sie ihr Passwort verschlüsseln. Verwenden Sie nicht ein Passwort für alle Nutzer und, wenn möglich, nutzen sie Sessionpasswörter, welches ebenfalls einige Tools bereits anbieten. Das erhöht die Sicherheit Ihrer Daten ebenfalls. 

Wie gelangen die Daten in die Cloud?

Achten Sie zusätzlich darauf, wie Ihre Daten in die Cloud der Anbieter gelangen. Häufig sind wir uns heute gar nicht bewusst bzw. ist es nicht immer sofort ersichtlich, dass wir personenbezogene Daten an Auftragsverarbeiter weitergeben. 

Bei den E-Mail-Tools (wie KlickTipp, Cleverreach etc.) ist es offensichtlich, denn die E-Mail-Adresse gehört zu den personenbezogenen Daten, genauso wie der Name. Wer also bereits in einem Formular Daten, wie E-Mail-Adressen abfragt und damit sammelt, hat später auch mit dem Datenschutz zu tun. Die Frage ist hierbei stets: Was mache ich mit den Daten? Wozu erhebe ich sie und wie nutze ich sie?

Auch bei Kommunikations-Tools, CRM-Tools und Buchhaltungs-Tools ist es offensichtlich, da hier personenbezogene Daten in die Software eingegeben bzw. verarbeitet werden.

Schwieriger zu bemerken, ist das bei den Filesharing- und Projekt-Tools. Hier kommt es tatsächlich darauf an, was in die Cloud gegeben wird. Lade ich das Menü der Weihnachtsfeier in die Cloud? Oder lege ich meine Rechnungen dort ab? Entwerfe ich lediglich einen Projektplan oder ordne ich Teile von Projekten Mitarbeitern zu? Hier steht das, was mache ich damit im Vordergrund. 

Hierzu hilft Ihnen folgende Unterscheidung: 

– Datenschutz erstreckt sich auf personenbezogene Daten

– Datensicherheit erstreckt sich in der Regel auf Unternehmensdaten im Allgemeinen

 


Wie kann ich die Cloud datenschutzkonform nutzen?

Neben einem guten Passwortmanagement oder Verifizierungsmanagement und der Frage welche personenbezogenen Daten in der Cloud landen, geht es nun darum, Daten in der Cloud zu schützen. Hier gilt generell der Grundsatz, dass Daten pseudonymisiert werden sollen. Die Methode, die wohl am weitesten verbreitet ist, ist die Verschlüsselung von Daten. 

Achten Sie bei der Verschlüsselung auf folgende Möglichkeiten:

• Verschlüsselung des Datentransfers (SSL)

• Verschlüsselung der zu speichernden Daten

Der Vorteil dieser Methode liegt auf der Hand. Nur wer den Schlüssel hat, kann die Daten auch entschlüsseln. Deswegen mein Rat an Sie: Wenn Sie Daten an eine Cloud geben und es die Möglichkeit gibt, dies verschlüsselt zu tun, nehmen Sie die Möglichkeit wahr. 

Beim Datentransfer gibt es vor allem bei der E-Mail ein Problem, das meist durch die Transferverschlüsselung gelöst wird. Das Problem ist, dass zwei Personen den gleichen Schlüssel benötigen, um eine verschlüsselte Nachricht wieder zu entschlüsseln. Daher setzt sich dieses Verfahren auch schwer durch.

Einige Anbieter, gewährleisten auch eine verschlüsselte Verarbeitung bzw. einen verschlüsselten Transfer. Wenn Sie Daten in ein Filesharing-Tool laden, verschlüsseln Sie die Daten zuerst auf ihren PC und legen sie dann die Daten in der Cloud ab. Der Vorteil ist, dass Sie den Schlüssel auf ihrem PC haben. Klar ist hier das Problem, dass man nur selbst auf die Daten zugreifen kann. Das Teilen mit anderen Personen ist nicht möglich, solange sie den Schlüssel nicht haben. Aber auch hier gibt es Tools, die eine Kennwortverwaltung mit einer Synchronisation zwischen Rechnern gewährleisten.

Zusätzlich empfehle ich Ihnen die Erstellung von regelmäßigen Backups, welche Sie sicher verwahren sollten. Dadurch haben Sie eine Sicherheit Ihre Daten wiederherzustellen, falls der Cloud-Dienst nicht erreichbar ist oder es zu Datenverlust kommen sollte. Dokumentieren Sie im besten Fall direkt, wie ein Backup erstellt und wieder eingespielt wird, damit das Rückspielen der Daten im Worst-Case-Szenario reibungslos funktioniert. 

Haben Sie noch Fragen zum Thema Datenschutz und der Abgrenzung zur IT-Sicherheit bzw. Datensicherheit? E-Mail.

Was macht ein Datenschutzbeauftragter eigentlich?

Bericht von Jasmin Lieffering, Autor

 

In diesem Artikel möchte ich Einblicke in das Leben eines Datenschutzbeauftragten geben.

„Guten Tag, was machen Sie?“

„Ich bin Datenschutzbeauftragte und helfe Unternehmen datenschutzkonform zu Arbeiten.“

„Aha, sehr wichtig was Sie da machen.“

So oder ähnlich laufen die Gespräche ab. Meist ist an dieser Stelle das Gespräch auch schon beendet. Gefühlt rangiert man als Datenschutzberater auf der Beliebtheitsskala zwischen Rechtsanwalt und Inkassounternehmen. Das liegt wahrscheinlich daran, dass man zu dieser Art Spaßverderber gehört, die sich mit einer, von außen betrachtet, langweiligen Materie befassen. Das entspricht allerdings nicht der Wahrheit.

Ganz im Gegenteil, meine Dienstleistung ist total spannend. Warum?

Ganz einfach:

  • Ich sehe jede Menge Unternehmen von innen,
  • Ich darf daran teilhaben, wie Unternehmen wachsen und sich neuen Herausforderungen stellen,
  • Ich erlebe wie Gründer ihre Ideen umsetzen und ich darf sie dabei begleiten,
  • Ich erstelle Dokumentation für Software und smarte Dinge, die noch keiner kennt.

Kurz gesagt, ich bin am Puls der Zeit. Ich sehe Innovationen schon im Entwicklungsprozess, Digitalisierung in Echtzeit.

Womit verbringe ich nun den Arbeitstag?

Ich telefoniere sehr viel, denn vieles lässt sich telefonisch regeln, schreibe emails und bin auch bei Unternehmen vor Ort.

  • Ich bekomme Fragen zu bestimmten Themen, häufig Marketing, Vertrieb, Videoüberwachung, Digitalisierung des Büros etc.
  • Führe Erstgespräche, da viele sich unsicher sind, ob und wie sie Datenschutz umsetzen können,
  • Für meine Kunden
    • erstelle ich Dokumentation (TOM’s, Datenschutzkonzepte),
    • helfe bei der Anbieterauswahl von Software, Tools, teilweise Hardware, Dienstleistern,
    • Bereite Datenschutzfolgeabschätzungen vor,
    • mache Risikobewertungen und
    • stehe im Kontakt mit Aufsichtsbehörden,
    • beantworte Kundenanfragen
    • führe Nachkontrollen der Auftragsverarbeiter durch und
    • manchmal bin ich auch vor Ort um Audits durchzuführen.

Also meine Arbeit ist ziemlich abwechslungsreich. Natürlich gehört auch Weiterbildung dazu. Durch den Besuch von Seminaren und das Lesen von Urteilen, Whitepaper der Aufsichtsbehörden, habe ich auch hiermit ordentlich zu tun.

Bei meiner Arbeit in Projekten geht es neben Beratung und Dokumentation erstellen auch darum Lösungen zu finden.

Im Grunde arbeite ich daran, dass Ideen umgesetzt werden können und Unternehmen für die Zukunft gerüstet sind.

Haben Sie noch Fragen zum Thema Datenschutz und der Abgrenzung zur IT-Sicherheit bzw. Datensicherheit? E-Mail.

Privacy by Design

Bericht von Jasmin Lieffering, Autor

 

Privacy by Design – DSGVO in der Entwicklung neuer Technologien

Das Datenschutz eine entscheidende Rolle in Unternehmen spielt, wissen wir bereits. Doch wie wichtig der Datenschutz und die DSGVO auch im Bereich der Softwareentwicklung ist, ist vielen leider noch nicht bekannt.
Doch gerade durch die DSGVO sind viele Bereiche in der Softwareentwicklung betroffen und die Herausforderungen entstehen, direkt bei der Entwicklung neuer Apps, Portalen, Plattformen, Diensten etc. datenschutzkonform zu agieren, um bei der Produkteinführung nicht über vorhersehbare Stolpersteine zu fallen.

Die Lösung dafür ist Privacy by Design. Was dies bedeutet, welchen Stellenwert es für Softwareentwickler, Auftraggeber und Nutzer hat, erklären wir Ihnen in diesem Artikel.

Privacy by Design – von Anfang an datenschutzkonform entwickeln

Heutzutage nimmt der Datenschutz, zum Glück, einen sehr hohen Stellenwert im Unternehmen ein. Viele Auftraggeber für Softwareprogramme prüfen schon im Vorhinein, ob die beauftragte Firma auch datenschutzkonform arbeitet. (Worauf hierbei geachtet werden soll lesen Sie auch in diesem Artikel: SaaS- Auswahl der richtigen cloudbasierten Anwendung) Manchen Auftraggeber haben auch einen ganzen Katalog mit eigenen Vorgaben entwickelt.

Wie funktioniert Privacy by Design? Welche Schritte sind zu beachten?

Erstellung und Evaluierung der Verträge

Im ersten Schritt werden das Vertragswerk inklusive des AVVs (Auftragsverarbeitungsvertrag) zwischen dem Softwareunternehmen und dem Auftraggeber erstellt und abgestimmt. Da die meisten Softwareunternehmen Wartungsverträge eingehen, um auch langfristig ihre Kunden betreuen zu können, Wartungen vorzunehmen oder den Kundensupport zu übernehmen und die Unternehmen somit Zugriff auf die Nutzerdaten besitzen, sind sie somit Auftragsverarbeiter. Aus diesem Grund wird auch ein AVV benötigt. In diesem AVV müssen bereits vor der eigentlichen Programmierung ALLE Datenkategorien bestimmt und festgehalten werden. (Vergleich Art. 4 DSGVO) Der Auftraggeber und -nehmer müssen somit im Vorfeld bestimmen, welche Daten benötigt werden, ob diese direkt (beispielsweise der Name, Alter, Wohnort – alle Daten, die direkt auf die Person zuordenbar sind) oder indirekt (z. B. Standortdaten, die nur zur Profilerstellung genutzt werden) zuordenbar sind. Gerade wenn es um besondere Daten (z.B. Gesundheitsdaten) geht, steht auch schon an dieser Stelle fest, dass der Auftraggeber für den Einsatz der neunen Software eine Datenschutzfolgeabschätzung (DSFA) durchführen muss.

Des Weiteren ist bei dem Regelwerk zu beachten, dass mehrere Grundprinzipien der Datenerhebung auch bei der Softwareentwicklung gelten. Hierbei seien mit der „Rechtmäßigkeit der Verarbeitung“ und der „Zweckbindung“ nur einige aus dem Artikel 5 DSGVO genannt. Prinzipiell ist bei der Entwicklung auf Datensparsamkeit bzw. -minimierung zu achten, denn Daten, die nicht erhoben werden, können im Nachgang auch keine Schwierigkeiten machen.

Anforderungsevaluierung

Auf Basis der erstellten Verträge und des AVVs wird nun eine Anforderungsevaluierung erstellt. Im besten Fall liegen ebenfalls Programmierstandards des Auftraggebers vor, die leider selten vorhanden sind. In diesem Schritt wird bestimmt, was genau mit der Software bewirkt werden soll, wie die Datenbanken aufgebaut und geschützt werden und welche Daten an welchen Stellen abgefragt und gespeichert werden. Die Anforderungsevaluierung beinhaltet auch den Zweck der Datenverarbeitung, der laut Art. 5 Abs. 1 lit. b DSGVO verpflichtend ist. Nach der Anforderungsevaluierung richtet sich am Ende auch das Schutzniveau der Software. Beispielsweise benötigen Gesundheitsdaten einen höheren Schutz als einfache Auskunftsdaten.

Ablauf und Prozesse bestimmen und durchlaufen – die eigentliche Programmierung beginnt

Nachdem die Anforderungen und der Aufbau der Software geregelt ist und somit feststeht, was detailliert benötigt wird, geht die Softwareprogrammierung in die Bestimmung des Ablaufes und der einzelnen Prozesse über. Hierbei wird bestimmt, was wann gemacht wird und welche Dokumente benötigt werden. Die Arbeitsweise ist sehr individuell und kann beispielsweise in unterschiedlichen Sprints entstehen oder als Wasserfallmethode im klassischen Projektmanagement. Wichtig ist es an dieser Stelle die passenden Fragen zu stellen, zu beantworten und zu dokumentieren. Während des Prozesses müssen beispielsweise die Schrittfolgen geklärt und dokumentiert werden, wie die Daten wieder gelöscht werden können, also aus dem System entfernt werden. Parallel zu der eigentlich Softwareentwicklung findet bei Privacy by Design die Entwicklung des Datenschutzkonzeptes für die Software statt. Hierbei werden die Schutzstruktur der Daten dokumentiert und die Frage nach der benötigten Datenbankstruktur beantwortet. Zusätzlich werden in diesem Schritt die Workflows abgebildet, die im Nachgang, bei Unklarheiten, von enormer Bedeutung sein können. Laut Art. 28 DSGVO sind für die Verarbeitung personenbezogener Daten nicht nur der Kunde (also das Unternehmen, welches die Software bestellt), sondern auch das Software-Unternehmen mitverantwortlich. Das Softwareunternehmen ist somit bei Auskunftsverlangen zur Mithilfe verpflichtet und sollte bereits in dem Entstehungsprozess die zweckgebundenen Workflows bedenken, um seinen Kunden eine schnelle und präzise Auskunft geben zu können. An dieser Stelle ist es auch wichtig eine Validierung des Testsystems durchzuführen, um eventuelle Fehler im Workflow nicht erst im nach hinein festzustellen. Gerade im Pharmabereich ist das ein k.o.-Kriterium.

Übergabe der Software an den Kunden

Der letzte Schritt ist die Übergabe der Software an den Kunden, sodass die Anwendung gelauncht werden kann. Hierbei sollte nicht nur die Übergabe der eigentlichen Anwendung geschehen, sondern gleichzeitig die komplette Übergabe der Datenschutzdokumentation/Datenschutzkonzepte. Die Dokumente sind hierbei ähnlich anzusehen, wie bei einem Datenschutzprozess im Unternehmen: Während ein Unternehmen in der Dokumentation u.a. ein Löschkonzept, ein Sicherheitskonzept und den Auditbereich niederschreibt, ist dies auch für jedes einzelne Softwareprodukt empfehlenswert. So kann die neue Software direkt bei der Einführung nicht nur vom unternehmensinternem (oder externem) Datenschutzbeauftragten mit den Unternehmensrichtlinien einfach abgeglichen werden, sondern das Konzept schafft Vertrauen bei dem Unternehmen und Endkunden.

Herausforderungen

Noch ist der Privacy by Design Bereich nicht umfassend im Datenschutz geregelt, allerdings müssen neue Technologien alle datenschutzkonform entwickelt werden. Während vorhandene Plattformen, die eventuell modular gewachsen sind, nun alle Bereiche detailliert prüfen und anpassen müssen, können neue Softwareanwendung auf den bestehenden Regularien der DSGVO bereits aufbauen und diese beachten. Wir sind sicher, dass es irgendwann Datenschutzstandards nicht nur für Unternehmen, sondern auch für einzelne Produkte geben wird. Ein Datenschutzberater kann allerdings die Unternehmensstandards bereits jetzt auf die einzelnen Produkte projizieren und einzelne Aufgaben und Möglichkeiten ableiten. Aus diesem Grund ist es vom Vorteil direkt zu Beginn die zwei Bereiche (Datenschutz und Entwicklung) zu verbinden und gemeinsam die Software zu erstellen. So kann die neue Software bereits bei der Erstellung der Verträge (inkl. AVV) mit dem Auftraggeber, über die Anforderungsevaluierung bis hin zur Programmierung auf datenschutzkonformen Beinen stehen. Ein Datenschutzberater fungiert hierbei ebenfalls als Schnittstelle zwischen Softwareentwickler und Auftraggeber, kann die Besonderheiten einzelner Branchen prüfen und zwischen den beiden Bereichen vermitteln.

Empfehlung von LITC und DAS Labor AG

Es ist empfehlenswert in das Entwickelteam einen Datenschutzberater direkt zu Beginn zu integrieren. Dieser sollte den kompletten Prozess betreuen und die notwendigen Dokumente zur Übergabe an den Kunden parallel zur Entwicklung erstellen. Das erstellte Privacy by Design Konzept, welches dem Datenschutzkonzept eines Unternehmens ähnelt, schafft nicht nur Vertrauen auf Seiten des Auftraggebers, sondern bietet alle Unterlagen zur Überprüfung direkt an. Dies ist für Auskunftsverlangen oder Überprüfungen einzelner Software eine enorme Hilfestellung und spart somit Kosten und Zeit auf beiden Seiten.

Weiterführende Quellen: 

– Artikel: Die EU-DSGVO in der Softwareentwicklung von Christian Rentrop / Stephan Augsten  

Sie haben noch Fragen zu dem Bereich Privacy by Design? Sie möchten einen Datenschutzberater in Ihre Programmierung integrieren und die nötige Dokumentation erstellen lassen? Ich berate Sie gerne und gehe mit Ihnen gemeinsam die einzelnen Schritte durch, sodass Sie Ihre Anwendung von Beginn an datenschutzkonform aufbauen. Schreiben Sie mir eine ​E-Mail

SaaS – Auswahl der richtigen cloudbasierten Anwendung

Bericht von Jasmin Lieffering, Autor

 

SaaS – Auswahl der richtigen cloudbasierten Anwendung

SaaS – Software-as-a-Service ist eines der meist genutzten Arten der Cloudnutzung. 

Beispiele von SaaS-Anwendungen: 

  • Email-Tools wie KlickTipp, Cleverreach, getresponse, Mailchimp oder Active Campaign
  • Filesharing-Tools wie Apple iCloud, Microsoft OneDrive, Google Drive, ownCloud, Dropbox
  • CRM-Systeme wie Salesforce, Microsoft Dynamics 360° CRM
  • Buchhaltungs-Tools wie freeFIBU, sevDesk, Debitoor, lexoffice, Papierkram oder FastBill
  • Projekt-Tools wie ASANA, Basecamp, Lighthouse, JIRA, Trello, AgileZen oder ToDoIst•Kommunikations-Tools wie Slack, Allo, Skype for Business, facebook at work, Bitrix24

Die Liste ist nicht vollständig und soll lediglich zeigen, in welchem Umfang und in welchen Arbeitsbereichen heute SaaS-Anwendungen bereits genutzt werden. 

Viele Programme werben damit, dass sie überall abrufbar und anwendbar sind. Dies ist besonders in der Zeit der Digitalisierung und der Möglichkeit, von überall arbeiten zu können, attraktiv. Allerdings besitzen sie im Punkt des Datenschutzes einen großen Haken: Sie als Nutzer können den Service, beispielsweise über einen Webbrowser nutzen, die Software, der Server und IT-Infrastruktur bleiben beim Anbieter. 

Damit Sie von Anfang an datenschutzkonform handeln, habe ich Ihnen eine Checkliste erarbeitet, die Sie bei der Auswahl des SaaS-Anbieters beachten sollten, sodass die Risikobewertung im Nachhinein vereinfacht wird. 

 

1. Auftragsverarbeitungsvertrag

Prüfen Sie, ob der gewünschte Dienstleister einen Auftragsverarbeitungsvertrag anbietet. Sie bleiben als Nutzer weiterhin der Verantwortliche für die Datenverarbeitung, allerdings ist der SaaS-Anbieter Auftragsverarbeiter. Dieser darf nicht ohne vorherige Prüfung und ohne Vertrag beauftragt werden. Hier finden Sie übrigens eine Liste der AV-Verträge vieler Anbieter mit Direktlinks

 

2. Zertifikate

Ein Zertifikat (z. B. TÜV, DEKRA oder ISO 27001) ist ein guter Standard, um die Überprüfung des Anbieters im Nachhinein zu erleichtern. 

 

3. Verschlüsselung von Daten

Überprüfen Sie Ihren Wunschanbieter auf die mögliche verschlüsselte Verarbeitung von Daten. Hierdurch verringert sich die Wahrscheinlichkeit einer Datenpanne und der Anbieter erhält keinen Einblick in die Daten.

 

4. Subunternehmen

Beauftrag der Anbieter Subunternehmer? Diese müssen Ihnen als Nutzer bekannt sein. Zusätzlich muss ein Widerspruchsrecht für den Nutzer eingeräumt sein, sollte der Anbieter zukünftig ein Subunternehmen beauftragen. 

 

5. Anbieterwechsel

Gibt es die Möglichkeit einen Anbieterwechsel durchzuführen, sollten Sie mit der Anwendung nicht zufrieden sein? Hierbei ist es wichtig, dass die Daten einfach auf den neuen Anbieter übertragen werden können und nicht einfach gelöscht werden. Bei vielen Unternehmen wird dies auch Umzugsdienst genannt. 

 

6. Datenübertragbarkeit (Datenprotabilität)

Daten können in verschiedenen Formen bereitgestellt werden (XML, CVS, JSON etc.), die dann beispielsweise von Programmen wie Excel verwendet werden können. Neben dem einfachen Datenimport, sollte auch die Exportfunktion gegeben sein, sodass die Daten für andere Programme verwendet werden können.  

 

7. Eigentümer der Daten

Dieser Punkt ist enorm wichtig, da der Nutzer in jedem Fall Eigentümer der Daten bleiben muss. Eine Weiterverarbeitung seitens des Anbieters ist zu vermeiden. Oder wollen Sie, dass ihre E-Mail weitergegeben wird? Sicher nicht. Das kann schwerwiegende Konsequenzen haben, welche schon vorab vermeidbar sind.

 

8. Löschung der Daten

Zu klären ist hierbei, dass die Daten nach Beendigung des Auftragsverhältnisses gelöscht werden und der Anbieter keine Berechtigung besitzt, die Daten weiter zu speichern oder zu verarbeiten. 

 

9. Speicherort der Daten

Wenn es die Möglichkeit gibt, dass Daten nicht in der EU gespeichert werden, muss das Datenschutzniveau adäquat hergestellt werden. Der Anbieter muss entweder nach Privacy Shield (USA-Dienste) zertifiziert sein oder Angemessenheitsbeschlüsse liegen vor. Wenn kein angemessenes Datenschutzniveau festgestellt wurde, gibt es die Möglichkeit Garantien zu nutzen. Dies können genehmigte Binding-Corporation-Rules (unternehmensinterne Selbstverpflichtungen), Standarddatenschutzklauseln der Kommission bzw. Aufsichtsbehörde oder genehmigte Zertifizierungsverfahren sein. Ausnahmen bestätigen die Regel. Wenn die betroffene Person ihre Einwilligung zur Weitergabe der Daten gegeben hat, es zur Vertragserfüllung erforderlich ist oder wenn Rechtsansprüche verfolgt werden.

Wenn Sie diese Punkte beachten, können SaaS-Programme Ihren Arbeitsalltag enorm erleichtern und Sie sind trotzdem ein Stück sicherer im Bereich des Datenschutzes unterwegs.

Brauchen Sie Hilfe bei dem Thema der Anbieterauswahl für Ihr Unternehmen? Dann berate ich Sie gerne. Ich erstelle auch die Dokumentation dazu und unterstütze Sie bei dem kompletten Prozess. Schreiben Sie mir einfach eine E-Mail.