EU-DSGVO kompakt: was Unternehmen
jetzt wissen und tun müssen

Unternehmen noch nicht ausreichend auf EU-DSGVO vorbereitet

Die Uhr tickt - nicht nur Datenschutz- und IT-Verantwortliche haben sich den 25. Mai 2018 im Kalender rot markiert: denn an diesem Tag tritt die neue EU-Datenschutzgrundverordnung in Kraft bzw. läuft die Frist für die Umsetzung der neuen DSGVO-Bestimmungen aus. Die sich daraus ergebenden Datenschutz- und Dokumentationspflichten sollten daher spätestens heute auf ihre Transparenz und Umsetzbarkeit auch über die eigenen Unternehmensgrenzen hinaus überprüft werden. Eine Umfrage im Auftrag des Digitalverbands Bitkom e.V. hat ergeben, dass viele Unternehmen in Deutschland noch nicht ausreichend auf die neue Verordnung vorbereitet sind. Viele Unternehmen in Deutschland sind sich noch nicht bewusst, was die DSGVO genau für sie bedeutet und wie die Einhaltung (Compliance) mit überschaubarem Aufwand gewährleistet werden kann. Das muss sich schon deshalb ändern, damit die Digitalisierung datenschutzkonform und ohne zusätzliche Risiken voranschreiten kann.

EU-DSGVO bringt komplexe Datenschutz-
und Dokumentations-Anforderungen mit sich

Was bedeutet dies konkret: Mit der EU-Datenschutzgrundverordnung, die die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Institutionen vereinheitlichen soll, soll ein Regelwerk für die bislang heterogenen Datensammlungs- und Verarbeitungsmethoden im gesamten Raum der EU-Mitgliedsländer etabliert werden. Denn mit der Digitalisierung und den neuen Dimensionen der Automatisierung und Vernetzung wachsen die Anforderungen an einen standardisierbaren und pragmatischen Datenschutz, der die jeweiligen Rechte und Pflichten bei der Datenspeicherung, Verarbeitung und dem Austausch zwischen den prozessbeteiligten Unternehmen, Anwendern und Systemen einheitlich festschreibt. Darüber hinaus verfolgt der Gesetzgeber damit das Ziel, die rechtlichen Rahmenbedingungen gerade in den digitalen Wachstumsbereichen Cloud Computing, Big Data, Suchmaschinen und Social Media zu überarbeiten und Lücken im Umgang mit den jeweiligen Datenschutzrechten zu schließen.

DSGVO in der Cloud: Auswirkungen auf die Nutzung von
Cloud-Anwendungen

Was bringt die neue Datenschutzgrundverordnung für Unternehmen und Anwender insbesondere von Cloud-Anwendungen mit sich? Datenschutzrechtlich handelt es sich beim Cloud Computing um eine sogenannte Auftragsverarbeitung, bei der personenbezogene Daten im Auftrag des Cloud-Anwenders durch einen Cloud-Anbieter verarbeitet werden. Dieser Sachverhalt wird künftig im Artikel 28 der DSGVO geregelt und sieht u.a. vor, dass der Cloud-Nutzer bei einer Auftragsverarbeitung nur Dienstleistern beauftragen darf, „die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“

Bei der Wahl des Software- und Cloud-Dienstleister müssen Unternehmen daher ein besonderes Augenmerk darauf richten, inwieweit der Anbieter und in Anspruch genommene Auftragsverarbeiter genehmigte Verhaltensregeln im Sinne der DSGVO (Artikel 40) einhalten oder genehmigte Zertifizierungsverfahren (Artikel 42) z.B. in Form einer „Trusted Cloud Datenschutz-Profil für Cloud-Dienste“ (TDCP) nachweisen kann.

Mit der EU-DSGVO gehen somit für alle Unternehmen erhöhte Dokumentations- und Nachweispflichten einher. So müssen etwa die Verfahren und Datenflüsse, insbesondere in Bezug auf personenbezogene Daten innerhalb der eigenen Systemlandschaft dokumentiert werden. Werden in dem Zuge etwa IT-Dienstleister in Anspruch genommen, z.B. in Form von Cloud-Services oder Hosting im externen Rechenzentrum, so müssen auch die Dienstleister die Verfahren zur Speicherung und Verarbeitung personenbezogener Daten transparent machen. Bei der Auswahl von IT-Dienstleistern ist daher darauf zu achten, dass die Verfahrensverzeichnisse lückenlos vorgehalten und auf Anfrage von Kunden oder Datenschutzbehörden vorgelegt werden können. Mit der flächendeckenden Umsetzung der EU-DSGVO soll ein vergleichbares Schutzniveau in der gesamten Kette der Auftragsdatenverarbeitung umgesetzt werden – vom Anwenderunternehmen über IT-Dienstleister bis zum Subunternehmer.

DSGVO-ready mit Taskworld

Taskworld Nutzer – je nach individuellem Anforderungsprofil – haben die Wahl, das Taskworld Lösungsportfolio auf einem deutschen Server in einer Virtual-Private-Cloud oder einer Shared-Cloud-Umgebung des hiesigen Infrastruktur-Partners Amazon Web Services (AWS) betreiben. Schon heute erwarten Anwender bei der Nutzung von Cloud-Diensten höchste Transparenz darüber, wo genau die Daten gespeichert sind, wer darauf Zugriff hat, wie diese gesichert werden und welchen Compliance- und Datenschutzrichtlinien diese unterliegen. Mit Amazon Web Services hat Taskworld einen weltweit führenden Infrastrukturdienstleister als strategischen Partner ausgewählt, der unseren Kunden mit umfassenden Sicherheits-Zertifizierungen, modernsten Verschlüsselungs-Mechanismen ruhender und übertragener Daten und einer Vielzahl physischer Hardware-Sicherheitsmodule ein Höchstmaß an Compliance und Sicherheit für das operative Geschäft gewährleistet.

Volle Kontrolle über Inhalte und Schutz der Daten

Gemeinsam mit AWS erfüllt Taskworld bereits heute die wichtigsten Standards nach ISO 27001, ISO 27017, ISO 27018, ISO 9001, dem Cloud Computing Compliance Controls Catalog (C5 Deutschland) sowie dem SOC 3 Report für interne Kontrollmechanismen im Hinblick auf Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit oder Datenschutz. AWS garantiert allen Cloud-Kunden bei Inkrafttreten zum 25. Mai 2018 die Einhaltung der EU-DSGVO, dies beinhaltet u.a. die Erfüllung des CISPE Verhaltenskodex („Code of Conduct for Cloud Infrastructure Service Providers“), granulare Zugangskontrollen, Protokollierungs- und Überwachungstools, Datenverschlüssel, Schlüsselverwaltung, Prüfungskapazitäten und die laufende Compliance mit IT-Sicherheitsstandards sowie Level C5-Zertifikate.

Die Kunden behalten dabei jederzeit die volle Kontrolle darüber, welche Zugriffs- und Sicherheitsmaßnahmen sie zum Schutz ihrer eigenen Daten, Anwendungen, Systeme und Netzwerke einsetzen möchten – damit genießen Unternehmen dieselben Freiheitsgrade wie beim Betrieb im lokalen Rechenzentrum.

Die Kontrolle, Prüfung und Verwaltung von Zugriffen, Berechtigungen, Konfigurationen und Nutzung sind heute für die Verwaltung der IT-Infrastruktur zudem ein wesentlicher Komfortfaktor. Mit der AWS Cloud sowie der Möglichkeit zur Nutzung als VPC- oder OnPremise-Lösung sind diese Funktionen über eine Management-Konsole in die Plattform integriert, um die Umsetzung von Compliance-, Governance- und gesetzlichen Vorgaben zu erleichtern.

DSGVO-Checkliste

Mit Taskworld und AWS sind Unternehmen für die neue Datenschutzgrundverordnung optimal gerüstet. Um unseren Kunden die DSGVO-Compliance auch über den Taskworld Einsatz hinaus zu erleichtern, stellen wir Unternehmen auf Anfrage eine Checkliste der Industrie- und Handelskammern zur eigenen Bestandsaufnahme zur Verfügung, um zu ermitteln, welche datenschutzrechtlichen Maßnahmen im Unternehmen vorhanden und ob diese mit der DSGVO kompatibel sind und an welchen Stellen nachgebessert werden sollte.

Felix Kettner
Account Manager DACH
Mandy Schroeter
Kundendienst

Möchten Sie mehr über Taskworld erfahren?
Unsere freundlichen Mitarbeiter freuen sich von Ihnen zu hören.