DSGVO-konforme Datenräume – jetzt Datenschutz prüfen

Die neue Europäische Datenschutzgrundverordnung (EU-DSGVO), international als GDPR abgekürzt, ist nun seit drei Jahren in Kraft und hat die Verarbeitung personenbezogener Daten massiv verändert. Nicht nur in Europa haben die strengen Gesetze zu einem Umdenken geführt. Im Zuge der Einführung der EU-DSGVO haben internationale Cloud- und Portalbetreiber ihre Services verbraucherfreundlicher umgestellt. Der Smartphone- und Computerhersteller Apple Inc. ist sogar von den Gesetzen der Europäern begeistert. Scherte sich doch der Amerikaner wenig um seine Daten und den Datenschutz. Auch die im Zuge von M&A-Transaktionen eingesetzte Cloudlösungen mussten sich anpassen. Für ausländische Anbieter, die ihre Server bislang nicht in Europa unterhielten, war eine Umstruktierung der Serverstandorte notwendig.

Datenschutzkonforme Datenräume nur von europäischen Anbietern

Das Nutzen von US-amerikanischen Datenraum-Anbietern ist nicht DSGVO-konform. Denn US-amerikanische Techfirmen müssen US-Behörden auch dann Zugriff auf gespeicherte Daten gewährleisten, wenn die Speicherung nicht in den USA erfolgt. US-Behörden hatten in verschiedenen Fällen Probleme, an die im US-Ausland gespeicherte Daten zu gelangen. Daher wurde das Gesetz eingeführt. Problematisch ist zudem, dass besagten Techfirmen nach der CLOUD Act verboten werden kann, ihre Benutzer über eine solche heimliche Abfrage von Benutzerdaten zu informieren. Diese rechtliche Unsicherheit können Nutzer von M&A-Datenräumen nur umgehen, indem sie eine Datenraum-Lösung auswählen, deren Betreiber der EU-Datenschutzgrundverordnung unmittelbar unterliegen. dataroomX^® ist ein deutscher Anbieter, der in Hochsicherheitsrechenzentren seine Datenräume sicher vor dem Zugriff von Behörden und Nachrichtendiensten hostet.

Vereinfachung: Einwilligung ist formfrei möglich

Was bringt die Datenschutzgrundverordnung aber Neues? Wie bisher wird auch künftig eine Datenverarbeitung auf der Grundlage einer Einwilligung möglich sein; Voraussetzung ist, dass es freiwillig ist und der Nutzer informiert wird. Auch die Bindung der Einwilligung an bestimmte Verarbeitungszwecke gilt weiterhin. Anders als bisher ist die Einwilligung grundsätzlich formfrei möglich. Voraussetzung ist, dass mit einer eindeutigen bestätigenden Handlung die betroffene Person ihr Einverständnis zur Verarbeitung der sie betreffenden Daten erteilt.

Dokumentationspflicht: Verarbeitungstätigkeit mit Datenschutzfolgeabschätzung

Art. 30 DSGVO verpflichtet die Verantwortlichen ein Verzeichnis aller Verarbeitungstätigkeiten mit personenbezogenen Daten zu führen. Dieses enthält die wesentlichen Angaben zum Verantwortlichen, der Art der verarbeiteten Daten, etwaigen Datenempfängern, Löschfristen, und Sicherheitsmaßnahmen. Die Datenschutz-Folgenabschätzung ist ein Instrument der Datenschutzgrundverordnung. Sie betrifft Wirtschaft und Verwaltung. Ähnlich der bisherigen Vorabkontrolle dient sie dazu, datenschutzrechtliche Risiken, die von Datenverarbeitungsvorgängen ausgehen, vorab zu identifizieren und einzudämmen. Unternehmen, Behörden und Institutionen, die Datenräume für Due Diligence-Prozesse nutzen, sollten die Verarbeitungstätigkeit mit dataroomX^® dokumentieren und um eine Datenschutzfolgeabschätzung ergänzen. Die Bitkom stellt einen Leitfaden zum Download bereit.

Angemessene Sicherheit der technischen und organisatorischen Maßnahmen

Wie der Datenschutzbeauftragte des Landes Rheinland-Pfalz schreibt, ersetzen die Regelungen der Europäischen Datenschutzgrundverordnung zur Sicherheit der Verarbeitung die bisherigen technisch-organisatorischen Vorgaben. Die wesentlichen Anforderungen finden sich in den Art. 5, Art. 25 und Art. 32 DSGVO. Danach muss durch geeignete technische und organisatorische Maßnahmen eine angemessene Sicherheit gewährleistet werden. In der Terminologie nimmt die DSGVO dabei auf die allgemeinen Kriterien für die Bewertung der Sicherheit von Informationstechnologie Bezug. Von Bedeutung ist künftig ein risikobasierter Ansatz, d.h. die Ausrichtung der erforderlichen Maßnahmen an der Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken. Dabei sind insbesondere folgende Risiken in den Blick zu nehmen:

• unbeabsichtigte/unrechtmäßige Vernichtung und Veränderung,
• unbeabsichtigter/unrechtmäßiger Verlust,
• unbefugte Offenlegung,
• unbefugter Zugang zu personenbezogenen Daten.

Neu: Formalisierte Risikoanalyse

Dies begründet die Notwendigkeit einer stärker als bislang formalisierten Risikoanalyse. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art und Zwecke der Verarbeitung hat dataroomX^® geeignete technisch-organisatorische Maßnahmen getroffen, die im Zuge der Riskoanalyse folgendes einschließen:

• Verschlüsselung der Daten
• Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste
• Rasche Wiederherstellung der Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen nach einem Zwischenfall

Die Zugangssicherheit wird bei dataroomX® groß geschrieben: dataroomX® steht für höchste Sicherheitsstandards. Das Rechenzentrum bietet eine hochsichere IT-Infrastruktur gemäß der EU-DSGVO. Die Datenspeicherung erfolgt ausschließlich in Deutschland. Es werden umfangreiche Qualitäts- und Sicherheitsprüfungen gewährleistet. Verlässlichkeit wird groß geschrieben. Damit sind die Kunden und Nutzer von dataroomX^® auf der sicheren Seiten und haben einen vertraulichen Partner an ihrer Seite.

Kein datenschutzgerechter Einsatz von Microsoft Office 365

Zu diesem Ergebnis kommt das Papier der „Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder“, kurz Datenschutzkonferenz. Die Entscheidung der Datenschutzkonferenz erging aber mit einer knappen Mehrheit von 9 Stimmen bei 8 Gegenstimmen. Jetzt sind sich die Datenschützer nicht mehr grün. Denn gegen die „uneingeschränkte Zustimmung“ sprechen sich unter anderem die Landesbeauftragten für den Datenschutz Baden-Württemberg, Bayern, Hessen und im Saarland sowie der Präsident des Bayerischen Landesamts für Datenschutzaufsicht aus, welcher für die Microsoft Deutschland GmbH zuständig ist. Der Tenor: Rechtsunsicherheiten seien bei Microsoft Office 365 da, aber mit dem Hersteller habe es noch keine förmliche Anhörung gegeben. (mehr …)

Datenräume in den USA und von US-Anbietern für europäische Unternehmen datenschutzwidrig

Der Europäische Datenschutzausschuss, das sogenannte European Data Protection Board (edpb), hat erneut den US Privacy Shield und den CLOUD Act für datenschutzwidrig erklärt und nochmals seine Einwände begründet. Der Ausschuss ist eine unabhängige europäische Einrichtung, die zur einheitlichen Anwendung der Datenschutzvorschriften in der gesamten Europäischen Union beiträgt und die Zusammenarbeit zwischen den EU-Datenschutzbehörden fördert. (mehr …)

Aufgepasst: Keine Datenräume als App nutzen – Höchste Sicherheitsstufe des BSI

Es gibt Anbieter von Datenräumen, die den Zugriff auf eben diese per App erlauben: z.B. in Apples App Store oder Google Play. Davor warnt dataroomX^® ganz entschieden: Apps haben oft Sicherheitslücken, mit denen die Datenräume gehackt werden können. (mehr …)

Berufsgeheimnisträger nutzen virtuelle Datenräume

Kennen Sie Hippokrates? Der griechische Arzt lebte ca. 400 Jahre vor Christus und formulierte einen Eid. Dieser verpflichtet den Arzt zum Schweigen. Sämtliche Informationen, die er während der Behandlung über einen Menschen erfährt und die dessen Gesundheit betreffen, sollen sicher sein. Neben den Ärzten unterliegen auch weitere Berufe einer Schweigepflicht. Sie dürfen ihr Wissen nicht ohne die Erlaubnis der Betroffenen an Dritte weitergeben. Sollten private Geheimnisse ausgeplaudert werden, kann das strafrechtliche Folgen nach sich ziehen.

Privatgeheimnisse schützen

Viele Berufsgeheimnisträger nutzen einen virtuellen Datenraum zum Austausch von Dokumenten. dataroomX^® stellt Ihnen dafür gesicherte Cloudserver, eine verschlüsselte Übertragung und ein speziell abgesichertes Managementsystem zur Verfügung. Gehören Sie zu einer der nach §203 Abs. 1 des StGB definierten Berufsgruppen, die der Schweigepflicht unterliegen?

Dazu gehören beispielsweise:

• Ärzte, Zahnärzte, Tierärzte, Apotheker und Angehörige anderer Heilberufe, wenn für das Führen der Berufsbezeichnung eine staatlich geregelte Ausbildung notwendig ist
• Berufspsychologen mit staatlich anerkannter wissenschaftlicher Abschlussprüfung
• Rechtsanwälte, Patentanwälte, Notare, Verteidiger in gesetzlich geordneten Verfahren, vereidigte Buchprüfer, Wirtschaftsprüfer, Steuerberater und Steuerbevollmächtigte
• Organ oder Mitglied des Organs einer Patentanwalts-, Rechtsanwalts-, Buchprüfungs-, Wirtschaftsprüfungs- oder Steuerberatungsgesellschaft
• Familien-, Ehe-, Jugend- und Erziehungsberater und Suchtberater in Beratungsstellen, die durch eine Behörde, Körperschaft, Stiftung des öffentlichen Rechts oder Anstalt anerkannt wurde
• Mitglieder oder Beauftragte von anerkannten Beratungsstellen nach §§ 3 & 8 Schwangerschaftskonfliktgesetz
• Staatlich anerkannte Sozialpädagogen/Sozialarbeiter
• Unternehmensangehörige von privaten Unfall-, Kranken- oder Lebensversicherungen und von steuerberaterlichen, anwaltlichen und privatärztlichen Verrechnungsstellen
• besonders verpflichtete Amtsträger (öffentlicher Dienst),
• Personen, die Befugnisse oder Aufgaben im Rahmen des Personalvertretungsrechts wahrnehmen,
• Mitglieder eines Untersuchungsausschusses, Ausschusses oder Rates, der für ein Gesetzgebungsorgan von Land oder Bund tätig ist, solange sie Hilfskräfte des Ausschusses oder nicht selbst Mitglieder des gesetzgebenden Organs sind
• Sachverständige, die öffentlich bestellt und auf die gewissenhafte Erfüllung von Obliegenheiten gesetzlich und förmlich verpflichtet sind, sowie
• Personen, die gesetzlich und förmlich auf eine gewissenhafte Einhaltung der Geheimhaltungspflicht im Rahmen von wissenschaftlichen Forschungsvorhaben verpflichtet wurden

Nutzung des Datenraums mit höchster Sicherheit

Wer Berufsgeheimnisträger ist, sollte nicht nur selbst verschwiegen sein, sondern auch auf die Sicherheit der Datenräume achten. Werden Dokumente ausgetauscht, ist es wichtig, dass wirklich nur diejenigen einen Zugriff darauf haben, die dazu berechtigt sind. Digitale Datenräume von dataroomX^® sind nicht nur sicher, sondern lassen sich auch intuitiv und einfach bedienen.

Für jede Datenraum-Anforderung ein faires Preismodell

Drei transparente Preismodelle berücksichtigen sämtliche Bedürfnisse der Kunden, abhängig davon, wie intensiv der Datenraum genutzt wird. Dabei werden sämtliche durch dataroomX^® verwalteten Daten auf Servern gehostet, die in Deutschland stehen.

Spionageschutz für deutsche Unternehmen in virtuellen Datenräumen

In den Medien sind Berichte von Cyberkriminalität, Datenklau und Hackerattacken nahezu täglich zu sehen. Auch die deutschen Unternehmen sind davon mit steigender Tendenz betroffen. (mehr …)

Rechenzentren in Deutschland mit TÜV-Zertifikat

Virtuelle Datenräume sind auf dem Vormarsch. In Deutschland wie auf der ganzen Welt. Die Sicherheit der dort gespeicherten Daten rückt immer mehr in den Vordergrund des allgemeinen Interesses. Dazu führt unter anderem die DSGVO der EU (mehr …)

Software Due Diligence: Softwareentwicklung als Asset bewertet

Software Due Diligence ist zu einem wichtigen Schlagwort geworden. Es geht um den Wert, den eine Software beziehungsweise deren Entwicklung haben kann. Intelligente Software ist heute zum wichtigen immateriellen Vermögensgegenstand geworden. (mehr …)

Mit Cloud-Datenräumen können Architekten bei Bauherren punkten

Die Zeiten, in denen Architekten für ihre Kunden Pläne manuell zeichneten und dann auf dem Postweg versandten, sind glücklicherweise längst Geschichte. Heute prägen Multimedia und Mobilität den Zeitgeist. (mehr …)

Bei der Cybersicherheit spielt der Faktor Mensch eine Schlüsselrolle

Nachrichten von Hackerangriffen und Datenlecks haben die mediale Berichterstattung in den letzten Jahren immer wieder beherrscht. Dazu passt das Ergebnis einer Studie im Auftrag des BSI (mehr …)

Wissen für Existenzgründer: Raus mit diesen Daten aus Datenräumen

Existenzgründer bzw. Startup-Unternehmen sind mit der folgenden Thematik bestens vertraut: Potenzielle Investoren haben ein großes Interesse daran, jedes entscheidungsrelevante Detail in Erfahrung zu bringen: Alle betrieblichen Kennzahlen sowie Außenstände und auch Verträge rücken in den Fokus. (mehr …)

Stiftung Datenschutz der Bundesrepublik Deutschland feiert 5-jährigen Geburtstag

Die Stiftung Datenschutz feiert ihr Fünfjähriges. 2013 von der Bundesrepublik Deutschland gegründet, ist ihre Aufgabe die Förderung des Privatsphärenschutzes. Hierzu bietet sie eine Plattform zur Diskussion und dient als Schnittstelle zwischen Gesellschaft, Politik, Wirtschaft und Forschung. (mehr …)

DSGVO ist in Kraft: Datenschutzkonforme Datenräume

Seit heute gilt die neue Europäische Datenschutzgrundverordnung, als EU-DSGVO oder international als GDPR abgekürzt, und die Verarbeitung personenbezogener Daten durch Unternehmen und Behörden – auch und besonders für Datenraum-Anbieter. Die Datenschutz-Grundverordnung schafft dabei einen einheitlichen Rechtsrahmen für Datenraum-Betreiber in ganz Europa. (mehr …)