Sicher ist nicht gleich DSGVO-konform
Nun wird schnell angenommen, dass die sichere Datenübertragung automatisch bedeutet, dass die Daten DSGVO-konform behandelt werden. Dem ist jedoch nicht automatisch so. Nur weil der Datentransfer über eine Verbindung verschlüsselt wird, ist der weitere Umgang mit den Daten nicht zwangsläufig DSGVO-konform. Die DSGVO besagt, dass Unternehmen, die mit personenbezogenen Daten arbeiten, sicherstellen müssen, dass diese Daten von Dritten nicht eingesehen werden können. Das bedeutet, dass nicht nur die Übertragung verschlüsselt erfolgen muss, sondern auch die weitere Speicherung, Archivierung und Verwaltung.
Oft unterschätzt oder gar nicht beachtet wird hier der Datentransfer über Filesharing-Plattformen. Dabei stellen sie ein erhebliches Problem dar, denn es ist oft nicht eindeutig klar, wo die Daten physisch liegen. Hier besteht zwar kein Sicherheitsproblem, allerdings ein erhebliches Compliance-Problem in Bezug auf DSGVO-konformes Datenmanagement, denn die DSGVO fordert bei der Übertragung und Archivierung von Daten eine eindeutige Dokumentation über Art der Daten, Ablageort und Aufbewahrungsdauer. DSGVO-konformes Datenmanagement bedeutet auch Wiederauffindbarkeit der Daten. Hierzu gehören sinnvoll strukturierte Bezeichnungen mit Metadaten sowie ein übersichtlich organisiertes Ablagesystem.
Ebenso muss innerhalb des Unternehmens eine Einstufung der Zugriffsberechtigungen erfolgen, um Daten DSGVO-konform zu verwalten. Hier schützen Zugangs- und Berechtigungskontrollen sowohl physisch als auch digital vor unbefugtem Zugriff auf Daten und Informationen. Um auch bei der Dauer der gespeicherten Daten konform zu arbeiten, lassen sich im Datenmanagement automatisierte Aufbewahrungszeiträume nach Art der Daten einrichten, denn so gilt für die Speicherung von handels- und steuerrechtlichen Informationen eine Frist von 10 Jahren, für medizinrechtliche Dokumente sind es dagegen bis zu 30 Jahre.
Auch bei der Webserverkonfiguration muss auf DSGVO-Konformität geachtet werden: So konfiguriert PLUTEX die Webserver beispielsweise so, dass IP-Adressen ausschließlich anonymisiert und maximal für 3 Tage gespeichert werden. Eine längere Speicherdauer ist jedoch möglich, sollte das vom Kunden für Analysezwecke gewünscht werden. Außerdem erfolgt die Konfiguration immer auf HTTPS und auf Grundlage des aktuellsten TLS-Protokolls.
weiter zu Seite 3: Einmal sicher, immer sicher? Mit Expertenhilfe schon
