Best Practice: DSGVO-Daten-Compliance mit eperi

Die EU-DSGVO tritt im Mai 2018 in Kraft. Sind Sie bereit?

Was ist die DSGVO?

Nach mehreren Jahren der Ausarbeitung tritt am 25. Mai 2018 die europäische Datenschutzgrundverordnung (DSGVO) in Kraft. Sie soll private und sensible Daten von EU-Bürgern schützen. Die DSGVO folgt auf die EU-Datenschutz-Direktive von 1995 und bringt unter anderem härtere Strafen für Nicht-Compliance und Sicherheitsvorfälle mit Datenschutzrechtsverletzungen mit sich. Sie erlaubt EU-Bürgern zudem stärkere Kontrolle darüber, was Organisationen mit ihren Daten anfangen können.

Mit der Einführung der DSGVO gibt es nun eine EU-weit standardisierte Richtlinie für alle Organisationen – selbst außerhalb der EU –, die Daten von EU-Bürgern verarbeiten und speichern.

Wen betrifft die DSGVO?

Organisationen, die personenbezogene Daten kontrollieren oder verarbeiten, müssen den neuen gesetzlichen Rahmen der DSGVO einhalten.

Organisationen, die personenbezogene Daten erheben und sammeln, gelten unter DSGVO als „Verantwortliche“. Diese (also Ihr Unternehmen) müssen alle nötigen Schritte ergreifen, um personenbezogene Daten zu schützen und den Best Practices der Industrie hierzu zu folgen. Dies gilt auch, wenn die Datenverarbeitung durch einen Dritten geschieht – etwa Cloud-Services oder Software-as-a-Service-Anbietern.

Haftungsausschluss: Diese Website ist keine Rechtsberatung für Ihr Unternehmen zur Einhaltung der DSGVO. Stattdessen erhalten Sie Hintergrundinformationen, die Ihnen helfen, besser zu verstehen, wie eperi Ihrem Unternehmen helfen kann, einige wichtige DSGVO-Anforderungen zu erfüllen.

Wie können eperi Cloud Data Protection Lösungen meinem Unternehmen helfen, die Einhaltung der DSGVO-Compliance-Vorgaben zu kontrollieren?

Das Erfüllen von rechtlichen und regulatorischen Daten-Compliance-Vorgaben ist ab sofort ein zentraler Bestandteil der Cloud-Adoption Ihres Unternehmens.

Die DSGVO fordert den Schutz personenbezogener Daten über den gesamten Lebenszyklus hinweg. Das bedeutet: Sie müssen jederzeit die volle Kontrolle über Ihre Daten behalten. Dazu sollen Sie angemessene Schritte einleiten, um personenbezogene Daten zu schützen – auch wenn Ihr Unternehmen diese in Cloud-Services wie Office 365 oder Salesforce speichert und verarbeitet.

Wenn Ihr Unternehmen als Verantwortlicher die Daten eines Kunden in der Cloud speichert, können Sie die Verantwortung für die Sicherheit dieser Informationen nicht abgeben.

DSGVO nennt gezielt Verschlüsselung als eine der wirkungsvollsten Maßnahmen, um personenbezogene Daten zu schützen. Primär wird Pseudonymisierung gefordert: das Verarbeiten personenbezogener Daten auf eine Weise, die es nicht erlaubt, diese ohne zusätzliche Informationen zum Datensubjekt zurückzuverfolgen.

Nehmen wir einmal an, Ihr Cloud-Service-Anbieter würde erfolgreich angegriffen und alle seine Kundendaten wären potentiell kompromittiert. Kann Ihr Unternehmen in dieser Situation nachweisen, dass die Daten Ihrer Kunden trotzdem sicher sind, da sie beim Cloud-Service-Anbieter nur verschlüsselt vorliegen und die Schlüssel sich allein in Ihrer Hand befinden, sinkt die Wahrscheinlichkeit, Strafen zu erhalten oder Kunden benachrichtigen zu müssen. Hätte Ihr Cloud-Service-Anbieter Zugriff auf die Schlüssel, bestünde die Möglichkeit, dass auch Daten Ihrer Kunden in solch einem Szenario kompromittiert wurden.

Hier kommt eperi Cloud Data Protection ins Spiel: eperi nutzt die DSGVO-Prinzipien „Zentralisierung“ und „Datenschutz by Design“, um eine transparente Datenkontrollschicht zu implementieren. Diese erlaubt Ihrem Unternehmen, die Daten-Schutz-Compliance von einem zentralen Kontrollpunkt aus zu verwalten und sensible Daten zu schützen, bevor diese in Cloud-Services wie Office 365, Salesforce oder ServiceNow gespeichert und verarbeitet werden.

DSGVO-konformer Datenschutz beim Hinzuziehen von dritten Datenverarbeitern

Hat die Datenschutzfolgeabschätzung (engl. Data Protection Impact Assessment, DPIA) in Ihrem Unternehmen ergeben, dass Sie personenbezogene Daten mit dritten Datenverarbeitern, wie Cloud-Services teilen, müssen Sie Vorkehrungen treffen, damit Risiken und Schwachstellen beim Übertragen, Verarbeiten und Speichern dieser sensiblen Informationen minimiert werden.

In unserem YouTube-Videotutorial erläutern wir Ihnen die wichtigsten Richtlinien und Prinzipien der DSGVO, die beim Übertragen, Verarbeiten und Speichern von personenbezogenen Informationen bei der Einbindung von dritten Datenverarbeitern zu beachten sind.

Hinweis: Das Videotutorial ist nur in englischer Sprache verfügbar.

01 – Data Protection Impact Assessment (DPIA)

Do I need to complete a Data Protection Impact Assessment (DPIA) when transferring and processing PII and sensitive PII data to a third-party data processor?

02 – Privacy by Design and Default

Addressing data protection as a fundamental requirement to meeting GDPR Compliance, especially when using a data processor service. Learn about the concepts of Privacy by Default and by Design.

03 – GDPR Principle: Centralization

Understanding the Centralization principle and using a central point of architectural control to stay in control of your data.

04 – Key Principles of Data Pseudonymization

Understanding how pseudonymization of critical data works and why it is important.

05 – Key Principles of Data Anonymization

Understanding how anonymization of critical data works and why it is important.

06 – Data Breach Notifications

Understanding your organization’s notification duties in case of a security breach.

07 – Data Processor Compliance

Understanding how eperi Cloud Data Protection addresses GDPR data compliance in a data processor environment.

Wie profitiert mein Unternehmen von eperi Cloud Data Protection?

  • Compliance-Vorgaben bei Einbindung von Cloud Services einfacher umsetzen.
  • Gibt Ihnen die alleinige Kontrolle über sämtliche Verschlüsselungsprozesse.
  • Nur Ihr Unternehmen hat Zugriff auf sensible Daten.
  • Ihr Unternehmen kontrolliert alle Datenschutz-Prozesse.
  • Reduziert das Risiko bei Datenverlust.
  • Gestohlene Daten sind nutzlos außerhalb Ihres Unternehmens.
  • Datenschutz-Prozesse beeinträchtigen nicht die Nutzererfahrung in Ihren Cloud-Anwendungen.
  • Nutzen Sie alle Vorteile Ihrer Cloud-Anwendung, ohne Kompromisse beim Datenschutz einzugehen.