Kürzlich wurde bekannt, dass die deutsche Immobiliengesellschaft Deutsche Wohnen SE wegen eines Verstoßes gegen die Europäische Datenschutzgrundverordnung (EU-DSGVO) 14,5 Millionen Euro Geldbuße bezahlen soll. Grund dafür war die Verwendung eines Archivsystems zur Speicherung personenbezogener Mieterdaten, das nicht dafür ausgelegt war, nicht mehr benötigte Daten zu entfernen. Jene privaten Informationen sollen gespeichert worden sein, ohne dass eine Überprüfung stattfand, ob dies rechtens und tatsächlich nötig war, so die Berliner Beauftragte für Datenschutz und Informationsfreiheit Maja Smoltczyk[1]. Es seien teilweise Jahre alte Angaben – wie Kontoauszüge, Gehaltsbescheinigungen oder Versicherungsdaten – von Mietern einsehbar gewesen, obwohl sie für ihren ursprünglichen Zweck nicht mehr gebraucht wurden. Eine erste Prüfung der Deutsche Wohnen fand bereits 2017 statt, also während der Übergangsfrist zum Inkrafttreten der DSGVO. Doch tatsächlich wurden daraufhin keine ausreichenden Maßnahmen getroffen, um die Missstände zu beseitigen.

Nur tatsächlich benötigte Daten dürfen gespeichert werden
Damit hat die Immobiliengesellschaft klar gegen die 2018 in Kraft getretene Verordnung verstoßen, die vorsieht, dass Systeme zur Datenspeicherung den strengen Datenschutzvorgaben entsprechen müssen. Sie besagt u. a., dass nur tatsächlich benötigte Daten gespeichert werden dürfen. Offenliegende Daten bieten zudem immer eine Angriffsfläche für Hacker. Das Recht auf Vergessenwerden (Art. 17) ist ebenfalls Teil der Verordnung und stellt sicher, dass betroffene Personen auf die Löschung personenbezogener Daten bestehen können. Wenn Unternehmen, wie in diesem Fall die Deutsche Wohnen, allerdings Archivierungssysteme nutzen, deren Struktur keine Löschung vorsieht, kann dieser Punkt nicht erfüllt werden.

IT-Lösungen müssen der DSGVO entsprechen
Auch in Organisationen genutzte IT-Lösungen müssen den Anforderungen der DSGVO entsprechen, dazu gehört auch der Aspekt, dass konkrete IT-Sicherheitsmaßnahmen implementiert sein müssen, die eine Reihe technischer und organisatorischer Maßnahmen umfassen. Eine DSGVO-konforme Lösung muss etwa eine Pseudonymisierung und Verschlüsselung von Daten beinhalten. Ein Unternehmen wie die Deutsche Wohnen muss außerdem Maßnahmen zur dauerhaften Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste treffen, die sich mit der Datenverarbeitung befassen.

Regelmäßige Prüfungen erforderlich
Außerdem wird eine regelmäßige Überprüfung, Bewertung und Evaluierung der sicheren Datenverarbeitung vorausgesetzt. Nach Artikel 25 DSGVO sollen die Grundsätze des Datenschutzes bereits bei der Implementierung von Produkten, Diensten und Anwendungen, die personenbezogene Daten verarbeiten, berücksichtigt werden. Durch die entsprechende technische Implementierung soll sichergestellt werden, dass nur eine Erhebung bestimmter Daten stattfindet, diese schnellstmöglich pseudonymisiert und verschlüsselt sind, die Daten nur in erforderlichem Umfang verarbeitet und nach Ablauf der Speicherfrist gelöscht werden. Abgesehen davon soll es nur bestimmten Personen gestattet sein, darauf Zugriff zu haben.

Maximale Verschlüsselung ist notwendig für eine sichere Datenspeicherung
Um Verstöße zu vermeiden, müssen Verantwortliche dringend darauf achten, dass Systeme und Anwendungen für die Speicherung und Verarbeitung personenbezogener Daten über eine datenschutzfreundliche Grundeinstellung verfügen. Denn wenn bereits auf technischer Ebene die zu verarbeitenden Daten auf ein Minimum reduziert werden, der Schutz dank technischer und organisatorischer Maßnahmen aber gesichert ist, sinkt auch das Verarbeitungsrisiko für Verantwortliche deutlich. Zudem sollte ein maximal sicherer Verschlüsselungsstandard genutzt werden, beispielsweise im E-Mail-Verkehr, aber auch wenn es darum geht, Daten via Filesharing auszutauschen. Idealerweise bieten Lösungen dafür eine clientseitige Verschlüsselung, sodass die Informationen bereits am Endgerät verschlüsselt werden. Schutz vor unbefugtem Zugriff auf gespeicherte Inhalte bietet ein zuverlässiges Rechtemanagement. Über die Berechtigungen muss Transparenz herrschen, sodass die Verarbeitung der Daten in einer nachvollziehbaren Weise geschieht, sollten betroffene Personen Auskünfte einfordern.  

Datenschutz und Datensicherheit haben oberste Priorität
Organisationen, die mit personenbezogenen Informationen umgehen und diese in der Cloud speichern, müssen dringend dafür sorgen, dass jederzeit ein hohes Niveau an Datenschutz und -sicherheit gewährleistet ist. Einige Firmen scheinen sich der Tragweite ihres Handelns nicht bewusst zu sein, wenn sie das Thema einfach umgehen. Als IT-Dienstleister fordern wir, dass Unternehmen jeder Branche schnellstens aktiv werden müssen, um das hohe Schutzniveau der gespeicherten Daten tatsächlich garantieren zu können, denn das sind sie ihren Kunden schuldig. Wir von DRACOON setzen uns dafür ein, dass jeder Einzelne die Hoheit über seine Daten behält und daher sind die Einrichtungen, die jene Informationen speichern und nutzen für den verantwortungsvollen Umgang gemäß den rechtlichen Vorgaben verpflichtet, schließlich haften sie auch dafür.

Und so sind sie auch in der Pflicht, geeignete IT-Lösungen zu nutzen, die nach den strengen DSGVO-Richtlinien ausgerichtet sind.

 

[1] https://www.heise.de/…

Über die Dracoon GmbH

Jedes Unternehmen steht vor der Herausforderung, Daten digital sicher zu speichern, zu verwalten und zu teilen. DRACOON aus Regensburg ist Marktführer im Bereich Enterprise Filesharing im deutschsprachigen Raum und gibt der Welt die Souveränität über ihre Daten zurück.

Der Service wurde von unabhängigen Top-Analysten wie ISG als „Leader“ bezeichnet, außerdem bescheinigen verschiedene Zertifikate und Siegel wie ISO27001, EuroPriSe und TÜV DRACOON höchste Sicherheitsstandards.Kürzlich wurde das Unternehmen auch nach BSI C5 testiert. Nach dem Prinzip „Privacy by Design“ verfügt die Software über eine integrierte clientseitige Verschlüsselung. Versendete und gespeicherte Daten sind somit maximal geschützt; nicht einmal der Admin oder der Betreiber hat Zugriff auf die Daten. Das feingranulare Benutzer- und Rechtemanagement bietet individuelle Zugriffsrechte auf alle abgelegten Daten. Somit haben die autorisierten Nutzer die vollständige Kontrolle über die Daten. DRACOON lässt sich intuitiv bedienen und ist für alle Mitarbeiter als zentrale Datenaustauschplattform geeignet. Das universelle API ermöglicht die Integration externer Services und Applikationen, über sichere E-Mail-Kommunikation bis hin zur vollständigen Modernisierung des File Services.

Firmenkontakt und Herausgeber der Meldung:

Dracoon GmbH
Galgenbergstrasse 2a
93053 Regensburg
Telefon: +49 (941) 78385-0
Telefax: +49 (941) 78385-150
http://www.dracoon.de

Ansprechpartner:
Eva Janik
Manager Content / PR
Telefon: +49 (941) 78385-634
E-Mail: e.janik@dracoon.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel