Dokumente DSGVO-konform austauschen

DSGVO-konform Dateien und Dokumente austauschen

Mit Einführung der DSGVO gilt es, viele Prozesse in Unternehmen neu zu bewerten. Der Austausch von Dokumenten mit Kunden, Partnern und Mitarbeitern gehört für die meisten Unternehmen zum Tagesgeschäft. Häufig wird dabei auf E-Mails zurückgegriffen.

Doch wie sicher ist dies eigentlich? Und ist dies auch DSGVO-konform? Gibt es Alternativen?

Welche Daten sind gemäß DSGVO schützenswert?

Laut der EU-DSGVO (Europäische Datenschutzgrundverordnung) sind alle personenbezogenen Daten gegen fremde Zugriffe zu schützen. Dazu zählen natürlich Daten wie Name und Anschrift von Personen, als auch besondere Eigenschaften, aus denen sich die Identität einer Person ermitteln lässt.

Auch Informationen, welche man nicht direkt als personenbezogen annehmen würde, gehören dazu – IP-Adressen im Internet, KFZ-Kennzeichen, Führerschein- oder Ausweisnummern, und einiges mehr.

Besonders schützenswerte personenbezogene Daten umfassen zudem Informationen über die ethnische und kulturelle Herkunft, politische, religiöse und philosophische Überzeugungen, Gesundheit, Sexualität und Gewerkschaftszugehörigkeit.

Ein paar Beispiele für die Übertragung personenbezogener Daten aus der Praxis:

  • Exporte von Kundendaten aus einem CRM oder ERP System
  • Rechnungs-, Vertrags- oder Auftragsdokumente mit personenbezogenen Daten von Kunden
  • Versicherungsdokumente mit VN- oder KFZ-Daten
  • Personaldaten wie Arbeitsverträge, Lohnabrechnungen oder Sozialversicherungsinformationen
  • Patientendaten aus dem Gesundheitswesen
  • Fotos auf denen reale Personen erkennbar sind
  • Kontoauszugs- oder Abrechnungsdaten mit Personen-Zuordnung
  • Benutzerkennungen und Zugangsdaten/Passwörter
  • u.v.m.

Übrigens gelten diese Anforderungen nicht erst seit Einführung der DSGVO – auch das bisherige Bundesdatenschutzgesetz (BDSG) sah für personenbezogene Daten besonderen Schutzbedarf vor. Allerdings sorgen jetzt die höheren Strafen der DSGVO für erhöhten Druck bei europäischen Unternehmen.

Die Problemstellung

E-Mails sind an sich unverschlüsselt. Nur die Verbindung zwischen den Mailservern des Absenders und des Empfängers können verschlüsselt sein – „können“ deshalb, weil die Server unter sich aushandeln, ob die Verbindung verschlüsselt wird. Technische Einschränkungen oder Konfigurationen führen nicht selten dazu, dass die E-Mails und Anhänge unverschlüsselt durchs Netz gehen. Der Datenverkehr könnte also durch sogenannte „Man-in-the-Middle“-Angriffe theoretisch mitgelesen werden.

Unter der DSGVO haftet der Absender für den Transportweg, sofern nicht der Mailserver-Dienstleister die Haftung übernimmt – was er mit Sicherheit nicht tun wird.

Möglichkeit 1: Inhalt verschlüsseln

Eine Möglichkeit wäre das Verschlüsseln des Inhalts, also der E-Mail und der Anhänge selbst. Was einfach klingt, ist in der Praxis aber kompliziert. Die E-Mail Protokolle sehen keine Möglichkeit einer Verschlüsselung der Inhalte vor. Dazu benötigt man Drittsoftware, und zwar auf dem Computer des Absenders als auch des Empfängers.

Dazu kommt, das Absender und Empfänger ein Schlüsselpaar austauschen müssen, so dass die Inhalte beim Empfänger auch wieder entschlüsselt werden können. Der ganze Prozess ist so aufwendig, dass sich dies meist nur zwischen Partnern lohnt, die oft und regelmäßig sensible Daten austauschen. Aber einem Kunden solche Prozeduren zuzumuten, ist wohl indiskutabel.

Möglichkeit 2: Transportweg verschlüsseln

Die Verschlüsselung des Übertragungswegs wurde zwar durch die Initiative „E-Mail made in Germany“ vorangetrieben, aber dies ist nur ein Tropfen auf den heißen Stein. Die Verschlüsselung funktioniert nur bei Versand von E-Mails zwischen Kunden der teilnehmenden Unternehmen, nicht bei allen anderen Maildienst-Anbietern.

Man könnte die Mail-Server zudem so konfigurieren, dass sie nur bei einer verschlüsselten Verbindungen übertragen – aber das würde dazu führen, dass die eigenen Mails unter Umständen beim Empfänger nicht ankommen. Außerdem ist dies nur eine Option bei einem eigenen dedizierten Mail-Server, nicht bei Nutzung eines mit anderen Kunden geteilten Systems.

Somit ist dies ebenfalls keine praktikable Lösung.

Möglichkeit 3: Plattform nutzen

Wenn E-Mails also nicht mehr für den Versand von sensiblen oder schützenswerten Daten in Frage kommt, ist es Zeit nach Alternativen zu suchen.

Eine Lösung muss praktikabel sowohl für Absender und Empfänger sein. Sie muss ausreichend Sicherheit bieten und sollte keine umständliche Installation erfordern. Sie sollte auf allen Plattformen (Desktop, Mobilgeräte) nutzbar sein.

dynaSHARE Web-Frontend

Das Prinzip ist denkbar einfach: der Absender lädt die Datei über eine Web-basierte Plattform hoch, oder schiebt sie einfach auf seinem Desktop in einen virtuellen Ordner. Die Übertragung geschieht natürlich SSL-gesichert, also verschlüsselt. Anschließend gibt er eine Freigabe an einen externen Benutzer, welcher einen Link per E-Mail erhält. Zudem wird der Download durch ein Passwort oder eine PIN gesichert, welche dem Benutzer gesondert per SMS oder Telefon mitgeteilt wird – oder er kennt sie bereits, zum Beispiel seine Vertragsnummer. Häufig erhält der Link auch eine Lebensdauer – nach Ablauf ist er nicht mehr aufrufbar.

Der Empfänger klickt auf den Link, und kann sich nach Eingabe des Passworts die Dokumente und Dateien einfach über den Browser herunterladen. Die Daten werden also nicht per E-Mail versendet, lediglich der Link zum Download.

Eine gute Plattform bietet zudem auch die Möglichkeit, Upload-Links an Benutzer zu versenden. Damit können dann zum Beispiel Kunden Dokumente zu ihrem Anbieter hochladen.

Welche Plattform?

Schaut man sich die verfügbaren Lösungen am Markt an, tauchen sofort einige amerikanische Produkte auf. Sie erlauben das Ablegen von Dateien in der Cloud, und die Freigabe für externe Benutzer. Neben der Grundausrichtung an Privatkunden (es gibt auch wenige Business-Angebot) ist der Standort das Hauptproblem – amerikanische Unternehmen gehen erheblich lockerer mit dem Datenschutz um, und das Ablegen sensibler Daten außerhalb von Europa erfordert eine gewisse Risikobereitschaft. Wer möchte schon gerne die  Schadenersatzansprüche seiner Kunden vor einem amerikanischen Gericht geltend machen?

Manche Anbieter haben zwar ihren Standort in Europa, bieten aber lediglich den Download per kryptischem (Zufalls-generierten) Link an, ohne Passwort-Schutz oder Ablauf-Zeitraum. Der Link ist dadurch zwar nicht leicht zu erraten, aber er muss ja irgendwie den Empfänger erreichen – natürlich per E-Mail. Das macht unter dem Sicherheitsaspekt keinen Sinn.

Fazit

Nutzen Sie für schützenswerte Daten eine Plattform zum sicheren Austausch von Dateien. Und achten Sie dabei auf den Standort – er sollte in Europa liegen, und die Möglichkeit zum Abschluss einer Auftragsdatenverarbeitung gemäß DSGVO bieten.

Dolphin bietet mit dem Business Cloud Speicher dynaSHARE eine sichere und DSGVO-konforme Lösung für Geschäftskunden. Testen Sie dynaSHARE 14 Tage lang kostenlos, und lassen Sie sich von den vielen Vorteilen überzeugen:

  • Serverstandort Deutschland
  • Multi-Plattform Synchronisation
  • integrierte Datenverschlüsselung
  • virtuelle Laufwerke
  • Versionskontrolle
  • optional dedizierte Server
  • u.v.m.
dynaSHARE Business Cloud Datenspeicher für alle Dokumententypen

Weitere Informationen zu dynaSHARE finden Sie hier.

Finden Sie ähnlich Artikel in folgenden Kategorien:

Allgemein | Datenschutz | dynaSHARE | IT-Themen | Produkte

Kommentar hinzufügen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.