Daten sicher aufbewahren. Ihre Pflichten im Rahmen der DSGVO – Teil 2

Dies ist der siebte und letzte Beitrag unserer Blogserie über die Datenschutz-Grundverordnung der Europäischen Union, die am 25. Mai dieses Jahres (2018) vollständig in Kraft getreten ist.

In dieser Serie haben wir uns angesehen, was diese neuen Vorschriften für Unternehmen bedeuten, die personenbezogene Daten erfassen, speichern und verwenden. Und vor allem, was getan werden kann, um eine Nichteinhaltung zu vermeiden, die gemäß der DSGVO zu empfindlichen Geldstrafen von bis zu 20 Millionen Euro (ca. 23.000.000 US-Dollar) oder 4 % des weltweiten Umsatzes führen kann, je nachdem, welcher Betrag höher ist.

Obwohl wir zu dem Schluss gekommen sind, dass ein Großteil der Inhalte der DSGVO nicht neu ist, weisen wir dennoch darauf hin, dass die neuen Regelungen insgesamt eine deutliche Abkehr vom impliziten Charakter der bisherigen Datenschutzgesetze und ihrer „Best Practices“ hin zu einem expliziten Satz rechtlicher Anforderungen darstellen, an die sich Unternehmen halten müssen.

In der bisherigen Serie haben wir uns angesehen, was „personenbezogene Daten“ ausmacht, wie die Verarbeitung dieser Daten gemäß den neuen Vorschriften „rechtmäßig“ und „transparent“ erfolgen muss und wie die Erfassung von Kundenpräferenzen und Einwilligungsinformationen hierfür von zentraler Bedeutung ist. Wir haben uns mit der fein- und grobkörnigen Datensatzverwaltung befasst und damit, wie Unternehmen sicherstellen müssen, dass Enterprise-Content-Management- und Archivierungssysteme, in denen personenbezogene Daten gespeichert sind, konform sind und die neuen Rechte unterstützen können, die Einzelpersonen gemäß der DSGVO haben, und was zu tun ist, wenn dies nicht der Fall ist. Zuletzt haben wir Möglichkeiten untersucht, um sicherzustellen, dass die personenbezogenen Daten der Kunden in diesen Systemen sicher aufbewahrt werden, wenn interne Beteiligte durch die Verwendung von Seitenverschlüsselung auf Seitenebene auf Dokumente zugreifen müssen. Dieses Mal betrachten wir andere Möglichkeiten, wie Unternehmen die Daten ihrer Kunden schützen und sichern können, insbesondere wenn Kundendokumente übertragen werden.

Alle Unternehmen und Organisationen müssen von Zeit zu Zeit Kundendokumente senden und austauschen. Dies birgt jedoch das Risiko einer unbeabsichtigten Offenlegung vertraulicher Informationen. Die Kommunikation muss ungehindert fließen können, um verschiedene Geschäftsprozesse zu ermöglichen. Es gibt eine Reihe von Lösungen, um diese Risiken zu mindern.

Beispielsweise muss nicht jeder Empfänger eines Dokuments die darin enthaltenen sensiblen oder vertraulichen Informationen kennen oder sehen. In diesem Fall kann die Schwärzung personenbezogener Daten eine geeignete Lösung darstellen. Bei gedruckten Dokumenten bedeutete Schwärzung früher einfach, die personenbezogenen Daten mit einem schwarzen Strich oder Kästchen zu überdecken, um sie vor dem Betrachter zu verbergen. Heutzutage ermöglicht es bei der digitalen Kommunikation eine ausgeklügelte Schwärzungssoftware, sensiblen Text vollständig aus dem Dokument zu entfernen oder ihn zu verschlüsseln, um das gleiche Ergebnis zu erzielen.

Wenn alternativ dazu ein vollständiges Dokument gesendet werden muss, wird bei einer signierten PDF-Datei, bei der eine PDF-Datei erstellt und ein Hash ihres Inhalts in eine digitale Signatur eingefügt wird, eine Warnung ausgegeben, wenn die PDF-Datei manipuliert oder geändert wird, bevor sie vom beabsichtigten Empfänger geöffnet wird. Auf diese Weise werden die Parteien auf eine potenzielle Sicherheitsverletzung aufmerksam gemacht, auf die dann umgehend reagiert werden kann, um den Schutz der Kundendaten sicherzustellen.

Gemäß der neuen Datenschutz-Grundverordnung tragen Organisationen die klare Verantwortung, sicherzustellen, dass sie über die entsprechenden Sicherheitsmaßnahmen verfügen, um die von ihnen gespeicherten personenbezogenen Daten zu schützen – egal, ob sie gespeichert oder übertragen werden. Zudem besteht eine klare Rechenschaftspflicht darüber, welche Maßnahmen sie ergriffen haben und wie die damit verbundenen Sicherheitsrisiken bewertet und gehandhabt wurden.

Werfen Sie einen genaueren Blick auf die Lösungen Redaction Express und Signed PDF von CrawfordTech, um sicherzustellen, dass Sie alles tun, was gemäß GDPR erforderlich ist, um die Daten Ihrer Kunden zu schützen.