Die Datenschutz-Grundverordnung (DSGVO) wurde am 25. Mai 2018 eingeführt. Ihr Zweck ist es, die Datenrechte von Einzelpersonen zu stärken und mehrere Verpflichtungen für Institutionen durchzusetzen, die Daten verwalten und verarbeiten. Die Einhaltung der DSGVO hat einen weitreichenden Geltungsbereich, der wahrscheinlich viele Unternehmen auf der ganzen Welt betreffen wird.
Der Geltungsbereich der DSGVO umfasst alle Organisationen der Europäischen Union (EU), die personenbezogene Daten von Personen mit Wohnsitz in der EU (unabhängig von ihrer Nationalität) erheben, speichern oder verarbeiten, sowie alle Nicht-EU-Organisationen, die Waren und Dienstleistungen für in Europa ansässige Personen anbieten oder Nicht-EU-Organisationen, die personenbezogene Daten verarbeiten.
Wenn ein Unternehmen gegen die DSGVO verstößt, kann es mit einer Geldstrafe von bis zu 20 Millionen Euro oder 4 % seines weltweiten Jahresumsatzes belegt werden. Die EU hat bereits damit begonnen, Organisationen, die gegen die DSGVO-Konformität verstoßen, mit Geldbußen zu belegen; Schwergewichten wie Google drohen Bußgelder (44 Millionen Euro im Fall von Google), Amazon, Apple, Netflix und Spotify drohen ebenfalls Datenschutzbußgelder.
Die Europäische Union erwartet von Managed Service Providern (MSPs) auf der ganzen Welt, dass sie die DSGVO-Gesetzgebung einhalten. Eine überwältigende Mehrheit der MSPs verarbeitet personenbezogene Daten für europäische Kunden oder europäische Kunden. Oft weiß der MSP nicht, welche Daten verarbeitet werden, da es zuvor in der Verantwortung des Dateneigentümers lag, die Datenschutzbestimmungen einzuhalten. Da MSPs als Datenverarbeiter kategorisiert werden, fallen die technischen Dienstleistungen, die Endkunden angeboten werden, in den Geltungsbereich der DSGVO – im Wesentlichen verlangt die DSGVO, dass MSPs sich der Art der verarbeiteten Daten bewusst sind.
Stellen Sie sich beispielsweise einen MSP vor, der Infrastructure-as-a-Service für einen Kunden und seine Personalabteilung bereitstellt und Dateiserver verwendet, um potenzielle Stellenbewerbungen von Mitarbeitern zu verarbeiten. diese enthalten personenbezogene Daten. Da diese Daten auf der Speicherinfrastruktur des MSP gehostet werden, tragen der MSP und der Kunde eine gemeinsame Verantwortung für die Einhaltung der DSGVO.
Gemäß den GDPR-Richtlinien sind MSPs verpflichtet, Daten so zu schützen, dass die Sicherheit aller personenbezogenen Daten gewährleistet ist, einschließlich des Schutzes vor unbefugter oder rechtswidriger Verarbeitung sowie vor versehentlichem Verlust und Beschädigung. Es müssen administrative, physische und technische Sicherheitsvorkehrungen getroffen werden, da das EU-Recht Datenverantwortlichen und Datenverarbeitern die gleiche Haftung auferlegt. Dies erfordert ein geteiltes Verantwortungsmodell zwischen allen Parteien.
Die Art der Daten im Rahmen der DSGVO sind alle personenbezogenen Daten, die Folgendes umfassen können:
- Personenbiografische Informationen – wie Name, Adresse und Sozialversicherungsnummern, Geburtsdatum, Telefonnummer und E-Mail-Adressen sowie Angaben zum Aussehen einer Person wie Gewicht, Augenfarbe oder andere Merkmale
- Finanzinformationen – wie Gehalt, Steuerkennzeichen oder Informationen zum Studienkredit
- Webdaten – wie IP-Adresse, Cookie-Aufbewahrungsdaten
- Gesundheits-, biometrische oder genetische Daten – wie Krankengeschichte, Informationen über Langzeitkrankheiten, Krankenversicherungsansprüche
- Private Informationen – wie sexuelle Orientierung, politische Meinungen, religiöse Überzeugungen oder Gewerkschaftszugehörigkeit. Dies kann auch Geo-Tracking-Informationen wie Tracker von Fitbit oder Google Maps beinhalten.
(Quelle:https://www.itgovernance.eu/blog/en/the-gdpr-what-exactly-is-personal-data)
Die obigen Details kratzen nur an der Oberfläche der Datentypen, die in den Geltungsbereich der DSGVO fallen. In Wahrheit ist die Datenmenge, die wahrscheinlich der DSGVO-Konformität unterliegt, umfangreich und kann fast alle Software-, Daten-, Text-, Audio- oder Videoinhalte umfassen. Dieser Ansatz kann Datenverarbeiter und Datenverarbeiter innerhalb der Managed Services-Abteilung unter Druck setzen, sicherzustellen, dass Daten korrekt gehandhabt werden. Um die Komplexität weiter zu erhöhen, müssen die Daten von Kunden bereitgestellt werden, die ausdrücklich zugestimmt haben auf die Verarbeitung ihrer personenbezogenen Daten.
Sobald dem Datenanbieter die Erlaubnis erteilt wurde, ist der Managed Service Provider dafür verantwortlich, sicherzustellen, dass er Artikel 5 der DSGVO einhält, der besagt, dass personenbezogene Daten:
- Rechtmäßig, fair und transparent verarbeitet
- Auf eine Weise verarbeitet, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich des Schutzes vor unbefugter oder rechtswidriger Verarbeitung und vor versehentlichem Verlust, Zerstörung oder Beschädigung, unter Verwendung geeigneter technischer oder organisatorischer Maßnahmen („Integrität und Vertraulichkeit“)
- Einmal verarbeitete Daten müssen zum vereinbarten Zeitpunkt rechtmäßig vernichtet werden
(Quelle:http://www.privacy-regulation.eu/en/article-5-principles-relating-to-processing-of-personal-data-GDPR.html)
Die Klassifizierungen nach Artikel 5 zur Datenverarbeitung führen dazu, dass MSPs sicherstellen müssen, dass die von ihnen bereitgestellte Software und Dienste, einschließlich jeglicher Cloud-Software, ebenfalls DSGVO-konform sind. Dadurch werden Elemente wie Virtualisierungssoftware, Hardwareanbieter und Netzwerkschichten in den Anwendungsbereich aufgenommen, die alle vom MSP als konform verifiziert wurden. Wenn ein MSP ein privates, öffentliches oder hybrides Cloud-Modell nutzt, muss es auf einem sicheren Architekten innerhalb der Richtlinien der DSGVO aufbauen.
Für MSPs ist es von entscheidender Bedeutung, genaue Aufzeichnungen über Backup und Datenarchivierung für alle Daten im Geltungsbereich der DSGVO zu führen. MSPs müssen in der Lage sein, Endbenutzerdaten schnell zu identifizieren, Aufzeichnungen der Daten (z. B. Sicherungsprotokolle) bereitzustellen und die Daten bei Bedarf zu löschen oder wiederherzustellen. Dies alles steht im Zusammenhang mit dem anerkannten Recht der DSGVO für Einzelpersonen, Kopien der über sie gespeicherten Daten anzufordern.
Die DSGVO gibt MSPs auch die Verantwortung, Sicherheitsrichtlinien und -verfahren zu erstellen, um sicherzustellen, dass alle in den Anwendungsbereich fallenden Daten geschützt sind. Technische Sicherheitsvorkehrungen können variieren, umfassen aber typischerweise Pseudonymisierung und Datenverschlüsselung im Ruhezustand und während der Übertragung, strenge Passwortrichtlinien und Regeln zur Aufbewahrung von Daten, die die fortlaufende Integrität und Verfügbarkeit von Daten gewährleisten.
MSPs sind auch dafür verantwortlich, sicherzustellen, dass die gesamte physische Gebäudeinfrastruktur sicher ist, und Richtlinien wie Zugangskontrolllisten, Überwachungsüberwachung, Schutz physischer Vermögenswerte und Deadlocks oder sogar 24-Stunden-Sicherheitspersonal vor Ort durchzusetzen.
Cloud-Anbieter bieten zunehmend DSGVO-konforme Unternehmensdienste an, wie z. B. Zugriffs- und Identitätskontrollen (IAM), gesicherte Active Directory-Dienste, Datenschlüsselverwaltungsdienste (KMS) und SAML-Datenföderationsdienste, wenn Daten öffentlich oder privat gepusht und abgerufen werden.
Ein weiteres Schlüsselelement der DSGVO ist die Anforderung an datenverarbeitende MSPs im Falle einer Datenschutzverletzung. MSPs müssen nachweisen können, wann ein Verstoß aufgetreten ist, und genau feststellen können, auf welche Informationen zugegriffen oder welche geändert wurden. MSPs müssen auch die zuständigen Datenschutzbehörden und sogar die von der Verletzung betroffenen Personen benachrichtigen. Am wichtigsten ist, dass ein Verstoß innerhalb von 72 Stunden nach Entdeckung bestätigt werden muss.
MSPs implementieren oft technische Lösungen, um die Einhaltung zu gewährleisten; Antivirendienste wie Trend Micro verfügen über ein Tool namens Remote Wipe. Wenn beispielsweise ein Laptop mit in-Scope-Daten verloren gegangen ist oder gestohlen wurde, kann das Gerät gelöscht werden, um die Daten zu schützen und das Risiko einer Datenpanne zu mindern. Andere Tools wie Bedrohungsanalysesoftware, die den unbefugten Zugriff Dritter auf IT-Systeme überwacht, und Netzwerk-Firewalls können ebenfalls eingesetzt werden. Eine detaillierte Überwachung und Protokollierung der Aktivitäten von Diensten ist ebenfalls unerlässlich.
Zusammenfassend lässt sich sagen, dass die DSGVO immer noch eine sehr neue EU-Gesetzgebung ist, die Organisationen auf der ganzen Welt betrifft, und so viele Organisationen haben aufgrund der erheblich komplexen und sich noch in der Entwicklung befindlichen Regelungen nach dem neuen Gesetz immer noch Schwierigkeiten, die DSGVO-Konformität zu erreichen. Darüber hinaus vertiefen die Rechte der Personen, ihre personenbezogenen Daten einzusehen, zu bearbeiten und zu löschen, diese Komplexität. Die meisten MSPs müssen ihre Datenverarbeitungsprozesse und -verfahren aktualisieren und einem Modell der gemeinsamen Verantwortung mit den Datenverarbeitern zustimmen. Schließlich wird die EU damit beginnen, DSGVO-Strafen regelmäßiger durchzusetzen, um sicherzustellen, dass die DSGVO ganz oben auf der Tagesordnung aller globalen Unternehmen steht.