Nützliche Brancheninformationen, aktuelle Presseartikel und Neuerungen zu unserem Cloud-Speicher & Datenraum-Dienst iDGARD erhalten Sie auch über RSS und unsere Seiten in den sozialen Netzwerken.
privacyblog newsletter Lieber das Neueste aus dem privacy blog per eMail erhalten? Melden Sie sich hier für unseren kostenlosen Newsletter an.
privacyblog rss feed Der privacy blog als RSS feed für Ihren Reader.
Folgen Sie uns: Uniscon on Twitter Uniscon on Facebook Uniscon on LinkedIn Uniscon on YouTube Uniscon on google+ Uniscon on Xing

Lasst Geheimnisträger nach § 203 STGB nicht alleine!

Wie Geheimnisträger nach § 203 STGB Daten von Patienten, Klienten oder Kunden verarbeiten dürfen, legte das alte Datenschutzgesetz (BDSG) genau fest. Dazu gehörte, dass regelmäßige Kontrollen seitens der Datenschutzbehörden vorgesehen waren. Sie überprüften, ob die Verarbeitung der Daten korrekt ablief. Mit dem neuen BDSG, das die kommende EU-Datenschutzgrundverordnung (DSGVO) an nationales Recht anpasst, soll diese Regelung nicht mehr gelten. Was bedeutet das für Geheimnisträger und deren Kunden?

BDSG und die DSGVO treten am 25. Mai 2018 in Kraft. Zum kommenden Datenschutzgesetz zählt auch §29 Absatz 3, der besagt, dass Geheimnisträger künftig von den Pflichten einer Datenschutzkontrolle ausgeschlossen sind. Für den Juristen und ehemaligen Datenschutzbeauftragten des Landes Schleswig-Holstein, Tilo Weichert, ist diese Ausnahmeregelung verfassungswidrig.

Geheimnisträger ohne Hilfestellung

Tritt die neuen Regelung in Kraft, haben Datenaufsichtsbehörden keinen Zugang mehr – weder zu Geschäftsräumen und Datenverarbeitungsanlagen noch zu Daten oder Informationen, wie Berufsgeheimnisse gespeichert und verarbeitet werden. Und das ist erstmalig in der Geschichte des Datenschutzrechts.

Für Ärzte, Rechtsanwälte, Wirtschaftsprüfer und andere, sowie deren Dienstleister, boten diese Kontrollen bislang einen Anhaltspunkt zur korrekten Datenverarbeitung. So konnten sie sich an Datenschutzbehörden wenden, wenn es Unklarheiten gab. Dadurch war sichergestellt, dass vertrauliche Inhalte vertraulich blieben und keine Fehler bei der Speicherung und Verarbeitung passieren. Denn mit den technischen Entwicklungen auf dem Laufenden zu bleiben, ist durchaus ein Vollzeitjob, und von den Geheimnisträgern allein nicht zu stemmen.

Wie bleibt Datenschutz erhalten?

Für die Geheimnisträger ergibt sich daraus: Sie müssen die Daten ihrer Kunden weiterhin effizient schützen, wissen jedoch meist wesentlich weniger über den Stand der Technik oder Datenschutz-Risiken Bescheid als Datenschutzbeauftragte und IT-Sicherheitsbeauftragte.

Wie können sie also ihren Kunden die gewohnte Datensicherheit bieten? Indem sie auf technische Lösungen setzen, die ihrerseits höchste Datenschutzstandards garantieren.

Geeignete Dienste sind an einer entsprechenden Zertifizierung erkennbar, die in der Regel vom TÜV oder anderen akkreditierten Organisationen vergeben wird.  Ein möglicher Ansatz wäre die Verwendung revisionssicherer virtueller Datenräume für den Datenaustausch mit Kunden: diese bieten nicht nur – je nach Anbieter – erstklassigen Datenschutz, sondern sind auch einfach einzurichten, günstig, jederzeit zugänglich und verfügen darüber hinaus über unbestechliche Kontrollinstanzen.

Doch so vielfältig der Markt für Datenräume ist, so unterschiedlich sind auch die Angebote. Für welchen Datenraum Sie sich entscheiden, hängt letztlich von Ihren Anforderungen ab: Welche Features und Funktionen benötigen Sie, worauf können Sie verzichten – und was wollen Sie auf keinen Fall in Kauf nehmen?

Wir haben einige Punkte zusammengetragen, die einen virtuellen Datenraum unserer Meinung nach unbrauchbar oder zumindest übermäßig umständlich in der Handhabung machen.

Diese zehn Mängel dürfen Sie nicht tolerieren:

  • Lange Wartezeiten bei der Einrichtung

Es gibt keinen guten Grund, 12 Stunden oder länger auf einen virtuellen Datenraum zu warten. Bei den meisten Anbietern steht Ihnen der Datenraum sofort zur Verfügung. So sollte das auch sein.

  •  Nach oben oder unten begrenzte Teilnehmerzahl

Sie bestimmen selbst, wie viele Teilnehmer Sie in Ihren Datenraum einladen wollen. Datenräume, die erst ab zehn Teilnehmern oder für maximal 50 Teilnehmer geeignet sind, sind zwar selten – aber auch unnötig.

  •  Server-Standort außerhalb der BRD

Deutschland hat weltweit die strengsten Gesetze und höchsten Standards in Sachen Datenschutz und Datensicherheit. Wir empfehlen daher, einen Anbieter zu suchen, dessen Server in Deutschland stehen.

  • Kostenpflichtiger Support

Der Support sollte mindestens an den Wochentagen zu den üblichen Geschäftszeiten erreichbar sein – und einen kostenlosen Rückrufservice bieten. Teure Hotlines sind heutzutage nicht mehr zeitgemäß.

  • Keine Datenschutz-Zertifizierung

Achten Sie auf eine aussagekräftige Datenschutz-Zertifizierung des TÜV,nach dem Trusted Cloud Datenschutzprofil (TCDP) oder auf das Europäische Datenschutzsiegel (EuroPriSe). So können Sie sich auch rechtlich absichern: Wenn Sie einen TCDP-zertifizierten Dienst wählen, haben Sie automatisch Ihre Kontrollpflicht nach dem Bundesdatenschutzgesetz erfüllt.

  • Fehlende Betreibersicherheit

Bei vielen Cloud-Anbietern haben der Betreiber und seine Angestellten die Möglichkeit, auf die Server – und damit theoretisch auch auf die Daten ihrer Kunden – zuzugreifen. Suchen Sie sich einen Anbieter, bei dem der Betreiberzugriff durch entsprechende Maßnahmen ausgeschlossen ist.

  •  Ungeschützte Metadaten

Dass Daten und Passwörter verschlüsselt übertragen werden, ist heutzutage Standard. Aber nicht alle Anbieter schützen auch die Metadaten. Aus diesen lassen sich erstaunlich viele Informationen ableiten – Berufsgeheimnisträger müssen dies ebenfalls berücksichtigen.

  •  Keine (optionale) Zwei-Faktor-Authentifizierung

Eine Zwei-Faktor-Authentifizierung ist zwar kein absolutes Muss, aber ein sehr nützliches Feature, das entscheidend dazu beitragen kann, das Sicherheitsniveau des Datenraums zu erhöhen. Das für Berufsgeheimnisträger erforderliche Schutzniveau wird tatsächlich nur mit Zwei-Faktor-Authentisierung erreicht.

  •  Kein Browserzugang

Sicherer Zugang direkt über den Browser ist heutzutage Standard. Dienste, bei denen man sich ausschließlich über einen herunterladbaren Client einloggen kann, sind nicht mehr zeitgemäß und erschweren die Arbeit mit dem Datenraum unnötig. Apps für mobile Geräte meinen wir damit natürlich nicht – diese sind eine sinnvolle Ergänzung zum Browserzugang.

  • Keine kostenlose Testphase

Bevor Sie sich für einen Datenraum entscheiden, sollten Sie ihn ausgiebig testen. Meist gibt es eine 14- oder 30-tägige Testphase – so können Sie auch mehrere Anbieter direkt vergleichen. Kaufen Sie auf keinen Fall die Katze im Sack!

Benötigen Sie weiterführende Informationen?

Laden Sie sich dieses kostenlose Whitepaper herunter, damit Sie wissen, welche Anforderungen Sie an einen virtuellen Datenraum unbedingt stellen sollten!

Leser dieses Artikels interessieren sich auch für folgende Inhalte:

White Paper: Sealed Cloud für Berufsgeheimnisse

White Paper: Versiegelte Datenräume

Vorstandskommunikation – Vertrauliche Daten sicher verwalten

War diese Information hilfreich für Sie? Könnte sie auch für Ihre Kollegen und Freunde nützlich sein? Teilen Sie sie in den sozialen Netzwerken! Hier klicken: