Ist SFTP GDPR-conform? [So machen Sie SFTP GDPR-conform]

Ist SFTP GDPR-conform? [So machen Sie SFTP GDPR-conform]

Benötigen Sie ein DSGVO-konformes SFTP-Protokoll? Hier sind die DSGVO-Anforderungen, die Ihr Unternehmen erfüllen muss, um die Konformität nachzuweisen.

Ist SFTP DSGVO-konform? Nein, SFTP ist an sich nicht DSGVO-konform. Um SFTP konform zu machen, sind zusätzliche Protokolle, Tests, Anwendungen zur Konformität und andere Sicherheitsmaßnahmen zum Schutz personenbezogener Daten erforderlich. Es gibt jedoch einige Anbieter, die ein DSGVO-freundliches SFTP anbieten, das Sie leicht vollständig konform gestalten können.

Was ist die DSGVO und welche Rolle spielt SFTP bei der Einhaltung?

Die DSGVO ist ein EU-Konformitätsrahmen, der eingeführt wurde, um Verbraucher zu schützen und die Kontrolle der Verbraucher über ihre persönlichen Informationen zu unterstützen. Diese Vorschriften gelten für IT und Hardware, die auf irgendeine Weise Benutzerinformationen verarbeiten, und sie bieten Kontrollmöglichkeiten, um den Benutzern die Verweigerung der Zustimmung zu ermöglichen oder ihre persönlichen Informationen aus Unternehmensdatenbanken zu löschen.

Diese Regeln gelten daher auch für Dateiübertragungstechnologien wie das File Transfer Protocol. Artikel 32 legt fest, dass Unternehmen, die personenbezogene Daten von Verbrauchern speichern, übertragen und nutzen, angemessene technische und organisatorische Schutzmaßnahmen ergreifen müssen, die gegen angemessene Geschäftsanliegen und Risikobewertungen abgewogen werden. Dies beinhaltet Technologien wie Verschlüsselung und Pseudonymisierung.

Das macht herkömmliches FTP nicht konform. Da die meisten Konformitätsrahmen in den USA und der EU eine Verschlüsselung erfordern, verwenden die meisten Unternehmen Secure FTP (SFTP) zur Dateiübertragung. Unternehmen, die SFTP für Geschäfte nutzen (Dateiübertragungen und Server-Speicherung, die persönliche Verbraucherinformationen enthalten), sind bereits auf dem richtigen Weg zur Konformität, müssen jedoch zusätzliche Schritte unternehmen, um sicherzustellen, dass sie konform sind.

SFTP ist jedoch an sich nicht vollständig konform. Obwohl es eine Verschlüsselung bietet, gibt es mehrere Möglichkeiten, wie ein SFTP-Server die Anforderungen möglicherweise nicht erfüllt:

  1. Die Verschlüsselung ist möglicherweise nicht ausreichend: Obwohl SFTP SSH-Technologie (und somit eine Art der Verschlüsselung) beinhaltet, sind nicht alle SFTP-Lösungen aktuell oder für DSGVO-Anforderungen geeignet.
  2. Der SFTP-Server kann sich auf nicht getestete oder nicht autorisierte Skripte verlassen: Workflows, die in verschiedenen Programmiersprachen geschrieben sind, könnten, wenn sie nicht ordnungsgemäß gesichert sind, zur unrechtmäßigen Offenlegung von Benutzerdaten und zu einem Verstoß gegen die Konformität führen.
  3. SFTP-Server kommen nicht immer mit angemessener Dokumentation und Überwachung: Die DSGVO erfordert einen gewissen Nachweis, dass bestimmte Maßnahmen durchgeführt wurden, insbesondere dass die Zustimmung zu bestimmten Arten der Datennutzung gegeben wurde oder dass Anfragen zur Datenlöschung befolgt wurden.

Die Einhaltung der DSGVO erfordert im Falle von SFTP ein tieferes Verständnis und die Implementierung von Sicherheitskontrollen, die den Rechten der betroffenen Person unter der DSGVO entsprechen.

DSGVO-konformer Dateitransfer

DSGVO-konformer Dateitransfer ist ein Satz von Praktiken und Protokollen, denen Organisationen folgen müssen, um sicherzustellen, dass sie die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union nicht verletzen. Methoden beinhalten Verschlüsselung und Entschlüsselung von Daten, Datenspeicherung und -übertragung sowie Datenzerstörung. Dies gewährleistet die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen.

Unternehmen profitieren von der Verwendung von DSGVO-konformem Dateitransfer, da er ihnen hilft, ihre gesetzlichen Verpflichtungen zu erfüllen und die finanziellen, rechtlichen und reputationsbezogenen Folgen von Nichtverwendung zu vermeiden. Regulatorische Strafen, Verlust von Kundendaten und Schaden für das Kundenerlebnis sind alle potenziellen finanziellen Strafen, die sich aus einem Verstoß gegen die DSGVO ergeben können. Darüber hinaus können Unternehmen auch für Schäden haftbar gemacht werden, die aus einem Verstoß entstehen, wie finanzielle Verluste und Reputationsbeschädigungen, die für Organisationen schwer zu reparieren sein können.

Die finanziellen, rechtlichen und reputationsbezogenen Auswirkungen der Nichtanwendung von DSGVO-konformem Dateitransfer können schwerwiegend sein. Bußgelder für Nichtkonformität reichen von 10 Millionen Euro bis zu 4% des weltweiten Jahresumsatzes eines Unternehmens. Darüber hinaus kann jeder Verstoß gegen die DSGVO zu rechtlichen Maßnahmen führen. Schließlich können Unternehmen, die es versäumen, sich zu konformieren, irreparable Schäden an ihrem Ruf erleiden und öffentlicher Kritik und Boykotten ausgesetzt sein.

Was sind einige Best Practices für die Konformität mit SFTP und DSGVO?

Welche Schritte kann ein Unternehmen unternehmen, um die Verwendung von SFTP konform zu gestalten? Sie können sich auf die Einführung von Technologie konzentrieren, die den Anforderungen entsprechen kann, einschließlich:

  1. Lösungen, die geeignete Verschlüsselungsstandards zur Speicherung und Übertragung von Daten verwenden. Artikel 5 und 6 der DSGVO verlangt, dass Informationen mit Technologie geschützt werden, die Schutz und Datenschutz gewährleisten kann. Darüber hinaus verlangen diese Artikel, dass jede Datenverarbeitung auch die Privatsphäre der Daten gewährleistet, egal was damit geschieht. Dies bedeutet in der Regel den Einsatz von Technologien wie SFTP mit AES-256 und TLS 1.2 oder höher.
  2. Audit-Protokolle einbeziehen. Es gibt keinen spezifischen Aufruf zur Prüfung, aber es gibt eine Anforderung, dass bestimmte Formen der Interaktion erfüllt werden – insbesondere die Zustimmung. Audit-Protokolle können Ihnen helfen, einen Nachweisweg zu liefern, der Compliance-Auditoren zeigt, dass Sie Ihre Anforderungen erfüllen. Beachten Sie, dass das Logging unter der DSGVO sich von anderen Compliance-Standards unterscheidet. Während nicht alle Logging-Methoden private Informationen erfassen, tun viele dies, und diese Protokolle müssen unter den gleichen Sicherheitskontrollen wie alle anderen Informationen aufbewahrt werden (einschließlich Verschlüsselungs- und Berechtigungsschutzmaßnahmen).
  3. Nutzen Sie eine Lösung, die Daten Sichtbarkeit und Zugänglichkeit bietet. Eine der Anforderungen der DSGVO, wie in Artikel 39 dargelegt, ist, dass eine Organisation einen Datenschutzbeauftragten haben muss, dessen Aufgaben die Überwachung der Einhaltung, die Zusammenarbeit mit Regulierungsbehörden und die Sicherstellung, dass Mitarbeiter und andere Stakeholder ihre Pflichten nach der DSGVO verstehen, umfassen. Ein funktionales CISO-Dashboard kann dem Büro eines Datenschutzbeauftragten helfen, Lücken in der Compliance zu verstehen und schneller auf Compliance-Verstöße zu reagieren, wenn sie auftreten.

Obwohl dies breit erscheinen mag, ist der beste Ansatz zur DSGVO davon auszugehen, dass alle gesammelten Verbraucherdaten geschützt werden müssen, dass die Privatsphäre der Verbraucher und die Forderungen nach Löschung von Daten respektiert werden müssen und dass es eine klare Managementfunktion für Compliance-Standards gibt.

Welche Strafen drohen bei Nichteinhaltung?

Ein falsch konfigurierter SFTP-Server kann der Weg zur Nichteinhaltung und zu schweren Strafen sein. Diese richten sich in der Regel nach dem Grad der Nichteinhaltung, den betroffenen Datenbenutzern und den von der Organisation ergriffenen Maßnahmen zur Behebung der Situation.

Nicht alle Verstöße führen sofort zu Geldstrafen. Die Aufsichtsbehörden könnten stattdessen eine der folgenden Maßnahmen ergreifen, bevor sie Geldstrafen verhängen:

  1. Verwarnungen ausgeben
  2. Eine vorübergehende oder dauerhafte Verarbeitungssperre verhängen
  3. Behebung des Problems oder Löschung der Daten anordnen
  4. Aussetzung von Übertragungen in andere Länder

Im Falle von Geldstrafen teilt die DSGVO Strafen jedoch in zwei Stufen:

  1. Ein Maximum von 10 Millionen Euro oder 2% des jährlichen weltweiten Umsatzes (je nachdem, welcher Betrag höher ist) für die Verletzung spezifischer Anforderungen der DSGVO. Hierzu gehören Verstöße gegen die Verpflichtungen aus den Artikeln 8 (Einwilligung des Kindes), 11 (Verarbeitung, die keine Identifizierung erfordert), 25 (die verarbeiteten Daten sind spezifisch relevant für die anstehende Aufgabe), 39 (Aufgaben eines Datenschutzbeauftragten), 42 (Zertifizierung und Einhaltung) und 43 (Zusammenarbeit mit geeigneten Zertifizierungsstellen).
  2. Ein Maximum von 20 Millionen Euro oder 4% des jährlichen weltweiten Umsatzes (je nachdem, welcher Betrag höher ist) für die Nichterfüllung von Anforderungen in den Artikeln 5, 6, 7, 9 sowie vorsätzliche Verstöße gegen die Artikel in den niedrigeren Stufen). Die Hauptstrafen hier sind mit Verstößen gegen die Grundsätze der Datenverarbeitung, der ordnungsgemäßen Verarbeitung von Daten zu Geschäftszwecken, der Verletzung der Zustimmung, der Rechte der betroffenen Person oder der Übertragung an Drittländer verbunden.

Die DSGVO verhängt erhebliche Strafen, und ein SFTP-Server, der nicht angemessen eingerichtet ist, um Sicherheit und Datenschutz der Verbraucher zu gewährleisten, wird eher eine Haftung als ein Vermögenswert sein, der Ihre Organisation einen erheblichen Teil des Umsatzes kosten könnte.

Schlussfolgerung

Wenn Sie Geschäfte mit Verbrauchern in der EU machen wollen, dann ist die DSGVO eine Realität für Ihre Compliance-Strategie. Der beste Weg, Ihre technische Infrastruktur erfolgreich zu positionieren, besteht darin, mit Tools zu arbeiten, die Ihnen helfen können, datenschutzkonform zu sein. Die Kiteworks-Plattform kann Ihnen bei Ihrer DSGVO-Konformität helfen, indem sie sichere Technologien wie gehärtete SFTP-Server (verschlüsselt im Ruhezustand und während der Übertragung), Integration mit Hardware-Sicherheitsmodellen für manipulationssichere Schlüsselspeicher, MFT für DSGVO, E-Mail für DSGVO und zugängliche CISO-Dashboards bereitstellt.

Mit der Kiteworks-Plattform erhalten Sie:

  1. Eine umfassende Audit-Trail mit Berichterstattung, einschließlich expliziter GDPR-Berichte, um die Zustimmung der Nutzer nachzuweisen und zu verfolgen. Zusätzlich können Sie Syslogs in jede SIEM-Lösung exportieren, einschließlich IBM QRadar, Logrhythm und Splunk.
  2. Eine Content-Firewall zur Zentralisierung von Daten und Sicherheitsgovernance für alle Ihre SFTP-Server. Dies beinhaltet Administrator- und Endbenutzer-Zugangskontrollen, auf Zertifikaten basierende Authentifizierungskontrollen, integrierten Antivirus und Schutz für ausgehende Daten mit Data Loss Prevention (DLP) Servern.
  3. Ein robustes Rollenzugriffssystem mit LDAP oder Active Directory mit zusätzlichen Möglichkeiten, vertrauenswürdige Benutzer in verschachtelten SFTP-Ordnern zu bezeichnen. Bezeichnen Sie auch vertrauenswürdige externe Benutzer und setzen Sie Datenzugriffskontrollen über SFTP-Server, um die Einhaltung aller SFTP-Ressourcen zu gewährleisten.

10-Schritte-Checkliste zur GDPR-Konformität

Eine Checkliste kann Organisationen dabei helfen, GDPR-Konformität nachzuweisen, indem sie eine umfassende Liste der notwendigen Schritte bereitstellt, die eine Organisation ergreifen muss, um die Verordnung einzuhalten. Dies könnte beispielsweise die Erstellung einer GDPR-Richtlinie, die Durchführung von Schulungen für Mitarbeiter und Auftragnehmer, die Zugang zu persönlichen Daten haben könnten, die Aktualisierung bestehender Verträge zur Sicherstellung der GDPR-Konformität und die Festlegung klarer Verfahren für Datentransfer und -speicherung beinhalten. Durch Bezugnahme auf die Checkliste können Organisationen leicht sicherstellen, dass sie die notwendigen Schritte unternehmen, um mit der GDPR konform zu bleiben und ihr Engagement für Datenschutzbest Practices zu demonstrieren. Hier ist eine Beispielcheckliste, die Organisationen beim Aufbau eines GDPR-Konformitätsprogramms verwenden können:

  1. Ernennung eines Datenschutzbeauftragten: Ernennen Sie einen Datenschutzbeauftragten (DPO), um die GDPR-Anforderungen zu verstehen und zu bewerten und sicherzustellen, dass Ihre Organisation den Vorschriften entspricht. Der DPO ist dafür verantwortlich, dass Daten sicher und rechtlich gesammelt, genutzt und gespeichert werden.
  2. Beispiel: In einem kleinen Unternehmen ist der Chief Operating Officer für den Datenschutzbeauftragten verantwortlich.

  3. Ein Team zur Konzentration auf die GDPR ernennen: Erstellen Sie ein Team, das für die Bewertung, Vorbereitung und Umsetzung der erforderlichen GDPR-Anforderungen verantwortlich ist.
  4. Beispiel: In demselben kleinen Unternehmen werden das IT-Personal und Rechtsberater gebeten, zusammenzuarbeiten, um die erforderlichen GDPR-Anforderungen zu bewerten, vorzubereiten und umzusetzen.

  5. Datenprüfung durchführen: Führen Sie eine Datenprüfung durch, um zu ermitteln, welche persönlichen Daten vorhanden sind, wie sie verarbeitet werden und wie lange sie aufbewahrt werden.
  6. Beispiel: Das Team im kleinen Unternehmen erstellt eine Tabelle, um alle Arten von persönlichen Daten, die sie speichern, die Zwecke, für die sie sie aufbewahren, wie sie verarbeitet werden und wie lange sie aufbewahrt werden, zu ermitteln.

  7. Ihre Datenschutzrichtlinie aktualisieren: Stellen Sie sicher, dass die Datenschutzrichtlinie Ihrer Organisation klar darlegt, wie persönliche Daten verwendet, gespeichert und abgerufen werden.
  8. Beispiel: Das kleine Unternehmen aktualisiert seine Datenschutzrichtlinie, um genaue Angaben darüber zu enthalten, welche Daten sie sammeln, wie sie diese verwenden, wie lange sie diese aufbewahren und wer auf die Daten zugreifen kann.

  9. Erstellen Sie einen Benachrichtigungsplan bei Datenverletzungen: Erstellen Sie einen Plan zur Benachrichtigung von Stakeholdern im Falle einer Datenverletzung.
  10. Beispiel: Das kleine Unternehmen erstellt einen Plan, um Kunden, Mitarbeiter und andere Stakeholder im Falle einer potenziellen Datenverletzung zu benachrichtigen.

  11. Sicherheitsmaßnahmen zum Schutz von Daten ergreifen: Implementieren Sie Maßnahmen zum Schutz von Daten vor unbefugtem Zugriff, wie Verschlüsselung, Authentifizierungsmaßnahmen und Zugriffsrechte.
  12. Beispiel: Das kleine Unternehmen setzt einen Zwei-Faktor-Authentifizierungsprozess für den Zugriff auf die Kundendatenbank und einen Verschlüsselungsprozess für die Datenspeicherung um.

  13. Schulung Ihrer Mitarbeiter: Stellen Sie sicher, dass Ihr Team ausreichend über die DSGVO geschult ist und seine Verantwortlichkeiten im Umgang mit persönlichen Daten versteht.
  14. Beispiel: Die IT- und Rechtsabteilungen des kleinen Unternehmens führen eine Schulungssitzung durch, um die Anforderungen der DSGVO zu überprüfen und zu erklären, wie sie auf das Unternehmen und seine Datenerfassungs- und Speicherprozesse zutreffen.

  15. Ihre Kunden aufklären: Stellen Sie sicher, dass Kunden über ihre Rechte und die Möglichkeit informiert sind, den Zugriff auf, die Löschung oder die Einschränkung der Nutzung ihrer Daten zu verlangen.
  16. Beispiel: Das kleine Unternehmen erstellt eine Webseite, die die Anforderungen der DSGVO und die Möglichkeiten der Kunden, den Zugriff auf, die Löschung oder die Einschränkung der Nutzung ihrer Daten zu verlangen, darlegt.

  17. Einhaltung überwachen: Entwickeln Sie einen Prozess zur Überwachung Ihrer Einhaltung der DSGVO und überprüfen Sie diesen regelmäßig, um die anhaltende Einhaltung sicherzustellen.
  18. Beispiel: Das kleine Unternehmen erstellt ein System zur regelmäßigen Überprüfung seiner Datenschutzprozesse und zur Beurteilung, ob sie noch immer mit der DSGVO konform sind.

  19. Regelmäßige Überprüfung: Überprüfen Sie Ihre DSGVO-Prozesse, um die fortlaufende Einhaltung sicherzustellen.
  20. Beispiel: Das kleine Unternehmen führt regelmäßige Meetings mit den IT- und Rechtsteams durch, um die DSGVO-Anforderungen zu überprüfen, die Einhaltung zu bewerten und alle notwendigen Aktualisierungen durchzuführen, um die fortlaufende Einhaltung sicherzustellen.

Um mehr über die DSGVO zu erfahren, planen Sie heute eine individuelle Demo von Kiteworks ein.

Zusätzliche Ressourcen

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks