KOSTENLOS STARTEN
dracoon-login-w
Menu
JETZT TESTEN
LOGIN
So versenden Sie große Dateien sicher und DSGVO-konform

Sicherer Datentransfer - so versenden Sie große Dateien DSGVO-konform

Eva Janik
20.07.21 09:04

Die DSGVO sorgt für noch mehr Relevanz beim Datenschutz in Unternehmen

Seit 2018 regelt die EU-Datenschutzgrundverordnung (DSGVO) in Europa, wie Unternehmen personenbezogene Daten behandeln müssen. Auch drei Jahre später ist dies für viele noch eine große Herausforderung und im Zuge dessen sind längst noch nicht alle Hausaufgaben erledigt!

Die Krux an der Sache liegt nicht nur an den organisatorischen, sondern ebenso an den technischen Anforderungen, die mit der DSGVO zusammenhängen. Doch eines ist inzwischen jedem bewusst: Die Datenschutzgrundverordnung hat den Datenschutz auf ein noch höheres Level befördert und Verstöße werden nach wie vor sehr streng geahndet.

Allein die Frage, was genau unter den Begriff „personenbezogene Daten“ fällt, kann nach wie vor von vielen Entscheidern nicht ad hoc beantwortet werden. Relativ klar ist, dass hier in jedem Falle persönliche Angaben wie Kundendaten o.ä. gemeint sind. Tatsächlich fallen jedoch alle Daten darunter, durch die sich eine Verbindung zu einer Person herstellen lässt. Im täglichen Alltag passen Daten aus dem Nutzertracking wie Informationen über das Surfverhalten, bisherige Käufe über vertragliche Vereinbarungen bis hin zu E-Mails usw. in die Schublade von personenbezogenen Daten. Erschwerenderweise spielt es dabei keine Rolle, ob diese Daten bzw. die Verbindung dazu tatsächlich von diesem Unternehmen produziert werden oder ob das Unternehmen quasi nur als Dritter im Sinne eines weiteren Geschäftspartners fungiert. Hier hilft übrigens auch keine Pseudonymisierung, denn selbst wenn Namen durch fortlaufende Nummern ersetzt werden, ist es immer noch möglich, diese Daten zurückzuverfolgen und damit einen tatsächlichen Bezug zu einer Person zu ermöglichen.

➡️ Was müssen Unternehmen bei der Speicherung von Daten beachten?
Die DSGVO legt jedenfalls ein großes Augenmerk auf den Schutz von personenbezogenen Daten. Deshalb müssen diese Daten vollständig gelöscht werden, wenn der grundlegen Zweck für die Speicherung nicht mehr gegeben ist. Und genau das führt in der Praxis oft zu Problemen. Existiert eine vertragliche Vereinbarung zwischen zwei Geschäftsparteien, ist die Basis für eine Speicherung und Verarbeitung von personenbezogenen Daten notwendig und zulässig. Aber wie sieht es aus, wenn eine Geschäftsbeziehung endet? Denn damit entfällt auch der ursprüngliche Grund für die Datenspeicherung und laut DSGVO müssten die Daten gelöscht werden. Und genau das wird oft übersehen. Nicht unbedingt leichter macht dies auch die Tatsache, dass andererseits verschiedenste Aufbewahrungspflichten einer Löschung oder dem Vernichten von Daten entgegenstehen. Zahlreiche gesetzliche Vorgaben wie beispielsweise das Handels- und Steuerrecht, das Energiewirtschaftsgesetz, das Kreditwesengesetz und aber auch das Arbeitsrecht geben verpflichten Zeiträume für die Aufbewahrung von geschäftlichen Unterlagen vor. Und dabei sind 10 Jahre Frist keine Seltenheit. Auch hier muss Vorsicht geboten sein, wie sich diese korrelierenden Vorgaben in Einklang bringen lassen. Die DSGVO ist zwar vorausschauenderweise relativ „abstrakt“ formuliert, aber sie gibt auch hier einen Aufschluss und damit eine Vorgabe: Sind die betroffenen Daten notwendig, um etwaige rechtliche Verpflichtungen zu erfüllen, ist es erlaubt, sie zu archivieren.

   Der Datenschutz sollte deshalb bei Unternehmen in der gesamten Cybersicherheitsstrategie zu einer der wichtigsten Prioritäten zählen!

Dennoch ist allein die Anzahl der Bußgeldbescheide wegen diverser Verstöße gegen die DSGVO im Jahr 2020 um satte 60% gestiegen. So wurde das höchste Bußgeld in einer Höhe von über 35 Millionen Euro in Deutschland beispielsweise gegen H&M verhängt, hier kam es in einem Servicenter zu Verstößen. Dort wurden mehrere hundert Mitarbeiterinnen und Mitarbeiter des H&M-Servicecenters in Nürnberg unberechtigterweise überwacht und im Zuge dessen die privaten Lebensumstände erfasst.

Fakt ist jedenfalls, dass in jedem Unternehmen tagtäglich Prozesse stattfinden, die unter die DSGVO und somit auch die Datenschutzregularien fallen. Eine der häufigsten Anforderungen in Unternehmen besteht darin, große Dateien sicher zu versenden. Wie sich dies DSGVO-konform lösen lässt, welche Lösungen Nachteile mit sich bringen und worauf sie achten sollten, erklären wir in diesem Guide.

 

Möglichkeiten für sicheren Datentransfer

➡️ Was benötigt man zur sicheren Datenübertragung im Internet?
Generell ist bei der sicheren Datenübertragung im Internet die Verschlüsselung das A und O. Jede Datei, die unverschlüsselt durch das Internet geschubst wird, bietet auch eine entsprechende Angriffsfläche. Zu einer sicheren Datenübertragung sind Standards wie HTTPS, FTPS sowie SFTP und SCP notwendig. Hinter HTTPS (Hypertext Transfer Protocol Secure) steckt ein sicheres Hypertext-Übertragungsprotokoll. Im Internet wird es praktisch als Kommunikationsprotokoll verwendet, damit Daten abhörsicher übertragen werden können. Es eignet sich vor allem für den Datenaustausch mit Anwendern, die über kein besonderes Wissen in punkto Datenübertragung verfügen und verschiedene (auch mobile) Betriebssysteme einsetzen. Für die Übertragung von Dateien zwischen Applikationen eignen sich hingegen am besten Standards wie SCP (Secury CoPy – ein Protokoll bzw. Programm zur verschlüsselten Übertragung von Daten zwischen zwei Endgeräten, die über ein Netz miteinander kommunizieren), FTPS (File Transfer Protocol – hier handelt es sich um einen Secure Socket Layer Datenkanal, der um SSL erweitert wurde) und SFTP (Secure File Transfer Protocol – eine Alternative zum File Transfer Protocol FTP, das eine Verschlüsselung ermöglicht).

➡️ Wie sicher sind E-Mail-Anhänge?
Wenn Sie sensible Daten per E-Mail versenden möchten, sollten diese deshalb unbedingt verschlüsseln. Dadurch wird nicht nur der lesbare Text, sondern auch der E-Mail-Anhang in einen chiffrierten Text umgewandelt. Entschlüsselt werden können diese Informationen nur von dem Empfänger, der über einen passenden Schlüssel besitzt. Alle E-Mail-Anhänge, die unverschlüsselte versenden werden, können sehr leicht von Dritten abgefangen und missbraucht werden.


Wie kann man große Dateien generell verschicken?

1. Versand via Browser / Online File Transfer
Inzwischen gibt es auch zahlreiche Möglichkeiten, um Daten digital ohne vorherige Registrierung über einen kostenfreien Online-Dienst wie Whisply oder Wetransfer zu versenden. Hierzu muss man lediglich die gewünschte Datei, die man versenden möchte, im Webbrowser anklicken, in den ausgewählten Dienst laden und die E-Mail des Empfängers angeben. Abschließend kann man für den Empfänger noch eine Nachricht angeben, dann startet der Transfer der Daten zum Server des Anbieters. Sobald die Daten hier komplett vorliegen, wird eine Nachricht an den Empfänger ausgelöst, dieser erhält eine E-Mail mit einem Link, über den er die Daten als Paket abrufen kann. So lassen sich auch mehrere größere Dateien auf einmal versenden.
 Die Daten stehen nur einen begrenzten Zeitraum (z. B. 7 Tage) zur Verfügung. Anschließend werden sie aus Speicherplatzgründen wieder vom Server gelöscht. Zudem erfüllt die Datenverschlüsselung oftmals nicht die Vorgaben, denn viele dieser Dienste haben ihren Standort nicht innerhalb der EU. Das bedeutet, dass hier andere Datenschutzgesetze greifen und eine Datenübermittlung in vielen Fällen aufgrund der strengen EU-Vorgaben für hier ansässige Unternehmen nicht erlaubt sind.

2.  Datentransfer über Webmail
Zahlreiche Mailservices bieten inzwischen auch einen eigenen Cloud-Speicher an. Auf diese Art und Weise können größere Anhänge in die zugehörige Cloud ausgelagert und per über einen Download-Link per mail verschickt werden.
Problematisch ist hier jedoch, dass in vielen Fällen die Daten nicht oder nicht ausreichend verschlüsselt werden. Insofern bergen sie ein großes Sicherheitsrisiko.

3.  NAS
Alternativ zur Datenspeicherung im Internet lässt sich auch ein moderner Netzwerkspeicher (Network Attached Storage = NAS) verwenden. Unter NAS versteht man ein Gerät zur Datenspeicherung, das mit einem Netzwerk verbunden ist und autorisierten Benutzern zum Speichern und Abrufen von Daten über einen zentralen Ort dient. So lassen sich verschiedene Daten im Heimnetzwerk auf unterschiedlichen Endgeräten abrufen.
❌ Nachteilig wirkt sich hier aus, dass durch die Summe der Daten auch immer ein entsprechender Festplattenspeicherplatz vorgehalten werden muss, der ggf. weitere Kosten mit sich bringt, wenn er aufgestockt werden muss. Zudem sollte man bedenken, dass man bei der Verwendung eines NAS auch selbst für dessen Wartung und sämtliche Updates verantwortlich ist. Verhält man sich hier nachlässig, haben Hacker und Angreifer ein leichtes Spiel, um die gespeicherten Daten zu knacken.

4.  Datenübermittlung per USB-Stick
Nach wie vor ist die Versuchung groß, Daten per USB-Stick zu übergeben. Was einfach erscheint, zieht jedoch viele Probleme mit sich.
❌ Zum einen kann ein Stick auf dem Transportweg kaputt oder verloren gehen, zum anderen nimmt die Zustellung entsprechend Zeit in Anspruch. Gerät der Stick noch dazu in falsche Hände, verliert man jegliche Kontrolle darüber, was mit den gespeicherten Daten passiert. Insofern sollten USB-Sticks besonders im Unternehmensbereich endgültig der Vergangenheit angehören.

5. Cloud-Service
Mittlerweile nutzen viele Unternehmen einen Cloud-Speicher, um Dateien bereitzustellen. Die meisten Anbieter stellen dazu nach einer Anmeldung einen kostenlosen Speicher im Internet bereit. Über den Webbrowser können dort Daten abgelegt werden. In den meisten Fällen lässt sich der Cloud-Service auch als eigenes Laufwerk einbinden. Durch diese Spiegelung auf der eigenen Festplatte hat der Nutzer einen Zugriff wie auf seinem eigenen lokalen Laufwerk. Um gespeicherte Daten mit einer weiteren Person teilen zu können, ist es nicht notwendig, dass der Empfänger der Daten ebenfalls Nutzer der Cloud ist. Die Datenfreigabe erfolgt durch einen Link, den der Empfänger anklickt. Nach dem gleichen Prinzip können auch Daten in die Cloud geladen werden. Gerade wenn Teams oder aber auch Projektteilnehmer aus unterschiedlichen Unternehmen an einem Projekt arbeiten, erleichtert diese Art und Weise Daten zu tauschen ungemein die Zusammenarbeit. Jeder Beteiligte hat so die Möglichkeit, Änderungen vorzunehmen. Die Versionierung der Dokumente sorgt dafür, dass zu keinem Zeitpunkt Daten verloren gehen.
❌ Generell sollte jedoch darauf geachtet werden, dass der Cloud-Anbieter eine sichere Verschlüsselungsmöglichkeit bietet, damit alle gespeicherten Daten zu jeder Zeit maximal geschützt sind. Werden die Daten nicht entsprechend abgesichert, besteht immer die Gefahr, dass unberechtigte Dritte einen Zugriff erlangen.

 

✅  DRACOON als sichere Lösung für den Datentransfer

Jedes Unternehmen steht vor der Herausforderung, Daten sicher digital zu speichern, zu verwalten und zu teilen. Doch technische Gegebenheiten, weitreichende Compliance-Vorgaben und die aktuelle Gesetzgebung liefern viele Aspekte, die beim Handling von Daten wohl durchdacht sein müssen.

DRACOON bietet einen ausgezeichneten File Service, der auf die Bedürfnisse von Unternehmen ausgerichtet ist. Als deutscher Anbieter unterliegt DRACOON den strengen deutschen Datenschutzgesetzen. Eine zentrale Bedeutung beim Betrieb und der Weiterentwicklung der DRACOON-Plattform nehmen die Bereiche Informationssicherheit und Datenschutz ein. Deshalb betreibt DRACOON ein Informationssicherheitsmanagementsystem (ISMS), das nach ISO 27001 auditiert und zertifiziert ist. Außerdem wurde die Einhaltung der hohen Anforderungen an die Informationssicherheit nach dem Anforderungskatalog Cloud Computing (C5) des BSI von einem unabhängigen Wirtschaftsprüfer testiert worden. Die Cloud-Lösung wurde mehrfach ausgezeichnet und von Top-Analysten wie der ISG wiederholt als „Leader“ eingestuft.

Mit der datenschutzfreundlichen Technikgestaltung (Privacy by Design) sowie einer bedarfsgerechten Voreinstellung (Privacy by Default) arbeiten Benutzer automatisch datenschutzkonform und erfüllen alle Compliance- und DSGVO-Richtlinien. Die integrierte Ende-zu-Ende-Verschlüsselung inkl. clientseitiger Verschlüsselung bietet für alle Daten einen maximalen Schutz, denn der Schlüssel zur Entschlüsselung bleibt zu jeder Zeit beim Besitzer. So kann niemand sonst, nicht einmal ein Administrator oder DRACOON als Anbieter (im Vergleich zu vielen anderen Lösungen) auf gespeicherte Informationen zugreifen. Das feingranulare Berechtigungskonzept bietet individuell einstellbare Nutzungsmöglichkeiten für alle Bedarfsgruppen. Dank dem ausgeklügelten Benutzer- und Rechtemanagement besitzen nur autorisierte Nutzer das für sie vorgesehene Zugriffsniveau. So können nicht nur Nutzer, sondern auch bereitgestellte Daten in ihrer Verfügbarkeit zeitlich eingeschränkt werden. Selbst bereits erteilte Datenfreigaben können zu einem späteren Zeitpunkt wieder entzogen werden. So bleibt die Datenhoheit ausschließlich beim Nutzer.

Mit Hilfe von DRACOON für Outlook können selbst E-Mail-Anhänge und E-Mails vollständig verschlüsselt übermittelt werden. DRACOON ist als Cloud-, Hybrid- und auf Anfrage auch als On-Premises-Lösung verfügbar und liefert alle Komponenten, die für einen sicheren Datentransfer benötigt werden. Der Speicherplatz passt sich an die Bedürfnisse Ihres Unternehmens und an die Anzahl Ihrer Nutzer an.

Über das offene JSON/REST-API können alle weiteren Anwendungen, die in einem Unternehmen betrieben werden, spielerisch angebunden werden – so entstehen keine Datensilos, sondern durch diesen Plattform-Ansatz entsteht ein durchgängiger und sicherer Speicher für alle Daten, die verarbeitet werden müssen.

 

preisliste-anfordern

DRACOON bietet für jedes Unternehmen die richtige Lösung

Fordern Sie jetzt die Preisliste an und finden Sie das für Sie passende Angebot!

Preisliste unverbindlich anfordern

Bei neuen Blog-Artikeln benachrichtigen lassen: