KOSTENLOS STARTEN
dracoon-login-w
Kostenlos testen
dracoon-login
Menu
Kostenlos testen
LOGIN
Signet-Animation_Header
Clean & Elegant
Fully Responsive

DRACOON Compliance Framework (DCF)

Datenschutzexperte_Logo_

Ziel dieses Dokuments ist es, Ihnen einen Leitfaden zu geben, wie Sie das Thema Datenschutz und gesetzeskonformes Dateihandling ganzheitlich angehen und  in DRACOON organisieren und umsetzen können. Dazu haben wir mithilfe unseres Partners DATENSCHUTZEXPERTE.DE die wichtigsten Rahmenbedingungen zusammengestellt und geben darauf basierende konkrete Empfehlungen zur DSGVO-konformen Gestaltung Ihres DRACOON Fileservice.

 

1. Warum ist DSGVO-konformes Dokumenten-Management notwendig?

DRACOON_Compliance_Dokumentenmanagement

Die DSGVO verlangt einen umfassenden Schutz personenbezogener Daten und stellt dies über umfangreiche Dokumentations- und Nachweispflichten sicher. Im Kern lässt sich dies auf eine Maßgabe eindampfen: Die DSGVO verlangt hinsichtlich des Datenschutzes von Unternehmen Demonstrating Compliance.
Um die Einhaltung der Datenschutzvorgaben jederzeit nachweisen zu können, sind klar definierte Prozesse und Strukturen, wie Daten verarbeitet werden, essentiell. Daher spielen gerade die Struktur und der Aufbau von Daten- bzw. Dokumentenmangementsystemen eine entscheidene Rolle.

 

2. Gesetzlicher Rahmen/Anforderungen an DSGVO-konformes Dokumentenmanagement

Im Folgenden geben wir Ihnen einen kurzen Überblick über den gesetzlichen Rahmen und die wesentlichen Anforderungen für ein datenschutzkonformes Dokumentenmanagement.


a) Normen

  • DSGVO
  • BDSG, KDG (Katholisches Datenschutzgesetz), EKD-Datenschutzgesetz, andere nationale Datenschutzvorgaben
  • Spezialvorgaben z.B. KritisVO, HIPAA, FISA etc.

b) Grundsätze der Datenverarbeitung

(Datenminimierung, Zweckbindung, Rechtmäßigkeit (relevant für Löschen), Integrität, Vertraulichkeit, Need-to-Know-Prinzip (-> Berechtigungskonzept), Rechenschaftspflicht)
Die DSGVO definiert einige Grundsätze für die Verarbeitung personenbezogener Daten. Diese Grundsätze geben bei Entscheidungen zum Aufbau eines Daten- oder Dokumentenmanagementsystems eine gute Orientierung.
Zunächst einmal sind personenbezogene Daten rechtmäßig, transparent und unter Beachtung von Treu und Glauben zu verarbeiten. Weiterhin dürfen sie nur für festgelegte, eindeutige sowie legitime Zwecke erhoben werden. Die Verarbeitung von Daten unterliegt einer Zweckbindung, das betrifft auch die Weiterverarbeitung. Nach dem Prinzip der Datenminimierung ist die Datenverarbeitung auf das notwendige Maß zu beschränken. Der Grundsatz der Richtigkeit erfordert, dass personenbezogene Daten sachlich richtig und aktuell sein müssen. In zeitlicher Hinsicht gibt es eine Speicherbegrenzung für den Zeitraum, für den die entsprechenden personenbezogenen Daten im Hinblick auf den Zweck der Datenverarbeitung benötigt werden.

Schließlich gelten auch die Grundsätze der Integrität und Vertraulichkeit im Hinblick auf die Datenverarbeitung, was geeignete technische und organisatorische Maßnahmen umfasst, die die verarbeiteten Daten vor Verlust, unrechtmäßiger Verarbeitung, vor Zerstörung oder Schädigung schützen sollen. Insgesamt ist der Verantwortliche zur Rechenschaft über die Einhaltung der oben genannten Bedingungen verpflichtet.


c) Wirtschaftlichkeit/Praktikabilität Erwägungen

  • Datenschutz soll risikobasiert stattfinden
  • Schutzmaßnahmen müssen dem Risiko angemessen sein, wobei auch wirtschaftliche Erwägungen in die Entscheidung, welche Maßnahmen getroffen werden, einbezogen werden dürfen (vgl. Art. 32 Abs. 1, Art. 25 Abs. 1 DSGVO)
    • Datenmanagement soll die Grundsätze des Datenschutzes erfüllen, zugleich aber auch wirtschaftlich und in die Prozesse des Unternehmens effizient integrierbar sein

d) Individuelle Bedürfnisse des Unternehmens bewerten

  • Welche Risiken bestehen für Datensubjekte?
  • Welche Risiken bestehen für das Unternehmen?
  • Sind bereits Schwierigkeiten im Daten-/Dokumentenmanagement bekannt? 

 

3. DSGVO-Werkzeugkasten aufzeigen: DSB (extern/intern)

  • Management-System (Plan-Do-Check-Act-Lifecycle)
    Datenschutz verlangt die kontinuierliche Umsetzung, Überprüfung und Verbesserung der getroffenen Maßnahmen – also ein fortlaufendes Abgleichen des Plans mit der Realität und die Umsetzung der erforderlichen Maßnahmen, um den Plan zu erfüllen.

  • Datenschutz / Compliance Software (z.B. Proliance 360)
    • Prozesse, Strukturen, Schulungen und Vorlagen für das gesamte Unternehmen

  • TOMs (tech. und organisatorische Maßnahmen, um Daten zu schützen)
    • Einsatz von DRACOON, um Daten zu strukturieren, Zugriffe zu regeln, Daten sicher aufzubewahren, Daten sicher zu teilen

  • (Ext.) DSB
    • Berät, überwacht und unterstützt bei der Einhaltung und Umsetzung der Anforderungen des Datenschutzes

 

4. DRACOON-Prozess – Sicherheitsmechanismen

DRACOON ist so konzipiert, dass Sie einen mächtigen Werkzeugkasten an der Hand haben, mit dem Sie die Organisation der Dateien im Unternehmen sinnvoll, nachhaltig und sicher gestalten können. Dazu gibt es Features, welche dafür sorgen, dass User zu jeder Zeit genau die Möglichkeiten haben, an Dateien zu arbeiten, die für ihre konkrete Aufgabe nötig sind – nicht weniger, aber auch nicht mehr.

Systemweit

  • Benutzer-Konzept (nur DRACOON-Benutzer können in die Plattform gelangen)

  • Multi-Faktor-Authentifizierung (für bestimmte Benutzer oder für alle Benutzer)

  • Audit-Log mit Adminrolle Auditor

Raum

  • Berechtigungs-Konzept (bestimmte Benutzer bekommen bestimmte Rechte)
  • Vererbung (Rechte können nach unten in der Struktur vererbt werden)

  • Klassifizierung (jeder Raum kann eine Standardklassifizierung vorgeben)

  • Clientseitige Verschlüsselung (nur die Benutzer kennen die Schlüssel)

  • Versionierung

  • Ablaufdatum

Freigabe-Links

  • Ablaufdatum

  • Kennwortschutz

  • Link-Erzeuger anzeigen

  • Downloadlimit

  • Benachrichtigung des Link-Erzeugers beim Download

5. Relevante Daten

Der Schutzbedarf von Dateien ergibt sich vor allem aus den folgenden beiden Aspekten:

  • Personenbezogene Daten
    Alle Daten, die Auskunft über eine natürliche Person geben oder Rückschlüsse auf eine natürliche Person zulassen (z.B. Name, Vorname, Alter, Adresse, Telefonnummer, IP-Adresse, Personalnummer, E-Mail-Adresse, Benutzername etc.)

  • Sensible Unternehmensdaten
    Alle Daten, die für Ihr Unternehmen wichtig sind; dies kann je nach Geschäftsfeld Ihres Unternehmens sehr unterschiedlich sein
    Pharmaunternehmen: z.B. Patente, Forschungsergebnisse, Studiendaten
    Labore: Testergebnisse, Patientendaten
    Banken: Transaktionsdaten, Kundendaten, Kontostände, Kreditlinien etc.



6. Klassifizierung der Daten

  • Gesetzliche Klassifizierung
    • Personenbezogene Daten
    • Besondere Kategorien personenbezogener Daten (z.B. Gesundheitsdaten, Gewerkschaftszugehörigkeit, Ethnie, Religion, etc.)
    • Geschäftsgeheimnisse
  • Maßstab
      • Risiko für die betroffene Person
      • Sensibilität der Information für das Unternehmen (z.B. anhand des maximalen Schadens bei Datenverlust oder Kompromitierung

  • Beispiel Klassifizierung

Funktionsbereich/
Schutzbedarf

Personal

IT

Marketing & Vertrieb

Einkauf

Finanzen

Sicherheit

Fremdver-arbeitung (für Auftraggeber)
Öffentlich              
Niedrich              
Mittel              
Hoch              

 

Die Software unseres Partners DATENSCHUTZEXPERTE.DE analysiert und klassifiziert Daten in Echtzeit und stellt über vordefinierte Workflows Handlungsempfehlungen für den Nutzer bereit.

datenschutzexperte_proliance360

 

 

 

7. Strukturierung der Dateien anhand von Datenräumen

  • Ein System für sichere Dateiablage sollte einige Mindestanforderungen erfüllen:
    • Unabhängiges Rechtekonzept pro Raum
    • Möglichkeit der Strukturierung von Räumen untereinander, um auf jeder Ebene Rechte geben und entziehen zu können
    • Attribute für Datenräume, welche das Handling unterstützen und automatisieren (Klassifizierung, Abläufe, Haltezeit der Versionierung etc.)
  • Kriterien zur Gliederung können funktioneller oder praktischer Natur sein
    • Welche Tiefe an Struktur kann einer bestimmten Benutzergruppe zugemutet werden?
    • Für welche Räume ist es sinnvoll, die interne Struktur der Organisation nachzubilden (Abteilungen, Funktionsgruppen, Projekte)?
    • Wo haben Redundanzen Sinn und wo können diese vermieden werden (beispielsweise können Dateien mit Kunden in ganz verschiedenen Abteilungen ausgetauscht werden)?
  • Erstellung eines Modells für Räume und Ordner beispielsweise in einem Mindmapping-Tool
  • Welches Feature passt zu welchem Datenschutz-Ziel?
  • Beispiel:
datenraumstruktur_dracoon


8. Zugriffs- und Berechtigungskonzept

  • Um Berechtigungen punktgenau vergeben zu können, sind einige Grundvoraussetzungen im System nötig:
    • Strikte Trennung von Systemadministration und der Sicht auf Dateien
    • Funktionale Trennung der administrativen Rollen
    • Granulare Einstellmöglichkeiten für die Berechtigung in den einzelnen Datenräumen
  • Erstellung eines Grundkonzepts unter Einbeziehung der Fachbereiche nach bewährten Grundsätzen
    • Möglichst wenig Einzelberechtigungen für Einzeluser, sondern Arbeiten mit Usergruppen
    • Berechtigung immer erst ab der Stelle, aber der tatsächlich die betroffenen Dateien liegen
  • Umsetzung in DRACOON evtl. mithilfe von Automatisierung an den Stellen, an denen es Sinn hat
  • Funktionalitätscheck mit den Fachbereichen
berechtigungen_drollen_racoon_2
berechtigungen_drollen_racoon_1

Starten Sie jetzt jetzt völlig kostenlos mit der 14-tägigen Testversion von DRACOON!

5 Benutzer und 10 GB hochsicherer Cloudspeicher! Gleich hier registrieren:

DRACOON-Logo_Footer_2024_B

© 2023 DRACOON GmbH
Made in Germany
Tel. +49 (941) 7 83 85-0

Kontaktieren Sie uns!

Umgang mit Sicherheitsvorfällen

Melden von Schwachstellen

Unternehmen

Infrastruktur

Branchen

Lösungen

Service

Element 1