About MSteinwachs

This author has not yet filled in any details.
So far MSteinwachs has created 165 blog entries.

Die Uhr tickt: EU-DSGVO in den Startlöchern

Mit der Verabschiedung der EU-DSGVO soll die Datensicherheit in Europa – vor allem für die privaten Nutzer – erhöht werden. Für viele IT-Abteilungen tickt die  Uhr: Die Vereinheitlichung des Datenschutzrechts innerhalb Europas macht eine Überprüfung und Anpassung des Datenschutzmanagements der Unternehmen erforderlich, sonst drohen unter Umständen hohe Strafen.

Am 4. Mai 2016 war die neue EU-Datenschutz-Grundverordnung im Amtsblatt der Europäischen Union erschienen. Damit startete die zweijährige Frist, bis die neuen Regelungen am 25. Mai 2018 endgültig in Kraft treten werden. Da es sich bei der EU-DSGVO um eine europäischen Verordnung handelt, gilt sie in allen Mitgliedsstaaten; eine gesonderte nationale Umsetzung ist nicht erforderlich. Was genau bringen die neuen Sicherheitsgesetze – und für wen gelten die?

 

Geltungsbereich

Die DSGVO gilt (laut Art. 2 Abs.1) „für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Datensystem gespeichert sind oder gespeichert werden sollen.“  Heißt übersetzt: Wer personenbezogen Daten in irgendeiner Form speichert – also nicht nur in Computern, sondern auch beispielsweise in Smartphones, Kameras oder Druckern – ist betroffen. Aber auch der, der personenbezogen Daten derzeit nicht automatisiert verarbeitet – etwa, weil es sich dabei um handschriftliche Aufzeichnungen handelt, aber vor hat, diese irgendwann in ein Dateisystem zu übernehmen (wobei jede „strukturierte Sammlung personenbezogener Daten” als Dateisystem gilt, also auch Aktensysteme), fällt in den Gültigkeitsbereich der DSVGO.  Als „personenbezogen“ gilt dabei alles, was einer Person eindeutig zugeordnet werden kann; dazu gehören also nicht nur Anschrift oder Name, sondern auch Telefonnummer, Autokennzeichen oder (unter Umständen) auch die IP-Adresse.

Eine Neuerung gibt es beim räumlichen Geltungsbereich der neuen Verordnung. Hier gilt zukünftig dann das „Marktortprinzip“. Das heißt: Erfolgt die Verarbeitung der  Daten im Rahmen einer Tätigkeit in der Union – bei der etwa Personen in der Union Waren oder Dienstleistungen angeboten werden – so  findet die DSVGO unabhängig vom Ort der Verarbeitung datenbezogener Daten Anwendung.  Was bedeutet, dass zum Beispiel auch US-Unternehmen, die ihre Dienste auf dem europäischen Markt anbieten, die Daten aber in den USA verarbeiten, an die neuen europäischen Vorgaben zu halten haben. Was den Anwendungsbereich im Vergleich zu derzeit noch geltenden Gesetzen deutlich vergrößert.

 

Was haben die Nutzer davon?

Die neue DSGVO zielt vor allem darauf ab, die Rechte des Nutzers zu stärken. Der hat zukünftig das Recht zu erfahren, wer welche Daten über ihn sammelt – und warum, und wie und wo diese Daten verarbeitet werden („Auskunftsrecht“

[Kap. 3, Art.15), „Informationspflicht“ (Kap.3, Art.13]). Im Falle eines berechtigten Widerspruchs des Nutzers müssen seine Daten unverzüglich gelöscht werden. („Recht auf Vergessenwerden“, Kap.3, Abs.17]). Auch haben Nutzer ein Recht auf Berichtigung ihrer personenbezogenen Daten [Kap.3, Abs.16] und können auch die Einschränkung der Verarbeitung verlangen [Kap.3, Abs.18]. Dann dürfen ihre Daten nur noch gespeichert, nicht aber mehr verarbeitet werden – es sei denn, der Nutzer stimmt dem zu oder es liegen juristische Gründe oder ein öffentliches Interesse vor.

Zudem muss er auch ausführlich informiert werden, wenn seine Daten gehackt worden sind [Kap.4, Art.34]. Und schließlich darf er auch seine Daten in einer „strukturierten, gängigen und maschinenlesbaren Form“ von einem Internetanbieter fordern, um sie  zu anderen auf andere Plattformen übertragen können („Recht auf Datenübertragbarkeit“, [ Kap.3, Art. 20]).

Neu ist die Regelung, dass eine Abgabe einer rechtswirksamen Einwilligung in die Verarbeitung personenbezogener Daten erst mit Vollendung des  16. Lebensjahres möglich ist – ansonsten ist die Zustimmung der Eltern erforderlich. [Kap.2, Art.8] Dazu muss der Verantwortliche „angemessene Anstrengungen“ unternehmen, das technisch zu ermöglichen. Das war bisher im BDSG nicht klar geregelt, die Einwilligungsfähigkeit von Kindern und Jugendlichen war streitig.

 

Die Sache mit der Einwilligung

Laut der neuen DSGVO ist eine Verarbeitung der Daten nur zulässig, wenn der Nutzer entweder seine Einwilligung dazu gegeben hat (die der Verantwortliche dann jederzeit nachweisen können muss) – oder diese „erforderlich“ ist. Als mögliche Gründe für die Erfordernis führt die Datenschutz-Grundverordnung zum Beispiel die Erfüllung von Verträgen, rechtliche Verpflichtungen, lebenswichtige Interessen oder das „berechtigte Interesse des Verantwortlichen“ an, sofern nicht die „Grundfreiheiten der betroffenen Person“ überwiegen. [Kap.2, Art.6 und 7]. Gerade der letzte Punkt ist recht schwammig und dürfte zukünftig für Diskussionen und – unter Umständen – sogar für Rechtsstreitereien sorgen.

 

Was müssen die Verantwortlichen leisten?

Die neue DSGVO fordert von den Verantwortlichen „geeignete technische und organisatorische  Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“ [Kap 4, Abs.32]. Dazu gehören auch eine Pseudonymisierung und Verschlüsselung personenbezogener Daten, die Fähigkeit, die Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung sicherzustellen und die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen. Gefordert wird auch, dass nur Daten verarbeitet werden, die für den Verarbeitungszweck unbedingt erforderlich sind und diese nicht einer „unbestimmten Zahl von natürlichen Personen“ zugänglich gemacht werden.  [Kap.4, Abs.25].  Heißt: Minimierung, Pseudonymisierung, Sicherheit und Transparenz. Und das muss auch alles dokumentiert werden: Jeder Verantwortliche ist nämlich verpflichtet, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen, in dem Verarbeitungszweck, Kategorien betroffener Personen, Daten und Empfänger, aufgeführt wird, eine mögliche Übermittlung der Daten an Drittländer und (wenn möglich) die getroffenen technischen und organisatorischen Maßnahmen aufgeführt werden. [Kap.4, Abs.30]

Der Datentransfer in Drittstaaten [Kap.5] wird auch weiterhin problematisch bleiben. Der ist nach wie vor nur zulässig, wenn das Drittland – laut Kommissionsbeschluss – ein angemessenes Schutzniveau bietet (das etwa durch Binding Corporate Rules, die jetzt konkret geregelt werden,  oder EU-Standardverträge hergestellt wurde) oder der Verantwortliche geeignete Garantien vorgesehen hat.  Allerdings werden in Kap.5, Art.49 eine ganze Reihe von Ausnahmen definiert, unter denen eine Datenübermittlung trotzdem zulässig sein kann; darüber müssen dann aber der Nutzer und die Aufsichtsbehörde informiert werden.

 

Fazit

Auch wenn sich neue DSGVO auf der materiell-rechtlichen Grundlage der geltenden EU-Richtlinie 95/46 bewegt und damit die grundsätzlichen Datenschutz-Prinzipien beibehält, kommt doch einiges an Arbeit auf die IT-Verantwortlichen zu. Informations- und Auskunftspflichten wurden ebenso erweitert wie das Widerspruchsrecht und die Löschpflicht; das Kopplungsverbot und die Meldepflicht bei Datenpannen  wurde verschärft, eine neue Portabilitätsverpflichtung für Daten wurde ebenso eingeführt wie die  Dokumentationspflichten der Auftragsverarbeiter.  Der muss bei besonders risikobehafteten Datenverarbeitungen zukünftig eine Datenschutz-Folgeabschätzung durchführen [Kap.4, Art.35]. Auch deshalb, weil er bei Datenpannen unter Umständen direkt gegenüber den Betroffen haftbar ist. („Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde“ – Kap.8, Art.82]. Vor allem aber wurden die möglichen Geldbußen bei Verstößen drastisch erhöht. Lag die bisherige im BSDG festgelegte Höchstgrenze bei 300.000 Euro pro Verstoß, so können jetzt bis zu vier Prozent des weltweiten Umsatzes gefordert werden. Ein guter Grund also, sich mit der neuen EU-Datenschutz-Grundverordnung sehr genau zu beschäftigen. Noch sind neun Monate Zeit, bis die endgültig in Kraft treten wird. Aber die vergehen schnell.

 

Save The Date: PowerFolder Kongress 2017 am 11. und 12. Oktober 2017

Auch in diesem Jahr lädt die dal33t GmbH wieder zu ihrem PowerFolder Kongress (PK) nach Düsseldorf ein. Der PowerFolder Kongress 2017 wird am 11. und 12. Oktober stattfinden und zwar – nach dem großen Erfolg im letzten Jahr – nicht nur im Firmensitz am Düsseldorfer Seestern im Herzen der IT City, sondern auch im benachbarten Kongress Hotel Marriott Courtyard, wo es auch ein limitiertes Kontingent an Übernachtungsmöglichkeiten für die Kongress-Teilnehmer geben wird.

In entspannter Atmosphäre wollen wir auf dem diesjährigen PK wieder Partner, Kunden und Interessenten unter anderem über Neuigkeiten aus den Bereichen „Sync&Share“, „Cloud“ und „Hardware“ informieren.  Der erste Tag gehört dem „PK Forum“ mit Vorträgen und Diskussionsrunden zu hochaktuellen Themen wie „Neuerungen im Europäischen Datenschutz“, „Blockchain-Technologie“ und der „Quantenkryptographie“. Zudem soll auch Raum und Zeit für Networking und Erfahrungsaustausch bleiben.  Am zweiten Tag des PK (12.10.) dann werden verschiedene Workshops angeboten. Für das leibliche Wohl ist natürlich gesorgt.

Weitere aktuelle Infos und die Möglichkeit zur Anmeldung zum PowerFolder Kongress 2017 gibt es unter www.powerfolder.com/de/powerfolder-kongress-2017/.

D2D Connect: Auch ohne Netz sicher vernetzt

Der Austausch von Daten zwischen mobilen Endgeräten und die Synchronisation mit der Cloud gehört heutzutage zu den selbstverständlichen Grundlagen im beruflichen und privaten Alltag, kann aber – zum Beispiel im Katastrophenfall – auch lebenswichtig werden. Was aber macht man, wenn das Netz überlastet oder ganz zusammengebrochen ist? Die Lösung kommt aus Düsseldorf und heißt D2D Connect.

Düsseldorf, Juli 2017 – Nicht Bitcoins, Dollars oder Euros sind die eigentliche Währung unserer heutigen Informationsgesellschaft, sondern Daten. Deren Verwaltung, Austausch und Synchronisation ist für die Produktivität von Unternehmen inzwischen zur Schlüsselfrage geworden. Aber nicht nur die Wirtschaft, sondern auch Rettungskräfte und Hilfsorganisationen sind – besonders in Katastrophenfällen – auf den sicheren Austausch von Dokumenten, Daten und Informationen angewiesen.

Alle aktuellen diesbezüglichen Lösungen – wie etwa Dropbox, Apple iCloud, Owncloud oder Cloudme – erfordern dazu jedoch eine stets aktive Verbindung zur Cloud oder zum Server, um die Daten zu übermitteln und zu synchronisieren. Was aber passiert, wenn das Netz durch zu viele Nutzer, etwa bei  einer Großveranstaltung wie einer Messe, überlastet ist , oder – durch Unwetter oder anderweitig bedingte Ursachen – sogar ganz ausfällt? Oder wenn Sie sich in einem Teil der Welt aufhalten, wo gar kein Netz vorhanden ist? Mehrere Jahre lang hat die Düsseldorfer dal33t GmbH, Entwickler der erfolgreichen File Sync&Share-Lösung PowerFolder, zusammen mit der „Arbeitsgruppe für Technik sozialer Netzwerke der Universität Düsseldorf“  – und gefördert vom Bundeswirtschaftsministerium – daher eine neue Technologie entwickelt, mit denen Daten auch ohne ein zentrales Netzwerk ausgetauscht werden können.

 

PowerFolder hat die Lösung

Das Ergebnis heißt „D2D Connect“ –  eine Lösung, die eine zuverlässige und sichere Synchronisation von Daten zwischen mobilen Endgeräten komplett ohne Internetverbindung ermöglicht.  Diese Technologie nutzt dazu dezentrale, von den Geräten selbst aufgebaute, opportunistische Mesh-Netzwerke zwischen den einzelnen Teilnehmern in Funkreichweite; die Daten werden dabei mittels sicheren Peer-to-Peer-Verteilstrategien zugriffsgeschützt übertragen.  So können auch ohne Zugang zu einem gemeinsamen WLAN oder ganz ohne Internetverbindung große Dateimengen schnell in Gruppen per mobilem Endgerät ausgetauscht werden – und das ohne Umwege über nicht zu kontrollierende Geräte oder Verbindungen.  Christian Sprajc, CEO der dal33t GmbH: „Gerade in Firmen mit sehr hohen Sicherheitsanforderungen ist der mobile Datenaustausch über selbst aufgebaute Netzwerke besonders wichtig, da er sehr sicher abläuft und viele Möglichkeiten zur Industriespionage ausschließt.“ So können dann zum Beispiel die Mitarbeiter eines Unternehmens auf einer Fachmesse trotz Netzüberlastung untereinander in Kontakt bleiben und sensible Firmendaten austauschen – oder diese auch ihren Kunden übermitteln, ohne Gefahr zu laufen, dass dabei die Konkurrenz mitliest. Bei Natur- oder anderen Katastrophen, bei denen Netze sogar komplett ausfallen, würden Hilfsmannschaften lebenswichtige Informationen  wie etwa kurzfristig aktualisiertes Kartenmaterial oder Fotos trotzdem an die Einsatzzentrale vor Ort weiterleiten können. Aber auch in Bildungs- oder medizinischen Einrichtungen – vor allem beim Einsatz in der Dritten Welt, wo stabile Netze nicht die Regel sind – könnte D2D Connect eine große Hilfe sein.

 

D2D Connect denkt weiter in die Zukunft

Der Austausch zwischen mobilen Endgeräten wie Tablets und Smartphones mittels einer App für iOS und Android ist aber erst der Anfang. Mit Hilfe von D2D Connect soll mittelfristig auch die Kommunikation im „Internet der Dinge“ effizienter und vor allem auch sicherer und unabhängig von externen Einflüssen gestaltet werden. Gerade die Entwicklung der letzten Monate hat gezeigt, wie anfällig dieses „IoT“ (Internet of Things) ist, wurden doch schlecht gesicherte Geräte wie Drucker, Kühlschränke und Fernseher, aber auch komplette Gebäudesicherungssysteme   immer wieder von Hackern zu riesigen Botnetzen verknüpft. D2D Connect könnte die Kommunikation zwischen diesen Geräten, aber auch zwischen Fahrzeugen oder Industrieanlagen in dynamischen Netzen vereinfachen und automatisieren – selbst in Umgebungen, in denen der Datenaustausch über die klassische Infrastruktur entweder nicht möglich oder aus Sicherheitsgründen gar nicht erwünscht ist.  Damit wird D2D Connect auch zu einem wichtigen Baustein in der „Industrie 4.0“ werden.

 

Über die Arbeitsgruppe für Technik sozialer Netzwerke der HHU Düsseldorf

Die Arbeitsgruppe für Technik sozialer Netzwerke wird geleitet von Herrn Jun.-Prof. Dr.-Ing. Kalman Graffi als Teil des Instituts für Informatik in der Fakultät für Mathematik und Naturwissenschaften an der Heinrich-Heine-Universität in Düsseldorf.

Die Arbeitsgruppe umfasst sieben Doktoranden und erforscht selbst-organisierende Protokolle und Mechanismen, die es ermöglichen, eine hohe Anzahl von dezentral zur Verfügung stehenden unzuverlässigen Ressourcen für hochwertige Infrastrukturdienste nutzbar zu machen. Zielanwendungen sind dabei dezentrale Datendienste, hochskalierende Kommunikationsinfrastrukturen und soziale Netzwerke für die Online-Partizipation. Jun.-Prof. Dr.-Ing. Kalman Graffi ist Academics.de – Nachwuchswissenschaftler des Jahres und Mitglied der Deutsch-Arabischen Jungen Akademie der Wissenschaften.

Treffen Sie uns auf der ZKI-Herbst-Tagung 2017 und der PITS 2017

PowerFolder wird auch in diesem Jahr im September auf der Herbsttagung der Zentren für Kommunikation und Informationsverarbeitung (ZKI) und auf der PITS 2017, dem Fachkongress für IT- und Cybersicherheit bei Bund, Ländern und Kommunen vor Ort sein. Treffen Sie Geschäftsführer  Christian Sprajc, Senior Sales Executive Rolf Fellmann und weitere  führende Köpfe der PowerFolder dal33t GmbH zu einem zwanglosen Erfahrungsaustausch, lassen sich auf den neuesten Stand der erfolgreichen File Sync&Share-Lösung PowerFolder bringen und erfahren Sie mehr über unsere zukünftigen Projekte.  Damit wir uns auch ausreichend Zeit für Sie nehmen können, vereinbaren Sie am besten einen Termin – entweder telefonisch unter der  (+49 2132/97 92 290) oder per Mail (contact@powerfolder.com).

Die Herbsttagung der ZKI findet in diesem Jahr vom 4. bis zum 6. September statt und wird ausgerichtet vom Rechenzentrum der Bundeswehr München; Veranstaltungsort ist die Universität der Bundeswehr München in München/Neubiberg. Themenschwerpunkt wird die Bedrohungslage der IT-Infrastruktur der Hochschulen sein – ein Thema, das natürlich auch PowerFolder am Herzen liegt, das an weit über 100 Universitäten und Hochschulen in Deutschland genutzt wird.

Der Fachkongress PITS 2017 (Public-IT-Security), ein Verwaltungskongress der Behörden Spiegel-Gruppe, findet eine Woche später vom 12. und 13. September im Berliner Hotel Adlon statt. Themen werden unter anderem der Schutz der öffentlichen Infrastruktur und Netze, Cloud Computing, Digital Health und Backup-Strategien sein – ebenfalls Themen, in denen PowerFolder schon seit vielen Jahren sehr gut aufgestellt ist.

PowerFolder jetzt mit innovativem Upload-Link-Feature

Die Düsseldorfer dal33t GmbH hat der erst kürzlich erschienenen Version 11.3 ihrer bewährten File Sync&Share-Lösung PowerFolder ein weiteres neues, innovatives Feature spendiert: Per „Upload-Link“ können ab sofort auch nicht im System angemeldete Nutzer Dateien hochladen. Das eröffnet ganz neue Möglichkeiten.

Düsseldorf, 20. Juli 2017 – Wer Daten aus seiner Cloud sicher an einen externen Nutzer verschicken will, nutzt einen Downloadlink – das ist nichts Neues. Was aber, wenn besagter externer Nutzer seinerseits Daten hochladen soll? Bisher war es so, dass der dann entweder ebenfalls im System oder in der Cloud angemeldet sein muss, die betreffenden, oft hochsensiblen Daten umständlich bei einem Drittanbieter zum Abruf zwischenlagert, ohne zu wissen, wer da noch alles Zugriff hat – oder aber die Daten nur in einen öffentlichen, nicht gesicherten  Ordner der Cloud uploaden kann.  Dieses Problem haben die Entwickler der deutschen File Sync&Share-Lösung PowerFolder jetzt elegant und innovativ gelöst.  Seit der Versionsnummer 11.3.478 nämlich können auch Upload-Links für sichere Datenräume mit sensiblem Content an System-fremde User verschickt werden.  Diese Links  werden jeweils individuell generiert, heißt: Der jeweilige Uploader hat damit ausschließlich Zugriff auf seine hochgeladenen Daten – und kann sie auch später noch jederzeit  updaten und verändern. Dokumente und Daten von anderen Nutzern dagegen, die einen eigenen Upload-Link für denselben Ordner/Datenraum bekommen haben,  bleiben für ihn unsichtbar und unantastbar.

 

Vielfältige Anwendungsmöglichkeiten in der Praxis

Das neue Feature bietet in der Praxis  zahlreiche Anwendungsmöglichkeiten, die die Arbeitsprozesse vereinfachen und Abläufe verkürzen. So können zum Beispiel Zulieferer ihre Rechnungen direkt und sicher in das Verzeichnis der Buchhaltung laden, können Bewerber ihre Unterlagen einreichen oder Marketing-Agenturen ihre kreativen Entwürfe ohne Umwege  an die Entscheider schicken. Auch können Firmenmitarbeiter auf diesem Weg Stundenzettel oder Spesenabrechnungen übermitteln. Die internen Nutzer des betreffenden Datenraums werden dann automatisch über die neuen Uploads informiert, um zeitnah reagieren zu können. Anders als etwa beim (zudem noch unsicheren) Versand per Mail-Anhang gibt es mit dem PowerFolder-Upload-Link keine Begrenzung beim Datenvolumen.

Das neue Upload-Feature ist bereits in der PowerFolder Cloud aktiviert und ohne zusätzliche Kosten nutzbar. Im Softwarepaket ist es als Option verfügbar und muss explizit vom Anwender aktiviert werden, da es eine Änderung gegenüber dem Standardverhalten der Software darstellt.

Register to our Newsletter now!

We will keep you up to date on new releases
and news related to PowerFolder

Go to Top