Mein, dein, sein: So schützt Brainloop Daten DSGVO-konform

Von Ulrike Eder am 07. Mai 2018

Anwender vor einem Notebook mit Handy

Die Datenschutz-Grundverordnung führt in mehreren Absätzen von Artikel 32 (Sicherheit in der Verarbeitung) technische und organisatorische Anforderungen für die Verarbeitung von personenbezogenen Daten an. Mit abstrakten Beschreibungen, wie dem aktuellen Stand der Technik können Organisationen oft nur wenig anfangen. Es werden bewusst keine konkreten IT-Sicherheitsverfahren genannt, da diese „schnell veralten“. Vielen Unternehmen fehlt es demnach an klaren Vorgaben dafür, wie sich diese Auflagen tatsächlich einhalten lassen.

Mit Brainloop gehen Unternehmen jedoch auf Nummer sicher, denn die Cloud-Dienste erfüllen die gesetzlichen Anforderungen. Das belegt nicht zuletzt die Zertifizierung nach dem Trusted Cloud Datenschutzprofil Standard 1.0, Schutzklasse III.

Verschlüsselung (Artikel 32 Abs.1a DSGVO)

Die neue Gesetzgebung verweist ausdrücklich auf Pseudonymisierung und Verschlüsselung personenbezogener Daten.

Brainloop ermöglicht die durchgängige Verschlüsselung von Dateien auf allen Endgeräten, dem Server und beim Transfer. Erhöhte Sicherheit bietet zudem die rollenbasierte Rechtevergabe und die Vorgabe von Sicherheitskategorien für verschiedene Schutzklassen.

Vertraulichkeit (Artikel 32 Abs.1b DSGVO)

Mit Inkrafttreten der DSGVO müssen Unternehmen gewährleisten, dass ausschließlich Berechtige Zugang zu personenbezogenen Daten haben.

Brainloop Anwender müssen sich darum nicht kümmern, da ohnehin nur explizit eingeladene User die Datenräume betreten können – sogar der Administrator bleibt bei Bedarf außen vor (Administrator Shielding). Darüber hinaus lassen sich mit Hilfe des Rechtemanagements individuelle Zugriffsrechte unter Berücksichtigung des Need-to-know-Prinzips vergeben. Brainloop bietet zudem neben der klassischen Zwei-Faktor-Authentifizierung mit SMS-TAN auch den eigens entwickelten Brainloop Authenticator mit einem zeitbasierten Einmalpasswort per App an.

Integrität (Artikel 32 Abs.1b DSGVO)

Personenbezogene Daten sollen nicht durch Fehlfunktionen des Systems beschädigt oder manipuliert werden können.

Brainloop gewährleistet die Sicherheit und Integrität des Systems durch standardisierte Entwicklungsprozesse mit routinemäßigen Qualitätskontrollen einerseits und durch organisatorische und technische Sicherheitsmaßnahmen andererseits. Zudem gewährleistet der integrierte, unveränderbare Audit-Trail die Nachvollziehbarkeit aller Aktionen innerhalb der Brainloop Lösung. Es wird protokolliert, was wann und von wem verändert wurde. Dies gilt auch für Aktionen des Brainloop Systems.

Verfügbarkeit (Artikel 32 Abs.1b DSGVO)

Personenbezogene Daten müssen gegen Zerstörung oder Verlust geschützt sein. Bei Lösungen von Dienstleistern, ebenso wie bei Cloud-Lösungen, muss es eine vertraglich festgelegte Mindestverfügbarkeit geben, sodass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind.

Brainloop speichert die Daten seiner Kunden in hochverfügbaren lokalen Rechenzentren, die jeweils vor Ort über die nötigen Backup- und Desaster-Recovery-Technologien verfügen. Die geforderte Verfügbarkeit sichert Brainloop per Service-Level-Agreements (SLA) vertraglich zu.

Belastbarkeit (Artikel 32 Abs.1b DSGVO) 

Das System muss einem permanenten Monitoring unterliegen. Nur so wird garantiert, dass alle Funktionen des Systems zur Verfügung stehen. Auftretende Fehlfunktionen müssen sofort gemeldet werden.

Kunden der Brainloop können darauf vertrauen, dass das ISO 27001-zertifizierte Operations-Team anhand eines ausgefeilten Monitoring-Systems die Zuverlässigkeit des Services genau überwacht.

Wiederherstellbarkeit (Artikel 32 Abs.1c DSGVO)

Die personenbezogenen Daten und der Zugang zu ihnen muss auch nach einem physischen oder technischen Zwischenfall rasch wiederhergestellt werden.

Durch die Datenspeicherung in hochverfügbaren, redundanten Rechenzentren können die Daten schnell wiederhergestellt werden – auch nach einem physischen oder technischen Zwischenfall.

Überprüfung zur Sicherheit der Verarbeitung (Artikel 32 Abs.1d DSGVO)

Es muss gewährleistet sein, dass personenbezogene Daten durch technische und organisatorische Maßnahmen sicher verarbeitet werden. Dies muss überprüfbar sein.

Brainloop verfügt als Cloud-Service-Provider über eine Vertragsergänzung zur Auftragsverarbeitung, genauso wie über ein ISMS mit entsprechenden technischen und organisatorischen Maßnahmen inkl. ISO 27001/27018 Zertifizierung und ISAE 3402 Zertifizierung (Typ II). Zudem belegt die TCDP-Zertifizierung, dass Brainloop alle Anforderungen an den Datenschutz erfüllt. So ersparen sich Kunden die eigene aufwändige Überprüfung der DSGVO-konformen Datenverarbeitung.

Privacy by Design/Default (Art. 25 DSGVO)

Der Datenschutz soll durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen gewährleistet werden.

Brainloop Lösungen wurden von Anfang an unter Sicherheits- und Datenschutzgesichtspunkten konzipiert und entspricht damit den Prinzipien von Privacy by Design and Default. Bei der Entwicklung wird jederzeit der aktuelle Stand der Technik berücksichtigt. Organisatorische Maßnahmen werden flankierend ergriffen. So wird sichergestellt, dass nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Durch ein differenziertes Berechtigungskonzept und das Administrator- und Provider-Shielding wird verhindert, dass Daten einer unbestimmten Zahl von Personen zugänglich gemacht werden. Brainloop verfügt mit dem Trusted Cloud Datenschutzprofil und der ISO 27001/27018 über datenschutzspezifische Zertifizierungen.

Fazit

Die DSGVO sowie weitere Gesetze und Regularien erfordern einen noch sensibleren Umgang mit personenbezogenen Daten. Mit Brainloop Anwendungen sind Unternehmen jederzeit gewappnet, diese zu erfüllen. Brainloop wird auch in Zukunft, ganz im Sinne seiner Kunden, das Hauptaugenmerk auf höchste Sicherheit und Compliance legen.

Compliance, Trends, Brainloop

Das könnte Sie auch interessieren:

Mit Brief und Siegel: Brainloop ist datenschutzkonform

Mit Brief und Siegel: Brainloop ist datenschutzkonform

Weiterlesen
Wie gewonnen, so zerronnen: Supreme Court stellt Microsoft-Verfahren ein

Wie gewonnen, so zerronnen: Supreme Court stellt Microsoft-Verfahren ein

Weiterlesen
FINMA setzt bei Outsourcing auf mehr Selbstverantwortung

FINMA setzt bei Outsourcing auf mehr Selbstverantwortung

Weiterlesen