Cyber-Resilienz-Verordnung: Cyber Resilience Act verlangt Updates für fünf Jahre
Die Cyber-Resilienz-Verordnung fordert Sicherheitsstandards, 5-Jahres-Updates und Risikobewertungen. Welche Produkte betroffen sind und was zu tun ist.
DSGVO-Compliance: Woran Sie rechtssichere VPN-Lösungen erkennen
VPNs schützen Unternehmensdaten zuverlässig. Wer sie einsetzt, muss allerdings die DSGVO-Vorgaben beachten. Fehler bei der VPN-Konfiguration oder der Anbieterauswahl schaffen hier Compliance-Risiken, die zu hohen Bußgeldern führen können.
Wenn man einen Blick auf News-Portale wie Heise Security wirft, erhält einen Eindruck davon, wie vielfältig und dynamisch aktuelle Bedrohungen aus dem Internet sind. Sie sind voller Berichte über gravierende Sicherheitslücken, verheerende Cyberattacken und schwindelerregende Datendiebstähle. Aber wie soll man sich davor schützen? Unternehmen jeder Größe sind heute auf der Suche nach funktionierenden und verlässlichen Sicherheitslösungen, mit denen sie ihre Daten vor Cyberangreifern schützen. Eine Schlüsselrolle spielen dabei Virtuelle Private Netze (VPNs).
Sie verschlüsseln den Datenverkehr über das öffentliche Internet und ermöglichen so sichere Remote-Zugriffe sowie geschützte Verbindungen zwischen mehreren Standorten. Selbst an öffentlichen WLAN-Hotspots – etwa in Hotels oder an Flughäfen – bleibt abgefangener Datenverkehr für Angreifer unlesbar.
Hinweis: Dieser Artikel dient der allgemeinen Information und ersetzt keine Rechtsberatung. Verbindliche Entscheidungen in den Bereichen Datenschutz, VPN-Nutzung oder DSGVO-Konformität erfordern rechtlichen Rat.
Anbieterauswahl: US-Provider schaffen Compliance-Risiken
Wer bei einer Suchmaschine nach VPN-Anbietern für Unternehmen sucht, stößt schnell auf Dutzende spezialisierte Anbieter. Ein großer Teil von ihnen hat seine Wurzeln jedoch in den USA oder Ländern, deren Datenschutzstandards nicht den Vorgaben der Europäischen Union (EU) entsprechen.
Die Zusammenarbeit mit einem Dienstleister, der personenbezogene Daten in die USA übermittelt, ist nach Einschätzung der Rechtsanwälte Keller-Stoltenhoff, Keller GbR „nicht rechtskonform möglich“. Firmen, die derartige US-Dienste nutzten, handelten „potenziell datenschutzwidrig“. Das könnte Aufsichts- und Bußgeldverfahren nach sich ziehen.
Auch wenn Datenschutzverstöße durch kleine und mittlere Unternehmen nicht immer verfolgt werden, sondern eher die „Big Player“ treffen, besteht ein Risiko. Wer das vermeiden will, sollte rechtzeitig prüfen, „ob für die US-Dienste gegebenenfalls Pendants aus der EU existieren“.
Rechtslage: DSGVO verschärft Datenschutzregeln
Ursache für die immer wieder falsch eingeschätzte Rechtslage ist die Datenschutz-Grundverordnung (DSGVO), die seit dem 25. Mai 2018 gilt. Sie schreibt einheitliche Datenschutzstandards in der EU vor. Vor ihrer Einführung war es noch möglich, Schlupflöcher zu finden. Damals entschieden sich manche Unternehmen gezielt für einen Standort mit niedrigeren Standards, innerhalb der EU ist das jetzt aber nicht mehr möglich.
Zeitgleich mit der DSGVO wurde in Deutschland auch das Bundesdatenschutzgesetz ersetzt. Das BDSG-neu regelt nationale Bereiche, die die DSGVO nicht erfasst. Das wichtigste Ziel der DSGVO ist der Schutz personenbezogener Daten wie Name, Geburtsdatum, Geschlecht oder Adresse. Sie umfasst beispielsweise aber auch Standortdaten oder IP-Adressen – das sind genau die Daten, die auch bei der Nutzung eines VPNs anfallen.
VPN-Compliance: Konforme Anbieter minimieren Datenerfassung
Ein DSGVO-konformer VPN-Anbieter protokolliert so wenige Daten wie möglich. Außerdem setzt er auf eine starke Verschlüsselung und verarbeitet Daten nur zu definierten Zwecken. Nutzer erhalten so mehr Kontrolle über ihre Verbindungsdaten und verringern das Missbrauchsrisiko.
Die DSGVO verlangt normalerweise eine Einwilligung der betroffenen Personen. Firmen brauchen diese nicht, wenn sie ein berechtigtes Interesse nachweisen. Dann benötigen sie keine ausdrückliche Einwilligung der Beschäftigten. Unternehmen pseudonymisieren und anonymisieren die erfassten Daten, das Prinzip der Datensparsamkeit gilt grundsätzlich.
Die DSGVO verknüpft den Datenschutz mit der eingesetzten Technik. So müssen genutzte Lösungen wie eben zum Beispiel ein Enterprise-VPN von Anfang an möglichst wenige personenbezogene Daten verarbeiten. Zudem muss ein Mindestmaß an Dokumentation vorhanden sein, um die Einhaltung der Datenschutzvorgaben später auch nachweisen zu können.
Serverstandort: EU-Hosting verhindert Drittlandtransfers
Bleibt noch die zentrale Frage des Server-Standorts: Wo werden personenbezogene Daten tatsächlich verarbeitet oder abgerufen? Der Standort entscheidet letztlich darüber, ob man als europäisches Unternehmen eine bestimmte VPN-Lösung einsetzen darf oder eben nicht.
Es genügt allerdings nicht, wenn zwar ein Server in der EU steht, der VPN-Anbieter aber in den USA sitzt. Dann handelt es sich wegen den umstrittenen Regelungen des US CLOUD Acts möglicherweise um einen sogenannten Drittlandtransfer. Der CLOUD Act zwingt amerikanische Firmen dazu, Daten an US-Behörden herauszugeben – auch wenn diese auf deutschen oder anderen europäischen Servern liegen.
Mitbestimmung: Betriebsräte fordern VPN-Vereinbarungen
Firmen mit Betriebsrat brauchen für den VPN-Einsatz oft eine Betriebsvereinbarung. Das schafft Transparenz und reduziert Konflikte. Nebenbei stellt eine Betriebsvereinbarung meist sicher, dass die VPN-Nutzung mit den Vorgaben der DSGVO übereinstimmt. Sie legt fest, was erlaubt ist, welche Daten nicht erhoben werden dürfen und wie sie verwendet werden dürfen.
In der Betriebsvereinbarung sollte zudem stehen, warum das VPN genutzt wird und für wen die Vereinbarung gilt. Der technische Teil sollte auf die eingesetzten VPN-Technologien eingehen und definieren, welche Daten erhoben und welche ausdrücklich nicht erfasst werden.
Um Missbrauch auszuschließen, muss zudem feststehen, wer auf die Daten zugreifen darf und für welche Situationen das gilt. Außerdem müssen Ansprechpartner benannt sowie eine Einsichtnahme in die erhobenen Daten ermöglicht werden. Hier sieht man eindeutig die Parallelen zur DSGVO.
Fazit
Virtuelle Private Netze sind heutzutage für sichere Remote-Zugriffe unverzichtbar. Die DSGVO setzt für ihre Nutzung jedoch hohe Hürden an. Unternehmen sollten deshalb nur mit Dienstleistern zusammenarbeiten, die die Vorgaben der Datenschutz-Grundverordnung wirklich einhalten können. Für viele US-Anbieter gilt das nicht – und zwar unabhängig davon, ob sie Server in der EU betreiben oder nicht.
Hinweis: Dieser Artikel informiert allgemein und ersetzt keine Rechtsberatung. Verbindliche DSGVO-Entscheidungen erfordern rechtlichen Rat. Bei VPN-spezifischen Datenschutzfragen beraten Sie auch gerne die NCP-Engineering-Experten.
((Call-2-Action))
Jetzt DSGVO-konforme VPN-Lösungen von NCP Engineering entdecken
Das könnte Sie auch interessieren:
VPN und Zero Trust – (k)ein Widerspruch in modernen IT-Sicherheitsarchitekturen?
In der IT-Security-Diskussion scheint die Rollenverteilung klar: VPN gilt als überholt, Zero Trust als Sicherheitsmodell der Zukunft für den Zugriff auf Unternehmensressourcen. Doch diese verkürzte Darstellung greift zu kurz. Zwar existieren grundlegende Unterschiede zwischen VPN ...
Zero Trust für KMU: Wie Sie mit kleinem Budget große Wirkung erzielen
Zero Trust sichert KMU-Netze auch mit kleinem Budget. Lernen Sie konkrete Schritte für einen kostengünstigen und sicheren Einstieg kennen.