Zulassen unsicherer Protokolle/Ablage von unverschlüsselten Daten
Das Zulassen von unsicheren Protokollen und/oder der Ablage von unverschlüsselten Daten hat direkte negative Auswirkungen auf die Sicherheit der Datenverarbeitung:
-
Zulassen unsicherer Protokolle:
Bei Auswahl dieser Option und Verwendung eines unsicheren Protokolls (z. B. http) erfolgt die Übertragung unverschlüsselt. Jede Person, die Zugriff auf die Übertragung hat, kann die Daten lesen, sofern die Daten nicht zusätzlich verschlüsselt sind (siehe Punkt 2).
-
Zulassen der Ablage von unverschlüsselten Daten:
Bei Auswahl dieser Option und Verwendung eines Speicherortprofils ohne eigene Dateiverschlüsselung werden die Dateien im Klartext gespeichert. Jede Person, die Zugriff auf die Dateien hat, kann deren Inhalt lesen.
Die Auswahl einer oder beider Optionen und die damit einhergehende Beeinträchtigung der Datensicherheit kann, insbesondere wenn personenbezogene Daten betroffen sind (d. h. Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen), zu einem Verstoß gegen datenschutzrechtliche Vorschriften (z. B. der DSGVO sowie ähnlicher anwendbarer länderspezifischer Datenschutzgesetze und -Regelungen, im Folgenden „länderspezifische Regelungen“) führen.
Darüber hinaus ist bei der Auswahl einer oder beider Optionen eine vertrauliche Handhabung der überlassenen Daten nicht gewährleistet. Wirtschaftlich relevante Daten könnten so unter Umständen von Unbefugten „mitgelesen“ werden.
Nach der DSGVO und ggf. anderer länderspezifischer Regelungen müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen (sog. „Integrität und Vertraulichkeit“).
Nach der DSGVO und ggf. anderer länderspezifischer Regelungen müssen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Zu diesen Maßnahmen gehören unter anderem die Pseudonymisierung und Verschlüsselung personenbezogener Daten und die Fähigkeit, die Vertraulichkeit, Integrität und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen. Ähnliches wird aufgrund der zu gewährleistenden Vertraulichkeit wirtschaftlich relevanter Daten auf Basis anwendbarer Gesetze, Verordnungen und auch Verträgen gelten.
Der SmartExporter Anwender und insbesondere der SAP®-Administrator, der die Berechtigungen und Einstellungen im SAP®-System für den Einsatz von SmartExporter definiert, sind in jedem Fall Verantwortliche oder zumindest Auftragsverarbeiter im Sinne der DSGVO und anderer länderspezifischer Regelungen. Als Bereitsteller von SmartExporter ist Audicon hingegen nicht vom Anwendungsbereich der DSGVO und ggf. anderer länderspezifischer Datenschutzregelungen erfasst, weist aber hiermit explizit auf die datenschutzrechtlichen Pflichten des Anwenders/Auftragsverarbeiters nach der DSGVO und etwaigen länderspezifischen Regelungen hin.
Die Verwendung unsicherer Protokolle sowie das Speichern unverschlüsselter Daten würden im Falle der Verarbeitung von personenbezogenen Daten nicht den Sicherheitsanforderungen der DSGVO und ggf. etwaigen länderspezifischen Regelungen entsprechen, sofern nicht Maßnahmen getroffen werden, die sicherstellen, dass der Zugriff nur durch autorisierte Personen erfolgen kann. Verstöße gegen die DSGVO und ähnlichen länderspezifischen Regelungen können nicht nur zu Schadensersatzforderungen, sondern auch zu Bußgeldern in beträchtlicher Höhe führen. Des Weiteren sind vertragliche und außervertragliche Schadensersatzforderungen möglich, wenn eine vertrauliche Handhabung der überlassenen Daten (nicht nur personenbezogener, sondern auch wirtschaftlich relevanter Daten) gewollt oder gar gefordert ist.
Copyright © 2022 Audicon GmbH. Alle Rechte vorbehalten.