Leistung und Zuverlässigkeit
CDN DNS Argo Smart Routing Lastverteilung AMP Real URL Web-Optimierungen China-Netzwerk
Video-Streaming und Lieferung
Cloudflare Stream Stream Delivery
Erweiterte Sicherheit
Magic Transit DDoS-Schutz WAF Bot-Management Rate Limiting SSL/TLS DNSSEC Cloudflare Spectrum Argo Tunnel
Erkenntnisse
Analytics Cloudflare-Protokolle
Cloudflare für Entwickler
Cloudflare Workers Cloudflare Workers KV Workers Sites Mobile SDK
Cloudflare for Teams
Cloudflare Access Cloudflare Gateway
Cloudflare for Everyone
1.1.1.1 Cloudflare for Campaigns
Domainregistrierung
Cloudflare Registrar
Cloudflare-Marktplatz
Cloudflare Apps
Performance
Beschleunigung der Internetanwendungen Mobile Anwendungen beschleunigen Sicherstellung der Verfügbarkeit von Anwendungen
Sicherheit
DDoS-Angriffe abmildern Missbrauch von Kundendaten verhindern Bösartigen Missbrauch von Bots stoppen Protect Users and Devices
Branchen
Gaming SaaS eCommerce Medien und Entertainment Öffentlicher Sektor Öffentliche Interessengruppen Nationale und kommunale Behörden
Partnerschaften
Partnerprogramm
Lösungspartner
Serviceprogramm
Technologiepartner
Peering Portal Bandwidth Alliance Analytics-Partner
Integrationen
IBM Cloud WordPress Google Cloud Magento Acquia Rackspace Microsoft Azure Kubernetes WP Engine
Entwickeln
API-Anleitung Entwickler-Hub Entwickler-Fonds Dokumentation
Kennenlernen
Fallstudien Analysten Cloudflare in China Netzwerkkarte Webinare Was gibt´s Neues? Studien DSGVO
Lernen
DDoS-Infocenter CDN-Infocenter DNS-Infocenter Sicherheitsinfocenter Performance-Infocenter Serverless-Infocenter SSL-Infocenter Bot-Infocenter Cloud-Infocenter Access Management Learning Center
Verbindung
Blog Vertrieb kontaktieren Community Support
Kontakt
+1 650 319 8930
Erweiterte Cloudflare-Konfiguration
Cloudflare API v4 entdecken Einen sicheren lokalen Tunnel aufdecken Mit Terraform konfigurieren Dokumentation
Ihre Website anpassen
Mit Workers anpassen Alternierende Überschriften Bedingtes Anforderungsrouting A/B-Tests Alle Code-Snippets durchsuchen
Serverlose Apps erstellen
Deploy a Static Site Mit Workers.dev bereitstellen Erste Schritte mit Turorials Klonbeispiele auf GitHub

Die DSGVO und Arbeiten von zu Hause | DSGVO-Richtlinien für Fernzugriff

Zur Einhaltung der Datenschutz-Grundverordnung (DSGVO) müssen Unternehmen mit externen Mitarbeitern besondere Schritte unternehmen, um ihre Daten zu sichern und den Zugang der Mitarbeiter zu verwalten.

Share facebook icon linkedin icon twitter icon email icon
Was ist IAM?
Zugriffskontrolle
Zero-Trust-Sicherheit
Was ist ein CASB?
Sicheres Web-Gateway
Remote Access
Glossar

Fernzugriff gemäß DSGVO

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Sie verstehen, wie die DSGVO externe Mitarbeiter betrifft
  • Sie wissen, was in Richtlinien für Fernzugriff enthalten sein muss
  • Sie wissen, wie Cloudflare Unternehmen bei der Einhaltung der DSGVO hilft

Ähnliche Inhalte

Zugriffskontrolle

Was ist IAM?

Zero-Trust-Sicherheit

Sicheres Web-Gateway

Was ist ein CASB?

Was ist die DSGVO?

Die Datenschutz-Grundverordnung oder DSGVO ist ein Regelsatz zur Sammlung, Speicherung und Verarbeitung personenbezogener Daten. Die DSGVO betrifft alle Unternehmen, die Daten über Bürger der Europäischen Union (EU) sammeln. Unternehmen, die gegen die DSGVO verstoßen, müssen mit hohen Bußgeldern und Strafen rechnen. Das gilt auch für Unternehmen außerhalb der EU.

Die Einhaltung der DSGVO kann für jedes Unternehmen eine Herausforderung darstellen, und mit externen Mitarbeitern wird die Aufgabe noch komplexer. Wenn einige oder alle Mitarbeiter oder Auftragnehmer eines Unternehmens von zu Hause aus arbeiten, können interne Datenschutzteams weniger Kontrolle und Einblicke in die Datensicherheit haben. Solide Sicherheitsrichtlinien für Fernzugriff können zur Absicherung der Mitarbeiter und vertraulicher Daten beitragen, die von der DSGVO geschützt werden.

Was sind Richtlinien für Fernzugriff?

Richtlinien für Fernzugriff stellen eine Sammlung von Sicherheitsnormen für externe Mitarbeiter und Geräte dar. Sie werden gewöhnlich vom IT- oder Datenschutzteam eines Unternehmens zusammengestellt. Der Einsatz von virtuellen privaten Netzwerken (VPN), die Installation von Antischadsoftware auf den Geräten der Mitarbeiter oder mehrstufige Authentifizierung (MFA) sind alles Beispiele für Maßnahmen, die in Sicherheitsrichtlinien für Fernzugriff enthalten sein können.

Was wird von der DSGVO gefordert?

Die DSGVO ist eine sehr umfangreiche Sammlung von Bestimmungen. Kurz zusammengefasst enthalten die hauptsächlichen Anforderungen der DSGVO Folgendes:

  • Verbraucher müssen darauf hingewiesen werden, welche Daten über sie gesammelt werden.
  • Ein Unternehmen muss die personenbezogenen Daten eines Verbrauchers löschen, wenn er dies verlangt.
  • Verbraucher müssen ihre Daten von einem Unternehmen zu einem anderen verlegen können.
  • Unternehmen müssen eine klare, unmissverständliche Zustimmung von Verbrauchern erhalten, bevor sie ihre Daten sammeln.
  • Personenbezogene Daten müssen verschlüsselt werden.
  • Personenbezogene Daten müssen „pseudonymisiert“ werden, damit sie nicht mit einer bestimmten Person in Verbindung stehen.
  • Unautorisierte Personen dürfen keinen Zugriff auf personenbezogene Daten haben.
  • Unternehmen, die einer Datenschutzverletzung ausgesetzt sind, bei der personenbezogene Daten bloßgestellt werden, müssen unverzüglich die zuständigen Behörden verständigen.
  • Unternehmen dürfen personenbezogene Daten nicht mit Drittanbietern in Regionen teilen, in denen die DSGVO nicht gilt, oder mit Drittanbietern, die die Richtlinien nicht einhalten.
  • Alle Unternehmen ab einer bestimmten Größe müssen einen speziellen Datenschutzbeauftragten ernennen.

Einige dieser Anforderungen werden vom Einsatz externer Mitarbeiter nicht betroffen, andere haben jedoch unmittelbar damit zu tun. Da die Datensicherheit ein Hauptanliegen der DSGVO darstellt, müssen Unternehmen, die ihren Mitarbeitern erlauben, von zu Hause aus zu arbeiten, außerdem die richtigen Schritte zum Schutz der Daten unternehmen, auf die ihre Mitarbeiter externen Zugriff haben.

Was sind die Anforderungen der DSGVO für Datenzugriff außerhalb der EU?

Viele EU-Unternehmen haben Filialen oder externe Mitarbeiter in anderen Ländern der Welt. Solange personenbezogene Daten innerhalb derselben Organisation bleiben und nicht bloßgelegt werden, erfüllen diese Unternehmen die DSGVO immer noch, auch wenn ein autorisierter Mitarbeiter in einer Region außerhalb des Geltungsbereichs der DSGVO auf die Daten zugreift.

Stellen Sie sich zum Beispiel vor, dass Bob bei einem Unternehmen in Frankreich angestellt ist, das Verbraucherdaten sammelt, und dann einen Monat in den USA arbeitet (wo die DSGVO nicht gilt). Sein Unternehmen erfüllt die DSGVO immer noch, auch wenn Bob von seinem Laptop in den USA aus auf die Verbraucherdaten zugreift. Das gilt natürlich nur, solange die Daten sicher bleiben.

Diese Argumentation kann jedoch nicht auf unabhängige Auftragnehmer und externe Agenturen angewendet werden, weil es sich dabei um Dritte außerhalb der Organisation handelt. Wenn ein nichtkonformer externer Auftragnehmer in einem anderen Land auf Daten aus Bobs Unternehmen zugreift, verstößt er damit gegen die DSGVO.

Daher ist es wichtig, starke Zugriffskontrollen einzurichten, wenn Mitarbeiter über viele Regionen verteilt sind. Nur designierte, autorisierte Personen innerhalb der Organisation dürfen in der Lage sein, auf Daten von EU-Bürgern zuzugreifen.

Was sollten Unternehmen mit externen Mitarbeitern sonst noch unternehmen, um die Einhaltung der DSGVO zu gewährleisten?

Im Wesentlichen verfolgt die DSGVO das Ziel, dass die Daten von Verbrauchern sicher und vertraulich bleiben. Die folgenden Schritte stellen daher einen wichtigen Teil aller Richtlinien für Fernzugriff dar (keine vollständige Liste):

Schutz von Daten bei Übertragung und Speicherung.

Bei übertragenen Daten handelt es sich um Daten, die von Punkt A zu Punkt B unterwegs sind, z. B. zwischen einer SaaS-Anwendung und dem Gerät eines Benutzers. Gespeicherte Daten befinden sich zum Beispiel auf der Festplatte des Laptops eines Benutzers. In beiden Fällen müssen die Daten geschützt werden.

Die grundsätzlichen Datenschutzmethoden sind Zugriffskontrolle und Verschlüsselung. Externe Mitarbeiter müssen wie alle anderen auch einen guten Grund haben, um auf personenbezogene Daten zuzugreifen, und ihr Zugriff auf diese Daten muss überwacht und verwaltet werden. Methoden zur Identitäts- und Zugriffsverwaltung (IAM) verhindern, dass unautorisierte Personen Daten sehen und ändern können.

Außerdem sollten Daten, die Netzwerke durchqueren – und dazu gehört auch das Internet – durch HTTPS, ein VPN oder andere Methoden verschlüsselt werden. (Durch Cloud-basierte Anwendungen kann diese Regel für externe Mitarbeiter noch komplizierter werden. Wenn Sie mehr erfahren möchten, sollten Sie sich diesen Artikel über Unternehmens-VPNs durchlesen.) Darüber hinaus müssen Daten ebenfalls verschlüsselt werden, wenn sie auf Servern oder Festplatten gespeichert werden. Um dies zu erreichen, müssen IT-Teams ihre Sicherheitsrichtlinien zur Verschlüsselung auf allen Geräten durchsetzen – in manchen Fällen sogar auf den persönlichen Geräten ihrer Mitarbeiter.

Schutz der Mitarbeiter-Endpunkte.

Endpunktgeräte externer Mitarbeiter (z. B. Laptops, Desktop-Computer und Smartphones) müssen vor Cyberangriffen geschützt werden, weil eine Infektion mit Malware zu einer Datenschutzverletzung führen könnte. Als Mindestanforderung muss auf diesen Geräten Antischadsoftware installiert werden. Ein sicheres Web-Gateway kann auch zum Schutz von Mitarbeitern beitragen, während sie im Internet browsen.

Noch häufiger als Infektionen mit Malware sind jedoch verlorene Geräte: Laptops oder Smartphones mit sensiblen, lokal gespeicherten Daten, die Mitarbeiter versehentlich an einem öffentlichen Ort zurücklassen. Das ist ein weiterer Grund dafür, warum Geräteverschlüsselung unglaublich wichtig ist.

Schutz vor Phishing-Angriffen und anderen Formen von Kontoübernahmen.

Phishing-Angriffe sind immer noch eine der häufigsten Ursachen von Datenschutzverletzungen. Ein Phishing-Angriff findet statt, wenn ein Angreifer einen Benutzer dazu verleitet, seine Anmeldeinformationen preiszugeben, woraufhin der Angreifer das Konto des Benutzers übernehmen kann. Die Folgen einer Kontoübernahme können für ein Unternehmen, das versucht, richtlinienkonform zu bleiben, katastrophal sein, weil der Angreifer dann in die Organisation eindringen und Verbraucherdaten sehen, bloßlegen oder stehlen kann.

Brute-Force- und Passwort-Spray-Angriffe können ebenfalls zu einer Kontoübernahme führen, weswegen Unternehmen strenge Passwortrichtlinien durchsetzen müssen. Niemand sollte das Passwort eines Mitarbeiters erraten können, und das Passwort sollte den meisten Bot-Angriffen standhalten können. Soweit möglich, sollten Unternehmen für jede aktive Unternehmens-Anwendung Zwei-Faktor-Authentifizierung einsetzen.

Wie hilft Cloudflare bei der Einhaltung der DSGVO?

Cloudflare for Teams hilft beim Schutz von Daten unabhängig vom Standort der Teams. Cloudflare Access ermöglicht sichere Zugriffsverwaltung für Unternehmen ohne Einsatz von VPNs, indem die Ressourcen des Unternehmens hinter Cloudflares globales Netzwerk gesetzt werden. Cloudflare Gateway blockiert böswillige Websites mit DNS-Filterung, bietet vollständigen Einblick in den Datenverkehr in und von Unternehmensnetzwerken und setzt Browserisolation zum Schutz vor Zero-Day-Bedrohungen ein. Für höhere Sicherheit können Unternehmen Cloudflare for Teams einsetzen und so das Risiko einer Datenschutzverletzung reduzieren, wodurch ihre Einhaltung der DSGVO aufgehoben würde.

Cloudflare ist auch selbst DSGVO-konform, was dazu beiträgt, dass Cloudflare-Kunden ebenfalls konform bleiben.

Um Ihnen mit Ihrer Website die bestmögliche Erfahrung bieten zu können, behalten wir uns die Verwendung von Cookies vor, wie hier beschrieben.
Indem Sie diese Meldung akzeptieren, das Banner schließen oder unsere Webseiten weiter nutzen, stimmen Sie der Verwendung solcher Cookies zu.