Wie stellen Sie einer Person Daten und Dateien zur Verfügung? Zugegeben, es ist ein Leichtes eine E-Mail mit einer Rechnung, Versandbestätigung o.ä. zu schreiben und somit einer anderen Person zur Verfügung stellen. Doch wie ist es mit sensiblen, möglicherweise personenbezogenen Daten oder großen Dateien, die man nicht ohne weiteres per Mail versenden kann?
Sicherlich können Sie eine PDF-Datei mit einem Passwort versehen und die Datei dann per Mail Ihrem Gegenüber zukommen lassen, doch Sie müssen demjenigen auch das Passwort mitteilen. Das wiederum heißt, dass Sie, um datenschutzkonform zu handeln, denjenigen entweder anrufen müssen oder das Passwort abschreiben und es per SMS versenden müssen. Eine weitere Möglichkeit wäre, das Passwort über eine separate E-Mail bereitzustellen.
Dann gibt es ja noch die Dropbox-Alternative. Hier stellt sich im betrieblichen Umfeld immer die Frage, ob die Bereitstellung per Dropbox datenschutzkonform ist. Um diese Frage kurz und knapp zu beantworten: Nein, die einfache Bereitstellung von betrieblichen Daten über Dropbox ist nicht datenschutzkonform.
Größere Dateien können Sie z.B. auch in einem, mit Kennwort geschützten, .zip-Container oder in mehreren .zip-Containern per Mail bereitstellen. Hier stellt sich aber auch die Frage, ob Ihr Gegenüber so eine große Datei per Mail empfangen kann.
Auch wir als Datenschutzbeauftragte sahen uns mit dieser Problematik konfrontiert. In unserem Fall haben wir eine einfache, bequeme und datenschutzkonforme Lösung gefunden. Wir verwenden für die Dateiübertragung eine private Cloud-Lösung. Die Anwendung wird auf einem in Deutschland gehosteten Server betrieben. Dateien, die zu übertragen sind, stellen wir auf dem Server bereit. Ein synchrones Verzeichnis bietet sogar die Möglichkeit, die gewohnte Arbeitsumgebung nicht zu verlassen. Der erzeugte Link zu den Dateien, den wir dem Kunden oder Partner zustellen, ist mit einem Passwort versehen. Es besteht über den Link neben dem Download auch die Möglichkeit, dass der Kunde / Partner Dateien wiederum für uns bereitstellen kann. Die Dateien stellen wir generell nur für eine begrenzte Zeit als Download bereit. Dafür versehen wir den Link mit einem Sterbedatum. Ist das Datum erreicht, wird der Link automatisch inaktiv gesetzt.
So haben wir die Möglichkeit, Dateien jeglicher Größe für Dritte bereitzustellen und die Kontrolle über die Daten zu behalten. Durch entsprechende Zertifikate ist die Verbindung gesichert. Ein einfacher und datenschutzkonformer Datenaustausch ist so ebenfalls sichergestellt.
Über den Autoren:
Faraz Afscharian ist Berater und Prüfer bei der comdatis it-consulting GmbH & Co.KG mit Spezialisierung GoBD und Verfahrensdokumentation. Darüber hinaus beschäftigt er sich in Projekten mit dem Thema Informationssicherheit und führt IT-Prüfungen für Wirtschaftsprüfungsgesellschaften durch.