Als die DSGVO für alle Unternehmen mit europäischen Kund:innen oder Mitarbeiter:innen am 25. Mai in Kraft trat, löste sie in einigen C-Suites große Bestürzung aus.
Innerhalb von 24 Stunden wurden sowohl Google als auch Facebook mit Klagen konfrontiert, die einen Schadenersatz von über 8 Milliarden Dollar androhen. Im April 2018 stellten Harvey Nash und KPMG fest, dass 38 % der Führungskräfte aus dem technischen Bereich befürchteten, dass sie bis zum Ablauf der Frist im Mai nicht DSGVO-konform sein werden. Eine Umfrage unter den Teilnehmer:innen der Konferenz Infosecurity Europe im August 2018 ergab, dass 28 % der Unternehmen sich immer noch nicht für vollständig konform hielten.
Aber für Andre Schindler, den General Manager für EMEA von NinjaOne, war die Erweiterung der Datenschutz- und DSGVO-Richtlinien des Unternehmens eine Gelegenheit, gegenüber den Kund:innen transparent zu sein.
“Die ganze Idee der DSGVO ist es, den Menschen zu helfen zu verstehen, was mit ihren Daten passiert”, sagt Schindler. “Verstecken Sie es nicht in komplizierten Begriffen, und auch nicht in der Lizenzvereinbarung für Endbenutzer:innen (EULA) irgendwo auf Seite 15. Sagen Sie ihnen einfach, was mit ihren Daten geschieht.”
Schindler beauftragte die renommierten Datenschutzberater:innen von TrustArc mit der Bewertung der Datenprozesse von NinjaOne. TrustArc hat den Hauptsitz in San Francisco und unterstützt mehr als 1.000 Unternehmen auf der ganzen Welt bei Datenschutz, Compliance und Risiko-Management.
In guter Gesellschaft
Ausgewählte Technologieunternehmen, die TrustArc mit der Datenschutz-Compliance und dem Risiko-Management beauftragt haben
“Wir wollten einen unabhängigen Auftragnehmer haben, der sich alle unsere Aktivitäten ansieht und sicherstellt, dass wir nichts vergessen”, sagt Schindler.
Nach dem Erhalt von NinjaOne-Dokumenten und der Durchführung von Interviews mit den Mitarbeiter:innen identifizierte TrustArc die Arten von personenbezogenen Daten, die unser Unternehmen sammelt, und stellte sicher, dass diese Daten wirklich für die Bereitstellung von Dienstleistungen für Kund:innen erforderlich sind. TrustArc bestätigte auch, dass NinjaOne über solide Verfahren für europäische Kund:innen verfügt, damit diese ihre Daten bewerten, ändern, korrigieren oder löschen lassen können. Bei der Überprüfung der DSGVO-Verfahren wurde auch das Sicherheitssystem untersucht, einschließlich der physischen Schutzmaßnahmen in den Rechenzentren, der Stärke der Verschlüsselungsalgorithmen und Firewalls sowie der Netzwerksicherheits-Protokolle.
Letztendlich läuft die DSGVO-Richtlinie von NinjaOne auf eine klare Offenlegung dessen hinaus, was das Unternehmen mit Benutzerdaten macht, sowie auf Verfahren für den Fall, dass ein europäischer Kunde personenbezogene Daten überprüfen oder löschen lassen möchte. Dies ist besonders wichtig für ein SaaS-Unternehmen wie NinjaOne, das darauf angewiesen ist, dass potenzielle Kund:innen ihre Kontaktdaten angeben, um sich für Demos oder Dienstleistungen anzumelden.
In Übereinstimmung mit den DSGVO-Vorschriften müssen Kund:innen aktiv zustimmen, bevor ein Unternehmen ihre Daten verwenden kann, um mit der Person in Kontakt zu treten.
Und wenn sich die Person für den Service anmeldet, werden die personenbezogenen Daten und finanziellen Details per TLS-Verschlüsselung übertragen. Gespeichert werden sie dann in einem Rechenzentrum, das durch AES-256-Verschlüsselung, automatische Backups, menschliche Mitarbeiter:innen, die eine Zwei-Faktor-Authentifizierung verwenden, und Feuerschutzsysteme geschützt ist. NinjaOne beteiligt sich auch an dem EU-US Privacy Shield Framework, das die früheren International Safety Harbor Privacy Principles ersetzt.
“Wir halten die Daten sehr vertraulich und geben sie nur dort weiter, wo es die Technik erfordert”, sagt Schindler.
NinjaOne integriert nur Tech-Drittanbieter, die ebenfalls DSGVO-Compliance erreicht haben, wie zum Beispiel das Antivirenprogramm Webroot oder das Fernzugriffs-Unternehmen TeamViewer. Und wenn ein in der EU ansässiger MSP oder ein MSP, der Kund:innen in Europa hat, jemals sehen möchte, welche personenbezogenen Daten NinjaOne gesammelt hat, oder diese Daten löschen lassen möchte, muss das Unternehmen sich einfach an [email protected] wenden.
“Daten sind nicht dazu da, verkauft zu werden, noch sollte man besorgt sein, nur weil die DSGVO in Kraft trat,” sagt Schindler. “Der Datenschutz und die Sicherheit der Kund:innen müssen ein grundlegender Bestandteil der Ziele jedes Unternehmens sein.”
