Fernüberwachung von Druckern in der Cloud und Einhaltung der GDPR-Richtlinien

Die Europäische Verordnung 679/2016 (GDPR) setzt neue Maßstäbe für die Verwaltung personenbezogener Daten für jeden, der in der Lage ist, diese zu verwalten – auch für Unternehmen, die Druckerfernüberwachungssysteme einsetzen. Nachfolgend finden Sie eine Selbsteinschätzung, ob Ihr Unternehmen die Vorschriften einhält oder nicht.

Die Fernüberwachung in der Cloud für Unternehmen im Druckergeschäft ist heute ein wesentlicher Bestandteil der IT-Infrastruktur. Wiederverkäufer, Lieferanten und Druckdienstleister auf der ganzen Welt nutzen Cloud-basierte SaaS-Anwendungen (Software as a Service), um Daten, Zähler, Tonerfüllstände und die zusätzlichen Informationen zu sammeln und zu speichern, die für die Fernüberwachung erforderlich sind, um Kostenträgerverträge zu verwalten und die Lieferung von Verbrauchsmaterialien an Endverbraucher zu automatisieren.

Durch die plötzlichen Veränderungen im Markt und die heutigen wettbewerbsintensiven Szenarien sind die Vorteile der Nutzung von SaaS-Cloud-Monitoring-Plattformen spürbar: Ständig aktualisierte Software, zentralisierte Supportverfahren, keine Infrastrukturkosten, sehr kurze Go-Live-Zeiten sind nur einige der vielen Features, die diese Lösungen äußerst vorteilhaft und leistungsstark machen.

Aber wie immer führt große Macht auch zu großer Verantwortung.

Wir alle wissen inzwischen, dass jedes Unternehmen mit Kunden in Europa die Richtlinien der Allgemeinen Datenschutzverordnung 2016/679 (GDPR) für alle Tätigkeiten der Verarbeitung personenbezogener Daten europäischer Bürger einhalten muss. Wiederverkäufer von Druckern und MPS-Providern (Managed Print Service) bilden da keine Ausnahme, da die GDPR auch für die Verwaltung personenbezogener Daten innerhalb von SaaS-Fernüberwachungssystemen gilt.

Wenn wir uns in die Rolle eines Händlers von Druckern nd Multifunktionsgeräten mit einem der vielen SaaS-Überwachungssysteme auf dem Markt versetzen, dann sollten wir uns Folgendes fragen. Kann die Verwendung eines solchen Systems zusätzliche Risiken für die Einhaltung der GDPR-Richtlinien mit sich bringen?

Die Antwort auf diese Frage hängt von mehreren Faktoren ab:

• Art der verarbeiteten Daten: persönliche oder geschäftliche Daten;
• Datenschutzniveau, das vom SaaS-Anbieter implementiert wurde;
• Bestehen einer Ernennung eines Datenverarbeiters durch das Unternehmen gegenüber dem SaaS-Anbieter im Sinne von Art. 28 GDPR;
• Durch den SaaS-Anbieter sichergestellte Niveau der GDPR-Konformität;
• Physischer Standort der Server (innerhalb oder außerhalb des europäischen Territoriums), auf denen der SaaS-Anbieter seine Anwendungen hostet und wo die Daten verwaltet und gespeichert werden.

Wenn im SaaS-System nur technische Daten oder nur Unternehmensdaten in Bezug auf juristische Personen verarbeitet werden, stehen diese NICHT unter dem Schutz des GDPR und müssen NICHT in Übereinstimmung mit dem GDPR verwaltet werden. In diesem Szenario sind alle oben genannten Faktoren für die Konformität des Unternehmens nicht relevant und höchstwahrscheinlich haben Sie nichts zu befürchten.

Werden dagegen personenbezogene Daten von europäischen Bürgern an ein SaaS-System übermittelt, wie z.B. Personennamen, persönliche E-Mail-Adressen und Telefonnummern oder andere Informationen über eine identifizierbare Person, so müssen diese Daten gemäß den Anforderungen des GDPR verarbeitet werden. In diesem Fall sind alle oben genannten Punkte sehr wichtig und müssen bei der Überprüfung Ihrer Gesetzeskonformität sorgfältig berücksichtigt werden.

Wie können Sie Ihre Kondition selbst einschätzen, um sicherzustellen, dass die Datenmanagement-Aktivitäten in SaaS für GDPR-Zwecke korrekt sind?

Nachfolgend finden Sie eine kurze Checkliste mit Fragen, um den Status der in Ihrem Unternehmen verwendeten Cloud SaaS-Umgebung zu bewerten:

1. Sind Personennamen und/oder E-Mail-Adressen in der SaaS-Datenbank gespeichert, z.B. um Benachrichtigungen, Berichte, Benachrichtigungen, E-Mail-Nachrichten usw. zu versenden, oder andere personenbezogene Daten gemäß Art. 4.1 des GDPR?
   – Andernfalls müssen Sie sich höchstwahrscheinlich keine Sorgen machen, dass Sie den Anforderungen der GDPR nachkommen;
   – Wenn ja, müssen alle oder einige der folgenden Anforderungen angewendet werden.
2. Hat der SaaS-Anbieter klare und umfassende Informationen über das Sicherheits- und Schutzniveau bereitgestellt, das er bei der Verwaltung personenbezogener Daten eingeführt hat?
3. Wurde eine Terminvereinbarung (Datenverarbeitungsvertrag) mit dem SaaS-Anbieter unterzeichnet? Ist dieses Gesetz in Form eines rechtsverbindlichen Vertrages verfasst, in dem Sicherheits-, Schutzverfahren und -richtlinien, Rollen und Verantwortlichkeiten sowie andere gesetzlich vorgeschriebene Bestimmungen klar formuliert und vom SaaS-Anbieter akzeptiert werden?
4. Hat der SaaS-Anbieter formell einen DPO (Datenschutzbeauftragten) für Ihr Unternehmen bestellt?
5. Hat der SaaS-Anbieter eine Zertifizierung vorgelegt, die das Vorhandensein von Verfahren zur Verarbeitung personenbezogener Daten bescheinigt, die den Anforderungen des GDPR vollständig entsprechen?

6. Sind SaaS-Server in einem Land innerhalb der EU angesiedelt?
   – Wenn ja, gibt es an diesem Punkt keine weiteren Anforderungen, da die GDPR keine Einschränkungen für die Übermittlung von Daten innerhalb der EU auferlegt;

   – Wenn dies nicht der Fall ist, müssen Sie sicherstellen, dass die Übermittlung von Daten in das Land der Speicherung zulässig ist. Dies kann der Fall sein, wenn das Land von der Europäischen Kommission als angemessen angesehen wird, die befugt ist, Entscheidungen über die Angemessenheit im Rahmen der GDPR zu treffen. Da keine Entscheidung über die Angemessenheit getroffen wurde, müssen zusätzliche Garantien wie verbindliche Unternehmensregeln oder Standardklauseln zum Datenschutz in Verträgen eingeführt werden;

   – Wenn sich das Cloud-SaaS-System in den USA befindet (was bei vielen SaaS-Anbietern von Überwachungslösungen der häufigste Fall ist), muss der Anbieter in die Liste der Anbieter aufgenommen werden EU-US-Rahmen für den Datenschutz und in der Liste der Privacy Shield List. Dies erleichtert die Überprüfung auf mögliche Konformität oder Nichtkonformität.

7. Verfügt der SaaS-Anbieter über eine Datenschutz- und Informationssicherheitszertifizierung, wie beispielsweise die Zertifizierung ISO/IEC 27001?

Ohne klare Antworten auf diese Fragen besteht die reale Gefahr, dass Sie bei der Verarbeitung Ihrer personenbezogenen Daten Probleme mit der Einhaltung der GDPR haben.

Abschließend sei daran erinnert, dass in jeder Situation, in der ein Datenverantwortlicher (das Unternehmen) personenbezogene Daten von europäischen Bürgern an einen externen Datenverantwortlichen (den SaaS-Anbieter) übermittelt, der Datenverantwortliche dafür verantwortlich ist, sicherzustellen und nachzuweisen, dass die Verarbeitungstätigkeit in voller Übereinstimmung mit dem GDPR erfolgt.