Zum Inhalt springen
Zeitkritische Datenverarbeitung, Datenverarbeitung, Datenverarbeitungsplattform, Datenverarbeitung

Von Jim Vaughn, Tim LaTulippe und Dan Rupprecht am 18.10.20 7:00 Uhr

In der sich ständig ändernden Welt der Technologie und der gesetzlichen Anforderungen von heute sind Überlegungen zur Datenverarbeitung von entscheidender Bedeutung. Es gibt mehrere Ebenen der Überlegung, einschließlich gesetzlicher Verpflichtungen, Datenschutz und Logistik. Dies ist ein Beispiel dafür, wie in Europa ansässige Kunden Daten für einen in den USA ansässigen Streitfall oder Rechtsstreit sorgfältig und strategisch bereitstellen können. 

Es ist zu beachten, dass keine der hier enthaltenen Inhalte als Rechtsberatung gedacht ist, sondern vielmehr eine Demonstration unserer technischen und branchenspezifischen Erfahrung im Umgang mit der grenzüberschreitenden Übertragung von Daten. Rechtliche Fragen sollten letztendlich von einem Anwalt bewertet werden.  

Betrachten Sie die folgenden „Fakten“ zur Veranschaulichung dieses Beispiels.  

  • In dieser Angelegenheit ging es um eine Reihe von Unternehmensdaten, die in individuellen Verwahrerprofilen erstellt und gespeichert wurden, die von einem Unternehmen mit Sitz in Deutschland und den USA verwendet wurden.  
  • Obwohl die Verwalter den Zugriff und die Erlaubnis zu den Daten gewährten, wurden dennoch bestimmte Arbeitsabläufe und Vorkehrungen getroffen, um sicherzustellen, dass die Daten vom „Datenverarbeiter“ ordnungsgemäß gehandhabt wurden, bevor das US-Rechtsteam schließlich darauf zugreift.  
  • Die Datensätze umfassten: eine Reihe von E-Mails (Tausende mit S/Mime-Verschlüsselung), lose E-Dateien (auch bekannt als Nicht-E-Mail-Dokumente) und Daten, die von einem Dokumentenverwaltungssystem gesammelt wurden.  
  • Die Daten sollten in Europa „entschlüsselt“, „verarbeitet“ und „durchsucht“ und die resultierenden Daten an den europäischen Anwalt des Mandanten zur weiteren Bearbeitung gemäß den Standardvertragsklauseln oder verbindlichen Unternehmensregeln der Kanzlei übertragen werden.       

Beziehungen definiert

Wenn man in Europa tätig ist, wäre es nachlässig, die vielen Regeln und Vorschriften nicht zu berücksichtigen, die dabei helfen, die Datenzugänglichkeit von einer Gerichtsbarkeit zur nächsten zu definieren. Im Jahr 2018 trat die Europäische Datenschutz-Grundverordnung oder „DSGVO“ in Kraft, die dazu beitrug, eine gewisse Einheitlichkeit zwischen den Mitgliedstaaten zu schaffen. Die Durchsetzung kann sich zwischen den Mitgliedern der Europäischen Union leicht unterscheiden, aber die zugrunde liegende Anleitung ist eine, auf die man sich verlassen kann, um den Prozess der Informationsextraktion zur Verwendung in rechtlichen oder regulatorischen Angelegenheiten zu diktieren. Es ist wichtig, die Rollen zu verstehen, die verschiedene Parteien spielen, um sicherzustellen, dass die Rechte der betroffenen Person nicht verletzt werden.

In dem hier vorgestellten Szenario befanden sich die Daten in Deutschland. Das Unternehmen, das im Mittelpunkt des Rechtsstreits in den USA stand, war beschuldigt worden, Informationen über bestimmte Schlüsselpersonen von Interesse für weitere Ermittlungen zu extrahieren.

  • Datencontroller: Unter der DSGVO hat das Unternehmen zusammen mit seinen externen Beratern die Position des „Datenverantwortlichen“, der wie folgt definiert werden kann: die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; Sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, können der Verantwortliche bzw. die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.
  • Datenprozessor: iDS wurde in die Position des „Datenverarbeiters“ versetzt. Unter der DSGVO kann diese Rolle allgemein definiert werden als: eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Als erfahrener Datenverarbeiter konnten wir die Aufmerksamkeit auf den Rechtsbeistand in Fragen des Datenschutzes lenken und sicherstellen, dass alle Anweisungen im Zusammenhang mit der Verarbeitung dieser Daten der Verordnung entsprechen. Wir bieten zwar keine Rechtsberatung an, kennen aber die Gesetze und müssen daher sicherstellen, dass unser eigenes Handeln aus datenschutzrechtlicher Sicht angemessen berücksichtigt wird. Dies erforderte eine sorgfältige Koordination und ein klares Verständnis, die beide von den beteiligten Parteien gut abgedeckt wurden.

Grenzüberschreitende Übertragung

In diesem Szenario blieb dem Beratungsteam nur noch eine praktikable Option und eine knappe Frist, und es konnte mit den eigenen Ressourcen der Anwaltskanzlei und dem bestehenden Transferrahmen umschwenken, um die anstehende Aufgabe zu erfüllen. Dies erforderte nicht den langwierigen Prozess, einen detaillierten Überblick über die erforderlichen Maßnahmen von Grund auf zu formulieren (der innerhalb des vereinbarten Zeitplans nicht erreicht werden konnte). Durch die Positionierung der Anwaltskanzlei als übertragende Partei konnte sich iDS auf die Verarbeitung der Daten konzentrieren und diese in die Hände lokaler Ressourcen, dh der Büros externer Rechtsanwälte in Europa, bringen. Nachdem die Zugänglichkeits- und Übertragungsoptionen verstanden wurden, war es an der Zeit, sich auf das A und O zu konzentrieren, um die Arbeit zu erledigen.

Die Muttern und Schrauben

Das iDS-Team konnte innerhalb von „The Cloud“ einen kompletten Serverbetrieb in 72 Stunden einschließlich einer Datenverarbeitungsplattform eines Drittanbieters in der AWS-Region Frankfurt „aufrichten“.[1] Um die Lösung zu unterstützen, nutzte das Team auch einen SFTP-Server innerhalb der AWS-Umgebung, der direkt mit der Verarbeitungsplattform kommunizieren kann, was bedeutet, dass sich die vom Unternehmen übertragenen Daten bereits im endgültigen Staging-Bereich befanden, ohne dass sie zusätzlich verschoben werden mussten, um sie zu verschieben Prozess und Triage.

Die Wolke – Zerstreuung einiger Illusionen

Das ist „die Wolke“

Wahrnehmung

Die primäre Wahrnehmung unter den Risikoaversen ist verständlich; Daten sind jedoch nicht schwebend in einem ungesicherten Äther. Computerleistung und Speicherplatz werden einfach an Kunden vermietet und die dahinter stehende Infrastruktur unterscheidet sich kaum von einer hausinternen Bare-Metal-Serverkonfiguration. Der Begriff „Cloud“ ist großartiges Marketing, aber aufgrund mangelnder Übereinstimmung und fehlenden Verständnisses ist es in Datenschutzgesprächen ebenso schwierig, sich zurechtzufinden.

Sicherheit durch Design

Physische Standorte

Wenn Kunden sichere Rechenzentrumsflächen an einem bestimmten Standort mieten möchten, stehen die Verkaufsargumente dieser Einrichtungen in Kontakt mit den Bedenken der Käufer – Gebäudezugang, Überschwemmungen, Erdbeben, Tornados, Waldbrände. Amazon Web-Services (AWS) wählen ihre Websites nach denselben Kriterien aus. Denken Sie daran: Sie schützen einige ihrer eigenen Systeme in diesen Zentren, nicht nur die Virtuelle private Cloud (VPC) Kundenumgebungen. Diese Standorte sind auch vollständig ausgestattet mit Multi-Faktor-Zutritt für Personal, Luftschleusentüren, CCTV – die Werke.

Große Vorteile

Die Verwendung von EC2 Compute (den virtuellen PCs von AWS) anstelle von Bare-Metal-Servern hat viele Vorteile. Die offensichtlicheren Vorteile sind die Time-to-Operation und die Fähigkeit, geografisch weiter zu reichen (Mobilität).

Kosten

Wenn der Betrieb von Beratern, die mit dem Framework vertraut sind, geschickt überwacht wird, kann dies auch zu einigen offensichtlichen Kosteneinsparungen führen, da die Ressourcen bereitstehen und keine Fixkosten sind.

Zeit

Bei einem kürzlich durchgeführten Projekt mit über 400 GB E-Mail-Daten eines deutschen Kunden konnte das Team 80 bis 100 GB Daten pro Tag nahezu in Echtzeit aufnehmen und anschließend verarbeiten. Dieser Erfolg ist zweifach; 1) Die Bandbreitenbedingungen waren sowohl für den Kunden als auch für das iDS-Team günstig, sodass die SFTP-Übertragung (Upload) von E-Mail-Daten 4-5x schneller war als der Marktdurchschnitt[2], und 2) die Datenverarbeitungsplattform entpackte, analysierte und verarbeitete Daten für die Sichtung sehr einfach mit einer Geschwindigkeit, die auf fast keiner anderen Plattform mit derselben Konfiguration zu finden war. Das iDS-Team konnte Dokumente innerhalb von 24 Stunden nach Erhalt der ersten großen Tranche laden, aussortieren, durchsuchen und produzieren lassen.

Überall verfügbar

Es gab eine Reihe von Aufträgen, bei denen Kunden darauf bestanden, dass schweres, metallenes Equipment vor Ort an einen Ort, beispielsweise in Österreich oder Deutschland, gebracht wird. Dies wird sich fortsetzen, da bestimmte Unternehmen und Branchen strenge Wahrnehmungsbedenken in Bezug auf Daten haben, die ihre eigenen Räumlichkeiten verlassen, ganz zu schweigen davon, dass sie in eine Serverumgebung gelangen, die nicht von ihrem eigenen Team kontrolliert wird. Dieser Blog zeigt jedoch realisierbare und akzeptable alternative Optionen.

Für weitere Informationen darüber, wie iDS Sie bei grenzüberschreitenden Problemen unterstützen kann, wenden Sie sich bitte an einen der Autoren unter jvaughn@idsinc.com, tlatulippe@idsinc.com oder drupprecht@idsinc.com.

[1] Regionalspezifischer Datenschutz

[2] Basierend auf Branchenkenntnissen und Erfahrung mit Uploads im Bereich von 500.000 bis 1 MB.

de_DEDE