Anfang des Monats hat die Europäische Kommission ihre lang erwarteten, aktualisierten „Standarddatenschutzklauseln“ (Standard Contractual Clauses, SCC) veröffentlicht. Die Klauseln stellen den am häufigsten genutzten Mechanismus zum Transfer personenbezogener Daten in Nicht-EU-Länder, unter anderem in die USA, dar.
Unternehmen können sich jedoch nicht allein auf die SCC verlassen, sondern müssen beim Export personenbezogener Daten in Länder außerhalb der EU eine Risikobewertung durchführen.
Was bedeutet das für Kunden?
Die Bekanntgabe der Europäischen Kommission ändert nichts an der Verpflichtung, die wir gegenüber dem Datenschutz und der Sicherheit unserer Kunden haben. Wir prüfen ständig, ob wir unsere Vorgehensweisen im Rahmen der gesetzlichen Normen und Branchenstandards in Europa aktualisieren können.
Darüber hinaus helfen uns unsere Partnerschaften mit europäischen Marktführern wie Atos & Alcatel Lucent Enterprise, die Kundenanforderungen vor Ort zu erfüllen.
Welche zusätzlichen Sicherheitsmaßnahmen gibt es für Kunden?
Hier sind einige der Initiativen, an denen wir gerade arbeiten:
Datentransfer in Nicht-EU-Länder
Wir verwenden die neuen Standarddatenschutzklauseln der EU als Mechanismus für den Datentransfer und bieten unseren Kunden zusätzliche vertragliche Absicherungen in Übereinstimmung mit der Empfehlung der EU-Kommission; diese beinhalten Schutz für Datenexporteure und Abhilfe für Betroffene. Wir sind dabei, diese Schutzmaßnahmen auch für unsere Unterauftragsverarbeiter einzuführen.
Behördliche Zugriffsanfragen
Jede Zugriffsanfrage wird von unserer Rechtsabteilung geprüft. Diese strengen Überprüfungen stellen sicher, dass alle Anfragen rechtmäßig sind und im Rahmen der Befugnisse der anfragenden Behörde liegen.
Wenn wir nach sorgfältiger Prüfung zu dem Schluss kommen, dass eine gesetzliche Grundlage besteht, um die Anfrage anzufechten, schöpfen wir alle verfügbaren Rechtsmittel aus, um dies zu tun. In jedem Fall verpflichten wir uns, unsere Kunden, sofern dies nicht gesetzlich untersagt ist, über jede behördliche Zugriffsanfrage zu informieren. Darüber hinaus würden wir alle angemessenen Maßnahmen ergreifen, um den anfragenden Dritten dazu zu bewegen, die Daten direkt von unseren Kunden anzufordern.
Bei der Beantwortung einer Anfrage zur Offenlegung von Daten achten wir immer darauf, das zulässige Minimum an Informationen zur Verfügung zu stellen.
Sicherheit
Zusätzlich schützen wir Kundendaten mit folgenden Sicherheitsmaßnahmen:
Verschlüsselung
Alle Kundendaten werden während der Übertragung und im Ruhezustand verschlüsselt.
– Enterprise-Grade Security Protokolle bieten zusätzliche Sicherheit für IP-Telefongespräche.
– Alle Internetportale haben https (z.B. https:// service.ringcentral.com).
– Alle Nicht-Voice-Kundendaten sind TLS-verschlüsselt.
– Festnetztelefone verwenden digitale Zertifikate, um sichere Verbindungen zum Herunterladen von Bereitstellungsdaten herzustellen
Audit-Protokollierung
Dies gewährleistet die Erstellung von Audit-Protokollen für alle Systeme, Geräte oder Anwendungen, die mit dem Zugriff, der Verarbeitung, Speicherung, Kommunikation und/oder Übertragung von Kundendaten verbunden sind.
Benutzer-Authentifizierung
Alle Benutzer haben individuelle Konten für eine eindeutige Rückverfolgbarkeit; gemeinsam genutzte Konten sind in der Regel nicht zulässig. Die Benutzerkennwörter sind so konfiguriert, dass sie mit den NIST-Richtlinien übereinstimmen. RingCentral verlangt eine Multi-Faktor-Authentifizierung oder Zwei-Faktor-Authentifizierung.
Account-Steuerung durch Kunden
Dies ermöglicht Kunden die Verwaltung von Account-Richtlinien, einschließlich der nachfolgenden:
– Zugriffsrechte können rollenbasiert angepasst werden oder Kunden können eine unserer standardmäßigen, vorkonfigurierten Benutzerrollen verwenden.
– Audit-Trails zur Nachverfolgung von Konfigurationsänderungen, Anmeldeversuchen, Änderungen von Telefonnummern, Admin-/Mitarbeitereinstellungen und Berechtigungen.
– Single Sign-On (SSO): Administratoren des Kunden können Richtlinien definieren, um individuelle Kontrollen für jede einzelne SSO-Anwendung durchzuführen.
Schutz gegen Gebührenbetrug
Zugriffskontrollen, Detection-Controls und Nutzungsdrosselung verhindern den sogenannten Toll-Fraud (Gebührenbetrug). Zudem haben Kunden die Kontrolle darüber, wer internationale Anrufe tätigen darf und wohin.
Multi-Tenancy-Modell
Unser Multi-Tenant gewährleistet ein hohes Maß an Sicherheit. Das bedeutet, dass Daten eines Kunden niemals für einen anderen Kunden verfügbar sind. Wir verwenden diese Art von Infrastruktur und dynamische Datenbankansichten, um die Anwendungsebene zwischen Kundeninstanzen zu trennen.
Was können unsere Kunden als nächstes erwarten?
Transparency-Report
Wir haben unsere Zugriffsrichtlinien für Strafverfolgungsbehörden geprüft und werden in den kommenden Wochen den ersten Transparenzbericht veröffentlichen. Der Bericht wird klar angeben, wie viele Anfragen von Strafverfolgungsbehörden wir im vergangenen Jahr erhalten haben, aus welchen Ländern und welche Art von Daten wir bereitgestellt haben.
Kontinuierliche Investition
RingCentral setzt weiterhin auf die Infrastruktur europäischer Rechenzentren. Unsere Rechenzentren in Europa ermöglichen es europäischen Behörden und Regierungen, Cloud-Technologie schneller einzuführen und zu nutzen.
Wir hoffen, dass mehr Organisationen die Vorteile der Cloud-Kommunikation nutzen können, um das Kundenerlebnis verbessern – und dabei die Kontrolle über ihre Daten behalten. Unsere Rechenzentren in Deutschland, den Niederlanden, Großbritannien und der Schweiz beseitigen Innovationshürden für Branchen mit hohen Anforderungen an die Datensicherheit und bieten eine europaweite Ausfallsicherung. Dies beinhaltet die zuverlässige Service-Level-Vereinbarung mit 99,999% Verfügbarkeit, die Kunden erwarten.
Die Aussicht auf einen neuen Rechtsrahmen
Im vergangenen Jahr erklärte der EU-Gerichtshof das EU-US Privacy Shield Abkommen für ungültig. Das bedeutet, dass der Transfer personenbezogener Daten in die USA nicht mehr auf das Abkommen gestützt werden kann. Ein Jahr später ist es ermutigend zu sehen, dass die Gespräche zwischen der Europäischen Kommission und der US-Regierung weitergehen, um ein neues Abkommen für personenbezogene Daten zu schaffen, die über den Atlantik hinweg übertragen werden.
Während wir optimistisch sind, dass die Regierungen in naher Zukunft eine Lösung finden werden, dürfen wir nicht nachlässig werden.
Als Anbieter von Cloud-Diensten für den europäischen Markt richten wir unsere Prozesse nach den Anforderungen der EU-Datenschutzgrundverordnung (DSGVO). Gleichzeitig baut RingCentral die Präsenz in Europa weiter aus – mit Fokus auf den Anforderungen der EU-Bürger. Diesen Weg gehen wir entschlossen weiter.
Ursprünglich veröffentlicht 16 Jun, 2021
