Die DSGVO und Ihre Content-Wertschöpfungskette

Die Umstellung auf die DSGVO und deren Auswirkungen auf die Inhaltserstellung, Übersetzung, Digital Experience und Bereitstellung

„Die digitale Zukunft Europas muss auf Vertrauen basieren. Mit robusten allgemeingültigen Standards für den Datenschutz können alle sicher sein, dass sie die Kontrolle über ihre personenbezogenen Daten behalten.“ – Andrus Ansip, Vizepräsident für den digitalen Binnenmarkt, in einer Rede im Dezember 2015

Die Datenschutz-Grundverordnung der Europäischen Union (DSGVO)

Im Anschluss an die Pläne der Europäischen Kommission für eine Datenschutzreform, die Europa „fit für das digitale Zeitalter“ machen sollte, wurde die Datenschutz-Grundverordnung (DSGVO) ausgearbeitet und wird jetzt rechtskräftig.

Die DSGVO ist die Gesetzgebung der Europäischen Union (EU), mit der Einzelpersonen mehr Kontrolle über ihre personenbezogenen Daten erhalten sollen – Daten, die sich auf eine identifizierte oder identifizierbare Person beziehen, also alle Daten, anhand derer für sich genommen oder in Kombination eine Einzelperson identifiziert werden kann.

Die DSGVO reguliert, wie Unternehmen inner- und außerhalb der EU und des Europäischen Wirtschaftsraums (EWR) personenbezogene Daten für die Vermarktung oder den Verkauf von Waren oder Dienstleistungen verwenden dürfen. Sie soll gewährleisten, dass Informationen sicher geschützt, verarbeitet und gespeichert werden,  und die Datensicherheit für alle Personen innerhalb der EU / des EWR festigen und vereinheitlichen. Dies gilt auch in Fällen, in denen Unternehmen aus der EU / dem EWR personenbezogene Daten von Menschen aus anderen Ländern der Welt verarbeiten. 

Die Einhaltung der DSGVO mag als komplexe Aufgabe erscheinen, aber sie bietet eine konkrete Gelegenheit, das Vertrauen von Kunden und potenziellen Neukunden zu gewinnen, diese in den Mittelpunkt Ihrer Datenstrategie zu stellen und Ihre Erfolgschancen in der neuen digitalen Ära zu erweitern.

Die Grundkonzepte der DSGVO

Im Zeitalter des Verstehens ist es wichtig, diese vier Grundbegriffe der DSGVO zu kennen und zu verstehen, was personenbezogene Daten und die Verarbeitung dieser Daten bedeuten:

Personenbezogene Daten

Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Verarbeitung

Jeder Vorgang oder jede Vorgangsreihe, die im Zusammenhang mit personenbezogenen Daten ausgeführt werden.

Datenverantwortlicher

Natürliche oder juristische Person, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Auftragsverarbeiter

Natürliche oder juristische Person, die personenbezogene Daten im Namen des Datenverantwortlichen verarbeitet.

Die Bewältigung der DSGVO-Herausforderung

Um die mit der DSGVO verbundenen Herausforderungen zu bewältigen und sicherzustellen, dass Sie die richtigen Komponenten zur Einhaltung der Vorschriften eingerichtet haben, können Sie sich an den sechs Prinzipien für personenbezogene Daten in Artikel 5 der DSGVO orientieren. Der Datenverantwortliche ist für die Einhaltung dieser Grundsätze und den Nachweis dieser Einhaltung zuständig und muss über die Mittel verfügen, Anfragen von Personen zu ihren Daten zu beantworten.  Der Datenverantwortliche kann das Ausmaß der Reaktion auf solche Anfragen jedoch möglicherweise unter Bezug auf die Bestimmungen der DSGVO einschränken.

  • Verarbeitung auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise.
  • Erhebung für festgelegte, eindeutige und legitime Zwecke und keine Weiterverarbeitung auf eine nicht mit diesen Zwecken vereinbare Weise.
  • Sicherstellung, dass sie dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sind („Datenminimierung“).
  • Sicherstellung, dass sie sachlich richtig und erforderlichenfalls auf dem neuesten Stand sind.
  • Ermöglichung der Identifizierung der betroffenen Personen nur so lange, wie es für die Zwecke, zu denen die personenbezogenen Daten verarbeitet werden, erforderlich ist.
  • Verarbeitung auf eine Weise, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet.

Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

Wenn Sie die DSGVO über Ihre gesamte Content-Wertschöpfungskette hinweg erfüllen wollen, müssen Sie wissen, welche personenbezogenen Daten Sie verarbeiten; Sie müssen die richtigen Prozesse einrichten und Transparenz für Ihre Kunden sicherstellen. Was Ihre Inhalte betrifft, kann SDL Sie dabei unterstützen, die richtigen Maßnahmen zu ergreifen, um DSGVO-konform zu sein.

Die DSGVO verpflichtet Datenverantwortliche gesetzlich zum „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“. Das bedeutet, dass bei allen Projekten im gesamten Lebenszyklus der Datenverarbeitung – von der Erhebung bis zur Vernichtung der Daten – der Schutz personenbezogener Daten als Grundsatz berücksichtigt werden muss. 

Um das Prinzip „Datenschutz durch Technikgestaltung“ bei der Entwicklung unserer Software zu erfüllen, erfolgt die Datenerhebung in allen Prozessen und Systemen anonym, und es werden die Prinzipien der sicheren Softwareentwicklung eingehalten. Die von uns bereits erreichten Standards haben dazu geführt, dass einige der sicherheitsbewusstesten Organisationen der Welt – darunter Geheimdienste, Banken und Behörden – unsere Software schon jetzt als integralen Bestandteil ihrer Datenschutzprozesse einsetzen. 

Wenn Sie SDL Software verwenden, ist Ihr Unternehmen der Datenverantwortliche für alle personenbezogenen Daten, die mit unserer Software (On-Premise oder in der Cloud) verarbeitet werden. Wenn Sie unser Software-as-a-Service (SaaS)-Angebot nutzen, ist SDL der Auftragsverarbeiter in Bezug auf die Speicherung oder Übertragung der personenbezogenen Daten. Im Sinne des „Datenschutzes durch Technikgestaltung“ garantieren wir, dass die SaaS-Bereitstellung in sicheren Umgebungen erfolgt, um eine angemessene Sicherheit zu gewährleisten.

Unser Versprechen: DSGVO-Konformität für Ihre Inhalte

Bei SDL unterstützen wir unsere Kunden kontinuierlich bei der Einhaltung der DSGVO. Wir stellen die von Ihnen benötigten Funktionen bereit und zeigen Ihnen, wie sie auf Ihre gesamte Content-Wertschöpfungskette angewendet werden – von der Generierung über die Übersetzung bis zur Bereitstellung.  Wir sagen Ihnen, wie Sie die Funktionen in unserer Software auf verantwortungsvolle Weise nutzen können, um so die DSGVO zu erfüllen.

Klicken Sie auf die unten stehenden Felder, um zu erfahren, wie unsere Software Sie unterstützen kann.

SDL – Übersetzungssoftware und Services

Denken Sie als Erstes an den Datenschutz für Anwender unserer Software. 

Gemäß dem Prinzip „Datenschutz durch Technikgestaltung“ minimiert unsere Übersetzungssoftware die Daten, die wir von Nutzern speichern, und gibt diesen die Kontrolle darüber, wie ihre Daten gespeichert werden. Beispielsweise können Anwender einen beliebigen Benutzernamen auswählen, anhand dessen sie ohne Bezug auf andere gespeicherte Informationen nicht identifiziert werden können. 

Komplexer ist die Frage, wie personenbezogene Daten in zu übersetzenden Materialien behandelt werden. 

Wenn personenbezogene Daten vorhanden sind, ist die einfachste und zuverlässigste Methode zur Anwendung des Prinzips „Datenschutz durch Technikgestaltung“ die folgende:

  1. Pseudonymisierung der Inhalte während der Dateierstellung: Ein Projektmanager (oder jemand mit einer entsprechenden Funktion) ersetzt die personenbezogenen Daten in der Ausgangstextdatei durch Pseudonymzeichenfolgen, bevor die Datei an einen Übersetzer, einen Dienstleister oder einen anderen Nutzer übergeben wird.
  2. Löschen des Schlüssels, nachdem die Pseudonymisierung wieder rückgängig gemacht wurde: Wenn die Übersetzung abgeschlossen und der Inhalt mit den Pseudonymen genehmigt ist, kehrt der Projektleiter den Prozess um, sodass die endgültige Lieferung alle erforderlichen personenbezogenen Daten enthält. Anschließend kann der Projektmanager den Pseudonymisierungsschlüssel sicher löschen.

Denken Sie vor allem daran, dass der Datenverantwortliche – die Person, die Inhalte an unsere Software oder an die Übersetzer weitergibt, – für die Daten innerhalb dieser Inhalte und für die DSGVO-Konformität verantwortlich ist.   Unsere Software oder der Auftragsverarbeiter haben keinen Einfluss darauf, aber wir können Ihnen mit einigen einfachen Verfahren helfen, DSGVO-konform zu werden. 


So funktioniert die Pseudonymisierung von Inhalten

Es gibt keine Möglichkeit, personenbezogene Daten, die pseudonymisiert werden sollen, ohne menschliche Aufsicht mit 100 %iger Genauigkeit automatisch zu ermitteln. Aber es steht Ihnen Hilfe zur Verfügung. Wir haben eine App entwickelt, die kostenlos über den SDL AppStore verfügbar ist und mit der Sie folgende Vorgänge durchführen können: 

  • Mit regulären Ausdrücken (Regex) umfangreiche Suchen in Ausgangstexten durchführen und so personenbezogene Daten identifizieren. 
  • Bestimmte Identifizierungsmerkmale durch beliebige Tokens ersetzen. 
  • Die Pseudonymisierung später zurücknehmen, indem Sie die App auf die zielsprachliche Datei anwenden. 

Um diese App verwenden zu können, müssen Sie Ihre Dateien zunächst in das XLIFF-Format exportieren und konvertieren (abhängig von der Software, die Sie für die Vorbereitung der Dateien verwenden). Um personenbezogene Daten zu schützen, die über die SDL Software verarbeitet werden – nicht zu vergessen das geistige Eigentum und andere sensible Informationen – müssen mehrere Sicherheits- und Sicherheitskontrollmaßnahmen ergriffen werden. 

Überprüfen Sie, ob Ihre Übersetzungslieferkette DSGVO-konform ist, indem Sie die Bewertung von SDL durchführen. So ermitteln Sie Technologien und Schritte, mit denen die Vorgänge zur Erfüllung der DSGVO-Compliance in Übersetzungs- und Lokalisierungsprozessen vereinfacht werden können.


Maschinelle Übersetzung und personenbezogene Daten

Die Software-as-a-Service-Produkte von SDL für die maschinelle Übersetzung (MÜ) speichern die für die Übersetzung übermittelten Kundeninhalte nicht dauerhaft. Die Inhalte befinden sich dort nur so lange wie erforderlich, um die Übersetzung bereitzustellen. 

Wenn Sie SDL MÜ mit Sprachpaaranpassung erwerben, die mit Ihren übersetzten Inhalten konfiguriert wird, stellen Sie vorher sicher, dass keine personenbezogenen Daten in den Konfigurationsinhalten vorhanden sind. Möglicherweise müssen Sie die Konfigurationsdaten pseudonymisieren, um sicherzustellen, dass sie keine personenbezogenen Daten enthalten.

Datenschutz durch Technikgestaltung bei SDL Tridion DX (SDL Tridion Sites und SDL Tridion Docs)

Alle Kunden von SDL Tridion Sites oder SDL Tridion Docs (beide sind Teil der SDL Tridion DX-Suite) sollten ihre Implementierung auf DSGVO-Compliance prüfen und Best Practices für Datenschutz, Sicherheit und Verschlüsselung einhalten. Ihre Website sollte Ihre aktuellen Datenschutzerklärungen enthalten und Besucher darüber informieren, wann personenbezogene Daten erhoben werden. Wo erforderlich, muss die ausdrückliche Genehmigung der Benutzer eingeholt werden. Berücksichtigen Sie auch interaktive Websitebereiche, die Ihren Besuchern Folgendes ermöglichen:

  • Zustimmung zur Verarbeitung personenbezogener Daten durch explizite Anmelde- oder Registrierungsprozesse
  • Verwaltung von Einstellungen über ein Preference Center mit Self-Service
  • Die Möglichkeit, sich von der Datenverarbeitung abzumelden, zurückzuziehen, ihr zuzustimmen oder sie abzulehnen

Durch das Hinzufügen von Haftungsausschlussklauseln können Sie die Erwartungen für Besucher der Website steuern. Wenn Sie eine neue Website mit neuen Technologien einrichten möchten, die in die Privatsphäre von Personen eingreifen oder Echtzeit-Aktivitäten mit Bezug auf personenbezogene Daten überwachen, stellen Sie sicher, dass eine Datenschutz-Folgenabschätzung durchgeführt wird, damit Sie die richtigen Datenschutzmaßnahmen ergreifen können. Sorgen Sie darüber hinaus für Transparenz in Sachen Sicherheit, Verhaltenskodizes und Zertifizierungen und minimieren Sie Risiken, indem Sie Sicherungskopien anlegen und Datenschutzschulungen für wichtige Beteiligte durchführen.

Was SDL Tridion Sites angeht, können Sie weiterhin alle Funktionen verwenden, solange Sie personenbezogene Daten berücksichtigen. Bei Funktionen im Zusammenhang mit Besucherkontext, Experience Optimization oder Rationalisierung sollten Sie jedoch größere Sorgfalt walten lassen. Dies umfasst folgende Funktionen:

  • Framework für Umgebungsdaten
  • Context Cartridge
  • Audience Manager
  • CRM Accelerators und Konnektoren
  • Benutzergenerierte Inhalte
  • BluePrinting
  • Kontextvorlagen
  • APIs zur Bereitstellung von Inhalten
  • Experience Optimization

Um mehr darüber zu erfahren, wie Sie diese Funktionen DSGVO-konform verwenden können, sehen Sie sich unser Webinar an oder wenden Sie sich an Ihren Tridion-Support-Ansprechpartner vor Ort.   Weitere Informationen zum Thema DSGVO und SDL Tridion DX finden Sie außerdem hier in unserer Community-Blog-Reihe.

Sicherheit für den Datenschutz

Sicherung der Infrastruktur 

SDL bietet geeignete Sicherheitsmaßnahmen zur Wahrung der Vertraulichkeit, Integrität und Sicherheit von Daten. Wir wenden strengste Sicherheitsprozesse an, um zu gewährleisten, dass Ihre Daten sicher sind.

Bei On-Premise-Bereitstellungen von SDL Software unterliegt Ihre Infrastruktur Ihrer eigenen Verantwortung. Ihre IT-Abteilung muss dafür sorgen, dass die Server und Computer, auf denen die SDL Software gehostet wird, den Risiken angemessen gesichert sind (nach Einschätzung des Datenverantwortlichen). 

Für von SDL gehostete (cloudbasierte) Software und Services ist SDL ein Auftragsverarbeiter, der den höchsten Standards der Infrastruktursicherheit verpflichtet ist. Alle von SDL verwalteten Produkte werden über Cloud-Dienstleister bereitgestellt, die ihre Infrastruktur und Services in Übereinstimmung mit den Standards ISO 27001, ISO 9001, ISO 27018 usw. verwalten. Alle SDL Websites werden gemäß dem ISO 27002-Code für Best Practice verwaltet. Einige sind ISO 27001-zertifiziert, und wir arbeiten an der Erweiterung der ISO 27001-Zertifizierung. 

Wir bieten ein hohes Maß an Flexibilität zur Erfüllung der Sicherheitsanforderungen unserer Kunden. Sprechen Sie mit uns darüber. Neben den grundlegenden Sicherheitskontrollen, die wir mit Ihnen vereinbaren, bieten wir außerdem optionale erweiterte Sicherheitsfunktionen im Rahmen des Managed-Security-Angebots an.

Wenn es zu einem Verstoß kommt 

Wenn Sie hinsichtlich unserer cloudbasierten Software möchten, dass wir für Sie Verstöße aktiv erkennen und Sie darüber informieren (sofern gemäß DSGVO erforderlich), sprechen Sie mit uns über den Prozess des Sicherheitsvorfallmanagements, der gemäß ISO 27035-Standard erstellt wurde. 

Entwicklung sicherer Software 

Sicherheit spielt in unserem Entwicklungsprozess nie eine untergeordnete Rolle. Sicherheitstechniker und -architekten werden von Anfang an einbezogen, und wir folgen einem Plan für die Infrastruktur-, Anwendungs- und Datenbankenebene. Dazu gehören u. a. spezifische Risikoanalysen, die Entwicklung von Sicherheitskontrollen sowie Sicherheitstests, um sicherzustellen, dass angemessene und zuverlässige Sicherheitsfunktionen in die Software integriert sind.

Was bei Cloud-Umgebungen zu beachten ist

Das Team von SDL Cloud Operations arbeitet eng mit unseren Entwicklerteams und Architekten zusammen, um Lösungen unter Berücksichtigung von Datenschutz und Datensicherheit zu implementieren. Wir halten uns dabei an das Prinzip „Datenschutz durch Technikgestaltung“. Für von SDL gehostete (cloudbasierte) Software und Services ist SDL ein Auftragsverarbeiter, der den höchsten Standards der Infrastruktursicherheit verpflichtet ist. Alle von SDL verwalteten Produkte werden über einen Cloud-Dienstleister bereitgestellt, der seine Infrastruktur und Services in Übereinstimmung mit den Standards SOC (1, 2 und 3) sowie ISO (27001, 9001, 27018 usw.) verwaltet. Alle SDL Websites werden gemäß dem ISO 27002-Code für Best Practices verwaltet, und einige sind derzeit ISO 27001-zertifiziert. SDL arbeitet an der Ausweitung der ISO 27001-Zertifizierung.

Als proaktive Maßnahmen hinsichtlich Datenschutz und Sicherheit in Ihrer Cloud empfiehlt SDL Folgendes: 

  • Richten Sie eine ISO-Zertifizierung ein: Bauen Sie für jeden Schritt der Content-Wertschöpfungskette Kontrollen ein. Damit schützen Sie Ihre Daten, stellen Prüfprotokolle bereit und beschreiben die erforderlichen Reaktionen auf Sicherheitsvorfälle. 
  • Richten Sie ein ordnungsgemäßes Konfigurationsmanagement und die Rückverfolgbarkeit von Daten ein: Machen Sie sich für jeden Server, den Sie betreuen, mit den Kunden/Daten im Zusammenhang mit diesem Server vertraut, um vollständige Transparenz zu gewährleisten. 
  • Richten Sie ein umfassendes Sicherheits-Toolset mit Roadmap ein:
        – Begrenzte Zugriffsberechtigungen
        – Umfassende Richtlinie für das Identitäts- und Zugriffsmanagement (Identity and Access Management, IAM)
        – Gegebenenfalls mehrstufige Authentifizierung mit verschiedenen Faktoren
        – Starke Kennwortrichtlinien – Regelmäßige Prüfung aller Zugriffsprotokolle und inaktiven Konten
        – Regelmäßige Überprüfung der Richtlinien und Werkzeuge mit einem Datenschutzbeauftragten und dem Sicherheitsausschuss zur Festlegung der laufenden Roadmap 
  • Verwenden Sie ein Angriffserkennungs- und -verhinderungssystem, wo verfügbar. 
  • Verwenden Sie, wenn möglich, Verschlüsselung während der Übertragung und im Ruhezustand. 
  • Sorgen Sie dafür, dass alle Cloud-Mitarbeiter Pflichtschulungen zum Thema Datenschutz/-sicherheit absolvieren. 
  • Stellen Sie sicher, dass alle Rechenzentren und Hosting-Anbieter alle relevanten Zertifikate besitzen und alle erforderlichen Sicherheitsfunktionen bieten. 
  • Verstehen und verbreiten Sie Ihre Richtlinien zur Datenaufbewahrung und führen Sie Kontrollen für die Verwaltung der als Backups gespeicherten Daten ein.
        – Richten Sie ein sicheres und umfassendes Löschverfahren ein. 
  • Stellen Sie sicher, dass aktive Daten verfolgt, gesperrt, heruntergeladen, geändert und/oder gelöscht werden können.
Webinare und Präsentationen
Infografiken
Blogs

Datenschutz und die DSGVO liegen allen Tätigkeiten von SDL zugrunde

Als Wegbereiter der Digital Experience und Vorreiter für authentische Customer Journeys hat SDL den Datenschutz und die DSGVO in allen Aspekten unserer Tätigkeit verankert. So ist sichergestellt, dass wir:

  • Personenbezogene Daten fair und rechtmäßig behandeln
  • Daten sicher speichern
  • Verstöße gegen die Datensicherheit melden
  • Informationen nur so lange aufbewahren, wie sie benötigt werden
  • Aufzeichnen, wer auf die Daten zugreift
  • Daten auf Anfrage bereitstellen