Wie unterstützt Liferay DXP die Einhaltung der DSGVO?

Erfahren Sie, wie Liferays Produkte und Services helfen Datenschutzanforderungen zu erfüllen.

Sehen Sie sich eine Demo zu Liferays GDPR-Funktionalitäten an

Was ist die DSGVO?

Die EU-Datenschutz-Grundverordnung (DSGVO, auf englisch GDPR) ist seit dem 25. Mai 2018 in Kraft und hat Unternehmen auf der ganzen Welt dazu bewegt, sich intensiv mit dem Thema Datenschutz auseinanderzusetzen. Sie stärkt das Recht auf Privatsphäre und regelt, wie Unternehmen personenbezogene Daten von EU-Bürgern verarbeiten dürfen.

Liferay ist der Ansicht, dass die Idee hinter der DSGVO notwendig und gut ist, denn die neue Verordnung sorgt für mehr Transparenz und Verantwortlichkeit. Unternehmen haben die Möglichkeit zu zeigen, dass für sie die Interessen ihrer Kunden an erster Stelle stehen.

Ist Liferay DXP DSGVO-konform?

Die Frage, ob eine Softwareplattform DSGVO-konform ist, käme der Frage gleich, ob etwa ein Gebäude baurechtliche Vorschriften erfüllt, bevor man mit der Erstellung des Bauplans begonnen hat. Die Antwort hängt davon ab, was man baut und wie man es baut, nicht von den Werkzeugen selbst.

Kein Softwareprodukt hält eine Checkliste mit Funktionen bereit, die Ihr Unternehmen rundum DSGVO-fit macht. Die Liferay Digital Experience Platform (DXP) gibt Ihnen jedoch Werkzeuge an die Hand, die Ihren Weg zur Compliance erheblich erleichtern. Dazu gehören Funktionen wie Datenexport, Datenlöschung und Benutzerberechtigungen sowie eine flexible Architektur, die die Anpassung der Software an Ihre sich ändernde Datenschutzstrategie erlaubt.

Aufgrund unserer Open-Source-Wurzeln sind Flexibilität und Interoperabilität seit jeher charakteristisch für die Weiterentwicklung unserer Technologie. Liferay DXP erlaubt Unternehmen den eigenen Technologie-Stack frei zusammenzustellen und unterstützt sie durch marktführende Funktionen für Integration, Erweiterbarkeit und Skalierbarkeit dabei. Denn wir sind davon überzeugt, dass Sie grundlegende Technologien und angrenzende Lösungen frei wählen können sollten. Dabei sollten Sie keinen Vendor-Lock-in befürchten müssen.

Darüber beteiligt sich Liferay am EU-U.S. Privacy Shield Framework und am Swiss-U.S. Privacy Shield Framework. Für deren Einhaltung ist Liferay zertifiziert und verpflichtet sich personenbezogene Daten aus den Mitgliedsländern der Europäischen Union (EU) und der Schweiz den geltenden Grundsätzen des Frameworks zu unterwerfen.

Neue Datenschutz-Funktionen in Liferay DXP 7.1

Recht auf Vergessenwerden

Das Recht auf Vergessenwerden (auch bekannt als das „Recht auf Löschung“) verpflichtet Unternehmen dazu personenbezogene Daten auf Anfrage zu löschen. Personenbezogene Daten gelten als gelöscht, wenn die Daten nicht mehr sinnvoll mit einer identifizierbaren Person verknüpft werden können. In Liferay DXP können Administratoren Inhalte, die möglicherweise personenbezogene Daten enthalten, überprüfen und bei Bedarf über eine einfache Benutzeroberfläche bearbeiten oder löschen.

Recht auf Datenübertragbarkeit

Das Recht auf Datenübertragbarkeit erfordert, dass Unternehmen auf Anfrage einen maschinenlesbaren Export der personenbezogenen Daten eines Benutzers bereitstellen. Das Recht soll Einzelpersonen die Migration ihrer Daten von ihrem derzeitigen zu einem neuen Anbieter ermöglichen. Mit Liferay DXP können Administratoren persönliche Daten eines Benutzers pro Anwendung einfach exportieren.

Mehr Liferay DXP-Funktionen, die Ihnen auf Ihrem Weg zur Compliance helfen.

Rollen und Berechtigungen

Granulare Rollen und Berechtigungen stellen sicher, dass niemand unbefugt auf persönliche Daten zugreifen kann. Lesen Sie unser Whitepaper Liferay DXP Application Security Features für einen umfassenden Überblick.

Suche, Tags und Kategorien

Über die Taxonomie, das Asset-Framework und verschiedene Suchwerkzeuge finden Sie heraus, wo sich personenbezogene Daten auf Ihrer DXP-Instanz befinden. Die voll in Liferay DXP integrierte Suchmaschine Elasticsearch hilft zudem durchsuchbare Felder und digitale Assets auf versteckte Daten zu überprüfen.

Entwickler-Tools, Services und APIs

Liferay verfügt über leistungsstarke Funktionen, die Entwicklern die volle Kontrolle über Benutzerdaten erlauben. Entsprechend Ihrer Strategie können Sie Daten anonymisieren, diese durch zusätzliche Verschlüsselungen absichern und mehr.

Weitere Infos zu Liferays Entwickler-Tools finden Sie hier

Häufig gestellte Fragen über die DSGVO

Warum ist die DSGVO notwendig?

Daten sind der Motor, der moderne Unternehmen antreibt. Je mehr Menschen ein Produkt nutzen, desto mehr Daten liefern sie, was zu intelligenteren Produkten führt und wiederum mehr Benutzer anzieht, die letztendlich noch mehr Daten liefern. Dieses Phänomen ist als „Data Network Effect“ bekannt: Je mehr Benutzerdaten Unternehmen haben, desto größer ist ihre Fähigkeit intelligente und nutzenstiftende Produkte anzubieten, die sich im Wettbewerb durchsetzen.

Damit sind Unternehmen heute einem starken Anreiz ausgesetzt, ihre Datenerfassung zu optimieren. Idealerweise ergäbe sich eine Win-Win-Situation für Unternehmen und Einzelpersonen. Das Sammeln großer Datenmengen kann sich allerdings negativ auswirken, wenn das Recht auf Privatsphäre missachtet wird. Datenschutzbestimmungen wie die DSGVO zielen darauf ab, dass Praktiken zur Datenerhebung nicht auf Kosten der Benutzer durchgeführt werden.

Was sind personenbezogene Daten?

Personenbezogene Daten sind all jene Informationen, die sich auf eine bestimmte identifizierbare Person beziehen. Wenn Sie beispielsweise eine eindeutige Kennung (wie eine E-Mail-Adresse) mit einer beliebigen Information (wie einem hochgeladenen Foto) verknüpfen, werden diese Informationen zu personenbezogenen Daten. Lesen Sie Art. 4 a) DSGVO für eine vollständige Definition.

Dabei ist das Verständnis personenbezogener Daten recht breit gefasst. Wenn Ihr Unternehmen Benutzerdaten speichert, ist es sehr wahrscheinlich, dass es sich um personenbezogene Daten handelt und die DSGVO gilt.

Was ist das Ziel der DSGVO?

Neben Zielen rund um den Datenschutz und die Privatsphäre beabsichtigt die DSGVO insbesondere die europaweite Harmonisierung der Datenschutzgesetze. In der Vergangenheit gab es in der Europäischen Union unterschiedliche Datengesetze. Die DSGVO soll sicherstellen, dass alle Mitgliedsstaaten unter das gleiche Regelwerk fallen.

Für wen gilt die DSGVO?

Die DSGVO gilt für alle Unternehmen, die Waren und Dienstleistungen in Europa anbieten. Auch dann, wenn Ihr Unternehmen nicht in der EU ansässig ist.

Wie hoch sind die Kosten bei Nichteinhaltung?

Artikel 83 besagt, dass die Geldbuße bei Nichteinhaltung entweder 4 % des weltweiten Umsatzes oder 20 Millionen Euro betragen wird. Je nachdem, welcher Betrag höher ist. Darüber hinaus besagt Artikel 82, dass Unternehmen für den entstandenen materiellen oder immateriellen Schaden ihrer Nutzer verantwortlich gemacht werden können.

Weiterhin laufen Unternehmen Gefahr, das Vertrauen ihrer Kunden zu verlieren. Denn Verstöße und Geldbußen werden veröffentlicht und sind somit für potenzielle Kunden einsehbar.

Das Ziel der DSGVO ist es nicht, Firmen bei jeder Gelegenheit mit Bußgeldern zu belegen. Vielmehr erhoffen sich die Regulierungsbehörden ein Umdenken im Hinblick auf den Datenschutz. Entsprechend sind die Geldbußen so konzipiert, dass sie für jedes Unternehmen verhältnismäßig, aber dennoch abschreckend sind.

Wie erreicht mein Unternehmen Compliance?

Die Frage, die sich Ihr Unternehmen stellen sollte, ist nicht „Sind wir compliant?“, sondern „Wie compliant sind wir?“.

Die DSGVO ist keine Schwarz-Weiß-Verordnung. Zum Start ist daher ein risikobasierter Ansatz sinnvoll. Bewerten Sie zunächst die Risiken Ihrer bestehenden Datenrichtlinien und internen Verarbeitungsmethoden. Darauf aufbauend können Sie im nächsten Schritt die höchsten Risiken adressieren und Ihre Compliance insgesamt erhöhen. Dabei gibt es drei Schlüsselfragen, die Ihnen bei der Risikobewertung helfen:

  • Welchen Schaden könnte eine Person erleiden, wenn ihre Daten in die falschen Hände gerieten?
  • Welche negativen Auswirkungen hat die unsichere Datenverarbeitung auf diese Person?
  • Wie wahrscheinlich ist es, dass dieser Fall eintritt?

Die größten Risiken ergeben sich für sensible Daten in ungesicherten Systemen. Käme es z.B. zu einem Datenleck, in dessen Folge alle Lieblings-Eiscremesorten Ihrer Kunden offenbart würden, wäre der potenzielle Schaden für jeden Benutzer minimal. Demgegenüber ergäbe sich ein viel größerer Schaden, wenn es sich um sensible Daten wie Gesundheitsinformationen oder religiöse Ansichten handeln würde.

Wo kann ich mehr über die DSGVO erfahren?

Nachfolgend haben wir einige hilfreiche Ressourcen für Sie zusammengefasst

Das offizielle PDF der DSGVO übersichtlich dargestellt. PWC-Studie zu den DSGVO-Budgets von US-Unternehmen Artikel „8 GDPR Myths: Busted“

Ich bin Kunde von Liferay und möchte Informationen über ...