Der schnelle Austausch von Informationen und die gemeinsame Bearbeitung von Dokumenten gehören zu den bedeutendsten Errungenschaften der Digitalisierung. So ist es möglich, ortsunabhängig und mit dem eigenen internetfähigen Gerät auf Daten in der Cloud zuzugreifen, diese auszutauschen und zu synchronisieren sowie gemeinsam an Dateien zu arbeiten. Für viele Unternehmen, insbesondere in stark regulierten Branchen, hat dabei die Sicherheit der Informationen zu jeder Zeit oberste Priorität. Mit einem virtuellen Datenraum lässt sich genau das gewährleisten.
Ein virtueller Datenraum ist eine cloudbasierte Umgebung mit einem besonders hohem Sicherheitsniveau. Innerhalb dessen ist sowohl der geschützte Austausch digitaler Dokumente möglich als auch deren sichere und gemeinsame Bearbeitung. Alle Zugriffe werden protokolliert und sind zeitlich begrenzt.
Eine rechtebasierte Verschlüsselung auf Datei-Ebene verhindert, dass nicht-autorisierte Personen auf Daten zugreifen. Zudem gewährleistet ein virtueller Datenraum auf Basis des Confidential-Computing-Ansatzes, dass die Daten nicht nur während ihrer Speicherung, sondern auch während der Übertragung und der Verarbeitung in der Cloud geschützt sind. Die Einrichtung eines solchen virtuellen Datenraums ist dabei denkbar einfach. Mit der folgenden Checkliste gelingt sie in nur fünf Schritten:
Schritt 1: Mit einem Anforderungskatalog die passende Datenraum-Lösung finden
Um eine technologische Lösung zu finden, die zu den Bedürfnissen des eigenen Unternehmens passt, sollten sich Unternehmen fragen, was der virtuelle Datenraum leisten muss:
- Dabei gibt es grundlegende Anforderungen, wie unter anderem eine klare Zugangsberechtigung und -kontrolle. Unabdingbar sind zudem Protokolle über Zugriffe, Downloads, Bearbeitungen und Löschungen sowie eine einfache und intuitive Bedienbarkeit.
- Daneben existieren in der Regel genaue Ansprüche an eine möglichst produktive Nutzung des virtuellen Datenraums. Dazu gehört zum Beispiel, dass dieser schnell einsatzbereit und über den Browser leicht verfügbar ist, dass sich Nutzer problemlos hinzufügen oder entfernen lassen sowie, dass sich die Rechteverwaltung unabhängig von der IT anpassen lässt.
- Hinzu kommen je nach Branche Compliance-Anforderungen, wie beispielsweise konfigurierbare Nutzungsbedingungen, definierbare Zugriffszeiten, Wasserzeichen für Dokumente im View-Only-Modus sowie Funktionen, die vor unberechtigter Weitergabe, Vervielfältigung oder Massendownloads schützen.
In erster Linie ist es daher entscheidend, zu definieren, wofür der virtuelle Datenraum zum Einsatz kommen soll und ob es spezifische Herausforderungen in den eigenen Prozessen, Zielgruppen oder Branchen gibt, die zu berücksichtigen sind. Erst dann lässt sich ein konkreter Anforderungskatalog erstellen, mit dem eine Überprüfung der Lösungen und Anbieter am Markt zielführend ist.
Schritt 2: Den Datenraumanbieter auf Herz und Nieren prüfen
Neben funktionalen Anforderungen an die Datenraum-Lösung gilt es auch, den Anbieter unter die Lupe zu nehmen. So lässt sich feststellen, ob dieser den eigenen Bedingungen und rechtlichen Vorgaben – etwa bezüglich des Datenschutzes und der Datensicherheit – entspricht. Dabei sind Fragen zu klären wie:
- Wo hat der Anbieter seinen Firmensitz?
- Wo werden die Server betrieben?
- Wer hat den Schlüssel zu den Daten: Kunde oder Anbieter?
- Hat der Anbieter Zugriff auf die Daten im Datenraum?
- Sind die Daten auch während der Bearbeitung weiterhin geschützt?
- Kann der Anbieter seine Sicherheit nachweisen?
- Ist der Support gut erreichbar?
Aus rechtlicher Sicht kommt daher nur ein Cloud-Anbieter mit Sitz und Rechenzentren innerhalb der EU in Frage. Aber auch dann entscheiden dessen nachweisliches Datenschutz- und Sicherheitskonzept sowie andere Schutzvorkehrungen – Stichwort Privacy by Design und Privacy by Default – darüber, ob er sich als Lösungsanbieter für den eigenen virtuellen Datenraum eignet.
Schritt 3: Den virtuellen Datenraum eröffnen und Nutzungsregeln festlegen
Bevor sich ein virtueller Datenraum in Betrieb nehmen lässt, sind alle relevanten Aspekte entlang der betroffenen Prozesse zu prüfen. Dazu sind folgende Punkte zu definieren:
- Existiert ein detailliertes Rollen- und Rechtemanagement, das regelt, wer was darf?
- Muss eine Kennzeichnung einzelner Dokumente (View-Only, Wasserzeichen etc.) erfolgen, um deren Verbreitung oder Vervielfältigung zu vermeiden?
- Bedarf es Datenraumjournale zur revisionssicheren Protokollierung aller Aktionen im Datenraum, um nachzuvollziehen, wer wann was angesehen, bearbeitet, heruntergeladen oder gelöscht hat?
- Liegt allen Nutzern eine Nutzungsvereinbarung für den virtuellen Datenraum vor und wurde dieser ausdrücklich zugestimmt?
Neben Antworten auf diese und weitere spezifische Fragen empfiehlt es sich, einen Raumassistenten zu bestimmen. Dieser verfügt über alle nötigen Rechte, um einen Datenraum anzulegen und einzurichten. Er kann Mitglieder einladen, selbst aber keine Daten einsehen. Zudem braucht es noch vor dem Start der digitalen Zusammenarbeit im virtuellen Datenraum ein Löschkonzept für alle geteilten und verarbeiteten Daten. Hier spielen auch datenschutzrechtliche Vorgaben, etwa zum Umgang mit personenbezogenen Daten, Finanz- und Gesundheitsdaten, eine Rolle.
Schritt 4: Austausch von Dateien und Zusammenarbeit beginnen
Nun kann damit begonnen werden, Daten und Dokumente (zum Beispiel PDFs, Bilddateien, Sprachnachrichten, Notizen etc.) in den Datenraum hochzuladen. Dazu sind logische Ordnerstrukturen empfehlenswert, die eine bequeme Navigation innerhalb des Datenraums ermöglichen. Zudem sollte festgelegt sein, inwieweit sich der Datenaustausch und die digitale Zusammenarbeit extern von intern unterscheiden.
Hier können entsprechend vorab definierte Rechte- und Rollenkonzepte helfen. Ist alles vorbereitet, lassen sich Mitglieder in den Datenraum einladen und mit jeweils benötigten Rollen und Rechten versehen. So ist gewährleistet, dass jede Person die benötigten Dateien einsehen, bearbeiten und herunterladen kann – nicht mehr und nicht weniger. Wasserzeichen für PDF-Dateien, eingeschränkter Lesezugriff (View-Only) oder digitale Sitzungsmappen sind für den Datenaustausch ebenso relevant wie Abstimmungs- und Chatfunktionen für die produktive Zusammenarbeit im virtuellen Raum.
Schritt 5: Die Verwendung des virtuellen Datenraums für alle optimieren
Im Live-Betrieb gilt es regelmäßig zu überprüfen, ob allen Mitgliedern die nötigen Rollen und Rechte zugewiesen und diese auch aktuell sind. Verlässt ein Mitarbeiter das Unternehmen oder kündigt ein Kunde die Zusammenarbeit, müssen seine Zugriffsmöglichkeiten sofort angepasst werden.
Auch Dateien und Dokumente im virtuellen Datenraum sind auf Aktualität und Verfügbarkeit zu prüfen. Regelmäßige Backups wichtiger Unterlagen im Datenraum sind unverzichtbar. Damit alle Nutzer gern vom virtuellen Datenraum Gebrauch machen, eignen sich die dort vorhandene Kommunikationsmöglichkeiten, um neuen Mitgliedern Tipps zu geben sowie vorhandene Ressourcen und Arbeitshilfen im Team beziehungsweise mit Externen zu teilen.
Ruckzuck zum eigenen virtuellen Datenraum
Ein virtueller Datenraum schafft die ideale Grundlage, um Dateien nicht nur beim Austausch, sondern auch während der Bearbeitung unter Einhaltung rechtlicher Vorgaben und höchster Sicherheitsansprüche bestmöglich zu schützen.
Hier stoßen herkömmliche File-Sharing-Dienste, die zwar eine verschlüsselte Übertragung, aber keine Bearbeitung von Daten zulassen, schnell an ihre Grenzen. Nicht so ein virtueller Datenraum: Denn er ist schnell einsatzbereit und jederzeit anpassbar. So ist die reibungslose und gleichzeitig sichere digitale Zusammenarbeit jederzeit gewähreistet.
Andreas Dirscherl ist Product Owne bei idgard | uniscon GmbH.