Datenschutz-Grundverordnung und die Cloud

DSGVO-konform in die Cloud

| Autor / Redakteur: James LaPalme / Peter Schmitz

Nutzt ein Unternehmen Cloud-Dienste, kann es die Verantwortung bei personenbezogenen Daten nicht einfach abtreten. DSGVO-konforme Compliance-Vereinbarungen mit dem Cloud-Anbieter sind damit Pflicht.
Nutzt ein Unternehmen Cloud-Dienste, kann es die Verantwortung bei personenbezogenen Daten nicht einfach abtreten. DSGVO-konforme Compliance-Vereinbarungen mit dem Cloud-Anbieter sind damit Pflicht. (© JiSign - Fotolia)

Die Cloud wird immer beliebter bei deutschen Unternehmen. Das ist das Ergebnis des Cloud Monitors 2017 von Bitkom und KPMG. Auf Organisationen, die personenbezogene Daten speichern oder verarbeiten, wartet jedoch eine besondere Herausforderung. Denn ab dem 25. Mai 2018 gilt EU-weit die neue Datenschutz-Grundverordnung (DSGVO). Und wer dann nicht auf Kundendaten achtet, für den wird es richtig teuer. Doch ist der DSGVO-konforme Umgang mit der Cloud keine Zauberei, sondern für jedes Unternehmen machbar.

Noch im September 2016 hatten sich laut Bitkom 44 Prozent der deutschen Unternehmen nicht mit der Datenschutz-Grundverordnung der EU auseinandergesetzt. Sicherheitsbedenken bringen laut Cloud Monitor 2017 zwar die Mehrheit der befragten Unternehmen dazu, vorwiegend vermeintlich unkritische Daten in der (Private) Cloud zu speichern. Doch das liegt vermutlich eher am bis heute geltenden Bundesdatenschutzgesetz (BDSG).

Nur reicht das Festhalten am BDSG nicht, um auch DSGVO-konform zu sein. Schließlich geht der Schutzbegriff der EU-Verordnung ein ganzes Stück weiter. So muss hier beispielsweise ein Datenleck binnen 72 Stunden gemeldet werden. Die Infrastruktur für den IT-Schutz genau zu evaluieren und, wenn nötig, anzupassen, ist demnach dringend geboten. Denn wer die Deadline verpasst, muss im Falle eines Datenlecks mit Strafen von bis zu 20 Millionen Euro rechnen. Daher sind unbedingt Maßnahmen der Compliance und der tatsächlichen Datensicherheit bzw. des Datenschutzes zu ergreifen, um einen sicheren Umgang mit der Cloud zu gewährleisten.

Datenschutzvorgaben mit Cloud-Anbietern definieren

Wenn ein Unternehmen die Dienste eines Cloud-Service-Providers nutzt, kann es die Verantwortung gegenüber personenbezogenen Daten nicht einfach abtreten. Selbst dann nicht, wenn die gesamte IT-Infrastruktur aus der Cloud bezogen wird. DSGVO-konforme Compliance-Regeln zur Abstimmung mit dem Cloud-Anbieter sind somit unausweichlich. Für sie gelten die Klauseln zur sogenannten Auftragsverarbeitung. Demnach tragen auch Cloud-Provider Verantwortung für den sicheren Umgang mit Daten und können etwa dazu verpflichtet werden, die Bearbeitung ausreichend zu dokumentieren. Solche Vertragsvorgaben müssen mit dem Provider neu verhandelt werden und sollten ihren Weg in das unternehmensinterne Compliance-Regelwerk finden.

Generell gelten umfangreiche interne Dokumentationspflichten sowohl für den Verantwortlichen – das Unternehmen als Urheber der Daten – als auch den Auftragsverarbeiter, bzw. den Cloud-Service-Provider. Unter diese Pflichten fallen unter anderem Informationen zum Zweck der Datenverarbeitung, die Aufbewahrungsfrist sowie die Empfänger der Daten – etwa die Frage, welche Abteilungen im Unternehmen Zugriff auf die personenbezogenen Daten haben. Die Betroffenen, also die Kunden, sind darüber nicht nur umfassend zu informieren, sondern sie müssen ausdrücklich ihre Zustimmung erteilen. Auch diese Vorgaben gehören aktualisiert und angepasst an die DSGVO zur Compliance eines jeden Unternehmens, das mit Daten von EU-Bürgern arbeitet.

Die Ernennung eines Datenschutzbeauftragen muss ebenfalls dringend in den Compliance-Vorschriften Einzug halten. Der Beauftragte kann entweder intern oder extern ernannt werden. Eine seiner Aufgaben ist die Überwachung und Einhaltung des Datenschutzes. Auf einen Datenschutzbeauftragten zu verzichten, wird unter der EU-Verordnung keineswegs als Bagatelle gesehen: Strafzahlungen von bis zu zehn Millionen Euro sprechen hier eine deutliche Sprache. Zudem müssen Unternehmen in Deutschland trotzdem eine Datenschutzerklärung vorhalten – auch wenn diese von der neuen Verordnung nicht ausdrücklich verlangt wird. Sie muss hierzulande allerdings inhaltlich so angepasst werden, dass sie zur DSGVO konform ist.

Neben der Anpassung der Compliance muss auch eine robuste IT-Sicherheitsarchitektur implementiert werden. VPN-Netze, moderne Virenscanner und Firewalls stellen hierzu den absoluten Standard dar, was jedem Verantwortlichen klar sein dürfte. Sie bilden die vorderste Verteidigungslinie jedweder Cyber-Security und sollen äußere Angreifer von Beginn an abwehren. Im Grunde geht es stets darum, personenbezogene Daten vollumfänglich vor dem Zugriff Unbefugter zu schützen. Der Maßnahmenkatalog muss allerdings deutlich erweitert werden, um dieses Ziel zu erreichen.

Die erfolgreichste Methode zur Datensicherheit ist die Verschlüsselung. Das gilt auch für Daten aus der Cloud. Die Verantwortung lässt sich nicht komplett auf den Cloud-Anbieter abwälzen, wie bereits zu den Compliance-Regeln angemerkt. Personenbezogene Daten sollten daher vom Urheber stets noch vor der Migration in die Cloud verschlüsselt werden, denn sicher verschlüsselte Daten gelten der DSGVO nach weder als wirklich verloren noch als kompromittiert, da sie für Dritte nicht lesbar sind.

Ergänzendes zum Thema
 
Wichtige Compliance- und Datensicherheits-Maßnahmen für die DSGVO-konforme Cloud-Nutzung

Dass es bei der Implementierung von Verschlüsselungslösungen noch Nachholbedarf gibt, belegt der aktuelle Cloud Monitor: Obwohl neun von zehn (91 Prozent) befragten Unternehmen spezielle Security-Services nutzen, überprüft fast ein Drittel von ihnen überhaupt nicht, ob etwa die verwendete Cloud-Lösung die Verschlüsselung von Daten durchführt. Angesichts der 60 Prozent, die den „unberechtigten Zugriff auf sensible Unternehmensdaten“ befürchten, und der 52 Prozent, die „rechtliche und regulatorische Bestimmungen“ als Hindernis zur Cloud-Nutzung sehen, ist das nur schwer nachvollziehbar. Zudem klafft auch beim Monitoring der Cloud-Anwendungen eine Lücke: Fast jedes dritte Unternehmen verzichtet gänzlich darauf, obwohl dies für die Einhaltung der DSGVO besonders wichtig ist.

Sag mir, wo die Daten sind

Sobald es sich um personenbezogene Daten eines Bürgers der Europäischen Union handelt, ist bereits ihr physischer Standort von Bedeutung. Denn diese dürfen nicht in Ländern gespeichert werden, die nicht den EU-Standards in Sachen Rechtsstaatlichkeit entsprechen. Demnach sind Unternehmen verpflichtet, ein umfangreiches Monitoring der Cloud-Anwendungen durchzuführen. Und das geht heutzutage ohne großen Aufwand. Moderne Lösungen ermöglichen, das Booten einer virtuellen Maschine (VM) für bestimmte Länder oder Regionen zu verhindern. So sind auch Anwendungen als Software-as-a-Service je nach Standort der Cloud ausschließbar.

Bis die Datenschutz-Grundverordnung im Mai 2018 in Kraft tritt, bleibt nicht mehr viel Zeit. Angesichts der möglichen Strafen, aber auch des denkbaren Reputationsverlusts bei Kunden und Partnern, ist die Verordnung absolut ernst zu nehmen. Dazu müssen Firmen die notwendigen Maßnahmen für die Compliance sowie die Datensicherheit unbedingt berücksichtigen.

Über den Autor: James LaPalme ist Vice President Business Development & Cloud Solutions bei WinMagic.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44695667 / Compliance)