DSGVO: Forderungen an die Sicherheit der Verarbeitung (3)[Gesponsert]

Cloud-Monitoring bei der Open Telekom Cloud

| Autor: Oliver Schonschek

Cloud-Monitoring als Datenschutz-Tool: DSGVO erfordert Kontrolle der Wirksamkeit.
Cloud-Monitoring als Datenschutz-Tool: DSGVO erfordert Kontrolle der Wirksamkeit. (Bild: gemeinfrei (geralt / pixabay) / CC0)

Zur Umsetzung der Datenschutz-Grundverordnung (DSGVO / GDPR) müssen nicht nur technisch-organisatorische Maßnahmen für die Sicherheit der Verarbeitung ergriffen werden, die Wirksamkeit der Maßnahmen muss auch kontrolliert werden. Im Cloud Computing helfen hierbei Monitoring-Services.

Die Verarbeitung personenbezogener Daten muss eine Reihe von Grundsätzen erfüllen, um der Datenschutz-Grundverordnung zu entsprechen. In Artikel 5 DSGVO findet man dazu unter anderem, dass personenbezogene Daten in einer Weise verarbeitet werden müssen, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung. Geeignete technische und organisatorische Maßnahmen sollen für die notwendige „Integrität und Vertraulichkeit“ sorgen, so die DSGVO.

Nun reicht es aber nicht aus, die geeigneten technischen und organisatorischen Maßnahmen zu definieren und zu implementieren, die Maßnahmen müssen auch wirksam sein und zwar auf Dauer. Das bedeutet zum einen, dass die Angemessenheit der Sicherheitsmaßnahmen regelmäßig zu überprüfen ist, denn die Risiken ändern sich fortlaufend, auch der geforderte Stand der Technik bei den Maßnahmen entwickelt sich fort.

Ein weiterer Punkt, der regelmäßige Beachtung bedarf, ist die Kontrolle, ob die Sicherheitsmaßnahmen denn überhaupt wirksam sind. So fordert die DSGVO in Artikel 32 ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Beispiel: Belastbarkeit und ausreichende Performance

Eine der Sicherheitsanforderungen ist die Belastbarkeit der Systeme und Dienste, mit denen die personenbezogenen Daten verarbeitet werden. Nur mit der erforderlichen Belastbarkeit kann auch die Verfügbarkeit und Integrität der personenbezogenen Daten gewährleistet werden. Hierfür spielt zum einen ein Schutz gegen Überlastungsangriffe (DDoS-Attacken) eine wichtige Rolle.

Belastbarkeit erfordert aber auch, dass die genutzten Dienste und Systeme ausreichend performant sind. Kommt der Dienst oder das System schnell an seine Belastungsgrenze, weil die Verarbeitung der Daten zu viele Ressourcen verbraucht, muss gar kein Überlastungsangriff erfolgen. Der Dienst oder das System bricht dann auch ohne Attacke zusammen, so die Gefahr, wenn die Performance nicht ausreichend dimensioniert ist. Aus diesem Grund gehört auch eine Kontrolle der Performance und weiterer Leistungsparameter wie die Speicherkapazität zu der geforderten Belastbarkeit.

Cloud-Monitoring als Datenschutz-Tool

Werden Cloud-Dienste zur Verarbeitung der personenbezogenen Daten eingesetzt, handelt es sich in aller Regel um eine Auftragsverarbeitung (Artikel 28 DSGVO). Hier muss der Cloud-Nutzer sicherstellen, dass nur solche Dienste eingesetzt werden, mit denen sich ein angemessenes Datenschutzniveau erzielen lässt, mit denen also die Vorgaben der Datenschutz-Grundverordnung eingehalten und nicht etwa unterschritten werden.

Es wäre zu kurz gegriffen, bei Cloud-Diensten nur an die Cloud-Sicherheit zu denken, die man als Schutz gegen mögliche Attacken einsetzt. Vielmehr gehört zu der notwendigen Cloud-Sicherheit auch die Cloud-Belastbarkeit hinzu und damit zum Beispiel eine ausreichende Performance des Cloud-Services. Anders kann die Verfügbarkeit der Daten und der Zugang zu den Daten nicht zuverlässig gewährleistet werden.

Aus diesem Grund müssen Cloud-Nutzer zur Einhaltung der Datenschutz-Grundverordnung nicht nur die Cloud-Sicherheitsmaßnahmen wie die Cloud-Verschlüsselung im Blick behalten, sondern auch die Cloud-Performance. Damit zum Beispiel ausreichend Cloud-Speicherkapazität vorliegt, ist es wichtig, ein Monitoring der entsprechenden Cloud-Leistungsparameter durchzuführen. Cloud-Monitoring im Sinne der Überwachung, ob die Cloud-Leistungsparameter ausreichen, gehört deshalb zum Datenschutz.

Cloud Eye als Monitoring-Service in der Open Telekom Cloud

Wenn also die Open Telekom Cloud einen integrierten, bereits im Standard aktivierten Cloud-Monitoring-Dienst mit Cloud Eye anbietet, ist dies eine Unterstützung für die Einhaltung des Datenschutzes und der DSGVO. Dabei ist es wichtig, dass mit Cloud Eye nicht nur die Leistungsparameter des Cloud-Service überwacht werden können, es ist auch möglich, selbst Grenzwerte zu definieren, die einen Alarm auslösen sollen. Mit dem Alarm können definierte Personen zum Beispiel über E-Mail oder SMS informiert werden, es lassen sich aber auch Regeln definieren, nach denen zum Beispiel die Cloud-Leistung dem Bedarf entsprechend automatisch angepasst und erhöht wird. Zu den Leistungen von Cloud Eye gehört:

  • Auf einem Dashboard kann man aktuelle Graphen mit Indikationen sehen, die beim Management der Lösungen unterstützen.
  • Die Alarmfunktion ist regelbasiert konfigurierbar. Das Monitoring dient auch der Steuerung der eigenen Ressourcen, beispielsweise als Basis für das Auto Scaling.
  • Man kann die Alarmfunktionen so konfigurieren, dass bestimmte Personen Benachrichtigungen per SMS oder E-Mail erhalten.
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45113639 / DSGVO - Datenschutz Grundverordnung)