EU-Datenschutzgrundverordnung

Cloud-Nutzung und DSGVO in Einklang bringen

| Autor / Redakteur: James LaPalme* / Florian Karlstetter

Zentrale Schlüsselverwaltung für zahlreiche Cloud-Plattformen mit SecureDoc CloudVM von WinMagic.
Zentrale Schlüsselverwaltung für zahlreiche Cloud-Plattformen mit SecureDoc CloudVM von WinMagic. (Bild: WinMagic)

Deutschlands Unternehmen legen immer mehr ihre Scheu vor der Cloud ab. Das hat der Cloud Monitor 2017 von KPMG und Bitkom eindrucksvoll bestätigt. Das ist zunächst auch ein positives Zeichen. Doch dürfen CEOs, COOs und andere Verantwortliche die kommende EU-Datenschutz-Grundverordnung (EU-DSGVO) nicht aus den Augen verlieren.

Für die Sicherheit ihrer Daten bleiben Verantwortliche in Unternehmen trotz Cloud-Anbieter als Mittelsmann verantwortlich. Um die Vorteile der Datenwolke auch weiterhin zu nutzen und gleichzeitig DSGVO-konform zu sein, gibt es aber Lösungen.

Es ist kurz vor zwölf. Denn bis zum 25. Mai 2018, wenn die DSGVO endgültig in Kraft tritt, bleibt nicht mehr viel Zeit. Dann müssen Unternehmen weltweit ihre Compliance hinsichtlich personenbezogener Daten vollständig angepasst haben, sofern sie Daten von EU-Bürgern erheben, speichern oder bearbeiten. Um das zu erreichen, müssen Organisationen jeder Art einen genauen Überblick über alle in Frage kommenden Daten haben, klare Vorgaben machen, wie mit ihnen umzugehen ist, und sie müssen alle Daten jederzeit umfangreich schützen. Gehört die Arbeit mit personenbezogenen Daten zum Kerngeschäft einer Organisation, muss zwingend ein Datenschutzbeauftragter ernannt werden. Strafen von bis zu zehn Millionen Euro bei Nichtbefolgung sollten Warnung genug sein.

Ein besonderer Fall ist jedoch der Umgang mit Daten in der Cloud. Denn selbst wenn die gesamte IT-Infrastruktur aus ihr bezogen wird oder in großem Umfang virtuelle Maschinen (VMs) zum Einsatz kommen, kann die Verantwortung für die Daten nicht vollständig an einen Drittanbieter abgetreten werden. So unterscheidet die EU-Verordnung zwischen Datenverarbeiter (Cloud-Anbieter) und Datenverantwortlichem (Cloud-Nutzer) – beide müssen jedoch sichergehen, dass sie Maßnahmen implementiert haben, die den Vorgaben der DSGVO Rechnung tragen. Und das geht über die reine Datensicherheit hinaus.

Klare Regeln – klar dokumentiert

Ein Hauptaugenmerk der DSGVO gilt etwa den Dokumentations- und Informationspflichten. Für Unternehmen, die die Dienste von Cloud-Anbietern nutzen, heißt das, dass sie zunächst mit dem Dienstleister gemeinsame Compliance-Regeln abstimmen sollten. Der Cloud-Service-Provider ist beispielsweise dazu verpflichtet, die Datenverarbeitung ausreichend zu dokumentieren. Aus Sicht eines Unternehmens ist es demnach sinnvoll, solche Vorgaben vertraglich festzuschreiben und diese gegenseitigen Vereinbarungen auch in das eigene Compliance-Regelwerk miteinfließen zu lassen.

Dokumentationspflichtig sind unter anderem Informationen zum Zweck der Datenverarbeitung, Aufbewahrungsfristen sowie die unternehmensinternen Empfänger der Daten – beispielsweise wer, in welcher Abteilung Zugriff auf die vorgehaltenen personenbezogenen Daten hat. Zudem müssen Organisationen Ihre Kunden umfangreich über die Umstände aufklären, unter denen sie Daten erheben, speichern und verarbeiten. Zusätzlich dazu müssen Verfahren eingeführt werden, die das ausdrückliche Einverständnis der Betroffenen garantieren. Denkbar wäre hier etwa eine Zwei-Faktor-Authentifizierung statt einmalig einen Haken auf einem Onlineformular zu setzen. Alle neu eingeführten Vorgaben und aktualisierten Abläufe sind sowohl beim Cloud-Anbieter als auch beim Cloud-Nutzer in die Compliance aufzunehmen.

Alles unter Kontrolle – jederzeit

Ein Datenleck ist keine Frage des ob, sondern des wann. Das sollte spätestens durch die zuletzt bekannt gewordenen Fälle wie bei Uber (57 Millionen Datensätze), Equifax (127 Millionen Datensätze) und Yahoo (rund 3 Milliarden Accounts) mehr als klar sein. Ob es sich hierbei um das eigene Unternehmensnetzwerk oder um die Cloud handelt, ist unerheblich. Denn die einzige Maßnahme, die in letzter Instanz ausreichend Schutz bietet, ist die Verschlüsselung. Und das aus einem einfachen Grund: Wenn Daten nicht gelesen werden können, gelten sie nicht als verloren – einer der wenigen Fälle in denen die DSGVO wirklich konkret wird. Das gleiche Prinzip gilt auch für Daten in der Cloud. Anwender sollten sie daher besser noch vor der Migration in die Datenwolke verschlüsseln.

Zwar bieten alle größeren Cloud-Anbieter von Amazon bis Google eine eigene Verschlüsselung an, doch wäre in diesem Fall nur der Datenverarbeiter seiner Pflicht nachgekommen. Der Datenverantwortliche – das Unternehmen – würde den Kürzeren ziehen, sollte sich etwa bei einem Audit herausstellen, dass keine Sicherheitsmaßnahmen für die in einer Cloud gespeicherten Daten vorhanden sind. Denn es besteht eine zweifache Gefahr: Zum einen, dass unbefugte Personen von Seiten des Datenverarbeiters auf personenbezogene Daten zugreifen. Zum anderen verliert ein Unternehmen bei einem Datenleck des Cloud-Anbieters im Nachhinein jede Kontrollmöglichkeit – sofern keine eigenen Maßnahmen getroffen wurden. Verschlüsselt der Datenverantwortliche hingegen selbst und nutzt er ein intelligentes Key-Management, ist er auf der sicheren Seite: Der Cloud-Anbieter kann nicht auf Daten zugreifen und bei einem Leck kann der Cloud-Anwender die Verschlüsselungs-Keys löschen – der Zugang zu den Daten bleibt damit unwiderruflich verwehrt.

Defizite in der Wahrnehmung

Tatsächlich grassiert aber die Sorglosigkeit. Denn auch das brachte der Cloud Monitor zutage: Obwohl neun von zehn (91 Prozent) befragten Unternehmen spezielle Security-Services nutzen, überprüft fast ein Drittel von ihnen überhaupt nicht, ob etwa die verwendete Cloud-Lösung die Verschlüsselung von Daten durchführt. Angesichts der 60 Prozent, die den „unberechtigten Zugriff auf sensible Unternehmensdaten“ befürchten, und der 52 Prozent, die „rechtliche und regulatorische Bestimmungen“ als Hindernis zur Cloud-Nutzung sehen, ist das nur schwer nachvollziehbar. Zudem klafft auch beim Monitoring der Cloud-Anwendungen eine Lücke: Fast jedes dritte Unternehmen verzichtet gänzlich darauf, obwohl dies für die Einhaltung der DSGVO besonders wichtig ist.

Speicherorte im Blick behalten

James LaPalme, VP Business Development & Cloud Solutions bei WinMagic.
James LaPalme, VP Business Development & Cloud Solutions bei WinMagic. (Bild: WinMagic)

Was das Cloud-Monitoring so unabdingbar macht, ist neben der Überprüfung der implementierten Sicherheitsmaßnahmen auch die Frage nach dem physischen Speicherort. Denn laut DSGVO dürfen personenbezogene Daten von EU-Bürgern nicht in einem Land aufbewahrt werden, dessen Rechtsstaat nicht den geltenden EU-Mindeststandards entspricht. Datenverantwortliche sind demnach verpflichtet, genau darauf zu achten, wo die von ihnen in die Cloud migrierten Daten gespeichert werden. Glücklicherweise geht das Monitoring heutzutage sehr leicht. Lösungen wie etwa SecureDoc CloudVM von WinMagic ermöglichen Nutzern, das Booten einer virtuellen Maschine (VM) für bestimmte Länder oder Regionen zu verhindern. Das gelingt mittels zuvor vom Administrator festgelegter Server-Richtlinie. Während der Pre-Boot-Authentifizierung der vorhandenen VMs findet ein Abgleich mit einem Remote-Server zur Schlüsselverwaltung statt. Nur wenn der Abgleich erfolgreich war, wird vollständig gebootet und Zugriff auf die Daten gewährt. Auf diese Weise lassen sich auch Anwendungen als Software-as-a-Service je nach Standort der Cloud ausschließen.

Endspurt zur Cloud-fähigen DSGVO-Compliance

Private und öffentliche Organisationen sollten die Datenschutz-Grundverordnung nicht als Strafe betrachten und ihre Einhaltung ist auch kein Hexenwerk. Wie bei allen großen gesetzlichen Reformen gibt es zwar auch hier einen nachvollziehbaren Unsicherheitsfaktor, da die Feinheiten sich vermutlich erst im Verlauf der praktischen Rechtsprechung herausbilden. Aber solange einige wesentliche Punkte beachtet und streng befolgt werden, können Verantwortliche beruhigt dem Mai 2018 entgegensehen.

Da die zu befolgenden Maßnahmen sowohl unternehmensintern als auch extern für die Cloud-Nutzung gelten, kann eine umfangreiche Anpassung an die DSGVO sogar mit einem plattformunabhängigen Ansatz gelingen. Vorausgesetzt, einige wesentliche Punkte werden beachtet:

  • Klären Sie mit dem Cloud-Service-Provider die genauen Umstände, wie Daten gespeichert und bearbeitet werden und legen Sie ein schriftliches Regelwerk fest.
  • Sorgen Sie dafür, dass sowohl die Dokumentations- als auch Informationspflichten nach innen und außen lückenlos erfolgen.
  • Ernennen Sie einen fachkundigen Datenschutzbeauftragten, um auf Nummer sicher zu gehen.
  • Passen Sie Ihre Datenschutzerklärung an die neuen Regelungen der DSGVO an.
  • Vermeiden Sie durch Cyber-Security-Maßnahmen wie Virenscanner, Firewalls und VPN-Netzwerke Sicherheitslücken – auch bei der Verbindung zur Cloud.
  • Verschlüsseln Sie Ihre Daten noch bevor Sie sie in die Cloud migrieren.
  • Behalten Sie durch umfangreiches Monitoring den Überblick über den Speicherstandort und mittels intelligentem Key-Management stets die volle Kontrolle über alle Daten in der Cloud.

Der Autor: James LaPalme, VP Business Development & Cloud Solutions bei WinMagic

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45055040 / Recht und Datenschutz)