Public Cloud und der Datenschutz

EU-DSGVO: Es kommt auch auf die Infrastruktur an

| Autor / Redakteur: Dr. Markus Pleier* / Florian Karlstetter

Wie sich mithilfe Software-gesteuerter Prozesse und einem hohen Automatisierungsgrad die Vorgaben der EU-DSGVO erfüllen lassen.
Wie sich mithilfe Software-gesteuerter Prozesse und einem hohen Automatisierungsgrad die Vorgaben der EU-DSGVO erfüllen lassen. (Bild: © phive2015 - stock.adobe.com)

Auch wenn es der Name nahelegt: Die europäische Datenschutz-Grundverordnung zielt zwar auf die Daten ab, meint aber mindestens ebenso die zugehörigen Unternehmensprozesse. Diese entsprechend anzupassen, hängt immer auch von den Infrastrukturen und der existierenden Applikationslandschaft ab, gerade in der anbrechenden Multi-Cloud-Ära. 100 Prozent Softwaresteuerung über alle Clouds hinweg liefert das dafür erforderliche Maß an Flexibilität und Geschwindigkeit.

Der 25. Mai 2018 war der Stichtag, das Ende der Schonfrist der EU-DSGVO. Laut einer Umfrage des Branchenverbandes Bitkom war jedoch nur etwa ein Viertel der befragten Unternehmen in Deutschland in der Lage, die neuen Vorgaben umfassend zu erfüllen. Auch wenn es dafür sicherlich mehrere Gründe gibt, so sticht doch heraus, dass die befragten Unternehmen vor allem den Aufwand unterschätzt haben, den die Verordnung verursacht.

Viel mehr noch als ihr Vorgänger in Deutschland, das Bundesdatenschutzgesetz, macht die EU-DSGVO Vorgaben auf Prozessebene. Ein illustres Beispiel dafür sind die Zwecke, für die Unternehmen personenbezogene Daten vorhalten und nutzen – dem zweiten der sechs Grundsätze der Verordnung. Dazu müssen sich die Unternehmen unter anderem folgende Fragen stellen: Sind diese Zwecke legitim und eindeutig, überhaupt definiert und dokumentiert? Wird eine gespeicherte Kundenadresse nur für die korrekte Lieferung und Rechnungsstellung verwendet oder auch an Drittanbieter weitergegeben, unter Umständen sogar versehentlich? Sind die einzelnen Datensätze diesen Zwecken klar und nachvollziehbar zugeordnet? Wo genau sind sie abgelegt und welche Anwendungen sowie Anwender greifen darauf zu? Lassen sich alle Datensätze, die zu einem weggefallenen Zweck gespeichert wurden, auf Knopfdruck und eindeutig identifizieren, um sie im Anschluss zuverlässig und unwiederbringlich zu löschen, sofern nicht andere Regelungen wie zum gesetzliche Aufbewahrungspflichten dem entgegenstehen?

Public Cloud: Vorbild und Risiko zugleich

Gerade Letzteres ist keine triviale Aufgabe und unternehmensintern nur mit viel Aufwand zu bewältigen. Doch noch komplizierter wird das Ganze, wenn die Unternehmen die Angebote von Cloud-Dienstleistern nutzen. Das ist auf den ersten Blick vielleicht etwas unerwartet. Denn wo sonst, wenn nicht in der Public Cloud lassen sich Prozesse einfacher managen und ändern? Außerdem sind diese unabhängig von ihrem Firmensitz verpflichtet, die Auflagen zu erfüllen, sofern es sich um die Daten von Personen innerhalb der EU handelt. Doch in der Praxis ist der Nachweis, dass dem tatsächlich so ist, nicht immer leicht zu führen. Es gibt erste Beispiele deutscher Firmen, die der Nutzung selbst äußerst beliebter Cloud-Dienste aus Datenschutzgründen entsagen.

Natürlich beendet die EU-DSGVO nicht den Siegeszug der Public-Cloud-Angebote. So geht der Sicherheitsexperte und Analyst bei Crisp Research Dr. Ekkard Schnedermann in seinem Beitrag „DSGVO treibt Cloud zu höheren Reifegraden“ im Gegenteil davon aus, dass diese sich neue Marktpotenziale erschließen können, wenn ihnen der Nachweis gelingt, dass sie den strengen europäischen Datenschutz einhalten können.

Genauso falsch wäre es anzunehmen, dass wegen der Prozessorientierung der EU-DSGVO die Technik eine geringere Rolle spielen würde als bisher. Schließlich nennt die Verordnung im Gegensatz zu ihren nationalen Vorgängern bestimmte Technologien wie starke Verschlüsselung ganz explizit. Generell fordert sie von den Unternehmen, Technologien und Lösungen einzusetzen, die dem Stand der Technik entsprechen.

Folglich kommt es auf das Zusammenspiel zwischen technischen und organisatorischen Maßnahmen an, um den Buchstaben und den Geist der Verordnung zu erfüllen. Die Technik hat dabei die Aufgabe, die Prozessebene bestmöglich zu unterstützen. Zweifelsfrei setzt die Public Cloud den Standard an Flexibilität, Geschwindigkeit, Einfachheit und Transparenz, wenn es um das Design, die Analyse und Anpassung von Prozessen geht. Wenn es aber nicht möglich oder wünschenswert ist, die eigene Anwendungslandschaft komplett in die Public Cloud zu verlagern, bleibt nur die Möglichkeit, diese in das eigene Rechenzentrum zu holen.

Vorteil Softwaresteuerung

Das hervorstechendste Merkmal der Infrastrukturen der so genannten Hyperscaler ist aber die Softwaresteuerung. Aus Gründen der bedarfsorientierten Skalierbarkeit und der Kosten haben diese sich von der zugrundeliegenden Hardware unabhängig gemacht und alles virtualisiert, was sich virtualisieren lässt. Das ist der Grund, warum Nutzer auf Kopfdruck neue virtuelle Maschinen und Workloads starten und zusätzliches Speichervolumen bereitstellen können. Freilich bedarf es dafür auch eines umfassenden Management-Layers, der das Maß an Transparenz, Kontroll- und Steuerungsmöglichkeit garantiert, das der dargebotenen Flexibilität und Geschwindigkeit entspricht.

All das ist auch im eigenen Rechenzentrum möglich. Zu 100 Prozent softwaregesteuerte Umgebungen erfordern so genannte hyperkonvergente Infrastrukturen. In ihnen werden traditionell voneinander getrennte und mit bestimmter Hardware verwobene Anwendungen wie Backup oder Disaster Recovery, Archivierung, Datendeduplizierung (unerlässlich für den Grundsatz der Datensparsamkeit), Berechtigungsmanagement oder Verschlüsselung etc. zu reinen Softwarefunktionen. Diese lassen sich über Schnittstellen in Prozessketten integrieren, unabhängig davon, in welchen Umgebungen diese implementiert wurden. So lassen sich einzelne Funktionalitäten, virtuelle Maschinen, Container, aber auch Mikroservices als integrale Bestandteile von Prozessen verwalten. Um jedoch die Vorgaben der EU-DSGVO zu erfüllen, müssen zusätzlich APIs Teil der Infrastruktur sein, mit deren Hilfe Anwendungen diese steuern können. So lässt sich sicherstellen, dass das Laden von Daten in die Applikation zur Anzeige und Weiterverarbeitung verhindert wird, wenn dies den gesetzlichen Richtlinien widersprechen würde.

Herausforderung Multi-Cloud

Doch das allein reicht nicht aus. Denn die Realität in den Unternehmen heißt Multi-Cloud und – leider immer noch – Schatten-IT. Die Anwender hören nicht auf, beliebte Angebote der Public Cloud zu nutzen, die selbst wieder auf unterschiedlichen Technologie-Stacks, wenngleich softwaregesteuert, fußen. Auch Nutzungsverbote lassen sich hier auf Dauer wohl nur sehr schwer durchsetzen, wenn kein adäquates Ersatzangebot geschaffen werden kann. Aus Datenschutzsicht muss aus diesem Nebeneinander deshalb ein Miteinander werden, das sich zentral überwachen und steuern lässt. Laut Crisp Research will die Mehrheit der Unternehmen das mithilfe der Lösungen von Drittanbietern erreichen.

Die Anforderungen an solche Lösungen sind jedoch sehr hoch. Denn sie müssen mit den unterschiedlichen Softwaresteuerungen und Technologie-Stacks der verschiedenen Public-Cloud-Anbieter umgehen können. Sollte sich zum Beispiel herausstellen, dass ein Workload in der Public Cloud mit personenbezogenen Daten umgeht und sich dort die Einhaltung der EU-DSGVO nicht zu 100 Prozent gewährleisten lässt, darf die Migration in eine andere Public Cloud oder zurück ins eigene Rechenzentrum nicht Monate dauern. Das wäre heute aber in der Regel der Fall, denn die Migration in und aus der Public Cloud ist technisch in der Regel anspruchsvoll.

Eine Lösung, die das eigene Rechenzentrum per Software steuert, muss die beschriebenen Monitoring- und Kontrollmöglichkeiten auch für die externen Cloud-Angebote bereitstellen. Außerdem muss sie einen möglichst hohen Automatisierungsgrad aufweisen, damit zum Beispiel alle bei einer Migration nötigen Konfigurationsänderungen eines Workloads, die bei unterschiedlichen Technologie-Stacks anfallen, ohne menschliches Zutun vorgenommen werden.

Solche Migrationen sind jedoch nicht immer das Ergebnis datenschutzrechtlicher Überlegungen, sondern wirtschaftlicher und technischer Betrachtungen. Muss ein Workload mit unerwarteten Lasten zurechtkommen oder erweist sich sein Betrieb in der Public Cloud als kostengünstiger, liegt eine Verlagerung aus dem eigenen Rechenzentrum nahe. Handelt es sich dabei aber um einen Workload, der mit besonders sensiblen und daher schützenswerten Daten umgeht, so müssen sich diese sauber von anderen trennen und abschirmen lassen. Eine Managementlösung, die für die Multi-Cloud geeignet ist, muss folglich unter anderem zu einer anwendungszentrierten Mikrosegmentierung in der Lage sein.

Datenschutz als kontinuierlicher Prozess

Um der Schatten-IT Herr zu werden und unter Datenschutzgesichtspunkten fehlerhafte Prozessketten über Cloud-Infrastrukturen hinweg aufzuspüren, braucht es zudem automatisierte Analysemöglichkeiten. Dies ist vor allem deshalb wichtig, weil der europäische Datenschutz kein statisches Konzept darstellt, sondern für die Unternehmen einen kontinuierlichen Optimierungsprozess vorsieht. Allen Unkenrufen und Warnungen im Vorfeld des diesjährigen Stichtags zum Trotz haben sich die Aufsichtsbehörden nicht auf die Unternehmen gestürzt und sie mit Strafen belegt. Sie sehen ihre Rolle offenbar eher darin, den Firmen beratend zur Seite zu stehen und ihnen aufzuzeigen, was sie in puncto Datenschutz besser machen können und sollen.

Freilich müssen die Unternehmen in ihren immer komplexer und offener werdenden IT-Umgebungen zu solchen Änderungen in annehmbarer Frist in der Lage sein. In diesem Sinn fordert die EU-DSGVO Agilität von den Unternehmen und erweist sich damit als Treiber der Digitalisierung. Nur eine durchgängige Softwaresteuerung kann dies bewirken. Denn nur eine zentrale Steuerungsschicht auf Softwarebasis kann von den verschiedenen Technologie-Stacks abstrahieren, aus einer Multi Cloud sozusagen eine einheitliche Enterprise-Cloud formen, die damit zusammenhängenden Aufgaben automatisieren und alle Funktionen bieten, die in heterogenen, dynamischen Umgebungen zur Unterstützung der Datenschutzprozesse nötig sind. Diese beginnen nicht erst auf Applikationsebene, sondern bereits bei der Architektur und Implementierung der Infrastruktur.

* Dr. Markus Pleier, CTO und SE Director Central Europe, Nutanix

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45597722 / Recht und Datenschutz)