Suchen

Datenschutz in der Cloud So hilft Cloud-Verschlüsselung bei der DSGVO-Compliance

| Autor / Redakteur: Eduard Meelhuysen / Peter Schmitz

In der Mehrheit der Unternehmen sind Cloud-Anwendungen inzwischen im Einsatz. Mit der bevorstehenden Anwendung der Europäischen Datenschutz-Grundverordnung (DSGVO) in weniger als einem Jahr könnte jedoch die Begeisterung in der Nutzung für Cloud-Apps ein wenig getrübt werden. Dabei gibt es mit Cloud-Verschlüsselung ein Mittel um sich deutlich entspannter dem Thema DSGVO zu nähern.

Firma zum Thema

Eine zuverlässige Verschlüsselungslösung und ein passendes Zugriffskonzept lassen Unternehmen der DSGVO im Bezug auf die Cloud-Nutzung mit Gelassenheit entgegensehen.
Eine zuverlässige Verschlüsselungslösung und ein passendes Zugriffskonzept lassen Unternehmen der DSGVO im Bezug auf die Cloud-Nutzung mit Gelassenheit entgegensehen.
(Bild: Pixabay / CC0 )

Die DSGVO verlangt für IT-Umgebungen das Prinzip Privacy by Design, womit Datenschutz und Sicherheit in den Mittelpunkt gerückt werden. Geht es um die Verarbeitung von Kundendaten, so erachtet die DSGVO die Unternehmen als Auftragsdatenverarbeiter. Für sie gelten im Umgang mit Kundendaten unter anderem die Vorgaben der Sparsamkeit bei der Datenerhebung, die Datenverarbeitung mit Einverständnis der Kunden, Auskunftspflicht und insbesondere Informationspflicht bei Datensicherheitsvorfällen: In derartigen Fällen haben Unternehmen die betroffenen Kunden unverzüglich zu informieren und binnen 72 Stunden die zuständigen Aufsichtsbehörden über die Sicherheitslücke in Kenntnis zu setzen. Erfolgt die Benachrichtigung nicht im gegebenen Zeitraum und nicht in ausreichendem Umfang, können empfindliche Geldbußen fällig werden (Art. 83, Abs. 4 DSGVO).

Effizientere IT-Prozesse und eine flexiblere Preisgestaltung, die langfristige Kostenvorteile mit sich bringt, überzeugen laut dem aktuellen Cloud Monitor von Bitkom und KPMG in Deutschland derzeit 64 Prozent der Unternehmen vom Nutzen von Cloud-Anwendungen. Insbesondere bei der Nutzung von Cloud-Anwendungen sollten Unternehmen aber den Regelungen der DSGVO verstärkte Aufmerksamkeit widmen, bringt diese doch ein erhöhtes Maß an Verantwortung mit sich. Wenn es um die Sicherheit der Unternehmensdaten in der Cloud geht, scheint es derzeit noch gängige Praxis zu sein, stillschweigend die Verantwortung dem Cloud-Anbieter zuzuschreiben. Mit der DSGVO können Unternehmen eine derartige Sorglosigkeit leider nicht mehr an den Tag legen.

Besondere Sorgfaltspflicht im Rahmen der DSGVO

Im Rahmen der DSGVO sind sie dazu verpflichtet, sich zu vergewissern, dass die Datenverarbeitungsprozesse ihres Cloud-Anbieters dem in der DSGVO geforderten Datenschutzniveau entsprechen. Um den Unternehmen die Überprüfung zu erleichtern, sieht die DSGVO eine Zertifizierung von Cloud-Anbietern vor. Diese kämpft jedoch noch mit einigen Schwierigkeiten: Derzeit gibt es noch keine einheitlichen europäischen Standards, die Zertifizierung ist freiwillig und Gütesiegel, die gegenwärtig von Cloud-Anbietern genutzt werden, bleiben meist deutlich hinter den Anforderungen der DSGVO zurück. Darüber hinaus sind die Gütesiegel – zumindest noch zur Zeit - nur begrenzt hilfreich: Denn der alleinige Blick auf ein Gütesiegel entbindet Unternehmen nicht von der Verpflichtung, das tatsächliche Datenschutzniveau beauftragter Cloud-Anbieter zu überprüfen. Kommt ein Unternehmen dieser Sorgfaltspflicht nicht nach, kann es bei einem Datensicherheitsverstoß auf Seiten des Cloud-Anbieters ebenfalls zur Verantwortung gezogen werden. Und zwar dann, wenn von dem Unternehmen erhobene personenbezogene Daten davon betroffen sind und sich herausstellen sollte, dass das Datenschutzniveau des beauftragten Cloud-Anbieters nicht den Anforderungen der DSGVO entspricht. Hat das Unternehmen hingegen sichergestellt, dass das Datenschutzniveau des beauftragten Cloud-Anbieters ausreichend ist, steht bei einem derartigen Vorfall der Cloud-Anbieter in der Verantwortung.

Für Unternehmen bedeutet dies: Bis Mai 2018 die Verfahrensverzeichnisse ihrer Cloud-Anbieter eingehend überprüfen und für die Zukunft regelmäßige IT-Audits einfordern, um sicherzustellen, dass die Datensicherheit fortwährend gewährleistet ist. Gegenwärtig ist allerdings anzunehmen, dass allein der erste Teil der Aufgabe eine Vielzahl der Unternehmen an ihre Grenzen bringt. Insbesondere, wenn personelle und finanzielle Ressourcen für die Einführung der DSGVO-Standards knapp sind, wird der Zeitdruck empfindlich spürbar.

Doch selbst bei fristgerechter, gewissenhafter Verifizierung des Datenschutzniveaus der Cloud-Anbieter bleibt für Unternehmen ein gewisses Restrisiko: Als Auftragsdatenverarbeiter müssen sie der Informationspflicht ihren Kunden gegenüber auch bei Datensicherheitsvorfällen nachkommen, für die der Cloud-Anbieter die Verantwortung trägt. Ein Imageschaden gegenüber den Kunden ist somit trotz aller sorgfältigen Bemühungen nicht ausgeschlossen. Ebenso besteht theoretisch die Möglichkeit, dass auf Seiten des Cloud-Anbieters sich jemand unberechtigt Zugriff auf sensible Unternehmensdaten verschafft, dies jedoch unbemerkt bleibt. Ein gewisses Maß an Unsicherheit bleibt für Cloud-Nutzer somit trotz allem bestehen.

Datenverschlüsselung: Sicherheitsvorteil und Zeitgewinn

Die Rolle als Auftragsdatenverarbeiter gewissenhaft wahrzunehmen und vollständige Kontrolle über sämtliche Daten zu behalten, ist insbesondere bei der Nutzung von Cloud-Anwendungen also gar nicht so einfach. Doch die DSGVO hält dafür sogar einen Lösungsweg bereit, wie in Artikel 34, Abs. 3a) dargelegt: „Die Benachrichtigung der betroffenen Person […] ist nicht erforderlich, wenn […] der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung,“[…]. Einfach gesprochen bedeutet dies, dass die Informationspflicht gegenüber Kunden entfällt, sofern durch eine Verschlüsselungslösung sichergestellt ist, dass die Daten in der Cloud im Falle eines Verlusts oder Diebstahls nutzlos sind. Im Sinne der DSGVO hat damit kein meldepflichtiger Datenverlust stattgefunden. Weiterhin kann auch die Meldung an die Aufsichtsbehörde entfallen, da sichergestellt ist, dass „[…] die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“ (Art. 33, Abs. 1)

Bei dem Verschlüsselungsverfahren sollten Unternehmen auf den höchsten Standard, derzeit AES-256 (Advanced Encryption Standard) setzen. Der Advanced Encryption Standard nutzt 256-Bit-Schlüssel für die Chiffrierung von Daten. Ein Initialisierungsvektor stellt sicher, dass bei jedem Verschlüsselungsvorgang ein neuer, zufälliger Schlüssel generiert wird. Damit in einer großen Datenmenge dauerhaft ausreichend Zufälligkeit sichergestellt ist, sollte der Initialisierungsvektor ebenso lang sein wie der Schlüssel – also ebenfalls 256 Bit.

Ein genauer Blick lohnt sich an dieser Stelle: Bei manchen Lösungen wird der Initialisierungsvektor häufig gekürzt, um die Anwendungsperformance nicht zu gefährden. Vorsicht ist auch bei der Verwaltung der Schlüssel geboten: Die Verschlüsselungsanwendung sollte dem nutzenden Unternehmen das Generieren und Verwalten von Schlüsseln ermöglichen. Damit wird dafür gesorgt, dass die Informationen zu den Schlüsseln das Unternehmen nicht verlassen. Innerhalb des Unternehmens sollte auch Schwachstellen durch Benutzer vorgebeugt werden, indem die Verwaltung der Schlüssel sowie die Zugriffsrechte in die Hände eines möglichst kleinen Personenkreises gegeben werden sollten. Mit derartigen Prinzipien ist ein Höchstmaß an Sicherheit gegeben – bei der Verwendung durch Unternehmensangehörige, der Übertragung zu und der Speicherung in der Cloud.

Der andere unbestreitbare Vorteil, den Cloud-Verschlüsselung den Unternehmen derzeit bietet, ist Zeit. Mit dem Einsatz eines zuverlässigen Verschlüsselungsverfahrens ist für Unternehmen die eingehende Überprüfung ihrer Cloud-Anbieter weniger zeitkritisch, da Datensicherheit grundsätzlich gegeben ist. Bis Mai 2018 bleibt für sie daher zunächst nur zu klären, ob ihr Cloud-Anbieter Subunternehmen nutzt, und diese gegebenenfalls in EU-Drittstaaten beheimatet sind, also Daten ins EU-Ausland übertragen werden. Sollte dies der Fall sein, muss noch rechtzeitig vor Ausführung der DSGVO das Einverständnis der Kunden eingeholt werden. Ansonsten können Unternehmen mit einer zuverlässigen Verschlüsselungslösung und einem passenden Zugriffskonzept der Cloud-Nutzung vor dem Hintergrund der DSGVO mit einer gewissen Gelassenheit entgegensehen.

Über den Autor: Eduard Meelhuysen ist Vice President Sales EMEA bei Bitglass.

(ID:44933440)