Datenschutz-Grundverordnung (DSGVO): Hinweise zur Umsetzung[Gesponsert]

So hilft die Open Telekom Cloud bei der Umsetzung der DSGVO

| Autor: Oliver Schonschek

Die DSGVO stellt auch hohe Anforderungen an Datenschutz in der Cloud.
Die DSGVO stellt auch hohe Anforderungen an Datenschutz in der Cloud. (Bild: © Laymanzoom - stock.adobe.com)

Die Datenschutz-Grundverordnung (DSGVO / GDPR) stellt mehrere neue Anforderungen an Cloud Computing. Die Open Telekom Cloud zeigt, wie sich diese erfüllen lassen.

Wenn es um Cloud Computing geht, steht für viele Unternehmen die Frage im Raum, welche Auswirkungen die Cloud auf den Datenschutz und die Datensicherheit hat. Mit der Datenschutz-Grundverordnung (DSGVO, GDPR), die ab 25. Mai 2018 anzuwenden ist, kommen zusätzliche Fragen auf, die den Datenschutz in der Cloud betreffen.

Ein zentraler Punkt ist dabei, dass es sich bei Cloud Computing datenschutzrechtlich um Auftragsdatenverarbeitung handelt. Hiermit sind verschiedene Kriterien verbunden, die der Cloud-Anbieter der Wahl und der Vertrag des Cloud-Nutzers mit dem Anbieter erfüllen müssen, damit die DSGVO eingehalten wird. Doch es gibt weitere Punkte, die den Datenschutz in der Cloud ausmachen, wenn die DSGVO umgesetzt wird. Die Erfüllung dieser Punkte wird nun an dem Beispiel der Open Telekom Cloud erläutert.

Sicherstellung des Datenschutzniveaus entsprechend der DSGVO

Voraussetzung für datenschutzkonformes Cloud Computing nach DSGVO ist die Gewährleistung eines angemessenen Datenschutzniveaus, das der Datenschutz-Grundverordnung entspricht. Ein Nachweis dieses Datenschutzniveaus kann über entsprechende Zertifizierungen (Artikel 42 DSGVO) erfolgen. Die Open Telekom Cloud wurde bereits mehrfach zertifiziert, darunter ISO 27001 – Information Security, ISO 27017/18 – Sicherheit & Datenschutz in der Cloud, TÜV Trusted Cloud Service, CSA STAR level 2, TCDP 1.0 und BSI C5 - Testat.

Das Datenschutz-Zertifikat TCDP 1.0 zum Beispiel bescheinigt, dass Open Telekom Cloud den datenschutzrechtlichen Anforderungen des Bundesdatenschutzgesetzes an Cloud Computing entspricht. Gegenwärtig wird TCDP überarbeitet, um dann auch die Anforderungen der DSGVO an Cloud Computing zu bescheinigen. Die Open Telekom Cloud macht es ihren Nutzern somit einfach, sich von dem Datenschutzniveau der Cloud zu überzeugen, wie es im Fall von Auftragsverarbeitung (Artikel 28 DSGVO) verlangt wird.

Maßnahmen für die Sicherheit der Verarbeitung nach DSGVO

Ein wichtiger Teil der Anforderungen an Auftragsverarbeitung und damit Cloud Computing betrifft die Sicherheit der Verarbeitung (Artikel 32 DSGVO). Dort werden unter anderem Sicherheitsmaßnahmen genannt wie die Verschlüsselung der Daten und die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen.

Die Open Telekom Cloud bietet Sicherheitsfunktionen wie den Key Management Service (KMS) für die Verschlüsselung und Identity und Access Management (IAM) für Zugangsschutz, Zugriffskontrolle und Berechtigungsmanagement. Für die Belastbarkeit und Verfügbarkeit spielen Funktionen der Open Telekom Cloud wie die Anti-DDoS-Funktion zur Abwehr von Distributed-Denial-of-Service-Attacken eine wichtige Rolle, da DDoS-Attacken ohne entsprechenden Schutz zum Ausfall eines Cloud-Dienstes führen können.

Weiterhin fordert die DSGVO ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. Hier erhalten die Open-Telekom-Cloud-Nutzer Unterstützung durch Funktionen wie Cloud Eye (CES) und Cloud Trace als Cloud-Monitoring. Die Monitoring-Funktionen von Open Telekom Cloud helfen ebenso dabei, mögliche Störungen aufzudecken, was wichtig ist, um die von der DSGVO vorgesehenen Meldepflichten (Artikel 33 und 34 DSGVO) umsetzen zu können.

Ein weiterer Punkt, damit die Datensicherheit auch durch die Cloud-Dienste der Nutzer selbst eingehalten wird: Die Deutsche Telekom stellt die Sicherheit ihrer Applikationen und Services über Privacy und Security Assessments sicher. Kundenapplikationen müssen so gestaltet sein, dass sie die Sicherheit der Systeme nicht gefährden. So würde zum Beispiel zwingend verhindert, dass Adressdaten aus einer Registrierung unverschlüsselt übertragen und ggf. auch gespeichert werden können. Sollte die Deutsche Telekom als Provider davon Kenntnis erlangen, würde sie den Nutzer als Kunden darauf hinweisen.

Umsetzung der Betroffenenrechte wie das Recht auf Datenübertragbarkeit

Mit der DSGVO kommen neue Betroffenenrechte im Datenschutz hinzu, darunter das Recht auf Datenübertragbarkeit (Artikel 20 DSGVO). Demnach hat die betroffene Person (also zum Beispiel ein Kunde des Cloud-Nutzers) das Recht, die sie betreffenden personenbezogenen Daten, die sie bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Unternehmen ohne Behinderung zu übermitteln. Bei der Ausübung ihres Rechts auf Datenübertragbarkeit hat die betroffene Person das Recht, zu erwirken, dass die personenbezogenen Daten direkt einem anderen Unternehmen übermittelt werden, soweit dies technisch machbar ist.

Mit diesem neuen Recht auf Datenübertragbarkeit möchte die DSGVO den Problemen des sogenannten Lock-Ins begegnen. Es muss zum Beispiel möglich sein, von einem Cloud-Dienst zu einem anderen zu wechseln, indem die personenbezogenen Daten der Person, die wechseln möchte, geeignet übertragen werden. Die Umsetzung dieses Rechts wird in der Open Telekom Cloud auch unterstützt durch Funktionen wie Migration-as-a-Service (MaaS), wenn ein Kunde zum Beispiel von einer Cloud-Anwendung zu einer anderen wechseln möchte. Ebenso wirkt die Open Telekom Cloud einem Lock-In entgegen, indem Open Telekom Cloud OpenStack nutzt, einen offenen Open-Source-Standard. Dadurch können Kunden den Anbieter auf Wunsch wechseln.

Es zeigt sich: Unternehmen müssen die Vorgaben der Datenschutz-Grundverordnung im Cloud Computing fristgerecht umsetzen. Dabei hilft ihnen eine Cloud wie die Open Telekom Cloud, da die Open Telekom Cloud im Sinne von Privacy by Design bereits mit Funktionen und Sicherheitseigenschaften ausgestattet ist, die die DSGVO bereits bei der Entwicklung im Blick hatten.

Webinar zum Thema DSGVO am 7.12.2017

Erfahren Sie im Webinar am 07.12.17 um 10 Uhr von den beiden Experten Max Guhl und Frank Wagner, welche Auswirkungen die DSGVO auf die Auswahl Ihres Cloud-Providers hat. Lernen sie die Open Telekom Cloud als eine sinnvolle Cloud-Mix-Ergänzung kennen mit ihren offenen Standards wie OpenStack, ihrer Unabhängigkeit und Flexibilität bei der Wahl Ihrer Anbieter.

Als Teilnehmer haben Sie auch die Möglichkeit, während des Webinars Fragen zu stellen, um so Antworten auf individuelle Fragestellungen zu erhalten. Weitere Informationen und Anmeldung

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44987082 / DSGVO - Datenschutz Grundverordnung)