Datum
21. Juli 2017
Autor
von Rebecca Vlassakidis
Thema
Cloud

Wie Cloud-Compliance sicherstellen?

5 von 5 Sterne, 1 Bewertung

DSGVO: Cloud-Nutzer und Anbieter sind in der Pflicht

Es ist ein kleines Dilemma: Unternehmen, die verschiedene Cloud-Modelle nutzen, verlieren ein Stück weit ihre Datenhoheit, da diese bei den Anbietern liegt. Doch wenn es um die Compliance geht, beispielsweise vor dem Hintergrund der neuen EU-Datenschutzrichtlinie (DSGVO), dann ist alleine der Nutzer für den Schutz seiner Cloud-Daten und die Einhaltung der gesetzlichen-Anforderungen verantwortlich. Wie lässt sich die Cloud-Compliance hier sicherstellen?

Immer mehr Daten wandern in die Cloud – das ist nicht zuletzt auch der Digitalisierung geschuldet. Automatisierte Prozesse mithilfe von neuen Technologien produzieren große Datenmengen, die zusätzliche Speicherkapazitäten benötigen. Deshalb wird die Cloud als externer Speicherort immer attraktiver. Oftmals sind bei internationalen Unternehmen auch ERP-Systeme von Landesgesellschaften in der Cloud, um globale Workflows besser zu steuern. Dadurch können allerdings auch geschäftskritische und personenbezogene Daten in der Cloud landen. Insbesondere die zunehmende Nutzung von schwer kontrollierbaren Speicherorten in der Cloud lässt Organisationen laut einer Veritas-Studie hinsichtlich der Compliance keine Ruhe. So verwendet ein Viertel der 2.500 befragten IT-Verantwortlichen cloud-basierte Dienste, obwohl diese nicht ihren Unternehmensrichtlinien entsprechen. Weitere 25 Prozent bestätigten, dass sie nicht anerkannte Speicherdienste außerhalb des Unternehmens verwenden1.

DSGVO: Der Cloud-Nutzer bleibt verantwortlich und steht in der Pflicht

Fakt ist allerdings, dass in erster Linie der Cloud-Nutzer für die Cloud-Daten verantwortlich ist und in der Pflicht steht, wenn es zu Datenpannen kommt. Es sei denn, es lässt sich nachweisen, dass der Cloud-Anbieter oder Provider fahrlässig gehandelt hat und der Umsetzung hinsichtlich seiner Sicherheitsvorkehrungen nicht nachgekommen ist2. Bei Datenschutzverletzungen können also gegenüber dem Auftragsverarbeiter, also dem Cloud-Provider Haftungsansprüche geltend gemacht werden. „Cloud-Betreiber sind für die Sicherheit ihrer Cloud verantwortlich und sollten mit dieser Verantwortung sorgsam umgehen. Der Betrieb von Clouds mit veralteten Software-Versionen, für die bereits seit langer Zeit Updates der Hersteller bereitstehen, ist fahrlässig und macht es Kriminellen viel zu leicht, sensible Daten zu stehlen oder Geschäftsprozesse zu beeinflussen, so der BSI-Präsident Arne Schönbohm im März 20173. Datenschutzverletzungen müssen von Seiten des Cloud-Providers unverzüglich an ihre Kunden gemeldet werden. Laut Artikel 30 der DSGVO müssen diese ein eigenes Verzeichnis der Verarbeitungstätigkeiten führen, also ein eigenes Verfahrensverzeichnis für seine Auftragsverarbeitung (Artikel 30, DSGVO).

Unternehmen sollten also gemeinsam mit dem Anbieter überprüfen, ob die vorhandenen Maßnahmen genügen und Anforderungen an den Datenschutz eingehalten werden.

Folgende Fragen müssen daher beantwortet werden:

  • Welche Cloud-Dienste sind im Einsatz?
  • An welchen Standorten befinden sich die Cloud-Daten physisch?
  • Welche kritischen und unkritischen Daten befinden sich in der Cloud?
  • Erfolgt eine Datenübermittlung in Drittstaaten und wie wird von Seiten des Anbieters das erforderliche Datenschutzniveau eingehalten?
  • Sind Subunternehmen im Einsatz, die die Auftragsverarbeitung der Daten übernehmen?
  • Steht ein Wechsel des Cloud-Anbieters an? Wie stellt der Provider die Übertragung der Daten sicher?

Diese Fragen sollten Bestandteil bei der Kontrolle der eigenen Cloud-Dienste sein. Sicherheitsreportings oder Prüfberichte, die in bestimmten Abständen von den Unternehmen eingefordert werden sollten, helfen um die Sicherheitsvorkehrungen der Cloud-Anbieter zu überprüfen.

Zertifizierungen und Datenschutzzertifikate helfen

Sogenannte Datenschutzzertifikate, die den Vorgaben der DSGVO entsprechen, können hierbei zusätzliche Garantien bei einem Audit des Anbieters geben. Bei anderen Cloud-Zertifikaten, die im Übrigen auch von der BSI empfohlen werden, wie SaaS von EuroCloud, CSA STAR, TÜV Trust IT müssen jedoch der Datenschutz im Mittelpunkt stehen und bestehende Zertifizierungsverfahren hinsichtlich der DSGVO-Vorgaben überarbeitet werden. Außerdem müssen laut der DSGVO (Artikel 43) Zertifizierungsstellen akkreditiert sein. Klar ist also, dass sich Unternehmen nicht alleine auf Cloud-Zertifikate verlassen dürfen.

International tätige Unternehmen müssen sich so schnell wie möglich darum kümmern, wo ihre Daten liegen und wie sie sie schützen müssen. Mithilfe regelmäßiger Sicherheitsreports und Prüfberichte sowie externen Audits lassen sich Sicherheitsvorkehrungen des Cloud-Anbieters überprüfen. Nur so lässt sich am Ende die Compliance sicherstellen und Bußgelder oder Auswirkungen auf das Image vermeiden.

1 Veritas Pressemitteilung: Mehr als die Hälfte der Unternehmen ist nicht auf die Datenschutz-Grundverordnung vorbereitet, Dezember 2016
https://www.veritas.com/de/de/news-releases/2016-12-15-veritas-study-reveals-over-half-of-businesses-are-unprepared-for-gdpr

2 Datenschutzgrundverordnung (DSGVO): Art. 28 DSGVO Auftragsverarbeiter
https://dsgvo-gesetz.de/art-28-dsgvo/

3 Bundesamt für Sicherheit (BSI) Pressemitteilung: Tausende Clouds in Deutschland anfällig für Cyber-Attacken
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2017/Cloud_unsicher_16032017.html

Bildquelle: © adam121, Fotolia

Sie möchten mit dem Autor Kontakt aufnehmen?
Schreiben Sie an r.vlassakidis@byde.eu

Kommentare

5 von 5 Sterne, 1 Bewertung

Es gibt noch keine Kommentare

Kommentar hinterlassen