Multi-Cloud-Management

Andrea Gillhuber,

DSGVO und Multi-Cloud - Ein Grund zur Sorge?

Zahlreiche Unternehmen nutzen bereits eine oder mehrere Clouds. Mit der neuen EU-DSGVO kommt es nun zu Unsicherheiten, ob sie den Anforderungen an Datenschutz und Datensicherheit gerecht werden. Wenn gewisse Voraussetzungen erfüllt werden, besteht kein Grund zur Sorge. Von Dr. Torsten Langner.

Was gilt es in Sachen Datenschutz und Datensicherheit zu beachten, wenn ein Unternehmen in unterschiedlichen Clouds unterwegs ist? Dr. Torsten Langner, Digital-Berater für T-Systems, gibt Antworten.

Seit dem 25. Mai ist die Datenschutz-Grundverordnung (DSGVO) in Kraft und sorgt in vielen Unternehmen für Unsicherheit, gerade wenn diese in unterschiedlichen Clouds unterwegs sind. Das geht so weit, dass mehr als die Hälfte aller Befragten (54 Prozent) einer Studie glauben, dass die Anforderungen der DSGVO einfacher zu erfüllen seien, wenn ihr Unternehmen wieder zur selbst betriebenen IT (on premise) zurückkehren würde. Gleichzeitig wissen aber die meisten, dass der Schritt in eine digitale Zukunft ohne Cloud nicht möglich ist. Das bestätigt auch die ISG Experton Group in ihrer Studie ISG Provider Lens Germany 2017 Cloud Transformation/Operation Services & XaaS. Was also tun, um diesen Konflikt zu lösen und die Multi-Cloud-Landschaften DSGVO-konform zu gestalten? Und wie einen Provider auswählen, der bei der DSGVO-Einhaltung sicher unterstützt? 

Anzeige

Die Herausforderungen an Datenschutz und -sicherheit sind mit der DSGVO komplexer geworden, erst recht, wenn Unternehmen ihre Informationen in verschiedenen Private und Public Clouds vorhalten. So müssen alle Cloud-Nutzer und -Anbieter lückenlos nachweisen können, wo personenbezogenen Daten physisch gespeichert und verarbeitet werden, um diese zu schützen und gegebenenfalls jederzeit löschen zu können. 

Umso wichtiger wird der Aspekt, an welchem Standort das Rechenzentrum steht, in dem die Daten liegen. So sollten sämtliche personenbezogene Daten in der Cloud in Rechenzentren innerhalb der EU gespeichert und vorgehalten werden. Mit diesem Ansatz will die EU verhindern, dass personenbezogene Daten von EU-Bürgern in Länder gelangen, deren rechtsstaatliche Prinzipien nicht den Anforderungen der EU entsprechen. Das soll etwa vermeiden, dass Informationen in die Hände von Geheimdiensten gelangen. Wer auf Nummer sicher gehen möchte, sucht sich einen Provider mit Rechenzentrum in Deutschland. Dank langjähriger Erfahrung mit dem strengen Bundesdatenschutzgesetz (BDSG) können deutsche Cloud-Anbieter eher garantieren, auch die Anforderungen der DSGVO vollumfänglich zu erfüllen.

Von Grund auf sicher

Doch der Standort ist nicht das einzige Kriterium: Wer als Provider DSGVO-konform sein möchte, muss sich durch hochsichere Rechenzentren auszeichnen: Unter die erforderlichen Schutzmaßnahmen fallen etwa Datenzuleitung über ein eigens gesichertes VPN (Virtual Private Network), Sicherheitsschleusen und Intrusion-Detection- und -Prevention-Systeme. Zudem ist es für die Betreiber von Rechenzentren Pflicht, einen Datenschutzbeauftragten zu benennen, der in allen Fragen der Sicherheit als Ansprechpartner zur Verfügung steht.

Zudem empfiehlt die DSGVO, dass die Konzepte „Privacy by Design“ (Datenschutz durch Technikgestaltung) und „Privacy by Default“ (Datenschutz durch datenschutzfreundliche Voreinstellungen) unbedingt Teil des Sicherheitskonzepts sein sollten: „Privacy by Design“ bedeutet, dass Technologie bereits datenschutzkonform entwickelt wird, indem z. B. Daten bei der Übertragung automatisch verschlüsselt werden. „Privacy by Default“ bezieht sich auf die Werkseinstellungen von Hard- oder Software, die von Anfang an den Anforderungen der DSGVO entsprechen sollen und nicht eigens vom Nutzer eingestellt werden müssen.

Gemeinsam in der Pflicht

Mit der Entscheidung für einen Cloud-Provider wird der Schutz von personenbezogenen Daten in der Cloud zur gemeinsamen Aufgabe von Unternehmen (Verantwortlicher) und Dienstleister (Auftragsverarbeiter). Dadurch wird der Datenschutzaspekt essentiell für die Wahl des Cloud-Providers. Dies zeigt auch der aktuelle Cloud Monitor 2018 von KPMG und Bitkom eindrucksvoll: 97 Prozent aller befragten Unternehmen nennen DSGVO-Konformität ein „Must-have“ bei der Anbieterauswahl. Welche Vorkehrungen sollten nun aber Unternehmen und Provider treffen, um Daten im Einklang mit der DSGVO in einer Cloud-Umgebung zu halten? 

Verschlüsselung ist ein Schlüssel zum Erfolg

Um den optimalen Schutz von Daten zu gewährleisten, sollten diese schon bei der Migration in die Cloud so bearbeitet werden, dass Dritte sie nicht mehr gebrauchen können. Erreichen lässt sich das beispielsweise mittels Anonymisierung/Pseudonymisierung oder Verschlüsselung. Daten sind dann entweder ihrer Quelle nicht mehr zuzuordnen oder sie sind ohne den richtigen Schlüssel nicht mehr zu entziffern. Der Vorteil: Der Verlust von Daten, auf die Dritte nicht mehr zugreifen können, hat auch im Rahmen der DSGVO deutlich geringere Konsequenzen zur Folge, als dies für offen zugängliche personenbezogene Daten der Fall wäre.

Kommt es doch einmal zum Verlust von personenbezogenen Daten, muss dies innerhalb von 72 Stunden nach Entdeckung des Datenlecks an die zuständige Datenschutzbehörde des jeweiligen Landes gemeldet werden. Im Falle von besonders sensiblen, personenbezogenen Daten (zum Beispiel Informationen über Partei- oder Religionszugehörigkeit) ist zusätzlich die betroffene Person zu informieren. Während die Datenschutzbehörde in jedem Fall informiert werden muss, gilt dies für die betroffene Person nicht, sofern die Daten beispielsweise verschlüsselt waren.

Die strengen Meldefristen bedeuten zusätzlich, dass der Cloud-Provider ein hohes Maß an Transparenz aufweisen muss. Denn nur mit einem sorgfältig ausgearbeiteten Compliance-Konzept und umfassender Dokumentation ermöglicht er dem Unternehmen, die behördlichen Meldefristen einzuhalten. Schließlich kann ein Cloud-Nutzer seiner Meldepflicht nur dann nachkommen, wenn der Dienstleister ihn auch rechtzeitig von einem Datenverlust in Kenntnis setzt.

Mit Teamwork sicher in die Cloud

Die momentanen Bedenken in Unternehmen aufgrund der DSGVO sind ernst zu nehmen. Allerdings ist die Vogelstrauß-Taktik genau der falsche Ansatz: Weder die Einhaltung der DSGVO noch der Wechsel in die Multi-Cloud sind optional. Eine vollständige Rückkehr zur On-Premise-IT ist nur in den seltensten Fällen eine Lösung, denn diese kann bereits die heutigen Leistungsanforderungen kaum erfüllen – geschweige denn die von morgen. Wer auf die Vorteile der Multi-Cloud bei Flexibilität, Agilität, Leistung und Skalierbarkeit verzichtet, muss mit Wettbewerbsnachteilen rechnen.

Doch es gibt viele Wege, das Multi-Cloud-Management DSGVO-konform zu gestalten. Ein Beispiel dafür ist MCOS (Managed Cloud Operating System) von T-Systems. Mit dieser Lösung erhalten die verschiedenen Abteilungen eines Unternehmens die Möglichkeit, vollkommen selbstständig im Self-Service ihre notwendigen Ressourcen (IaaS, PaaS, SaaS) auf Knopfdruck zu buchen. Abteilungen sind so in Lage, ihre IT-Landschaften agil, unabhängig und optimal an verschiedene Anforderungen anzupassen und DSGVO-konform zu agieren.

Für die Betreiber von Rechenzentren ist es Pflicht, einen Datenschutzbeauftragten zu benennen, so der Digital-Berater für T-Systems Dr. Torsten Langner. © T-Systems

Wer bei der Migration in die Cloud bzw. bei der Wahl seines Cloud-Anbieters wohlüberlegt vorgeht, kann in Zeiten von Digitalisierung und DSGVO beruhigt in die Zukunft blicken. Zudem wird die Wahl des richtigen Multi-Cloud-Providers für Unternehmen zukünftig noch einfacher: Denn derzeit arbeiten Experten an einer DSGVO-Zertifizierung, mit der ein Cloud-Dienstleister seine DSGVO-Konformität nachweisen kann. Sie wird auf Basis des „Trusted Cloud Datenschutzprofils“ (TCDP) erarbeitet, die Zertifizierung, die sich explizit an den Anforderungen des Bundesdatenschutzgesetzes (BDSG) orientierte. Eine anerkannte Bescheinigung dieser Art, die in naher Zukunft die DSGVO als Grundlage hat, wird die Transparenz im Markt vergrößern. Können Unternehmen und Dienstleister gemeinsam ihre Compliance zur DSGVO nachweisen, stehen alle Wege für eine erfolgreiche und rechtssichere Digitalisierung offen. 

Der Autor: Dr. Torsten Langner ist Digital-Berater bei T-Systems.

Anzeige

Das könnte Sie auch interessieren

Anzeige

Editorial

Wettbewerbsfaktor Daten

Die Automatica brachte viele neue Eindrücke unter anderem in den Bereichen Mensch-Roboter-Kollaboration, Servicerobotik und Greiftechnik. Sie brachte aber auch neue Abläufe beim Visitenkartentausch mit sich.

mehr...
Anzeige

DSGVO

90 % der Betriebe in Deutschland im Rückstand

Mit dem 25. Mai 2018 greift innerhalb der Europäischen Union ein vereinheitlichter Datenschutz-Standard: Die neue DSGVO wirkt zum genannten Stichtag verbindlich. Betroffen sind alle Unternehmen, die entweder ihren Sitz innerhalb der EU haben oder...

mehr...

DSGVO

Bereit für die Verordnung

"Über das, was die neue Datenschutz-Grundverordnung für das eigene Unternehmen bedeutet und wie die Einhaltung der daraus resultierenden Anforderungen im eigenen Netzwerk mit überschaubarem Aufwand gewährleistet werden kann, herrscht vielfach noch...

mehr...

Newsletter bestellen

Immer auf dem Laufenden mit dem SCOPE Newsletter

Aktuelle Unternehmensnachrichten, Produktnews und Innovationen kostenfrei in Ihrer Mailbox.

AGB und Datenschutz gelesen und bestätigt.
Zur Startseite