EU-DSGVO und Cloud Computing – Widerspruch oder Perfect Match?

  • Die neue EU-Datenschutzgrundverordnung (EU-DSGVO) ist eine Reifeprüfung für Unternehmen und den Cloud-Markt. Mit Inkrafttreten der DSGVO am 25. Mai 2018 müssen sich Unternehmen aller Größen und Branchen mit zahlreichen juristischen, organisatorischen und technologischen  Fragen beschäftigen.
  • Viele Unternehmen sind zum derzeitigen Zeitpunkt noch nicht  “DSGVO-ready”. Diese sollten  ihre IT-Sicherheits- und Datenschutzstrategien dringend überarbeiten.
  • Cloud Computing und ein erhöhtes Datenschutzniveau können auch Hand in Hand gehen. Dadurch eröffnen sich aus den harten regulatorischen Herausforderungen der EU-DSGVO unter Umständen neue Chancen für Cloud-Nutzer und Cloud-Anbieter.
  • Wichtige Indikatoren bei der “DSGVO-Readiness” sind der Datenschutz-Mindset innerhalb der Unternehmen und die Höhe des Datenschutz Risikos, sprich was, wo und wie unternehmenskritische Workloads auf Cloud-Infrastrukturen betrieben werden.

Datenschutz und Datensicherheit rücken immer mehr ins Rampenlicht im Zuge der Digitalisierung und gelten als Schlüsselqualifikation, um den Pfad der Digitalen Transformation erfolgreich beschreiten zu können.

Datenschutz Der Datenschutz befasst sich mit dem Schutz von Persönlichkeitsrechten während der Datenverarbeitung.
Datensicherheit Datensicherheit bedeutet mittels technischen und organisatorischen Maßnahmen IT-Systeme gegen unerlaubte Zugriffe zu sichern.

Im Rahmen dieser Thematiken ist nun die neue EU-Datenschutzgrundverordnung (EU-DSGVO) in aller Munde. Doch konkrete Antworten und Lösungswege für die richtige Datenschutz-Strategie und Vorbereitung auf die EU-DSGVO sind oftmals noch Mangelware. Denn die Anforderungen des Datenschutzes und die der EU-DSGVO sind keine leichte Übung. Vielmehr sind sie Herausforderung und Chance zugleich. Unternehmensentscheider und Security-Experten stellen sich nun die Frage, welche Neuerungen durch die DSGVO Einzug erhalten und wie sie die Umsetzung der DSGVO vorbereiten und durchführen sollten. Zudem schwingt die Frage der “EU-DSGVO-Readiness” bei den CISOs & Co. mit. Wie weit ist das eigene Unternehmen schon heute “DSGVO-ready”?

Eine Vielzahl der Unternehmensentscheider wird sich denken “schon wieder irgend eine neue Regulierung aus Brüssel, die nie jemand merken wird”. Jedoch gibt die neue EU-DSGVO, international unter GDPR bekannt, selbst gute Gründe dafür, diese ernst zu nehmen. Vornehmlich werden die Betroffenenrechte gestärkt. Dies bedeutet für Unternehmen, dass bei Datenschutzpannen vor allem finanzielle Sanktionen das eigene Unternehmen hart treffen können. Neben dem materiellen Schaden ist aber auch auf den Imageschaden hinzuweisen. Medienhäuser sind derweil darauf aus, Datenschutzpannen medial publik zu machen - ein Warnschuss für alle Unternehmen, sich jetzt noch rechtzeitig Expertise in diesem Kontext ins Haus zu holen.

Denn mit dem Inkrafttreten der DSGVO im Mai 2018 werden die Bußgelder drastisch erhöht. Mit Bußgeldern von bis zu 20 Mio. € oder bis zu 4 Prozent des Jahresumsatzes, hat das Thema entsprechend Aufmerksamkeit auf Managementebene erlangt und zwar für Firmen aller Größenklassen. Hintergrund und Ziel der EU-DSGVO ist die Harmonisierung zwischen den EU-Ländern, sodass ein einheitliches Datenschutzrecht in der EU-Zone gegeben ist und gleichzeitig die Rechtsposition von Betroffenen verbessert wird. Ein kurzer Überblick der Änderungen:

  • Bußgelder bei Verstößen deutlich erhöht - bis zu 2 Prozent bzw. 4 Prozent des Jahresumsatzes, je nach Schwere des Verstoßes
  • Die Betroffenenrechte wurden durch die Transparenz & Informationspflichten deutlich gestärkt
  • Neben den bekannten Pflichten des Datenschutzes kommen beispielsweise neue Pflichten zur datenschutzfreundlichen Voreinstellung von elektronischen Geräten hinzu
  • Die neue DSGVO gilt auch für Unternehmen, die ihren Sitz nicht in der EU haben, jedoch Daten von EU-Bürgern erheben

DSGVO - Im  Kontext von Cloud Computing

Für viele Unternehmen ist die EU-DSGVO ein aufwändiges Projekt. Juristische, technische und organisatorische Herausforderungen, die die EU-DSGVO mit sich bringt, müssen bisher meist nebenher in Einklang gebracht werden. Gerade bei großen Migrationsprojekten im Cloud Computing-Umfeld, im IoT-Umfeld oder bei Big Data-Szenarien lässt das Alltagsgeschäft wenig Zeit, sich noch um die Umsetzung der EU-DSGVO zu kümmern. Jedoch bietet die EU-DSGVO neben zahlreichen Herausforderungen bei der Umsetzung auch die Chance sich zu beweisen und Datenschutz bzw. IT-Sicherheitsstrategien vor allem im Kontext Cloud-Computing neu zu definieren - EU-DSGVO ernst nehmen, planen und umsetzen. So die Devise.

Vor allem das Thema Cloud Computing wirft im Rahmen der EU-DSGVO viele Fragen in den Raum. Bei Cloud Computing handelt es sich bei technischer Betrachtung um Auftragsdatenverarbeitung. Der Cloud-Nutzer soll zu jeder Zeit vollumfänglich über Art und Weise der Datenverarbeitung Bescheid wissen. Cloud Provider und Ressourcen-Anbieter unterstützen lediglich mit ihren Funktionen und sind von den rechtlichen Vorgaben der verantwortlichen Stelle abhängig.

Heißt, im Rahmen der EU-DSGVO müssen Cloud Provider und Unternehmen dementsprechend die rechtlichen Mindestanforderungen für jeden Cloud-Service erfüllen.

Die Unternehmen, die mit einer Vielzahl an kritischen Daten arbeiten, müssen unter anderem gemäß Artikel 28 EU-DSGVO “hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen (TOMs) so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.”

Für Unternehmen stellt sich nun die Frage, welchen Cloud-Anbietern sie vertrauen können. Zugleich ist für Unternehmen wichtig zu wissen, welche technischen und organisatorischen Maßnahmen (TOMs) sie treffen müssen, um “EU-DSGVO-konform” zu sein.

Grundsätzlich können Nutzer ein datenschutzkonformes Unternehmen anhand der Zertifizierungen erkennen. Als Standard werden heute schon ISO Zertifizierungen zu Cloud, Informationssicherheit und Datenschutz angesehen. Zudem ist die C5 Zertifizierung des Bundesamt für Sicherheit in der Informationstechnik (BSI) ein Indikator dafür, dass ein Cloud Provider die Rahmenbedingungen der EU-DSGVO erfüllt.  

Unternehmen, die Daten auf einer Cloud lagern, müssen Datenschutz und Datensicherheit in ihrer Cloud garantieren, unabhängig davon auf welcher Infrastruktur die Daten gelagert werden. Insbesondere wird Wert auf die Pseudonymisierung und Verschlüsselung personenbezogener Daten gelegt. Zudem spielt die Belastbarkeit der Systeme eine wichtige Rolle. Denn nur wenn die Fähigkeit gegeben ist, dass die Vertraulichkeit, Integrität und Verfügbarkeit der Systeme bei hoher Belastung standhält, ist auf Dauer die Verarbeitung von Daten möglich. Auch die Fähigkeit bei einem Ausfall die Daten sicherzustellen und vor allem schnell wiederherzustellen, ist ein wichtiger Faktor. Mit regelmäßigen Audits zur Überprüfung, Scoring und Evaluierung der technischen und organisatorischen Maßnahmen (TOMs) kann die Sicherheit der Verarbeitung garantiert werden.

Chancen und Pflichten für CISOs - der richtige Cloud Partner als Sparringspartner

Für CISOs und Unternehemnsentschieder sollte die EU-DSGVO als Politik und Prozessthema betrachtet werden und wird derzeit wohl ganz oben auf der Agenda stehen. Zieht man die richtigen Stellschrauben innerhalb der eigenen Organisation an, lässt sich mit einer guten Planung die Umsetzung der EU-DSGVO erfolgreich meistern.

Auch ist es richtungsweisend welche Cloud-Strategie Unternehmensentscheider für das eigene Unternehmen gewählt haben. So sind Hybrid und Multi Cloud Ansätze weitaus aufwendiger zu koordinieren und weisen dementsprechend  ein höheres Datenschutz-Risiko auf.

Die Vielzahl an unterschiedlichen Cloud-Providern, vor allem im Public Cloud Umfeld, macht es CISOs nicht gerade einfach die DSGVO-konformität sicherzustellen.

Deshalb müssen CICOs alle Cloud Provider genau checken und kennen. Denn der richtige Cloud-Partner kann an dieser Stelle ein wertvoller Sparringspartner sein, der mit seiner Expertise in Sachen Compliance und Sicherheit dem eigenen Unternehmen helfen kann, “DSGVO-ready” zu werden. Gleichzeitig kann aber auch einer der Cloud Provider innerhalb einer Multi Cloud-Strategie alle Mühen für eine erfolgreiche DSGVO-Konformität unterwandern, indem er das entscheidende Leck in seinen Produkten und Verträgen eingebaut hat.

DSGVO-Readiness Tool by Crisp Research und Profitbricks

Wie weit ist ihr Unternehmen im Rahmen von Cloud Computing schon derzeit “DSGVO-ready” ?- Machen Sie den Test mit dem “DSGVO-Readiness Tool” von Crisp Research und Profitbricks.

Im Rahmen des „DSGVO-Readiness Tools“ wurden Informationen zu den allgemeinen Digitalisierungs-Aktivitäten, sowie speziell zu den Datenschutz-spezifischen Aktivitäten und vor allem der DSGVO-Planung und -Umsetzung analysiert und bewertet.  

Das „DSGVO-Readiness Tool“ von Crisp Research und Profitbricks bietet Ihnen:

  • Eine Positionsbestimmung zum Stand Ihrer Vorbereitung auf die EU-DSGVO des eigenen Unternehmens.
  • Die Identifikation von Herausforderungen und relevanter Handlungsfelder im Kontext des Datenschutzes.
  • Eine GAP-Analyse zur Bewertung des IST/SOLL-Zustandes im Rahmen des Datenschutzes im eigenen Unternehmen.
  • Konkrete Empfehlungen, um die weiteren Schritte der EU-DSGVO erfolgreich und agil zu gestalten.

Teilnahme unter https://dsgvo.profitbricks.de/

Lesen Sie in Kürze im zweiten Teil  unseres Analyst Views mehr zum Thema Planung und Umsetzung im Kontext der EU-DSGVO.

Mehr zu den Themen Cloud Computing Cloud Security Datenschutz EU-DSGVO IT-Sicherheit

Share on:


Über den Autor:

Analyst

Jan MentelJan Mentel ist als Analyst des IT-Research- und Beratungsunternehmens Crisp Research tätig. Inhaltliche Schwerpunkte sind Cloud-Computing, Mobility Solutions und Internet of Things mit besonderem Fokus auf Datenschutz, Compliance und Implikation der EU-Datenschutzgrundverordnung. Weiterhin unterstützt er im Rahmen des Researchs sowie individueller Kundenprojekte bei der Recherche und Beratungsarbeit. Jan Mentel studierte Wirtschaftsrecht an der Universität Kassel.