Die neue EU-Datenschutz-Grundverordnung (DSGVO) tritt am 25. Mai 2018 in Kraft. Infolgedessen müssen Unternehmen aller Größenordnungen die durch die DSGVO erlassenen Änderungen überprüfen und die für sie spezifischen organisatorischen und technischen Auswirkungen identifizieren. Weniger als einen Monat vor Ablauf der gesetzten Frist gelten viele Unternehmen immer noch nicht als „DSGVO-bereit“. Viele von ihnen bemühen sich fieberhaft, die richtigen IT-Sicherheits- und Datenschutzrichtlinien zu implementieren. Cloud-Computing und ein erhöhtes Datenschutzniveau sollten Hand in Hand gehen. Abgesehen von anfänglicher Nervosität könnten die neuen regulatorischen Herausforderungen potenziell neue Chancen für Cloud-Anbieter und Cloud-Nutzer gleichermaßen eröffnen.
TL;DR? Springen Sie zu den sechs Schlüsselkriterien…
Einführung
Datenschutz und Datensicherheit rücken im Zuge der Digitalisierung immer mehr in den Fokus. Sie gelten als Schlüsselqualifikation für den erfolgreichen Weg der digitalen Transformation.
Hintergrund und Ziel der DSGVO ist die Harmonisierung zwischen den EU-Mitgliedstaaten, sodass ein einheitliches Datenschutzrecht für den EU-Raum gilt und gleichzeitig die Rechtsstellung der Betroffenen verbessert wird. Hier sind einige der wichtigsten Änderungen im Zuge der DSGVO:
- Die Geldbußen bei Verstößen werden erheblich erhöht – je nach Schwere des Verstoßes auf bis zu 2 oder 4 Prozent des Jahresumsatzes.
- Die Rechte der betroffenen Personen werden durch die Transparenz- und Informationspflichten deutlich gestärkt.
- Neben den bekannten Pflichten zum Datenschutz werden neue Pflichten eingeführt, beispielsweise für die datenschutzfreundliche Voreinstellung elektronischer Geräte.
- Die neue Verordnung gilt auch für Unternehmen, die ihren Sitz nicht in der EU haben, aber Daten von EU-Bürgern erheben.
Die Herausforderungen
Unternehmensentscheider und Sicherheitsexperten fragen sich nun, wie die neuen DSGVO-Regelungen aussehen werden. Und wie sie sich auf die Umsetzung der DSGVO vorbereiten und diese durchführen sollten. Zudem beschäftigt die Frage der “DSGVO-Bereitschaft” die Chief Information Security Officers (CISOs).
Eine Vielzahl von Geschäftsentscheidern wird denken, dass dies “eine weitere neue Verordnung aus Brüssel ist, die ohnehin niemand bemerken wird”. Es gibt jedoch gute Gründe, die DSGVO zu beachten. In erster Linie werden durch die Änderungen der Verordnung die Rechte aller Betroffenen gestärkt. Dies kann in Zukunft bei Datenschutzverletzungen, die EU-Bürger betreffen, zu erheblichen finanziellen Sanktionen führen.
Neben einem potenziellen materiellen Schaden ist auch ein potenzieller Schaden für den Ruf des Unternehmens von großer Bedeutung. Die Medien sind darauf aus, Datenschutzprobleme an die Öffentlichkeit zu bringen. Dies ist ein Warnschuss für alle Unternehmen, die das für die Einhaltung der neuen Anforderungen erforderliche Fachwissen erst noch aufbringen müssen. Denn mit dem Inkrafttreten der DSGVO im Mai 2018 werden die Bußgelder drastisch erhöht. Mit Bußgeldern von bis zu 20 Mio. € oder bis zu 4 % des Jahresumsatzes hat das Thema DSGVO die Aufmerksamkeit der Führungsebene von Unternehmen aller Größenordnungen erlangt.
Die DSGVO im Kontext von Cloud-Computing
Die neuen Regelungen zum Datenschutz” sind Herausforderung und Chance zugleich. Ein Schlüsselindikator für die “DSGVO-Bereitschaft” ist die Datenschutzeinstellung in den Unternehmen und das gebotene Datenschutzniveau, d. h. welche geschäftskritischen Workloads wo und wie auf Cloud-Infrastrukturen betrieben werden.
Für viele Unternehmen ist die DSGVO ein komplexes Projekt. Rechtliche, technische und organisatorische Herausforderungen, die die DSGVO mit sich bringt, wurden bislang nur teilweise bewältigt. Insbesondere bei großen Migrationsprojekten im Cloud-Computing-Umfeld, im IoT-Umfeld oder in Big-Data-Szenarien lässt das Tagesgeschäft wenig Zeit, sich um die Umsetzung der DSGVO zu kümmern. Neben zahlreichen Herausforderungen bei der Umsetzung bietet die DSGVO jedoch auch die Chance, sich durch die Neudefinition und Implementierung neuer Datenschutz- und IT-Sicherheitsstrategien hervorzutun, insbesondere im Kontext des Cloud Computings.
Infolgedessen wirft das Thema Cloud Computing im Kontext der DSGVO viele Fragen auf. In technischer Hinsicht handelt es sich beim Cloud Computing um einen Auftragsverarbeitungsvertrag. Daher sollte sich der Cloud-Nutzer jederzeit darüber im Klaren sein, wie der Anbieter seine Daten verarbeitet. Cloud-Anbieter und Ressourcen-Anbieter unterstützen nur ihre Funktionen und sind von den gesetzlichen Vorgaben der verantwortlichen Stelle abhängig. Mit anderen Worten: Sowohl Cloud-Anbieter als auch Unternehmen müssen die gesetzlichen Mindestanforderungen für jeden Cloud-Dienst gemäß der DSGVO erfüllen.
Wie lassen sich die potenziellen Herausforderungen hinter der DSGVO nutzen? Es stellen sich zwei Hauptfragen. Einerseits müssen Unternehmen wissen, welchen Cloud-Anbietern sie vertrauen können. Andererseits müssen Unternehmen wissen, welche technischen und organisatorischen Maßnahmen sie ergreifen müssen, um “DSGVO-konform” zu sein.
Chancen und Pflichten für CISOs – der richtige Cloud-Partner
Der richtige Cloud-Partner kann im Hinblick auf die DSGVO ein wertvoller Sparringspartner sein. Denn mit seiner Expertise in den Bereichen Compliance und Sicherheit kann er Ihrem Unternehmen helfen, “DSGVO-ready” zu werden.
Wenn Sie eine Multi-Cloud-Strategie verfolgen, müssen Sie die Datenschutzrichtlinien jedes einzelnen Cloud-Anbieters bewerten. Hybrid- und Multi-Cloud-Ansätze sind weitaus komplexer zu koordinieren und können daher ein höheres Datenschutzrisiko darstellen. Die Vielzahl unterschiedlicher Cloud-Anbieter, insbesondere im Public-Cloud-Umfeld, macht es für CISOs schwierig, die DSGVO-Konformität sicherzustellen. Die DSGVO-Konformität ist nur so stark wie das schwächste Glied. Beispielsweise kann eine Verletzung oder Nichteinhaltung durch einen einzigen Cloud-Anbieter innerhalb einer Multi-Cloud-Bereitstellung alle Bemühungen um eine erfolgreiche DSGVO-Konformität zunichte machen.
Sechs Schlüsselkriterien
Nachfolgend haben wir eine kurze Liste von Kriterien zusammengestellt, anhand derer Sie Ihre potenziellen Cloud-Partner (im Hinblick auf deren DSGVO-Konformität) bewerten können:
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″ ] [vc_column width=”1/2″ style=”text-align: left;”]Sicherheit und Datenschutz
Der erste Schritt besteht darin, zu prüfen, inwieweit der Anbieter in der Lage ist, Ihre IT-Sicherheitsanforderungen zu erfüllen. Eine einfache Möglichkeit für Cloud-Anbieter, die Einhaltung von Sicherheitsstandards und „Privacy by Design“ nachzuweisen, ist eine Zertifizierung nach ISO 27001 oder ISO 27018. Falls nicht, können sie dies durch eine durchgeführte Datenschutz-Folgenabschätzung (DPIA) und/oder eine Sicherheitsbewertung nachweisen.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
CloudSigma Compliance
CloudSigma ist nach ISO 27001 zertifiziert, was sicherstellt, dass alle Aspekte unserer Infrastruktur und Dienste, die für die Bereitstellung und Verwaltung Ihrer Cloud genutzt werden, dem höchsten ISO-Zertifizierungsstandard in Bezug auf Sicherheit und Datenschutz entsprechen.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
Risikomanagement
Unternehmen, die mit einer Vielzahl kritischer Daten arbeiten, müssen hinreichende Garantien (gemäß Artikel 28 der DSGVO) vorlegen. Diese Garantien müssen belegen, dass der für die Verarbeitung Verantwortliche Folgendes einsetzt:
„Nur Auftragsverarbeiter, die hinreichende Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen bieten. Und zwar in der Weise, dass die Verarbeitung den Anforderungen dieser Verordnung entspricht und den Schutz der Rechte der betroffenen Person gewährleistet.“”
Daher müssen Sie sicherstellen, dass Ihr Cloud-Anbieter regelmäßige Audits zur Überprüfung durchführt. Ebenso die Bewertung und Evaluierung technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. Darüber hinaus müssen Sie sicherstellen, dass der Cloud-Partner seinen Kunden das Recht auf Durchführung von Audits einräumt.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
CloudSigma Compliance
Als Kunde einer beliebigen CloudSigma-Cloud-Plattform sind Sie offiziell berechtigt, Sicherheits-, Betriebs- und Prozessaudits in Bezug auf die von uns für Sie erbrachten Dienstleistungen durchzuführen.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
Datenstandort
Sie sollten immer wissen, wo sich der allgemeine Standort Ihrer Daten befindet. Dennoch bieten nicht alle Cloud-Partner die erforderliche Transparenz in Bezug auf die Cloud-Standorte. Beachten Sie, dass der Hauptsitz des Cloud-Anbieters nicht unbedingt der Hosting-Standort Ihrer Daten sein muss. Darüber hinaus verschieben einige Unternehmen Ihre Daten möglicherweise im Hintergrund zwischen verschiedenen Cloud-Standorten, ohne Sie darüber zu informieren. Dies kann Teil der Nutzungsbedingungen des Cloud-Partners sein. Nicht zuletzt können Cloud-Dienstleister Daten an mehreren Standorten speichern. Und einige davon befinden sich möglicherweise außerhalb des EWR. Als Verantwortlicher für die Datenverarbeitung müssen Sie eine länderübergreifende Cloud-Strategie definieren, um sowohl die Angemessenheitsanforderungen als auch die Gesetze zur Datenlokalisierung einzuhalten.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
CloudSigma Compliance
Im Rahmen unserer Nutzungsbedingungen ist CloudSigma so strukturiert, dass Cloud-Standorte rechtlich nach Ländern getrennt sind. Infolgedessen unterliegt jeder Standort ausschließlich dem lokalen rechtlichen Rahmen. Und das alles bei gleichzeitiger Bereitstellung einer zu 100 % lokalen Cloud-Lösung für Endkunden.
Die Standorte sind auch technisch nicht miteinander verbunden, und CloudSigma gewährleistet höchste Transparenz bezüglich des genauen Datenstandorts, der niemals zwischen Cloud-Standorten.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
Sicherheitsfunktionen
Die DSGVO erfordert eine Vielzahl von Datenschutzvorkehrungen, von der Verschlüsselung im Ruhezustand und bei der Übertragung über Zugriffskontrollen bis hin zur Pseudonymisierung und Anonymisierung von Daten. Um dies zu erreichen, wählen Sie einen Cloud-Partner, der eine ausreichende Auswahl an Sicherheitsfunktionen bietet. Zum Beispiel – Backup, Verschlüsselung, Zugriffskontrollrichtlinien und andere. Wenn Ihr Cloud-Partner keine solche Richtlinie hat, müssen Sie sich selbst um die Sicherheitsfunktionen kümmern.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
CloudSigma Compliance
CloudSigma ist bestrebt, seinen Kunden ein hohes Maß an Sicherheit und Datenschutz zu bieten, mit einer Auswahl an Funktionen und Tools, die es ihnen ermöglichen, die verschiedenen Aspekte ihrer IT-Umgebung zu sichern. Auf unserem Blog finden Kunden eine Reihe von Artikeln, die die verschiedenen Sicherheitsfunktionen beschreiben, wie z. B. Verschlüsselung auf Boot-Ebene, Zugriffskontrollrichtlinien, Bestätigung in zwei Schritten, SSH-Schlüssel und andere.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
Mi
Dateneigentum
Als Kunde eines Cloud-Anbieters sind Sie der Datenverantwortliche (Data Controller). Das bedeutet, dass Sie die Kontrolle und das Eigentum über Ihre eigenen Daten behalten müssen. Dies können Sie erreichen, indem Sie einen Auftragsverarbeitungsvertrag (Data Processing Agreement, DPA) mit Ihrem Cloud-Partner unterzeichnen, um zu garantieren, dass der Partner die Datenschutzanforderungen gemäß der DSGVO einhält. Sie können entweder Ihren eigenen Entwurf erstellen oder prüfen, ob Ihr Cloud-Partner eine DPA als Standardbestandteil der Nutzungsbedingungen (Terms of Service) erstellt hat. Der Vorteil der Verwendung eines eigenen Entwurfs besteht darin, dass Sie die Art der erhobenen personenbezogenen Daten und „besonderen“ Daten genau festlegen können. Unabhängig davon, ob Sie die DPA Ihres Partners oder Ihre eigene verwenden, stellen Sie sicher, dass in den Bedingungen klar festgelegt ist, dass der Datenverantwortliche (d. h. Sie) Eigentümer der Daten ist und dass der Auftragsverarbeiter (d. h. der Cloud-Partner) die Daten nicht an Dritte weitergibt.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
CloudSigma Compliance
CloudSigma hat einen Auftragsverarbeitungsvertrag (DPA) erstellt, der es Kunden ermöglicht, ihre DSGVO-Verpflichtungen zu erfüllen. Wir haben die relevanten Teile unserer Nutzungsbedingungen und Datenschutzrichtlinien aktualisiert, um auf die DPA zu verweisen und die DSGVO einzuhalten.
Zudem ist unsere standardmäßige Datenschutzrichtlinie ein sehr transparentes Dokument, das die gesamte Erhebung, Speicherung und Nutzung von Kundendaten in der Cloud beschreibt.
Kunden behalten den vollen, alleinigen Zugriff auf ihre Daten auf Dateisystemebene. Das CloudSigma-System hat keinen Zugriff oder Einblick in VMs oder Laufwerke. Das CloudSigma-Cloud-Managementsystem implementiert ein Zugriffskontroll-Framework, das die Rechte und den Zugriff der Mitarbeiter einschränkt sowie die auf dem System durchgeführten Aktionen protokolliert.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
Daten löschen
Sie müssen sicherstellen, dass Sie nach Beendigung Ihres Vertrags mit dem Cloud-Partner die Daten herunterladen/löschen können. Und auch, dass der Cloud-Partner die Daten löscht, sobald Sie den Dienst gekündigt haben. Einige Cloud-Anbieter (insbesondere wenn sie nach ISO zertifiziert sind) verwenden standardisierte Richtlinien für das Löschen von Daten nach Vertragsablauf. Versuchen Sie herauszufinden, wie lange es dauert, bis der Cloud-Anbieter Ihre Daten löscht.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
CloudSigma Compliance
Bei CloudSigma verarbeitet das System alle Kundendaten automatisch. Dies umfasst das Löschen von Laufwerken, das geplante Löschen von veralteten Konten usw.
CloudSigma erstellt keine Kopien von Laufwerksdaten der Kunden. Die einzige Kopie befindet sich in unserer Cloud, es sei denn, der Kunde entscheidet sich dafür, das Laufwerk auf ein anderes Speichersystem zu klonen.
Zudem können Sie im Rahmen unseres Auftragsverarbeitungsvertrags die Berichtigung, Löschung, Sperrung und/oder Bereitstellung Ihrer Daten während oder nach der Beendigung Ihrer Dienstnutzung verlangen.
[/vc_column]
[/vc_row]
Wie sehr ist Ihr eigenes Unternehmen heute also “DSGVO-bereit”?
Wenden Sie sich für weitere Informationen über CloudSigma und die DSGVO gerne an uns unter dpo (at) cloudsigma.com.
Quellen:
Kommentare
Noch keine Kommentare. Schreiben Sie den ersten.