DSGVO erfordert neues Management der Multi-Cloud

Am Cloud Computing kommt keiner vorbei. Gerade die Kombination verschiedener Modelle und Anbieter, Stichwort Multi-Cloud, bietet eine hochflexible Infrastruktur, um gezielt auf die Ressourcen und Vorteile unterschiedlicher Cloud-Modelle zugreifen zu können. 

Doch angesichts der in Kraft getretenen Datenschutz-Grundverordnung (DSGVO) kommen neue Sicherheits- und Compliance-Anforderungen auf die Unternehmen zu. Wie lässt sich die Komplexität einer Multi-Cloud-Umgebung auch datenschutzrechtlich sicher managen und was sollten Unternehmen bei der Wahl ihres Cloud-Providers beachten? Der Beitrag gibt Handlungsempfehlungen, wie Unternehmen den Mehrwert der Multi-Cloud nutzen und gleichzeitig auch ihre DSGVO-Konformität sicherstellen können.

Anzeige

Die Business-Anforderungen der Digitalisierung können nur unzureichend mit einer einzigen Cloud erfüllt werden. Das erkennen auch immer mehr Unternehmen an: So setzen bereits heute 9,1 Prozent der Unternehmen laut Crisp-Studie „Vendor Universe“ auf die Multi-Cloud – bis 2020 soll sich der Anteil auf 30,4 Prozent verdreifachen. Das ist auch kein Wunder, schließlich bietet dieses Modell durch die Verbindung mehrerer Plattformen eine besonders flexible und kostengünstige Infrastruktur für IT-Ressourcen. So können Unternehmen über eine Plattform alle Vorteile der Private-, Public- sowie Hybrid-Cloud zur gleichen Zeit und genau nach ihren Anforderungen nutzen.

Doch spätestens nach dem 25. Mai 2018 müssen Unternehmen gerade bei der Handhabung einer so vielschichtigen Lösung noch genauer auf die Themen Datenschutz und Datensicherheit blicken. Denn mit der Europäischen Datenschutz-Grundverordnung ist ein Regelwerk in Kraft getretten, das Anbieter und Nutzer gleichermaßen in die Pflicht nimmt – und bei Nichteinhaltung hohe Strafen von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Firmenumsatzes zur Folge hat. Wer auf eine Multi-Cloud-Umgebung setzt, ist gut beraten, die Komplexität in Sachen Datenschutz möglichst weit zu reduzieren. Unternehmen arbeiten dabei bestenfalls mit einem ICT-Service-Provider zusammen, der ihnen alle Bausteine sowie deren Management DSGVO-konform aus einer Hand bietet.

Wie Verantwortliche in Unternehmen ihre Multi-Cloud-Umgebung aufstellen, vertrauenswürdige Partner erkennen und die Cloud-Orchestrierung genauso effizient wie sicher managen, zeigt die folgende Checkliste:

Alle Daten im Blick

Unwissenheit ist keine Option: Alle personenbezogenen Daten von EU-Bürgern, um die es bei der DSGVO geht, müssen beim Umgang mit Multi-Cloud-Umgebungen stets genauestens zurückverfolgt werden können. Dies gilt sowohl für langfristig gespeicherte als auch für temporär bearbeitete Daten – und das über alle Cloud-Modelle, Anbieter und Services hinweg (SaaS, IaaS, PaaS). Unübersichtlichkeit oder unbekannte Infrastrukturen, Stichwort Schatten-IT, müssen demzufolge unbedingt verhindert werden. Notwendig ist der Überblick insbesondere aus zwei zentralen Gründen: Zum einen verfügen Endkunden mit der DSGVO über weitreichende Rechte, unter anderem über Auskunft (Artikel 15), Berichtigung (Artikel 16), Löschung (Artikel 17), Einschränkung der Verarbeitung (Artikel 18) sowie Widerspruch (Artikel 21).

Zum anderen muss nachgewiesen werden können, dass Daten von EU-Bürgern nicht in Ländern gespeichert oder verarbeitet werden, deren rechtstaatliche Prinzipien nicht den Vorgaben der Europäischen Union entsprechen (Artikel 44 ff.). Selbst bei eigentlich hohen rechtstaatlichen Standards besteht die Gefahr, dass Cloud-Provider, die nicht aus der EU kommen, staatlichen Stellen den Zugang zu personenbezogenen Daten ermöglichen (müssen). Vorbeugen lässt sich dem nur, indem von Anfang an auch bei Multi-Cloud-Umgebungen nur bestimmte Dienste in Betracht gezogen werden: Erstens sollte der Standort der Rechenzentren ausschließlich innerhalb der EU sein und zweitens sollte nur ein (Multi-)Cloud-Anbieter aus einem EU-Mitgliedsstaat die alleinige Kontrolle über die Dienste haben. Denn diese sind nur der DSGVO gegenüber rechenschaftspflichtig.

Sicherheit wird großgeschrieben

Personenbezogene Daten von EU-Bürgern sind die neuen Kronjuwelen. Ihr Schutz vor unerlaubtem Zugriff, Verlust oder Missbrauch hat höchste Priorität. Daher sollten Unternehmen nur Multi-Cloud-Anbieter auswählen, deren Sicherheitskonzept dem aktuellen Stand der Technik entspricht (Artikel 32). Trotz einiger Ungenauigkeiten im Gesetzestext sollte das Security-Konzept etwa Anonymisierung/Pseudonymisierung von Daten – beispielsweise mittels Verschlüsselung –, VPN-gesicherte Zugänge, hochsichere Rechenzentren, Sicherheitsgarantien für Soft- und Hardware-Komponenten sowie umfassende Compliance-Regelungen beinhalten. Wichtige Teile des Datenschutzes im Rahmen der DSGVO bleiben auch die bekannten Konzepte „Privacy by Design“ (Datenschutz durch Technikgestaltung) sowie „Privacy by Default“ (Datenschutz durch datenschutzfreundliche Voreinstellungen). Für Multi-Cloud-Anbieter bedeutete das, dass ein hoher Datenschutz bereits bei der Entwicklung neuer Technologie sowie als Grundgedanke in Form von nutzerfreundlichen Voreinstellung zum Tragen kommen muss (Artikel 25).

Zur Compliance zählen auch genau festgelegte Maßnahmen im Falle einer Kompromittierung von Daten. So muss ein Datenleck unverzüglich – spätestens 72 Stunden nach der Detektion – der landeszuständigen Aufsichtsbehörde gemeldet werden (Artikel 33). Sind sensible, unverschlüsselte personenbezogene Daten betroffen, sind auch die jeweiligen Endkunden sofort zu informieren (Artikel 34). Demnach sollten nur Anbieter in Frage kommen, die auch über umfassende Compliance-Konzepte im Falle einer Datenschutzverletzung verfügen, um schnellstens reagieren zu können.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Eigenverantwortung ist notwendig

Die DSGVO-konforme Sicherheit personenbezogener Daten in Multi-Cloud-Umgebungen ist jedoch keine Einbahnstraße, die nur die Service-Provider in die Pflicht nimmt. Unternehmen müssen auch selbst entsprechende Maßnahmen implementieren, um einer Kompromittierung entgegenzuwirken (Artikel 26). So kann der Nutzer (Datenverantwortlicher) beispielsweise nicht einfach auf den Cloud-Anbieter (Datenverarbeiter) verweisen, wenn es zu einem Datenmissbrauch kommt. Verhindern lässt sich das zum Beispiel, indem die über eine Cloud bearbeiteten oder gespeicherten Daten etwa anonymisiert oder pseudonymisiert werden (Artikel 32). Das gelingt zum einen durch die Verschlüsselung von Daten oder zum anderen durch ihre automatische Verfälschung, sodass sie der eigentlich zugehörigen Person nicht mehr zuzuordnen sind.

Noch vor der Migration in die Cloud sollte der Kunde selbst unbedingt in Eigenleistung gehen und eine Datenschutz-Folgeabschätzung durchführen: Das heißt, als Datenverantwortlicher (Cloud-Nutzer) muss er genau überprüfen und ebenfalls dokumentieren, welche Daten er in der Cloud speichert und in ihr bearbeiten lässt. Demnach sollte er auch wissen, ob sich unter ihnen besonders sensible personenbezogene Daten befinden. Dazu zählen Informationen, die etwa Rückschluss auf die ethnische Herkunft, die Religionszugehörigkeit oder gesundheitliche Merkmale zulassen. Auf der anderen Seite ist es für die Datenverarbeiter (Cloud-Anbieter) unabdingbar, einen Datenschutzbeauftragten zu ernennen (Artikel 35).

Compliance allumfassend nachweisen

Ob es um die verwendeten Sicherheitsmaßnahmen, Zugangsberechtigungen, Speicherorte oder Zuständigkeiten geht: Neben der praktischen Einhaltung einer DSGVO-konformen Compliance beim Daten-Handling muss ein Anbieter in einer Multi-Cloud-Umgebung auch dafür Sorge tragen, dass die angewandte Compliance allumfassend dokumentiert und damit nachweisbar ist (Artikel 30). Ein Partner ist nur dann vertrauenswürdig, wenn er auf Nachfrage eine stets aktuelle und lückenlose Dokumentation über alle zur DSGVO implementierten Maßnahmen (Sicherheit und Compliance) aushändigen kann. Dazu gehört ebenfalls, ein klares Regelwerk zwischen Cloud-Anbieter und -Nutzer zur Vereinbarung der Auftragsverarbeitung abzuschließen (Artikel 28). Hierzu bietet beispielsweise der bitkom einen Mustervertrag zum Download an. Auch aus den Verträgen zu einzelnen (Cloud-)Lösungen sollte die DSGVO-Einhaltung hervorgehen. Zudem kann der Nachweis ebenfalls durch eine lückenlose Dokumentation erbracht werden oder zukünftig durch eine DSGVO-Zertifizierung: Derzeit wird das bisher dem Bundesdatenschutzgesetz (BDSG) entsprechende „Trusted Cloud Datenschutzprofil“ (TCDP) auf die genauen Anforderungen der DSGVO hin erweitert. Das entsprechende Zertifikat sollte dann etwa bei einem Multi-Cloud-Provider Standard sein.

Self-Service

Die hohen Anforderungen der DSGVO an das Sicherheitsniveau einer Multi-Cloud-Umgebung sind eine besondere Herausforderung für das Management und die Orchestrierung der verschiedenen Anbieter. Komplizierte Steuerungsverfahren für die einzelnen Cloud-Services helfen hier nicht weiter, denn Prozesse und Arbeitsabläufe würden dadurch nur unnötig ausgebremst. Stattdessen bietet es sich an, einen ICT-Service-Provider zu wählen, der datensichere Einzellösungen bietet sowie zudem die Multi-Cloud-Plattform DSGVO-konform managen und orchestrieren kann – idealerweise aus einer Hand. Denn so reduziert sich die Komplexität für die Unternehmen, die sonst selbst jede einzelne IT-Lösung auf ihre DSGVO-Konformität überprüfen müssten, was einen enormen Aufwand darstellt.

Ein Beispiel: T-Systems bietet mit der Lösung Managed Cloud Operating System (MCOS) ein intelligentes Management-System an, bei dem die einzelnen Fachabteilungen eines Unternehmens über eine Plattform verschiedenen Services (IaaS, PaaS, SaaS) bestellen können. Als Multi-Cloud-Anbieter stellt T-Systems dabei sicher, dass alle Prozesse, die über diese Plattform laufen, DSGVO-konform sind, so dass derartige Self-Service-Angebote bedenkenlos nutzbar sind. Schließlich erfolgt die Orchestrierung der Services als Gesamtpaket im Umfeld einer lückenlosen DSGVO-Compliance. Zudem gewährleisten bei MCOS ein umfangreiches Monitoring, standardisierte Prozesse sowie die mühelose Verschiebung virtueller Systeme von einer Cloud auf eine andere die einfache Handhabung der unterschiedlichen Services bei gleichzeitiger Einhaltung der DSGVO-Vorgaben.

Der Wechsel vom BDSG zur DSGVO, ist demzufolge kein Grund zur Sorge, wenn man die passenden Services und einen DSGVO-spezialisierten Service-Provider beauftragt. Die Vorteile einer Multi-Cloud-Umgebung bei Leistung, Kosten und Flexibilität vollumfänglich zu nutzen, ist dann ohne Weiteres möglich. Ein ganz entscheidender Punkt dafür ist neben dem Standort der Rechenzentren in der EU auch die Herkunft des Anbieters aus der Europäischen Union. Denn nur die geographische wie auch die juristische Bindung an die Europäische Union gewährleisten neben allen Sicherheits- und Compliance-Maßnahmen eine endgültige DSGVO-Konformität. Das gelingt beispielsweise wie im Falle von T-Systems durch ein Datentreuhänder-Modell: Dank in Deutschland befindlicher und klarer Zugangsschranken wird sichergestellt, dass selbst nicht-EU-Anbieter in der Multi-Cloud-Umgebung den Anforderungen der DSGVO entsprechen. Daneben müssen natürlich auch die anderen zuvor genannten Punkte beachtet werden. Arbeiten Unternehmen und Anbieter zudem in zuverlässigen Partnerschaften zusammen, können sie sich gegenseitig erfolgreich unterstützen.

Kurzer Leitfaden der Mindestanforderungen an Unternehmen zur Einhaltung der DSGVO

  • Datenhaltung und -management strukturieren – personenbezogene Daten müssen schnell lokalisierbar sein.
  • Nachweis- und Dokumentationspflicht einhalten und Verfahrensverzeichnisse führen.
  • Kurze Frist für Meldepflicht bei Datenschutzverstößen einhalten – es drohen empfindliche Bußgelder.
  • Compliance-Management-System für Datenschutz einführen.
  • Bewusstsein für Datenschutz und DSGVO im eigenen Unternehmen schärfen – Mitarbeiter schulen und neue Prozesse etablieren.
  • Externe Mitarbeiter, Dienstleister und Zuarbeiter in Compliance-Strategien einbinden.
  • Datenschutzanforderungen schon bei Software-Entwicklung und Produktdesign berücksichtigen (Privacy by Design und Privacy by Default): „Eingebauter Datenschutz ab Werk”.
  • Daten für Test- und Entwicklungszwecke anonymisieren oder pseudonymisieren – oder ausdrückliche Einwilligung des Kunden für Verwendung seiner realen Daten einholen.
  • Bei Datenauslagerung in Cloud „Vendor-Lock-in“ vermeiden und Verfahren für eventuellen Rücktransfer klären.
  • Bei Nutzung von Multi-Cloud-Umgebungen einen Service-Provider wählen, der alle Komponenten sowie deren Steuerung komplett DSGVO-konform aus einer Hand bereitstellt.  

Dr Torsten LangnerDr. Torsten Langner, Digital-Berater der T-Systems International

 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.