zurück zur Themenseite

Multi-Cloud-Management

Andrea Gillhuber,

DSGVO und Multi-Cloud - Ein Grund zur Sorge?

Zahlreiche Unternehmen nutzen bereits eine oder mehrere Clouds. Mit der neuen EU-DSGVO kommt es nun zu Unsicherheiten, ob sie den Anforderungen an Datenschutz und Datensicherheit gerecht werden. Wenn gewisse Voraussetzungen erfüllt werden, besteht kein Grund zur Sorge. Von Dr. Torsten Langner.

Was gilt es in Sachen Datenschutz und Datensicherheit zu beachten, wenn ein Unternehmen in unterschiedlichen Clouds unterwegs ist? Dr. Torsten Langner, Digital-Berater für T-Systems, gibt Antworten.

Seit dem 25. Mai ist die Datenschutz-Grundverordnung (DSGVO) in Kraft und sorgt in vielen Unternehmen für Unsicherheit, gerade wenn diese in unterschiedlichen Clouds unterwegs sind. Das geht so weit, dass mehr als die Hälfte aller Befragten (54 Prozent) einer Studie glauben, dass die Anforderungen der DSGVO einfacher zu erfüllen seien, wenn ihr Unternehmen wieder zur selbst betriebenen IT (on premise) zurückkehren würde. Gleichzeitig wissen aber die meisten, dass der Schritt in eine digitale Zukunft ohne Cloud nicht möglich ist. Das bestätigt auch die ISG Experton Group in ihrer Studie ISG Provider Lens Germany 2017 Cloud Transformation/Operation Services & XaaS. Was also tun, um diesen Konflikt zu lösen und die Multi-Cloud-Landschaften DSGVO-konform zu gestalten? Und wie einen Provider auswählen, der bei der DSGVO-Einhaltung sicher unterstützt? 

Anzeige

Die Herausforderungen an Datenschutz und -sicherheit sind mit der DSGVO komplexer geworden, erst recht, wenn Unternehmen ihre Informationen in verschiedenen Private und Public Clouds vorhalten. So müssen alle Cloud-Nutzer und -Anbieter lückenlos nachweisen können, wo personenbezogenen Daten physisch gespeichert und verarbeitet werden, um diese zu schützen und gegebenenfalls jederzeit löschen zu können. 

Umso wichtiger wird der Aspekt, an welchem Standort das Rechenzentrum steht, in dem die Daten liegen. So sollten sämtliche personenbezogene Daten in der Cloud in Rechenzentren innerhalb der EU gespeichert und vorgehalten werden. Mit diesem Ansatz will die EU verhindern, dass personenbezogene Daten von EU-Bürgern in Länder gelangen, deren rechtsstaatliche Prinzipien nicht den Anforderungen der EU entsprechen. Das soll etwa vermeiden, dass Informationen in die Hände von Geheimdiensten gelangen. Wer auf Nummer sicher gehen möchte, sucht sich einen Provider mit Rechenzentrum in Deutschland. Dank langjähriger Erfahrung mit dem strengen Bundesdatenschutzgesetz (BDSG) können deutsche Cloud-Anbieter eher garantieren, auch die Anforderungen der DSGVO vollumfänglich zu erfüllen.

Von Grund auf sicher

Doch der Standort ist nicht das einzige Kriterium: Wer als Provider DSGVO-konform sein möchte, muss sich durch hochsichere Rechenzentren auszeichnen: Unter die erforderlichen Schutzmaßnahmen fallen etwa Datenzuleitung über ein eigens gesichertes VPN (Virtual Private Network), Sicherheitsschleusen und Intrusion-Detection- und -Prevention-Systeme. Zudem ist es für die Betreiber von Rechenzentren Pflicht, einen Datenschutzbeauftragten zu benennen, der in allen Fragen der Sicherheit als Ansprechpartner zur Verfügung steht.

Zudem empfiehlt die DSGVO, dass die Konzepte „Privacy by Design“ (Datenschutz durch Technikgestaltung) und „Privacy by Default“ (Datenschutz durch datenschutzfreundliche Voreinstellungen) unbedingt Teil des Sicherheitskonzepts sein sollten: „Privacy by Design“ bedeutet, dass Technologie bereits datenschutzkonform entwickelt wird, indem z. B. Daten bei der Übertragung automatisch verschlüsselt werden. „Privacy by Default“ bezieht sich auf die Werkseinstellungen von Hard- oder Software, die von Anfang an den Anforderungen der DSGVO entsprechen sollen und nicht eigens vom Nutzer eingestellt werden müssen.

Gemeinsam in der Pflicht

Mit der Entscheidung für einen Cloud-Provider wird der Schutz von personenbezogenen Daten in der Cloud zur gemeinsamen Aufgabe von Unternehmen (Verantwortlicher) und Dienstleister (Auftragsverarbeiter). Dadurch wird der Datenschutzaspekt essentiell für die Wahl des Cloud-Providers. Dies zeigt auch der aktuelle Cloud Monitor 2018 von KPMG und Bitkom eindrucksvoll: 97 Prozent aller befragten Unternehmen nennen DSGVO-Konformität ein „Must-have“ bei der Anbieterauswahl. Welche Vorkehrungen sollten nun aber Unternehmen und Provider treffen, um Daten im Einklang mit der DSGVO in einer Cloud-Umgebung zu halten? 

Verschlüsselung ist ein Schlüssel zum Erfolg

Um den optimalen Schutz von Daten zu gewährleisten, sollten diese schon bei der Migration in die Cloud so bearbeitet werden, dass Dritte sie nicht mehr gebrauchen können. Erreichen lässt sich das beispielsweise mittels Anonymisierung/Pseudonymisierung oder Verschlüsselung. Daten sind dann entweder ihrer Quelle nicht mehr zuzuordnen oder sie sind ohne den richtigen Schlüssel nicht mehr zu entziffern. Der Vorteil: Der Verlust von Daten, auf die Dritte nicht mehr zugreifen können, hat auch im Rahmen der DSGVO deutlich geringere Konsequenzen zur Folge, als dies für offen zugängliche personenbezogene Daten der Fall wäre.

Kommt es doch einmal zum Verlust von personenbezogenen Daten, muss dies innerhalb von 72 Stunden nach Entdeckung des Datenlecks an die zuständige Datenschutzbehörde des jeweiligen Landes gemeldet werden. Im Falle von besonders sensiblen, personenbezogenen Daten (zum Beispiel Informationen über Partei- oder Religionszugehörigkeit) ist zusätzlich die betroffene Person zu informieren. Während die Datenschutzbehörde in jedem Fall informiert werden muss, gilt dies für die betroffene Person nicht, sofern die Daten beispielsweise verschlüsselt waren.

Die strengen Meldefristen bedeuten zusätzlich, dass der Cloud-Provider ein hohes Maß an Transparenz aufweisen muss. Denn nur mit einem sorgfältig ausgearbeiteten Compliance-Konzept und umfassender Dokumentation ermöglicht er dem Unternehmen, die behördlichen Meldefristen einzuhalten. Schließlich kann ein Cloud-Nutzer seiner Meldepflicht nur dann nachkommen, wenn der Dienstleister ihn auch rechtzeitig von einem Datenverlust in Kenntnis setzt.

Mit Teamwork sicher in die Cloud

Die momentanen Bedenken in Unternehmen aufgrund der DSGVO sind ernst zu nehmen. Allerdings ist die Vogelstrauß-Taktik genau der falsche Ansatz: Weder die Einhaltung der DSGVO noch der Wechsel in die Multi-Cloud sind optional. Eine vollständige Rückkehr zur On-Premise-IT ist nur in den seltensten Fällen eine Lösung, denn diese kann bereits die heutigen Leistungsanforderungen kaum erfüllen – geschweige denn die von morgen. Wer auf die Vorteile der Multi-Cloud bei Flexibilität, Agilität, Leistung und Skalierbarkeit verzichtet, muss mit Wettbewerbsnachteilen rechnen.

Doch es gibt viele Wege, das Multi-Cloud-Management DSGVO-konform zu gestalten. Ein Beispiel dafür ist MCOS (Managed Cloud Operating System) von T-Systems. Mit dieser Lösung erhalten die verschiedenen Abteilungen eines Unternehmens die Möglichkeit, vollkommen selbstständig im Self-Service ihre notwendigen Ressourcen (IaaS, PaaS, SaaS) auf Knopfdruck zu buchen. Abteilungen sind so in Lage, ihre IT-Landschaften agil, unabhängig und optimal an verschiedene Anforderungen anzupassen und DSGVO-konform zu agieren.

Für die Betreiber von Rechenzentren ist es Pflicht, einen Datenschutzbeauftragten zu benennen, so der Digital-Berater für T-Systems Dr. Torsten Langner. © T-Systems

Wer bei der Migration in die Cloud bzw. bei der Wahl seines Cloud-Anbieters wohlüberlegt vorgeht, kann in Zeiten von Digitalisierung und DSGVO beruhigt in die Zukunft blicken. Zudem wird die Wahl des richtigen Multi-Cloud-Providers für Unternehmen zukünftig noch einfacher: Denn derzeit arbeiten Experten an einer DSGVO-Zertifizierung, mit der ein Cloud-Dienstleister seine DSGVO-Konformität nachweisen kann. Sie wird auf Basis des „Trusted Cloud Datenschutzprofils“ (TCDP) erarbeitet, die Zertifizierung, die sich explizit an den Anforderungen des Bundesdatenschutzgesetzes (BDSG) orientierte. Eine anerkannte Bescheinigung dieser Art, die in naher Zukunft die DSGVO als Grundlage hat, wird die Transparenz im Markt vergrößern. Können Unternehmen und Dienstleister gemeinsam ihre Compliance zur DSGVO nachweisen, stehen alle Wege für eine erfolgreiche und rechtssichere Digitalisierung offen. 

Der Autor: Dr. Torsten Langner ist Digital-Berater bei T-Systems.

  • Xing Icon
  • LinkedIn Icon
Anzeige
zurück zur Themenseite
Anzeige

Das könnte Sie auch interessieren

Anzeige
Anzeige
Anzeige
Anzeige

Gateways

Edge und Cloud gleichermaßen möglich

Die Gateways von IoTmaxx sind flexible Alleskönner für Industrie-4.0-Applikationen, um Maschinendaten zuverlässig in die Cloud zu übertragen oder um Edge-Computing-Lösungen für die Datenverarbeitung vor Ort zu realisieren.

mehr...
Anzeige
Anzeige
Anzeige

Firmenjubiläum

Eplan feiert 40 Jahre

Im Jahr 1984 wurde das Elektro-Engineering aus der Taufe gehoben. Die Software, die den Namen Eplan trägt, veränderte die Arbeitswelt von technischen Zeichnern. Diese 40 Jahre wurden jetzt mit einer Jubiläumsveranstaltung im Nationalen Automuseum –...

mehr...
Jetzt Newsletter abonnieren