Blog

Datenschutz und -sicherheit in der Cloud

/ Kategorie: Governance, Risk & Compliance, Cloud Security

Rund um die Uhr werden personenbezogene Daten verarbeitet. Die Auslagerung von IT-Systemen und Daten in die Cloud ist heutzutage Bestandteil einer modernen Digitalisierungsstrategie. Wie sieht es in diesem Fall mit dem Thema Datenschutz und -sicherheit aus? Anlässlich des Europäischen Datenschutztags werfen wir einen kurzen Blick auf die Risiken, die durch das Cloud Computing beim externen Dienstleister entstehen.

Datenschutz und -sicherheit in der Cloud

Wo wären wir heute ohne die Cloud?

Cloud Computing bietet einen schnellen, mobilen und flexiblen Zugriff auf kostengünstige IT-Ressourcen. Der Provider stellt die entsprechende Hardware oder Software respektive die Anwendungsdienste den Mitarbeitern des Unternehmens – in der Regel in Echtzeit – über das Internet direkt zur Verfügung. Cloud Computing bedeutet somit nichts anderes als Auslagerung, also ein Outsourcing. Je nach Ausprägungen (Public, Hybrid und/oder Private Cloud) gibt es für das auslagernde Unternehmen viele Herausforderungen: Das betrifft insbesondere die Bereiche «Sicherheit und Datenschutz».

In den meisten Fällen – insbesondere bei Public und Hybrid Cloud Lösungen – müssen sich die auslagernden Unternehmen auf die Sicherheitsvorkehrungen des Cloud-Service-Providers verlassen. Cloud Computing erlaubt jedoch den schnellen, mobilen und flexiblen Zugriff auf Unternehmensdaten, daher ergeben sich für die Unternehmen gleichzeitig technische und organisatorische Herausforderungen. Zugleich ist die rechtliche Verantwortung sicherzustellen: Nur autorisierte Personen dürfen Zugriff auf diese Daten haben. Dabei ist zu bedenken, dass die Cloud-Anbieter keine Verantwortung für den Endpoint übernehmen; dies obliegt immer dem Unternehmen. Die Bedrohung der Privatsphäre beim Cloud Computing entsteht insbesondere durch Dienste, die sich mit personenbezogenen Daten befassen. Dazu gehört das Sammeln, Übertragen, Verarbeiten, Teilen und Speichern solcher Daten. Bei Cloud Services besteht häufig die Gefahr, dass aufgrund von Konfigurationsfehlern Daten im Internet allgemein zugänglich gemacht werden.

Zu den Schweizer Unternehmen, welche Cloud Lösungen einsetzen, gehören auch viele kleine und mittelständische Betriebe. Die meisten bedienen heute nicht mehr nur den Schweizer Markt, sondern sie bieten Ihre Produkte und Dienstleistungen auch in Liechtenstein (EFTA) oder der EU an. Dadurch kommt die DSGVO respektive die General Data Protection Regulation (GDPR) zum Tragen.

Das bedeutet, die Verarbeitung von personenbezogenen Daten in der Cloud ist nur dann rechtmässig, wenn die Betroffenen einer solchen Verarbeitung zugestimmt haben, oder wenn dafür eine andere entsprechende Rechtsgrundlage besteht. Die Verarbeitung der Daten muss dabei auf eine für die betroffene Person nachvollziehbare Art und Weise stattfinden. So will es der Artikel 5 (1)(a) im GDPR. 

Das wiederum bedeutet, das auslagernde Unternehmen ist und bleibt für die Rechtmässigkeit der Datenverarbeitung auch beim Outsourcing verantwortlich. Und es muss dies jederzeit nachweisen können. Diese Verantwortlichkeit besteht sowohl gegenüber der zuständigen Aufsichtsbehörde als auch gegenüber den betroffenen Personen. 

Aufgepasst! Viele Cloud-Anbieter greifen auch auf Infrastrukturen in den USA zurück, sodass Ihre Daten dort landen. Das bedeutet, dass all Ihre Daten dem «Cloud Act» unterstehen und somit der US-amerikanischen Regierung vorgelegt werden müssen. Wenn dies auch personenbezogene Daten Dritter betrifft, verstossen Sie gegen die hierzulande geltende Datenschutzbestimmungen. Cloud-Anbieter mit Sitz in den USA wie z.B. Microsoft, Amazon, Apple etc. unterliegen generell dem «Cloud Act», auch dann, wenn sie eigene Rechenzentren im Geltungsbereich europäischer Gesetze unterhalten und die Daten auf den Servern ausserhalb der USA verarbeiten. Besonders heikel am Cloud Act ist, dass dieser untersagt, die Betroffenen über eine Datenweitergabe zu informieren, während die DSGVO hingegen die Auskunftspflicht vorschreibt. Ausserdem kommt hinzu, dass die US-Behörden keine richterlichen Durchsuchungsbeschlüsse mehr brauchen. Bei der Wahl eines Cloud-Anbieters nimmt damit die Frage des Firmensitzes, sowie die Standorte der Cloud-Infrastruktur eine zentrale Roll ein. Im Gegensatz zu amerikanischen Konzernen können regionale Anbieter nicht in die heikle Lage kommen, Daten von europäischen Servern zwangsweise an US-Behörden weitergeben zu müssen.

Mit diesen Tipps sichern sie sich ab:

  • Individuellen Vertrag zur Auftragsdatenverarbeitung abschliessen – Prüfen Sie mögliche Musterverträge genau und regeln sie alle relevanten technischen und organisatorischen Details!
  • Recht auf Kontrolle sichern – Sie müssen die Einhaltung des Datenschutzes durch den Auftragsdatenverarbeiter auch überprüfen können!
  • Mitwirkungspflicht des Auftragsdatenverarbeiters sichern – Welche Daten kann ich verlangen? Definieren Sie entsprechende SLAs und definieren, respektive fixieren Sie die Kosten!
  • Vorsicht bei Auftragsdatenverarbeitern im Ausland – Anbieter ausserhalb der EU respektive des EWR (in so genannten Drittstaaten), können zu datenschutzrechtlichen Konflikten führen (z.B. «Cloud Act» (USA))!

Bei der richtigen Auswahl der Implementierung sowie des Betriebs und der Nutzung Ihrer Cloud Lösung stehen Ihnen die Cloud Experten der ISPIN jederzeit mit Rat und Tat zur Verfügung. Sie sorgen dafür, dass im Zeitalter von «Cloud-Act» und «GDPR» wirklich nichts betreffend «Sicherheit, Nachvollziehbarkeit und Datenschutz» schief geht.

Verwandte Nachrichten

Kategorien:
Cybersecurity (21)
CISO (37)
Governance, Risk & Compliance (8)
Security Awareness (12)
Cloud Security (28)
Detect & Response (28)
Endpoint & Networks (9)
IoT / OT / kritische Infrastrukturen (3)
Identity & Access (2)
ISPIN Viewpoint (13)
Threat Intelligence (24)