Sergey Nivens - stock.adobe.com

Datensouveränität und Cloud: So lässt sich beides vereinen

Vor fünf Jahren wurde die EU-DSGVO veröffentlicht, im Mai gilt sie drei Jahre verbindlich. Mit Blick auf Datensouveränität und Cloud Computing spielt sie eine entscheidende Rolle.

Dem Wort nach ist der Souverän die Person beziehungsweise Personengruppe, die die Hoheit über etwas ausübt. Im digitalen Zeitalter wird jeder von uns zum Souverän – über seine Daten. Und diese werden zunehmend zu einem Objekt der Begierde.

Daten sind inzwischen eine massive Ressource – und eine Handelsware. Ein guter Grund, weshalb sich Personen, Unternehmen und Organisationen, die über Daten verfügen, vor der Nutzung auch Gedanken über die Souveränität dieser Daten machen sollten. Was aber schon für Privatpersonen nicht ganz leicht ist, in einer Welt, in der immer mehr Lebensbereiche digital unterstützt werden, ist für Unternehmen eine deutlich komplexere Herausforderung.

Der datensouveräne Einstieg in die Cloud

Neben dem wachsenden Bewusstsein für Datensicherheit und -souveränität verschärft sich der Bedarf an zuverlässigen Cloud-Umgebungen. Mit dem Wachstum der Datenmengen in allen Bereichen reichen lokale Ressourcen der Unternehmen oft nicht mehr aus. Mitunter ist es  zu aufwendig, eine komplexe Speicherinfrastruktur selbst zu managen, besonders hinsichtlich der Total Cost of Ownership (TCO) und der Latenz, mit der die hauseigene IT-Infrastruktur auf sich verändernde Anforderungen reagieren kann. Kritische Situationen in der Weltwirtschaft können, wie sich in letzter Zeit mehrfach zeigte, zudem zu Lieferengpässen bei Speichersystemen führen. Datenwachstum, Beschaffungsprobleme und Komplexität sind dementsprechend auch die Hauptmotivation für Anwender, sich bei Cloud-Service-Anbietern Unterstützung zu holen.

Allerdings stehen mit der Entscheidung für die Cloud sofort zahlreiche Fragen hinsichtlich der Datensouveränität im Raum. Die Frage, ob man die Hoheit über die Daten aufgibt, schwebt zum Beispiel über jeder Projektanfrage zur Datenspeicherung in der Cloud. Um Datensouveränität in der Cloud sicher zu gewährleisten, gilt es aber noch einige andere Fragen zu klären:

  • Welche Daten werden verarbeitet? Handelt es sich dabei zum Beispiel um personenbezogene Daten oder um regulierte Daten?
  • Wo werden die Daten und Applikationen aufbewahrt und wo findet die Verarbeitung statt? Wer benötigt diese Informationen?
  • In welcher Weise werden die Daten verarbeitet, beispielsweise für die Zwecke der Quality-of-Service- oder Performance-Messung? Das gilt besonders für personenbezogene Informationen oder sensible Daten.
  • Wer greift auf die Daten für Support, Wartung oder Datensicherung zu?
  • Dürfen Behörden auf die Systeme zugreifen – wenn ja, unter welchen Bedingungen?

Verantwortungsvolle Cloud-Service-Anbieter beantworten einige dieser Fragen bereits mit dem ersten Kontakt.

Beim Thema Sicherheit verfolgen die Anbieter unterschiedliche Ansätze: Anbieter, die den Schutz der Daten besonders hoch einstufen, folgen häufig dem Prinzip Keep your own Key (KYOK). Das bedeutet, dass nur der Kunde die eigenen Sicherheitsschlüssel kennt und sie benutzen kann. Eine Verschlüsselung, die exklusiv ist, da nur vom Kunden autorisierte Nutzer Zugang zu den jeweiligen Keys und damit zu den verschlüsselten Daten haben. Andere Fragen allerdings, wie zum Beispiel wer zu welchem Zeitpunkt über die Abläufe informiert sein muss und welche Mitarbeiter wann Zugriff benötigen, müssen frühzeitig im Unternehmen selbst geklärt werden.

Rollen und ihre Verantwortung

Dazu müssen die Rollen, die sich auf die Datensouveränität eines Unternehmens auswirken, festgelegt werden. Zugang zu den Daten benötigen zunächst einmal die Mitarbeiter. Allerdings müssen nicht alle Mitarbeiter auch Zugriff auf alle Daten haben. Häufig beschreiben personenbezogene Daten den Endnutzer eines Systems, also den Kunden des Cloud-Anwenders.

Im EU-DSGVO-Kontext wird die Rolle des Endnutzers Data Subject genannt. Daneben gibt es den Data Controller – typischerweise das Anwenderunternehmen – sowie den Data Processor. Dienstleister oder Cloud-Service-Anbieter verarbeiten als Data Processor personenbezogene Daten im Auftrag des Data Controllers. Im Sinne der DSGVO sind Data Controller und Data Processor die Entitäten, die auch juristisch verantwortlich gemacht werden können. Wichtig zu wissen ist, dass auch diese beiden Entitäten häufig ihrerseits Konzerngesellschaften oder Unterauftragnehmer haben, die juristisch verantwortlich sein können.

Die Steuerung und Kontrolle der Rollen und Prozesse rund um die Erhebung, Verwendung und Speicherung von Daten sind die Funktionen, mit denen ein Unternehmen seine Datensouveränität behalten beziehungsweise erreichen kann. Der Begriff Datensouveränität befasst sich dabei mit allen technischen und nicht-technischen Funktionen und Prozessen im Unternehmen, wie Datensicherung (Backup, auch Archivierung), Datensicherheit (Passwörter, Abwehr von Schadsoftware) und Rechenzentrumssicherheit (Versorgung, Haustechnik, Gebäudeschutz). Für letztere bieten europäische Normen und Empfehlungen von Verbänden wie dem Bitkom hilfreiche Leitfäden.

Übrigens: Datensouveränität beginnt in jedem Unternehmen mit dem organisatorischen Konzept. Dazu gehört, dass alle Beteiligten frühzeitig ins Cloud-Projekt geholt werden. Auch Mitarbeitervertretungen und Rechtsabteilung sowie die Verantwortlichen für Data Governance und Compliance gehören zum Team. Ein Cloud-Projekt benötigt organisatorische Vorbereitung, angefangen bei grundlegenden Maßnahmen wie einem Dienst- oder Schichtplan. Dieser kann mit entsprechenden Tools abgebildet und abgesichert werden: Greift dann zum Beispiel ein Mitarbeiter außerhalb der definierten Zeiten oder Umgebungen auf die Systeme zu, gehen die Alarmsignale an und Berechtigungen können gegebenenfalls eingeschränkt werden.

Mit dem richtigen Partner geht es leichter

Ein Schlüssel zu einer für ein Unternehmen passenden Cloud-Lösung ist auch die Wahl des technischen Partners und da spielen Transparenz und Vertrauen eine wesentliche Rolle. Manche Anwender befürchten, dass sie ihre Daten aus der Hand geben, wenn sie sie in die Public Cloud verlagern. Sie bevorzugen dann eher Partner mit traditionellen Modellen, wobei das Konzept Colocation typisch ist: Dem eigenen Data Center wird dedizierte Technik im Rechenzentrum eines Partners zugeordnet.

Oft wird die Cloud-Nutzung umso restriktiver gehandhabt, je sensibler die Daten sind. Deshalb wird die Cloud noch immer nur selten für personenbezogene Daten genutzt. Dabei gibt es inzwischen Anbieter, die für ihre Public-Cloud-Infrastrukturen dieselben Maßstäbe anlegen. Zertifizierungen nach Normen wie ISO 27001, ISO 27018 und weiteren europäischen und nationalen Verordnungen geben Aufschluss darüber. Damit sind auch die wichtigsten Voraussetzungen für die Datensouveränität des Anwenders dokumentiert. Einige Anbieter haben außerdem spezielle Programme, die bestehende und zukünftige Kunden hinsichtlich ihrer Anliegen in Sachen Sicherheit, Privatsphäre, Einhaltung gesetzlicher Vorgaben, Verfügbarkeit, räumliche Nähe und vieler anderer Fragen jederzeit informieren.

Claes Horsmann, IBM

„Die Steuerung und Kontrolle der Rollen und Prozesse rund um die Erhebung, Verwendung und Speicherung von Daten sind die Funktionen, mit denen ein Unternehmen seine Datensouveränität behalten beziehungsweise erreichen kann.“

Claes Horsmann, IBM

Die Auswahl der geeigneten Cloud (Public, Private, Hybrid) und des entsprechenden Anbieters hängt auch von dem Bedürfnis nach Offenheit oder Abschottung der Daten ab. Das liegt an den jeweiligen Kunden- und Projektanforderungen aber teilweise auch an branchenspezifischen Regularien, die eingehalten werden müssen. In der Finanz- und Gesundheitsindustrie gelten beispielsweise besonders strenge Anforderungen an Datenschutz und Datensicherheit. Wer vor solchen Herausforderungen steht, braucht einen Partner, der in diesem Bereich bereits Erfahrungen gesammelt hat.

Letztlich steht und fällt zuverlässige Datensouveränität in der Cloud aber mit dem Respekt vor den Daten des Kunden. Das betrifft die Unternehmen ebenso wie den Systemanbieter und Betreiber der technischen Infrastruktur. Hat man als Unternehmen einen Partner gefunden, der die Frage nach der Datensouveränität – und die sollte immer beim Unternehmen liegen – ernst nimmt, steht einer Verlagerung der IT in die Cloud nichts mehr im Weg.

Über den Autor:

Cleas Horsmann ist Data Privacy, Compliance & Security Expert bei IBM in der Region DACH. Er ist Big Blue bereits seit 2008 treu und vom TÜV Nord als Datenschutzbeauftragter zertifiziert. Studiert hat Horsmann Psychologie an der Universität Rostock.

 

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.

Erfahren Sie mehr über Data Governance