pe3check - stock.adobe.com
DSGVO/GDPR: Compliance für Edge-Storage nicht vergessen
Im Internet of Things (IoT) findet die Datenspeicherung und Datenanalyse zunehmend auf Edge-Geräten statt. Edge-Storage ist deshalb genauso Datenschutz-Thema wie Cloud-Storage.
Nicht erst seit der Vorbereitung auf die Datenschutz-Grundverordnung (DSGVO/GDPR) ist der Datenschutz bei Cloud Computing eine Herausforderung für viele Unternehmen.
Schon heute, unter Beachtung des bestehenden Bundesdatenschutzgesetzes (BDSG), müssen Cloud-Nutzer an die Vorgaben bei Auftragsdatenverarbeitung denken. Unter anderem gilt nach BDSG, dass der Auftragnehmer (Cloud-Anbieter) unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen ist.
Mit der DSGVO kommt es zu gewissen Änderungen bei der nun Auftragsverarbeitung genannten Cloud-Nutzung. Was aber weiterhin gilt: Man muss sich von dem Datenschutz des Cloud-Anbieters überzeugen, genauer: Eine Auftragsverarbeitung erfolgt „nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet“.
Entsprechend hoch sind die Anforderungen des Datenschutzes an Cloud-Storage. Doch Cloud-Datenschutz alleine reicht nicht aus, wenn es um das Internet der Dinge geht. Im Internet of Things (IoT) wird die Bedeutung des Edge Computing und damit des Edge-Storage immer wichtiger.
Edge-Storage bekommt mehr Gewicht
Im Rahmen des Mobile World Congress (MWC) 2018 in Barcelona stellte zum Beispiel VMware die nächsten Schritte seiner IoT-Strategie vor. IoT eröffnet demnach neue Ansätze im heutigen zentralisierten Rechenzentrums-/Cloud-Modell.
Um eingehende Daten von Millionen oder gar Milliarden IoT-Endpunkten zu verarbeiten, die vom Kernrechenzentrum oder der Public Cloud durch limitierte Bandbreite getrennt sind, wird eine neuartige, kosteneffektive Edge-Infrastruktur benötigt, so VMware.
Als Vorteile der IoT-Datenanalysen auf Edge-Geräten nennt VMware: Lokale Analysen bieten schnellere Antwortzeiten, reduzierte Speicherkosten und eine optimale Nutzung der Bandbreite.
Diese neue Infrastruktur muss jedoch einfach zu verwalten sein, da es an den einzelnen Edge-Standorten keine IT-Spezialisten gibt. Hier kommen nun wieder Dienstleister ins Spiel, die aus Sicht des Datenschutzrechtes, der Datenschutz-Grundverordnung eine Auftragsverarbeitung anbieten.
DSGVO: Auftragsverarbeitung bei Edge-Geräten
Die Datensicherheit und der Datenschutz bei Edge Computing und Edge-Storage sind elementar, wie eine Beispielanwendung zeigt: VMware und Axis Communications arbeiten gemeinsam an einer IoT-Lösung für die Überwachungsbranche.
Die Lösung wird über die Überwachungsfunktionen von Axis Communications verfügen, darunter IP-Kameras sowie 4G/LTE-Router, die zum Schutz von Immobilien, Geschäften und Mitarbeitern eingesetzt werden können.
Mit VMware Pulse IoT Center können Kunden ihre Axis Communications-Kameras und -Router verwalten, überwachen und absichern. Die Lösung wird zunächst auf einer Auswahl von Dell EMC-Servern verfügbar sein und die Option von Dell Edge Gateways enthalten.
Wenn also zum Beispiel Analysen aus der Videoüberwachung auf Edge-Geräten stattfinden und Videoaufzeichnungen auf Edge-Storage-Systemen für eine gewisse Zeit vorgehalten werden, gelten die Vorgaben der Datenschutz-Grundverordnung, unter anderem zur Auftragsverarbeitung.
Neben den Cloud-Datenschutz wird deshalb in Zukunft vermehrt der Edge-Datenschutz treten. Deshalb müssen an Edge-Storage-Systeme für IoT-Anwendungen unter anderem folgende Fragen gestellt werden:
- Gibt es eine Rechtsgrundlage für die Speicherung der Daten auf Edge-Geräten?
- Sind alle Edge-Storage-Dienste dokumentiert und im Verzeichnis der Verarbeitungstätigkeiten aufgenommen?
- Sind die Standorte bekannt, an denen die Edge-Geräte betrieben, die Daten also gespeichert sind?
- Setzen die Edge-Storage-Provider Maßnahmen um, die für eine angemessene Datensicherheit sorgen? Können zum Beispiel geeignete Zertifizierungen vorgelegt werden?
- Gibt es Vereinbarungen mit den Providern, die die Vorgaben an eine Auftragsverarbeitung nach Artikel 28 DSGVO erfüllen?
- Ist sichergestellt, dass die Provider die auf den Edge-Geräten gespeicherten Daten nicht zu anderen Zwecken missbrauchen können?
- Werden die Daten zuverlässig gelöscht, wenn die Nutzung des Edge-Storage beendet wird oder wenn eine Löschverpflichtung eintritt, wie das Ende einer Aufbewahrungsfrist?
- Können die Daten von einem Edge-Gerät auf ein anderes übertragen werden?
- Sind die Edge-Geräte belastbar genug?
- Gibt es ein Verfahren zur Meldung von Datenschutzverletzungen an das Unternehmen und durch das Unternehmen an die Aufsichtsbehörde sowie gegebenenfalls an die Betroffenen?
Es zeigt sich: Datenschutz ist bei Edge-Storage kein Thema am Rande, ganz im Gegenteil.
Folgen Sie SearchStorage.de auch auf Twitter, Google+, Xing und Facebook!