IckeT - Fotolia
DSGVO: Welche Risiken Datenschützer bei Cloud Storage sehen
Der Europäische Datenschutzbeauftragte hat eine Reihe von Risiken benannt, die vor der Entscheidung für einen Anbieter von Cloud Storage überprüft werden sollten.
Viele Unternehmen haben sich schon eingehend mit den Richtlinien und Vorschriften der Datenschutz-Grundverordnung (DSGVO) auseinandergesetzt, haben aber noch nicht mit der inhaltlichen Umsetzung begonnen, so die Meinung von 91 Prozent der IT-Experten, die in der Umfrage Datensicherheit in der Cloud der TeamDrive Systems GmbH befragt wurden.
Der Erfolg der neuen Datenschutzvorgaben steht laut Umfrage jedoch außer Frage. So geben 98 Prozent der IT-Experten an, dass die DSGVO mehr Sicherheit für die digitale Zukunft verspricht.
Für die Sicherheit der personenbezogenen Daten fordert die Datenschutz-Grundverordnung, dass der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen treffen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Wenn es zum Beispiel um die Sicherheit von Cloud Storage geht, müssen sich Unternehmen also zuerst mit den Risiken befassen, um die geeigneten technischen und organisatorischen Maßnahmen wählen und umsetzen zu können. Nur dann wird die digitale Sicherheit tatsächlich steigen können, wie es in der Umfrage von den IT-Experten erwartet wird.
Der Europäische Datenschutzbeauftragte Giovanni Buttarelli hat kürzlich Empfehlungen für Cloud Computing veröffentlicht, die sich an EU-Stellen und -Organisationen richten, aber für jeden Nutzer von Cloud Computing oder speziell Cloud Storage eine Hilfe sein können, um die Vorgaben der Datenschutz-Grundverordnung umzusetzen. Dabei unterscheidet der EU-Datenschutzbeauftragte zwischen technischen, organisatorischen und auch rechtlichen Risiken, die nun mehrere näher betrachtet werden sollen.
Technische Risiken von Cloud Storage
Die technischen Risiken, die bei Cloud Storage vorliegen können, führen in aller Regel zu einem Bedarf an zusätzlichen IT-Sicherheitsmaßnahmen. Folgende Fragen sollten im Unternehmen gestellt und beantwortet werden:
- Werden die Cloud Storage-Dienste über das (offene) Internet angeboten? Dann sollten zusätzliche Maßnahmen zur Gewährleistung von Vertraulichkeit, Verfügbarkeit und Integrität ergriffen werden.
- Teilen sich mehrere Mandanten den Cloud-Storage-Dienst? Wenn ja, wie sieht die Mandantentrennung aus?
- Haben die Cloud-Nutzer Kontrolle über ihre Daten und gibt es eine zuverlässige Sicht auf den IT-Sicherheitsstatus?
- Gibt es zuverlässige Möglichkeiten für ein Cloud-Monitoring?
- Gibt es zuverlässige Möglichkeiten für eine (fristgerechte) Datenlöschung in der Cloud?
- Kann das Recht auf Datenübertragbarkeit umgesetzt werden (Schnittstellen, Formate)?
- Sind Sicherheitsmaßnahmen für die Identitätskontrolle, das Schwachstellen-Management, die Verschlüsselung und für eine sichere Datenübertragung vorhanden? Können diese in die internen integriert werden?
- Ist die Sicherheit der betreffenden Cloud-Storage-Apps oder Web-Apps im Browser gewährleistet?
Organisatorische Risiken von Cloud Storage
Zu den organisatorischen Risiken, die der EU-Datenschutzbeauftragte für Cloud Computing nennt und die bei der Suche nach Cloud-Storage-Anbietern berücksichtigt werden sollten, zählen diese Punkte, die sich Unternehmen selbst als Frage stellen sollten:
- Hat das Unternehmen bereits Erfahrungen mit der Beschaffung von Cloud-Services gesammelt? Wenn nicht, könnte dies dazu führen, dass die Cloud-Risiken zu gering eingestuft werden.
- Kann das Cloud Storage in die internen Auditverfahren aufgenommen werden?
- Werden Subunternehmer eingesetzt? Wenn ja, wie werden diese kontrolliert?
Rechtliche Risiken von Cloud Storage
Gerade die rechtlichen Risiken können schnell vergessen werden, wenn ein scheinbar rein technischer Dienst neu beauftragt werden soll. Deshalb ist die Klärung dieser Fragen besonders wichtig:
- Werden die Cloud-Storage-Dienste ohne starke Verschlüsselung über das Internet angeboten? Dann sollte geprüft werden, ob das Risiko besteht, dass Nachrichtendienste und andere staatliche Stellen Zugriff auf den Cloud Storage erhalten wollen.
- Gibt es in dem Land, das den Standort für das Cloud Storage bildet, rechtliche Verpflichtungen für etwas wie eine Vorratsdatenspeicherung? Wenn ja, zu welchem Zweck? Wer erhält wozu und wann auf die gespeicherten Daten Zugriff?
- Ist der Standort des Cloud Storage genau genug bekannt? Oder besteht Unklarheit, ob das Cloud Storage auch dort betrieben werden könnte, wo es kein ausreichendes Datenschutzniveau gibt?
- Ist das Cloud Storage so verteilt, dass verschiedene rechtliche Vorgaben / Rechtssysteme zum Tragen kommen? Dann müssen alle relevanten Rechtssysteme auf Datenschutzkonformität hin überprüft werden.
- Sind die Nutzungsbedingungen für Cloud Storage mit den internen Unternehmensrichtlinien vereinbar?
- Können die Betroffenenrechte (wie das Recht auf Vergessenwerden) zuverlässig umgesetzt werden?
- Gibt es vertragliche Vereinbarungen zum Ausstieg (gegen den Vendor Lock-in)?
Folgen Sie SearchDataCenter.de auch auf Twitter, Google+, Xing und Facebook!