Ab Mai 2018 gilt die neue EU-weite Datenschutz-Grundverordnung (DSGVO): Cloud-User und -Provider müssen sich also auf einen neuen Rechtsrahmen einstellen. Was gilt es zu beachten?
Die EU-Datenschutz-Grundverordnung (EU-DSGVO) regelt künftig EU-weit, wann Unternehmen personenbezogene Daten verarbeiten dürfen und welche Schutzkriterien zu erfüllen sind. Sie löst damit das rein auf Deutschland bezogene Bundesdatenschutzgesetz ab. Ihr Ziel ist es, in der gesamten Europäischen Union ein einheitliches Schutzniveau herzustellen. Im Kern setzt die Verordnung auf ein zentrales Datenschutzmanagement und kontinuierliche Risikoanalyse. Gleichzeitig fasst sie die Meldepflichten deutlich strenger und führt wesentlich höhere Bußgelder bei Verstößen ein. Die DSGVO gilt für alle Unternehmen, ganz gleich welcher Größe.
Selbstverständlich betrifft die neue Verordnung auch die Cloudnutzung. Was wird jetzt wichtig für Cloud-User? Die Key Facts im Überblick:
Verantwortung für die Daten
Zwar sind die IT-Dienstleister mit der EU-DSGVO stärker verpflichtet, ein hohes Datenschutzniveau zu etablieren. Dennoch bleibt die finale Verantwortung beim beauftragenden Unternehmen. Das gilt nicht nur für personenbezogene Daten in der Cloud, sondern hat auch Auswirkungen auf die Security-Maßnahmen: Jedes Unternehmen muss darauf achten, dass auch die genutzten Cloud-Ressourcen entsprechend geschützt sind. AWS, Google und Co. bieten zwar zahlreiche technische Möglichkeiten, um entsprechende Sicherheitsstandards einzurichten. Der letztendliche Einsatz und die Verwendung obliegen jedoch dem Auftraggeber, also dem Unternehmen selbst. In der Praxis sind viele Anwender hier mit der Auswahl und Anwendung überfordert, sodass die notwendige Absicherung unzureichend ist oder sogar fehlt. Managed Cloud Provider bieten hier mögliche Lösungswege an.
Strengere Meldepflicht
Mit der EU-DSGVO erhält die Meldepflicht für Datenpannen oder -lecks eine neue Dimension. Es reicht nicht mehr aus, Security Incidents zu melden, wenn sie passiert sind. Jetzt muss dies bereits geschehen, wenn die Gegebenheiten einen Incident ermöglichen. Dementsprechend gilt es, die eigenen Prozesse so auszurichten, dass der Schutzbedarf kontinuierlich überprüfbar ist. Das gilt also auch für alle Workloads in der Cloud.
Verpflichtende Dokumentation und Risikobewertung
Sobald Unternehmen personenbezogene Daten verarbeiten, sind sie im Rahmen einer erforderlichen Datenschutzfolgeabschätzung verpflichtet, „eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen“ durchzuführen. Diese Analyse sowie ihr Ergebnis sind aufzuschlüsseln und zu dokumentieren. Es wird also viel wichtiger, Daten zu klassifizieren und zu bestimmen, welche Datenklassen überhaupt in die Cloud dürfen.
Datenschutz-Managementsystem
Die EU-DSGVO verlangt die kontinuierliche Überprüfung des Schutzbedarfs sowie des aktuellen Sicherheitsstatus im Unternehmen. Konkret empfiehlt sich dafür ein ISMS (Information Security Management System) als zentrale Steuerungsplattform. Das gilt sowohl für das eigene Unternehmen wie auch für den Provider. Dementsprechend liefert die Zertifizierung über Informationssicherheit nach ISO 27001 einen guten ersten Orientierungspunkt bei der Provider-Auswahl.
Empfindliche Bußgelder bei Verstößen
Die neue Verordnung hat den Bußgeldrahmen auf bis zu 20 Millionen Euro bzw. vier Prozent des Gesamtumsatzes des Vorjahres angehoben. Im bisherigen Bundesdatenschutzgesetz lag die Höhe des Bußgeldes maximal bei 300.000 Euro.
DSGVO erfordert ganzheitliches Sicherheitskonzept
Unternehmen sind verpflichtet, ihre IT-Landschaft entsprechend nicht nur organisatorisch, sondern auch nach „dem Stand der Technik“ abzusichern. Das erfordert also sowohl ein Managementsystem mit entsprechend hinterlegten Maßnahmen als auch explizit Security-Technik. Viele der notwendigen technischen Maßnahmen liegen in der Verantwortung des Cloud Providers. Dennoch sind Unternehmen auch hier klar zum Handeln aufgerufen, denn die finale Verantwortung tragen sie nach wie vor. Das bedeutet auch, dass sie letztlich (technisch) Herr über die in der Cloud zu verarbeitenden Daten bleiben müssen. Gerade kleineren Unternehmen kommt hier die vertiefte Informations- und Beratungspflicht der Provider zugute. Sie profitieren zusätzlich von der Expertise und Routine des Providers in Erkennung und Umgang mit Security Incidents.
Erfahren Sie mehr über die pluscloud, die DSGVO-konforme Cloud.
