Privacy Shield
Recht und Ordnung für die Cloud
Fortsetzung des Artikels von Teil 1
EU-weite Datenschutz-Grundverordnung kommt
Und noch ein weiteres Damoklesschwert hängt bedrohlich über den Unternehmen: 2016 steht im Plenum des Europäischen Parlaments die Abstimmung über die General Data Protection Regulation (GDPR, Datenschutz-Grundverordnung) an, die anschließend bis 2018 in allen Mitgliedstaaten umgesetzt werden soll. Ziel der GDPR ist es, personenbezogene Daten künftig besser zu schützen, ihre Verarbeitung EU-weit zu vereinheitlichen und den Datenaustausch innerhalb der Union zu regeln. Welche Schritte erforderlich sein werden, um die Einhaltung dieser gemeinsamen Standards zu gewährleisten, dürfte von Land zu Land äußerst unterschiedlich ausfallen. In einigen Ländern, darunter auch in Deutschland, sind die Datenschutzgesetze schon heute relativ streng, sodass auch mit Einführung der GDPR keine großen Änderungen zu erwarten sind. In anderen Ländern, wo das Datenschutzrecht bislang nicht so streng gehandhabt wird, stehen tiefgreifende Änderungen an. Flächendeckend gilt, dass die Umsetzung der GDPR die ohnehin unklare Situation im Bereich der Datenschutzgesetzgebung zumindest fürs Erste zusätzlich verkomplizieren wird.
Die relativ klaren Leitplanken, die Safe Harbor 15 Jahre lang für die Datenhaltung, den Datenschutz und den Datenaustausch vorgab, sind also endgültig Geschichte. Die Verantwortlichen der Unternehmen müssen sich an den Gedanken gewöhnen, dass die rechtliche Unsicherheit zum Dauerzustand wird.
Wer nicht auf Dauer in einer Zone der rechtlichen Unsicherheit agieren will, kommt nicht umhin, das Thema Datenschutz wesentlich stärker in die eigenen Hände zu nehmen. Er muss sich die volle Kontrolle über seine Daten und deren Aufenthaltsort sichern und dafür sorgen, dass der Umgang mit geschützten personenbezogenen Informationen stets über jeden Zweifel erhaben bleibt. Die gute Nachricht ist, dass den Unternehmen dafür heute eine ganze Reihe bewährter organisatorischer und technologischer Maßnahmen zur Verfügung steht. Zu den wichtigsten gehören:
- Fokus auf Data Center- und Cloud-Ressourcen in der EU
- Assessment der Cloud-Anwendungen im Unternehmen
- Absicherung der Zugriffe auf Cloud-Anwendungen
- Schutz kritischer Daten durch Verschlüsselung und Tokenisierung
Fokus auf Data Center- und Cloud-Ressourcen in der EU
Ein naheliegender erster Schritt, um die Einhaltung von Datenschutz- und Data Residency-Vorgaben zu gewährleisten, ist es, bei der gesamten Geschäftstätigkeit ausschließlich auf Ressourcen in der Europäischen Union zu setzen. Die meisten Unternehmen müssen dafür lediglich mit ihren Service Providern klären, wo sich deren Data Center physikalisch befinden – und anschließend verbindlich festlegen, an welchen dieser Standorte die eigenen Daten verarbeitet und gespeichert werden. Schon mit diesem einen Schritt können viele Unternehmen die gesamte juristische Diskussion wirkungsvoll umgehen und sich wieder ganz auf ihr Kerngeschäft konzentrieren.
Ein zweiter organisatorischer Ansatz, der vor allem für Managed- oder Cloud Service Provider attraktiv ist, liegt im Aufbau oder Ausbau eigener Data Center-Ressourcen in der EU. Das erfordert zwar ein relativ hohes Einstiegsinvestment. Dieses amortisiert sich aber sehr schnell. Denn angesichts der immer strengeren Datenschutz-Vorgaben steigt die Nachfrage nach Hosting-Kapazitäten in der Union stetig an. Wer seinen Kunden Cloud-Anwendungen mit dem Gütesiegel „Hosted in Europe“ bieten kann, wird sich damit in den kommenden Jahren gut vom transatlantischen Wettbewerb abgrenzen. Erste Anbieter haben dies bereits in Ihr Geschäftsmodell übernommen und die Preise für ein Rechenzentrum in Deutschland höher angesetzt als beispielsweise für die Nutzung von Amazon-Cloud-Diensten.2.
Assessment der Cloud-Anwendungen im Unternehmen
Doch die Wahl des richtigen Data-Center-Standorts ist nur der Anfang: In Zukunft wird sich in Streitfällen niemand mehr damit herausreden können, er habe nicht gewusst, wo sein Unternehmen personenbezogene Daten speichert und verarbeitet. Die Verantwortlichen sind daher auf ein Höchstmaß an Transparenz und Kontrolle über ihre schützenswerten Daten angewiesen.
Dabei werden sich die meisten IT-Abteilungen zunächst einen lückenlosen Überblick darüber verschaffen müssen, welche Cloud-Anwendungen in ihrem Unternehmen überhaupt zum Einsatz kommen. Denn neben den legitimen, offiziell freigegebenen Anwendungen gibt es heute in jedem größeren Unternehmen auch eine Reihe von Schatten-Anwendungen, die ohne Wissen der IT verwendet werden. Und solange das Marketing-Team insgeheim über Googledocs zusammenarbeitet, das Controlling vertrauliche Geschäftszahlen über Office365 teilt und die HR-Abteilung eingehende Bewerbungen in Dropbox speichert, ist absehbar, dass über kurz oder lang sensible Daten auf amerikanischen Servern landen werden.
Als Schlüsselkomponente bei der Identifizierung und Bewertung der Cloud-Anwendungen im Unternehmen haben sich Cloud Access Security Broker (CASB) etabliert. Die meist Cloud-basierten Plattformen importieren die Log-Dateien der bestehenden Secure Web Gateways (SWGs), Firewalls, NGFWs, IPS-Lösungen und SIEM-Systeme und durchsuchen sie gezielt nach Anzeichen für Cloud-Kommunikation. Anschließend gleichen sie den gefundenen Cloud-Traffic mit einer hinterlegten Datenbank von über 10.000 bekannten Cloud-Anwendungen ab und erstellen eine vollumfängliche Liste aller im Unternehmen verwendeten Cloud-Apps – inklusive einer detaillierten Bewertung des Risikopotenzials, des Traffic-Volumens und der Anzahl der Zugriffe. Für viele Apps sind in der Datenbank auch die Data-Center-Standorte und die Speicherorte der Daten hinterlegt, so dass auf einen Blick sichtbar ist, welche Apps im Hinblick auf die Datenschutz- und Data-Residency-Vorgaben problematisch sind.
- Recht und Ordnung für die Cloud
- EU-weite Datenschutz-Grundverordnung kommt
- Absicherung der Zugriffe auf Cloud-Anwendungen
Lesen Sie mehr zum Thema
