Datenschutz
Multi-Cloud-Management und DSGVO zur Win-Win-Situation machen
Fortsetzung des Artikels von Teil 1
Im Falle eines Falles
Wenn doch ein Datenverlust eintreten sollte, müssen Cloud-Anbieter und -Nutzer dies der zuständigen Datenschutzbehörde im jeweiligen Land unverzüglich melden. Die Frist liegt hierfür bei 72 Stunden nachdem der Datenverlust entdeckt wurde. Bei besonders sensiblen, personenbezogenen Daten wie beispielsweise Patientenakten müssen außerdem die entsprechenden Endnutzer über den Verlust informiert werden. Waren die Daten jedoch verschlüsselt, entfällt die Meldepflicht. Denn verschlüsselte Daten gelten auch nach den strengen Auflagen der DSGVO nicht als verloren.
Bei der Wahl des Cloud-Anbieters sollten Unternehmen dringend auf hohe Transparenz achten, um im Ernstfall Meldefristen einhalten zu können. Dies gelingt nur, wenn der Anbieter sowohl ein sorgfältig ausgearbeitetes Compliance-Konzept als auch eine lückenlose Dokumentation aller DSGVO-relevanten Maßnahmen vorweisen kann.
Schwarz auf weiß
Neben den technischen Maßnahmen muss der Nutzer zudem sicherstellen, dass zwischen ihm und dem Cloud-Anbieter eindeutige, vertragliche Vereinbarungen zur Verarbeitung von Daten abgeschlossen werden. Solche Verträge sollten ebenfalls abklären, wie der Rücktransfer der Daten von der Cloud des Anbieters zum Nutzer DSGVO-konform ablaufen wird. Beispielsweise, wenn ein Unternehmen den Anbieter wechseln möchte. Am besten sollten diese Prozesse auch schon mit den entsprechenden Compliance- und Dokumentationsrichtlinien konzipiert werden.
In Zukunft kann es bei der Wahl des Providers für den Nutzer außerdem hilfreich sein, wenn der Anbieter über eine DSGVO-Zertifizierung verfügt. Momentan wird eine solche Zertifizierung auf Basis des „Trusted Cloud Datenschutzprofils“ (TCDP) erarbeitet, das bisher eine ähnliche Funktion für das Bundesdatenschutzgesetz (BDSG) erfüllte. So wird ein Multi-Cloud-Provider seine DSGVO-Konformität gegenüber Nutzern zusätzlich nachweisen können.
Einfache Lösungen aus einer Hand
Das Management und die Orchestrierung der Multi-Cloud wird oft zu einer hochkomplexen Aufgabe, vor allem wenn DSGVO-Konformität gewährleistet werden soll. Zusätzlich zum Management der internen IT-Landschaft ist diese Aufgabe für Verantwortliche in Unternehmen nicht mehr zu bewältigen. Demensprechend sollte bei der Wahl des Cloud-Anbieters darauf geachtet werden, dass dieser das Management und die Orchestrierung der Multi-Cloud-Plattform DSGVO-konform aus einer Hand leisten kann.
Gewinn auf ganzer Linie
Multi-Cloud-Plattformen bieten Unternehmen die Leistung, Agilität und Flexibilität für ihre IT, die in Zeiten der stetig fortschreitenden Digitalisierung unabdingbar sind. Gleichzeitig muss die Wahl des Cloud-Anbieters seit dem Inkrafttreten der DSGVO wohlüberlegt sein. Nur so können Unternehmen erfolgreich die Vorteile der Multi-Cloud nutzen und gleichzeitig die Auflagen der DSGVO erfüllen – eine Win-Win-Situation.
Dr. Torsten Langner ist Digital-Berater bei T-Systems International
- Multi-Cloud-Management und DSGVO zur Win-Win-Situation machen
- Im Falle eines Falles
Lesen Sie mehr zum Thema
