Cloud & Datenschutz
Raus aus den 80ern
Fortsetzung des Artikels von Teil 1
Was beim Umzug in die Cloud zu beachten ist
Der Ort
Die strengsten Datenschutzregeln, wie die in Deutschland, Frankreich und Russland, schreiben vor, Daten auf physischen Servern in dem jeweiligen Land zu speichern. Darüber hinaus gibt es ähnlich strenge, oder gar strengere, branchenspezifische Regelungen, wie zum Beispiel in Behörden. Zudem wird auf Daten auch aus anderen Ländern mit zum Teil sehr unterschiedlichen gesetzlichen Vorgaben zugegriffen, sei es durch eigene Mitarbeiter und/oder Sublieferanten. Die gute Nachricht für die IT und die Rechtsabteilungen in Unternehmen ist, dass sie die Verantwortung darüber dem Cloudanbieter überlassen können. Deswegen ist es wichtig, einen Anbieter zu wählen, dessen Rechenzentren alle Datenschutzgesetze und -richtlinien befolgen. Im Hinblick auf den Datenschutz bei der Migration in die Cloud muss, ähnlich wie bei Immobilien, der Ort als erstes berücksichtigt werden.
Das Kleingedruckte
Der zweite Faktor ist das Kleingedruckte. Die lokalen Gesetze sowie die SLAs im Vertrag mit dem Cloudanbieter sollten daher sorgfältig geprüft werden. Genauso wichtig ist es, alle relevanten internen Abteilungen in den Prozess einzubinden, um besser zu verstehen, welche Bedenken die einzelnen Abteilungen zum Thema Datenschutz haben. Oftmals wissen die Verantwortlichen im Unternehmen gar nicht, aus welchen Gründen die internen Datenschutzregeln aufgestellt wurden. Diese Information ist aber wichtig für den Migrationsprozess.
Transparenz
Der dritte Punkt bei Datenschutz in der Cloud ist die Sicherheit und Kontrolle. Oft ist es die Gesetzeslage, die ein Unternehmen daran hindert, ihre IT-Systeme in die Cloud zu verlagern. Zum Beispiel haben Länder innerhalb der Europäischen Union (EU) Beschränkungen für die Übertragung von persönlich identifizierbaren Informationen (PII) in Länder außerhalb der EU. Vielmehr ist es aber die Angst, nicht mehr die volle Kontrolle darüber zu haben, wer die vertraulichen Daten der Firma oder PII-Daten verwaltet. In anderen Fällen können spezifische Firmeninformationen der Rechtsabteilung oder des Personalmanagements nicht außerhalb des Unternehmens liegen. Deshalb ist es wichtig einen Anbieter zu wählen, der transparent und vertrauenswürdig ist, um sicherzustellen, dass die unternehmenskritischen Daten vor neugierigen Augen geschützt sind. Folgende Sicherheits- und Kontrollkriterien sollte ein Cloudanbieter erfüllen:
- End-to-End-Verschlüsselung: Verschlüsselung aller Daten. Sowohl beim Transfer im Internet als auch dort, wo sie gespeichert werden.
- On-Premise-Daten verschlüsseln: Daten werden verschlüsselt, bevor sie auf dem Weg zum Rechenzentrum des Cloudanbieters ins Internet gelangen.
- Smarte Zugriffskontrolle: Rollenbasierte Authentifizierung und andere Benutzerkontrollen, die bestimmen, welche Daten der jeweilige Benutzer sehen kann und welche nicht.
- Raus aus den 80ern
- Was beim Umzug in die Cloud zu beachten ist
- Cloudverbot führt zu Schatten-IT
Lesen Sie mehr zum Thema
