Datenschutz und Cloudnutzung. Das sind die Herausforderungen.
Umsetzungsprojekte zur DSGVO sollten eigentlich in allen Unternehmen mittlerweile abgeschlossen sein. Eine aktuelle Studie von Capterra zu „Datenschutz und Datensicherheit in deutschen KMU“ zeigt jedoch, dass dies gerade bei KMUs nicht der Fall ist, obwohl diese nach Aussage der BITKOM am häufigsten angegriffen werden. Datendiebstahl, Industriespionage oder Sabotage verursachten bei deutschen Industrieunternehmen laut Bitkom in den vergangenen zwei Jahren einen Schaden von mehr als 43 Milliarden Euro. In der gesamten deutschen Wirtschaft waren es sogar fast 110 Milliarden Euro. Unternehmen laufen Gefahr das Vertrauen ihrer Kunden, vertrauliche Dokumente, Ideen und Patente durch den Datendiebstahl zu verlieren.
Die Ergebnisse der Studie zeigen, dass der Mittelstand noch immer nicht ausreichend auf die Abwehr von Cyberkriminalität und die Anforderungen der DSGVO vorbereitet ist.
- Ein Fünftel der Unternehmen schätzen ihr Unternehmen als schlecht vorbereitet ein, Datenschutzbestimmungen einzuhalten.
- Lediglich 30 % vertrauen bei der Datenspeicherung auf die Cloud.
- 60 % der KMU speichern ihre Daten auf internen Servern.
- 56 % der deutschen KMU sind nicht gut mit der DSGVO vertraut.
- 30 % der deutschen KMU überprüfen Datenschutzbestimmungen halbjährlich, knapp 40 % jährlich.
- Die Hälfte aller Unternehmen haben nicht genug Zeit bzw. Ressourcen, die zur Einhaltung von Datenschutzbestimmungen benötigt werden.
Cloudnutzung. Diese Vorteile sollten Sie kennen.
Obwohl die Nutzung von Cloudservices wie Speicherplatz, Rechenleistung oder Anwendungssoftware als Dienstleistung bereits seit mehreren Jahren eine Alternative zu lokalen IT-Betrieb darstellt, wird sie gerade bei mittelständischen Unternehmen noch immer nicht in vollem Umfang genutzt. Viele Unternehmen stehen Cloud-Software noch immer skeptisch gegenüber. So speichern 61 % der KMU in Deutschland Kundendaten auf dem eigenen Server. Lediglich 30 % setzen Cloud-Tools zur Datenspeicherung ein. Seriöse Cloud-Anbieter wie z.B. Microsoft oder Amazon (AWS) betreiben die Systeme und Services in deutschen Rechenzentren nach internationalen und deutschen Sicherheitsstandards sowie den Anforderungen der DSGVO. Weiterhin stellen die Anbieter IT-Sicherheitsexperten zur Verfügung, die sich ausschließlich um die Datensicherheit (Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität) beschäftigen. Damit können Cloudlösungen nicht nur hohe Sicherheitsstandards bieten, sondern auch Flexibilität, Skalierbarkeit und Kostenkontrolle. Aufgaben, die Kompetenz, Fachpersonal und Zeitaufwand fordern, sowie Installation, Konfiguration, Patchmanagement, Schwachstellenanalyse und Software-Updates, fallen mit Cloud-Nutzung aus dem Aufgabenbereich von Unternehmen. Als weiterer entscheidender Vorteil kann die Auslagerung von Datensicherheitsmaßnahmen an Experten angesehen werden, die derzeit nur sehr schwer oder gar nicht auf dem Arbeitsmarkt zur Verfügung stehen. Wobei gerade die Datensicherheit immer mehr in den Vordergrund rückt. Denn der Betrieb von Sicherheitssystemen wie Firewalls, SIEM, SOC usw. ist für KMUs in den wenigsten Fällen wirtschaftlich, da er mit sehr hohen Investitionen und laufenden Aufwänden für den Betrieb (Lizenzen und Personalkosten) verbunden ist.
Cloudnutzung. Diese Risiken sollten Sie kennen.
Die Nutzung von Cloudservices birgt auch Risiken, die im Vorfeld zu analysieren sind. Die Cloud Security Alliance (CSA) zählt die nachfolgenden Risiken zu den Top 10.
Top 10 Risiken der Cloud Nutzung:
- Missbrauch von Cloud Computing
- Unsichere Anwendungsprogrammierschnittstellen (API)
- Innentäter
- Shared Technology Schwachstellen
- Datenverlust / Datendiebstahl / Missbrauch von Daten
- Account-, Service- und Traffic-Hijacking
- Unbekanntes Risiko Profil / Mangelndes Risikobewusstsein
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) führt in seiner Veröffentlichung zur sicheren Nutzung von Clouddiensten darüberhinaus nachfolgende Risiken für die Nutzer von Clouddiensten auf:
- Verlust der Kontrolle über die Daten und Anwendungen
- Verletzung geltender Vorgaben und Richtlinien (z. B. Datenschutzanforderungen)
- Sicherheit der Endgeräte, mit denen die Clouddienste verwendet werden.
Vorsicht.
Wenn kein einfacher und schneller Weg zum Datenaustausch oder zur Zusammenarbeit im Unternehmen vorhanden ist, weichen Mitarbeiter aus Gründen der Bequemlichkeit oft auf eigene, private Lösungen bekannter Cloud-Speicheranbieter aus. Gerade aber die populärsten Cloud-Lösungen wie Drop-Box und Co, die privat benutzt werden, speichern ihre Daten nicht in deutschen bzw. europäischen, sondern in nordamerikanischen Rechenzentren und haben ihren Firmensitz außerhalb der EU. Somit fallen sie nicht in den Wirkungsbereich der DSGVO. Zudem sind private Cloud-Speicher problematisch, da hier immer die Gefahr besteht, dass nicht autorisierte Personen Zugriff auf sensible Daten erhalten können. Technisch können Sie die Nutzung solcher privaten Cloud-Systeme jedoch kaum unterbinden.
Cloudnutzung. Das fordert die DSGVO.
Die Voraussetzungen für die Nutzung der Cloud finden sich in Art. 28 DSGVO. Diesem zufolge darf nur mit solchen Cloud-Anbietern zusammengearbeitet werden, die „hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet“. Die technischen und organisatorischen Anforderungen an den Cloud-Anbieter sind dabei hoch. So muss er unter anderem unter Berücksichtigung des Stands der Technik und der Schwere des Risikos für die Rechte und Freiheiten der betroffenen natürlichen Personen „geeignete technische und organisatorische Maßnahmen“ ergreifen. Ziel ist ein dem jeweiligen Risiko der Datenverarbeitung angemessenes Schutzniveau.
Bei der Risikoanalyse zur Cloudnutzung ist zu beachten, dass das Risiko aus der Sicht des Betroffenen zu bestimmen ist. Demnach erhöhen sich die Anforderungen an die IT-Sicherheit sobald vertrauliche personenbezogenen Daten in der Cloud verarbeitet werden sollen. In Einzelfällen, wie z.B. bei der Verarbeitung von Gesundheitsdaten in der Cloud, sind besondere Schutzmaßnahmen wie die Verschlüsselung zwingend umzusetzen.
Demnach sollten Sie vor der Einführung von Clouddiensten nachfolgende Punkte prüfen und die daraus resultierenden Risiken analysieren.
Checkliste Nutzung von Clouddiensten.
Prüfpunkt | Umgesetzt Ja/Nein |
Welche Daten werden verarbeitet? | |
Fallen diese Daten unter die DSGVO? | |
Ist eine gesetzliche Grundlage für die Verarbeitung in der Cloud vorhanden? | |
Sind eventuell erforderliche Einwilligungen vorhanden? | |
Sind die erforderlichen technischen und organisatorischen Sicherheitsmaßnahmen zum Schutz der Daten beim Dienstleister vorhanden und werden diese vertraglich zugesichert? | |
Kann der Dienstleister seine Sicherheitsmaßnahmen mit aktuellen Zertifikaten (ISO 27001, BSI C5 usw.) nachweisen? | |
Wurden die Risiken für die Betroffenen analysiert und dokumentiert? | |
Wurde eine DSFA durchgeführt und dokumentiert? | |
Ist ein Löschkonzept vorhanden? | |
Sind die Daten portabel? |
Prüfpunkte Cloud
Nur wenn Sie sich zumindest mit diesen Fragen auseinandergesetzt haben, können Sie die weiteren Schritte zur Cloudnutzung einleiten.
Wichtig.
Beachten Sie auch, dass aus diesen Anforderungen regelmäßige Prüfungshandlungen resultieren. Sie müssen die Einhaltung der Datenschutzrechtlichen Anforderungen als Datenschutzbeauftragter entweder selbst prüfen oder durch unabhängige Sachverständigen prüfen lassen. Sie müssen sich diese Prüfungsrechte zudem vertraglich zusichern lassen.
Fazit
Für Anbieter sowie Nutzer von Clouddiensten bringt die DSGVO wesentliche Veränderungen. Insbesondere die Auswahl des Anbieters und die Gestaltung der Verträge stellen hohe Anforderungen an die Unternehmen. Positiv ist zu sehen, dass große Cloudanbieter wie Amazon (AWS) und Microsoft mittlerweile ihre Rechenzentren in Deutschland haben und DSGVO konforme Standardverträge bieten. Insofern können Sie sich auf die internen Prozesse konzentrieren, die vor aber auch während der Nutzung von Clouddiensten zu etablieren sind. Hierzu gehören eine fortlaufende Steuerung und Überwachung des Dienstleisters und die Kontrolle der datenschutzrechtlichen Anforderungen im Unternehmen. Nicht zu vergessen die Umsetzung eines sachgerechten Löschkonzeptes in der Cloud.