Cloud und die Datenschutz-Grundverordnung

Sind Cloud-Speicher und DSGVO ein Widerspruch?

| Autor / Redakteur: Marc Schieder* / Peter Schmitz

Neue Datenschutz-Regelungen stellen Cloud-Anbieter und -Anwender vor große Probleme.
Neue Datenschutz-Regelungen stellen Cloud-Anbieter und -Anwender vor große Probleme. (Bild: Pixabay / CC0)

Die Cloud aus der heutigen Arbeitswelt eigentlich nicht mehr wegzudenken. Speziell Cloud-Speicher spielen in vielen Unternehmen eine wichtige Rolle und helfen bei der effizienten, gemeinsamen Bearbeitung von Dokumenten, ohne Gefahr zu laufen, dass Informationen verloren gehen. Die Cloud ist also eigentlich eine tolle Sache, wäre da nicht der Datenschutz und die DSGVO.

Am 25. Mai 2016 ist die Datenschutz-Grundverordnung, kurz DSGVO, in Kraft getreten und vor wenigen Wochen endete die zweijährige Übergangsfrist. Mit der DSGVO sind auf Unternehmen diverse Auflagen zugekommen, wie von nun an mit gespeicherten Daten umzugehen ist. Unternehmen, die personenbezogene Daten speichern und verarbeiten, müssen beispielsweise dafür Sorge tragen, dass diese Daten sicher vor dem Zugriff unberechtigter Dritter geschützt sind. Auch dem sogenannten „Recht auf Vergessen werden“ muss Folge geleistet werden: Bei berechtigten Einwänden müssen personenbezogene Daten restlos und nachweislich seitens des Unternehmens gelöscht werden.

Viele bekannte Cloud-Speicher haben ihren Ursprung in den Vereinigten Staaten und fallen daher auch unter deren Rechtsprechung. Damit können US-amerikanische Geheimdienste die Herausgabe dieser Daten (und eingeschlossen damit auch die Einsicht auf diese gespeicherten Informationen) einfordern. Die Compliance mit der DSGVO ist somit spätestens seit Verabschiedung des „Cloud Act“ komplett ausgeschlossen. Unternehmen benötigen allerdings im Zuge der Digitalisierung auch künftig Cloud-Dienste, um wettbewerbsfähig zu bleiben. Trotzdem müssen diese rechtskonform sein.

Anforderungen an eine zukunftssichere Cloud

Wenn kein einfacher und schneller Weg zum Datenaustausch vom Unternehmen vorgegeben ist, weichen Mitarbeiter aus Gründen der Bequemlichkeit oft auf eigene, private Lösungen bekannter Cloud-Speicheranbieter aus. Gerade aber die populärsten Cloud-Lösungen, die privat benutzt werden, speichern ihre Daten nicht in deutschen bzw. europäischen, sondern in nordamerikanischen Rechenzentren und haben ihren Firmensitz außerhalb der EU. Somit fallen sie nicht in den Wirkungsbereich der hiesigen Datenschutzverordnungen. Zudem sind private Cloud-Speicher problematisch, da hier immer die Gefahr besteht, dass nicht autorisierte Personen Zugriff auf sensible Daten erhalten können. Verlässt ein Mitarbeiter irgendwann das Unternehmen, bleiben diese Daten oftmals in seinem Besitz, ob beabsichtigt oder nicht.

Achten Sie auf entscheidende Zertifizierungen und Features

Um genau das zu vermeiden, ist es wichtig, dass Unternehmen und deren Entscheider eine gesamtheitliche Lösung auswählen und übergreifend einführen. Verschiedene Siegel und Zertifikate, wie ISO 27001 oder das European Privacy Seal, die die Qualität von Online-Speichern auszeichnen, leisten hier eine wichtige Entscheidungshilfe. Soll die Lösung von allen Mitarbeitern akzeptiert werden, muss sie intuitiv sein, das bedeutet, dass der Cloud-Speicher nicht nur über den Browser funktionieren, sondern sich auch in die Ordnerstruktur des jeweiligen Betriebssystems eingliedern sollte.

Einige Lösungen bieten darüber hinaus eine fließende Implementierung in gängige E-Mail-Programme, so kann per Klick einfach ein Verweis auf einen Onlinespeicher angefügt und damit auch umfangreiche Daten geteilt werden. Eine optionale Steuerung per App ermöglicht außerdem eine schnelle Datenfreigabe von unterwegs.

Viele Cloud-Speicherlösungen lassen sich außerdem durch ein entsprechendes Branding optisch an das Corporate Design des Unternehmens anpassen. Auch das fördert die Akzeptanz beim Anwender und erschwert Phishing-Angriffe. Ausgeklügelte Systeme bieten bereits universelle Schnittstellen und Erweiterungen, die für eine unkomplizierte Anbindung an bereits vorhandene Software, wie CRM-Systeme usw., sorgen. Ein verbrauchsabhängiges Bezahlmodell schafft zudem Transparenz in der Abrechnung und sorgt dafür, dass sich auch die Cloud-Lösung volumenbezogen an die Erfordernisse des Unternehmens wie ein Maßanzug anpasst.

Individuelles Rechtemanagement steuert den Zugriff

Um Daten vor unautorisierten Zugriffen zu schützen, müssen Zugriffsrechte individuell an in-, sowie extern Beteiligte vergeben werden können. Damit erhält ein Teil beispielsweise nur Leserechte, während nur ausgewählte Personen Daten bearbeiten oder löschen können. Somit behält die IT-Abteilung zwar die organisatorische Hoheit, hat aber keine Lese- und Schreibrechte auf Finanz- oder Personaldaten.

Clientseitige Verschlüsselung und Privacy by Design sichern Konformität

Achten Sie bei der Auswahl einer geeigneten Lösung auf die Einstellung „Privacy by Design“. Übersetzt beschreibt dies „Datenschutz durch Technikgestaltung“, das bedeutet, dass sich der Datenschutz am besten einhalten lässt, wenn er bereits bei der Erarbeitung eines Datenverarbeitungsvorgangs technisch integriert wurde.

Die Kryptografie, also die Verschlüsselung, muss benutzerfreundlich und transparent im Alltag integriert sein, so dass sich der Mitarbeiter im täglichen Arbeitsleben keine Gedanken mehr machen muss, was er genau bei der Datenspeicherung beachten muss. Zudem sollte gewährleistet werden, dass auch der Betreiber der Cloud keinen Zugriff auf gespeicherte Daten besitzt.

Dies kann durch clientseitige Verschlüsselung sichergestellt werden, da Dateien bereits am Endgerät verschlüsselt werden. Nur so können Daten unterschiedliche Netzwerke und Länder sicher unter Wahrung des Eigentumsrechts durchlaufen werden.

Fazit

Durch die DSGVO stehen Unternehmen vor der Herausforderung, über Jahre aufgebaute Datensilos abzubauen und alle personenbezogenen Daten völlig neu zu strukturieren. Durch moderne, cloudbasierte Filesharing-Lösungen lassen sich beliebige Dateien und Datenströme in den Unternehmen zentral, hochsicher und ohne den Aufbau von weiteren Infrastrukturen weltweit sicher, zentral (wie auch dezentral) speichern, verarbeiten und transformieren. Bei der Wahl des richtigen Anbieters ist es zwingend notwendig, auf eine zukunftssichere Plattform zu setzen, die nicht nur den Anforderungen der DSGVO entspricht, sondern durch ihre grundlegende Architektur das Eigentum der Daten und Informationen sicherstellt.

Datenschutzrichtlinien wie die DSGVO stellen zusätzliche Herausforderungen dar, auf die geachtet werden müssen. Verstöße gegen den Datenschutz sind schließlich ab Inkrafttreten der Verordnung noch kritischer für Reputation und Finanzen. Unternehmen sollten deshalb abwägen, ob es für sie sinnvoll ist, sich für eine Cloud-Speicherlösung „Made in Germany“ zu entscheiden, bei der zusätzlich alle Daten in deutschen Rechenzentren gespeichert werden. Mit dem richtigen Anbieter, der Firmen bei der DSGVO Compliance unterstützt, steht einem erfolgreichen Arbeiten in der Cloud nichts mehr im Wege.

*Über den Autor: Marc Schieder ist CIO von Dracoon.

* Diesen Beitrag haben wir von unserem Schwesterportal Security-Insider übernommen.

Kommentare werden geladen....

Was meinen Sie zu diesem Thema?

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45395343 / Compliance)