Cloud Compliance

Datenhoheit ist die Voraussetzung für wirksamen Cloud-Datenschutz

11.05.2023
Anzeige  Nur wer alle Datenbewegungen nachvollziehen kann, ist in der Lage, Daten auch wirksam zu schützen. Erprobte Lösungen stellen diese Datenhoheit sicher.

Beim Cloud Computing werden Daten sehr schnell über viele Entitys hinweg übertragen und gespeichert. Das erhöhtdie Risiken beim Datenschutz, etwa weil die Kontrolle über personenbezogene Daten nur unzureichend ist oder die Informationen über die Nutzung und Verarbeitung dieser Daten mangelhaft sind. Doch der Gesetzgeber stellt die Unternehmen als Cloud-Nutzer bei der Erfüllung seiner Compliance-Vorgaben klar in die Pflicht - aktuelle Tools und Konzepte helfen, dieser Pflicht nachzukommen.

Die DSGVO weist die Compliance-Verantwortung klar dem Cloud-Nutzer zu. Bei Verstößen haften Vorstände oder Geschäftsführer unter Umständen sogar persönlich.
Die DSGVO weist die Compliance-Verantwortung klar dem Cloud-Nutzer zu. Bei Verstößen haften Vorstände oder Geschäftsführer unter Umständen sogar persönlich.
Foto: alphaspirit.it - shutterstock.com

Das BSI hat eine Richtlinie herausgegeben, in der es unter anderem heißt:

"Werden in der Cloud Daten erhoben, verarbeitet oder genutzt, müssen diese gemäß den geltenden Bestimmungen geschützt sein (Compliance). Dabei kann es sich um Anforderungen aus der Datenschutzgrundverordnung (DSGV), dem Telekommunikationsgesetz (TKG), der Abgabenordnung (AO) bei der Verarbeitung steuerrechtlicher Daten, dem Handelsgesetzbuch (HGB) bei der Verarbeitung buchführungsrelevanter Daten und dem Strafgesetzbuch (StGB) handeln."

Im Klartext heißt das: Die Compliance-Verantwortung liegt beim Cloud-Nutzer. Verstöße können zu Geldstrafen führen oder sogar strafrechtliche Konsequenzen haben. Vorstände oder Geschäftsführer haften unter Umständen sogar persönlich.

Compliance-Risiken senken mit Managed Data Protection as a Service

Die Umsetzung und kontinuierliche Einhaltung all dieser Anforderungen erfordern normalerweise erhebliche technische und organisatorische Maßnahmen. Vor allem bei stark regulierten Unternehmen, wie Finanz- und Gesundheitsdienstleistern kann das zu Projektverzögerungen oder unwägbaren Risiken führen. Einige IT-Service-Unternehmen bieten deshalb inzwischen Managed Data Protection as a Service an, der Compliance-Risiken und Verzögerungen weitestgehend minimiert oder sogar ganz beseitigt.

Hyperscaler und DSGVO: Ja, aber …

Besonders problematisch ist in diesem Zusammenhang die Nutzung von US-amerikanischen Cloud-Providern. Hier gibt es seit langer Zeit Rechtsunsicherheiten in Bezug auf die Einhaltung der DSGVO. Allerdings, die Wogen glätten sich: So hat der Europäische Datenschutzausschuss (EDSA) im März seine Stellungnahme über den Entwurf des Angemessenheitsbeschlusses zum EU-U.S. Data Privacy Framework (EU-U.S. DPF) bekannt gegeben.

Darin wurden viele Fortschritte im Vergleich zur Vorgängerübereinkunft, dem sog. Privacy Shield, erzielt. Vor allem wurden die Kritikpunkte des EuGH aus dem Schrems II-Urteil adressiert. Hierzu zählt die Einrichtung eines neuen Rechtsbehelfsmechanismus, der für betroffene Personen in der EU wirksame Rechtsschutzmöglichkeiten geschaffen hat.

Wir haben Bedenken, ob die neuen Regelungen ein Schutzniveau gewährleisten, das den EU-Datenschutzstandards gleichwertig ist.

Der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI), Ulrich Kelber, begrüßte die Verbesserungen. "Wir sehen den Willen, ein angemessenes Schutzniveau für Betroffene, deren personenbezogenen Daten an Unternehmen in die USA übermittelt werden, zu schaffen. Deutliche Fortschritte gibt es insbesondere im Bereich des Government Access für Zwecke der nationalen Sicherheit", schrieb er in seinem Kommentar.

Wer auf Nummer sicher gehen will, belässt Daten im Hoheitsbereich der EU

Trotzdem ist er weiterhin skeptisch: "Bedenken haben wir, ob die neuen Regelungen in allen Punkten ein Schutzniveau gewährleisten, das den EU-Datenschutzstandards gleichwertig ist", lautet sein Einwand. Zusammenfassend kann man sagen, dass die Compliance-Auflagen als erfüllt gelten, solange die Daten den Hoheitsbereich der EU nicht verlassen.

Verschlüsselung nützt nur, wenn der Key sicher aufbewahrt wird

Zu einem wichtigen Werkzeug beim Schutz persönlicher und vertraulicher Informationen ist die Verschlüsselung geworden. Doch die Sache hat zwei Haken:

  • - Erstens, auch verschlüsselte Daten können leicht kompromittiert werden, wenn der Schlüssel verloren geht.

  • - Zweitens, ohne Schlüssel gibt es keinen Zugriff auf die Daten; das ist genauso, als hätte man gar keine Daten mehr.

Deshalb ist die ordnungsgemäße Schlüssel-Verwaltung entscheidend für die Sicherheit. In einer Untersuchung von Entrust sagten 56 Prozent der Befragten, dass die Verwaltung der Schlüssel ein herausfordernder Prozess sei.

Verschlüsselung in deutschen Unternehmen

- 80% der Unternehmen (96% der Großunternehmen) nutzen Cloud-Verschlüsselung
- 21% organisiert die Verschlüsselung selbst
- 32% überlassen die Verschlüsselung dem Cloud-Anbieter

Das heißt in Summe: Jeder zweite Cloud-Nutzende verschlüsselt seine Daten nur einseitig – immerhin 27% arbeiten bei der Verschlüsselung bereits zweiseitig.

(Quelle: KPMG)

Als besonders sichere Lösung sehen Experten einexternes Key Management (EKM), mit dem das Niveau der Vertraulichkeit von Daten (data confidentiality) verbessert wird. Hierbei wird ein kryptographischer Schlüssel außerhalb der Cloud-Plattform auf Hardware-Sicherheitsmodulen (HSM) in einem separaten Rechenzentrum gespeichert. Dadurch hat selbst der Cloud-Provider keinen Zugriff auf die Master-Keys.

Fazit

Datenschutzkonzepte müssen die erforderliche Datenhoheit garantieren - auch beim Cloud Computing. Dazu gehört, dass die Art und Weise der Nutzung ebenso transparent ist, wie der Ort, an dem Daten gespeichert sind. Mit bewährten Verfahren lässt sich die Datenresidenz so kontrollieren, dass die Daten nur innerhalb der EU verarbeitet und gespeichert werden. Zudem müssen Vorkehrungen zur IT-Sicherheit und Verschlüsselungsverfahren eingesetzt werden, um den Datenzugriff für Unbefugte unmöglich zu machen. Mit diesen Basismaßnahmen werden viele gesetzliche Anforderungen, wie die DSGVO häufig bereits erfüllt.