Die führenden Cloud-Anbieter AWS, Google und Microsoft stammen aus den USA. Es stellt sich daher die Frage, wie sich der Datenschutz in diesen Clouds gewährleisten lässt. Aufsichtsbehörden haben Hinweise dazu gegeben.
Das Trio der Public-Cloud-Anbieter
Geht es um den Einsatz von öffentlichen, gemeinsam genutzten Cloud-Diensten (Public Cloud), fällt die Wahl meist auf einen der drei großen US-Anbieter. Laut der aktuellen RightScale-Studie „State of the Cloud Report“ setzen 61 Prozent der weltweit befragten Firmen auf Amazon Web Services (AWS), 52 Prozent auf Microsoft Azure und 19 Prozent auf die Google Cloud. Offensichtlich nutzen Unternehmen sogar mehr als einen Cloud-Dienst aus den USA. Von den Cloud-Diensten versprechen sich Unternehmen eine flexible Nutzung von IT-Diensten, Kostenvorteile im Vergleich zur internen IT und weniger Aufwand für das eigene IT-Personal.
 |
| EU-DSGVO - Das sollten Unternehmen bei der Nutzung von Public-Cloud-Diensten aus den USA beachten |
Doch Flexibilität, Kostenreduktion und ein geringerer Aufwand in der IT-Abteilung sind nicht alles, um was es gehen sollte. Denn bei Cloud-Diensten aus den USA können Unternehmen nicht einfach davon ausgehen, dass die Forderungen aus der EU-Datenschutzgrundverordnung (EU-DSGVO) der EU erfüllt sind.
Aufsichtsbehörden fordern ein angemessenes Datenschutzniveau
Bevor ein deutsches Unternehmen einen Cloud-Dienst aus den USA nutzt, muss es sicherstellen, dass der Anbieter die EU-DSGVO-Anforderungen erfüllt. Da nicht nur die IT-Abteilung, sondern vielfach auch die Fachbereiche und einzelne Nutzer zu Cloud-Services greifen, sollte jeder potenzielle Cloud-Nutzer daran denken, das Datenschutzniveau zu hinterfragen.
Beispiel: Vorgaben für Microsoft Azure
Eine Aufsichtsbehörde für den Datenschutz hat kürzlich Hinweise dazu veröffentlicht, worauf im Fall von Microsoft Azure zu achten ist. Das lässt sich auch als Beispiel für andere Cloud-Dienste aus den USA nutzen.
Als Voraussetzungen für einen datenschutzgerechten Einsatz nennt die Aufsicht:
- eine wirksame Zusatzvereinbarung, die die Vorgaben für eine Auftragsverarbeitung (Artikel 28 EU-DSGVO) enthält,
- eine Verschlüsselung der Daten unabhängig vom Cloud-Anbieter (HYOK, Hold Your Own Key, Hoheit über den Schlüssel beim Nutzer selbst) und
- eine Möglichkeit, den Versand von Nutzungsdaten (Telemetriedaten) an den Cloud-Anbieter zu unterbinden.
Wichtig ist es nun, auf weitere Hinweise der Aufsichtsbehörden zu achten und in Zu-kunft solche Cloud-Dienste zu verwenden, die ein Datenschutzzertifikat vorweisen können, das der EU-DSGVO entspricht. Hier wird es in naher Zukunft zahlreiche Cloud-Angebote geben.
Was können wir für Sie tun?
Unser yourIT-Datenschutz-Team unterstützt Sie gerne bei der Anforderung bzw. der Erarbeitung der erforderlichen Datenschutzvereinbarungen (Verarbeitung zur Auftragsverarbeitung (AVV), Verarbeitungs-Dokumentation, DS-FA).
Angebote DSGVO-konformer Private-Cloud-Anbieter sowie Unterstützung bei der technischen Auswahl des zu Ihrem Unternehmen und Ihren Anforderungen passenden Anbieters erhalten Sie von unserem yourIT-Technik-Team.
Ist Ihr Unternehmen fit für die EU-DSGVO? Jetzt Fördermittel nutzen!
Die Umsetzung der EU-DSGVO stellt viele Unternehmen vor große Herausforderungen. Nach einer Umfrage des Digitalverbands Bitkom haben drei von vier Unternehmen in Deutschland die Frist zum 25. Mai 2018 verfehlt. Auch jetzt noch sind bei Weitem nicht alle Unternehmen mit der Umsetzung fertig, wie der Digitalverband erklärt. Durch die vielfältigen formalen Vorgaben müssen bestehende Prozesse umgestellt und neue Prozesse eingeführt werden.
Als Berater in Sachen Datenschutz & Informationssicherheit und mit der Erfahrung als ISO-27001-zertifiziertes Systemhaus analysieren wir gemeinsam mit Ihnen den Reifegrad Ihres Datenschutzkonzeptes im Hinblick auf die EU-DSGVO.
 |
| Das erfolgreiche yourIT Beratungskonzept Datenschutz in 4 Phasen |
Als Ergebnis erhalten Sie einen ausführlichen Beratungsbericht, in dem wir alle gefundenen Schwachstellen in Ihrem Unternehmen in Bezug auf Datenschutz & Informationssicherheit aufführen, diese bewerten, Belegen, weshalb es sich um eine Schwachstelle handelt, wo wir diese entdeckt haben. Wir nennen diesen Datenschutz-Beratungsbericht auch das "Datenschutz-Pflichtenheft", weil wir Ihnen zu jeder Schwachstelle zudem Handlungsempfehlungen geben, wie Sie diese beheben.
Und jetzt das Beste: Für mittelständische Unternehmen wurde unsere Beratungsleistung in Sachen Datenschutz & Informationssicherheit als förderungswürdig eingestuft. Wenn Ihr Unternehmen die Förderbedingungen einhält, haben Sie Anspruch auf 1.500 EUR Fördermittel.
Gerne prüfen wir mit Ihnen, ob auch Ihrem Unternehmen Fördermittel zustehen. Das dauert nur wenige Minuten.
Ich freue mich auf Ihre Anfragen.
Ihr Thomas Ströbele
