Cloud Computing wird in deutschen Unternehmen immer öfter genutzt, wobei die Datensicherheit und der Datenschutz zu den wichtigsten Auswahlkriterien gehören. Das zeigt die aktuelle Bitkom-Umfrage.
Cloud Computing immer gefragter
Bitkom Research führte die repräsentative Umfrage im Auftrag der KPMG AG durch. In diesem Rahmen wurden 555 Unternehmen ab 20 Mitarbeitenden in Deutschland zu ihrem Cloud Computing-Einsatz befragt. Zu den wichtigsten Ergebnissen gehört der Fakt, dass drei von vier Unternehmen (76 Prozent) im Jahr 2019 Rechenleistungen aus der Cloud nutzten, Tendenz steigend (73 Prozent in 2018, 66 Prozent in 2017). Lediglich sechs Prozent geben an, künftig auf die Cloud verzichten zu wollen, 30 Prozent planen oder diskutieren den Cloud-Einsatz.
Datenschutz bei Cloud Computing wichtiger Faktor
Bei der Auswahl der geeigneten Cloud-Lösung steht die Konformität mit der Datenschutz-Grundverordnung für fast alle Unternehmen (96 Prozent) an erster Stelle, gefolgt von einer transparenten Sicherheitsarchitektur (88 Prozent). Für mehr als drei Viertel (77 Prozent) ist auch die Möglichkeit, Cloud-Daten zu verschlüsseln, essentiell.
Im Hinblick auf die Bestimmungen der DSGVO ist es nicht überraschend, dass auch der Datenspeicherort eine wichtige Rolle bei der Wahl der Cloud-Lösung spielt. Zwei Drittel (65 Prozent) wählen einen Anbieter, dessen Rechenzentrum sich ausschließlich im Rechtsgebiet der EU – dem Geltungsbereich der DSGVO –befindet. Fast genauso viele der Befragten möchten, dass auch der Hauptsitz des Cloud-Anbieters in der EU liegt (63 Prozent).
7 Tipps für eine datenschutzkonforme Nutzung von Cloud-Lösungen
Wer zukünftig auch auf Cloud Computing setzen möchten, der sollte bei der Auswahl der Cloud-Lösung die folgenden sieben Tipps beachten. Gern beraten unsere Datenschutzexperten Sie bei der Auswahl von datenschutzkonformen Cloud-Lösungen.
-
Cloud-Dienstleister hat seinen rechtlichen Sitz in Deutschland bzw. der EU
Unternehmen, die in Deutschland Cloud-Lösungen nutzen, müssen diese datenschutzkonform einsetzen. Diese Regelung gilt beispielsweise auch für soziale Netzwerke wie Facebook, Instagram oder LinkedIn. Der datenschutzkonforme Einsatz gemäß DSGVO ist aber immer dann schwierig, wenn die Anbieter ihren Sitz im nicht-europäischen Ausland haben. Dort gilt die DSGVO nicht, beispielsweise sieht die Gesetzgebung der USA keine strengen Datenschutzvorgaben vor, womit die rechtlichen Grundlagen der EU und der USA nicht miteinander kompatibel sind. Das gilt auch für andere nicht-europäische Länder, hier aber ganz besonders.
-
Cloud-Anbieter ist kein Teil eines US-Konzerns
Seit dem März 2018 ist der US CLOUD Act in Kraft. Er ermöglicht es, dass US-amerikanische Behörden von Unternehmen in den USA – aber auch Tochterunternehmen und Länder-Zentralen in Europa – Daten verlangen können, die sich im Besitz oder auch nur in Obhut des jeweiligen Unternehmens befinden. Wer die Cloud-Lösung eines solchen Unternehmens nutzt, kann in die Situation kommen, dass unternehmensinterne Daten von US-amerikanischen Behörden ausgewertet werden.
-
Hosting ausschließlich in deutschen bzw. europäischen Rechenzentren ist möglich
Neben dem Firmensitz des Cloud-Anbieters sollte sich auch das Rechenzentrum in Deutschland, mindestens aber in Europa befinden.
-
Abschluss einer Auftragsverarbeitungs-Vereinbarung
Unternehmen sind dazu verpflichtet, mit allen Dienstleistern, die in ihrem Auftrag Daten verarbeiten, einen Auftragsverarbeitungsvertrag zu schließen (Art. 28, DSGVO).
Da der Cloud-Anbieter Daten des jeweiligen Nutzers verarbeitet, muss auch mit diesem ein solcher Vertrag geschlossen werden. In diesem sollte auch garantiert werden, dass alle notwendigen und möglichen technischen und organisatorischen Maßnahmen getroffen werden, um eine höchstmögliche Datensicherheit und den Datenschutz gemäß DSGVO gewährleisten zu können.
Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. (Art. 28, DSGVO)
Umso wichtiger ist es, dass der Cloud-Anbieter sich der DSGVO verpflichtet fühlt.
ShapeMinds -
Flexibles Rechtemanagement
Die gewählte Cloud-Lösung sollte ein ausreichendes Identity Access Management (IAM) nutzen. So kann zwischen Lese-, Schreib, Änderungs- und Ausführrechten unterschieden und die Zugriffsberechtigungen individuell vergeben werden.
-
Zertifizierung des Cloud-Dienstleisters
Die wichtigste Zertifizierung für Cloud-Lösungen ist die Norm für Informationssicherheits-Managementsysteme (ISMS) ISO 27001. Sie ist die wichtigste Cyber-Security-Zertifizierung, womit sie ein wichtiges Indiz für eine sichere Cloud-Lösung ist. Zudem sollte der Cloud-Anbieter auf seinen Produkt- und Webseiten hinreichende und verständliche Informationen zum Datenschutz und der Datensicherheit anbieten.
-
Umfassende Datenschutz-Schulungen für Mitarbeitende des Cloud-Dienstleisters
Datensicherheit ist nicht nur eine technische Herausforderung. Eine Auswertung im Human Factor 2019 zeigt, dass 99 Prozent der Cyberangriffe auf menschliche Interaktion angewiesen sind. Es braucht dementsprechend Mitarbeitende, die Makros aktivieren, Dateien oder Dokumente öffnen oder auf einen Link klicken. Deshalb braucht es sowohl in den Unternehmen, die Cloud-Lösungen nutzen, sowie in den IT-Arbeitsbereichen von Cloud-Anbietern ein Bewusstsein für Datensicherheit und den datenschutzkonformen Umgang mit Clouds.
Unternehmen sollten die obigen Ratschläge zur Auswahl einer datenschutzkonformen Cloud-Lösung berücksichtigen, um eine möglichst hohe Datensicherheit zu gewährleisten.
Kontaktieren Sie uns!