Datenschutz in der Cloud

So hilft Cloud-Verschlüsselung bei der DSGVO-Compliance

| Autor / Redakteur: Eduard Meelhuysen / Peter Schmitz

Eine zuverlässige Verschlüsselungslösung und ein passendes Zugriffskonzept lassen Unternehmen der DSGVO im Bezug auf die Cloud-Nutzung mit Gelassenheit entgegensehen.
Eine zuverlässige Verschlüsselungslösung und ein passendes Zugriffskonzept lassen Unternehmen der DSGVO im Bezug auf die Cloud-Nutzung mit Gelassenheit entgegensehen. (Bild: Pixabay / CC0)

In der Mehrheit der Unternehmen sind Cloud-Anwendungen inzwischen im Einsatz. Mit der bevorstehenden Anwendung der Europäischen Datenschutz-Grundverordnung (DSGVO) in weniger als einem Jahr könnte jedoch die Begeisterung in der Nutzung für Cloud-Apps ein wenig getrübt werden. Dabei gibt es mit Cloud-Verschlüsselung ein Mittel um sich deutlich entspannter dem Thema DSGVO zu nähern.

Die DSGVO verlangt für IT-Umgebungen das Prinzip Privacy by Design, womit Datenschutz und Sicherheit in den Mittelpunkt gerückt werden. Geht es um die Verarbeitung von Kundendaten, so erachtet die DSGVO die Unternehmen als Auftragsdatenverarbeiter. Für sie gelten im Umgang mit Kundendaten unter anderem die Vorgaben der Sparsamkeit bei der Datenerhebung, die Datenverarbeitung mit Einverständnis der Kunden, Auskunftspflicht und insbesondere Informationspflicht bei Datensicherheitsvorfällen: In derartigen Fällen haben Unternehmen die betroffenen Kunden unverzüglich zu informieren und binnen 72 Stunden die zuständigen Aufsichtsbehörden über die Sicherheitslücke in Kenntnis zu setzen. Erfolgt die Benachrichtigung nicht im gegebenen Zeitraum und nicht in ausreichendem Umfang, können empfindliche Geldbußen fällig werden (Art. 83, Abs. 4 DSGVO).

Effizientere IT-Prozesse und eine flexiblere Preisgestaltung, die langfristige Kostenvorteile mit sich bringt, überzeugen laut dem aktuellen Cloud Monitor von Bitkom und KPMG in Deutschland derzeit 64 Prozent der Unternehmen vom Nutzen von Cloud-Anwendungen. Insbesondere bei der Nutzung von Cloud-Anwendungen sollten Unternehmen aber den Regelungen der DSGVO verstärkte Aufmerksamkeit widmen, bringt diese doch ein erhöhtes Maß an Verantwortung mit sich. Wenn es um die Sicherheit der Unternehmensdaten in der Cloud geht, scheint es derzeit noch gängige Praxis zu sein, stillschweigend die Verantwortung dem Cloud-Anbieter zuzuschreiben. Mit der DSGVO können Unternehmen eine derartige Sorglosigkeit leider nicht mehr an den Tag legen.

Datenschutzgrundverordnung im Mittelstand

IT-Sicherheit für den Mittelstand 2017

Datenschutzgrundverordnung im Mittelstand

22.09.17 - Mit der neuen EU-Datenschutz-Grundverordnung (DSGVO) erwartet europäische Unternehmen die größte Reform des europäischen Datenschutzrechtes seit 1995. Bis zur Geltung ab 25. Mai 2018 bleibt nicht mehr viel Zeit, besonders für mittelständische Unternehmen ist das Umsetzen der neuen oder erweiterten Vorgaben eine große Herausforderung. lesen

Besondere Sorgfaltspflicht im Rahmen der DSGVO

Im Rahmen der DSGVO sind sie dazu verpflichtet, sich zu vergewissern, dass die Datenverarbeitungsprozesse ihres Cloud-Anbieters dem in der DSGVO geforderten Datenschutzniveau entsprechen. Um den Unternehmen die Überprüfung zu erleichtern, sieht die DSGVO eine Zertifizierung von Cloud-Anbietern vor. Diese kämpft jedoch noch mit einigen Schwierigkeiten: Derzeit gibt es noch keine einheitlichen europäischen Standards, die Zertifizierung ist freiwillig und Gütesiegel, die gegenwärtig von Cloud-Anbietern genutzt werden, bleiben meist deutlich hinter den Anforderungen der DSGVO zurück. Darüber hinaus sind die Gütesiegel – zumindest noch zur Zeit - nur begrenzt hilfreich: Denn der alleinige Blick auf ein Gütesiegel entbindet Unternehmen nicht von der Verpflichtung, das tatsächliche Datenschutzniveau beauftragter Cloud-Anbieter zu überprüfen. Kommt ein Unternehmen dieser Sorgfaltspflicht nicht nach, kann es bei einem Datensicherheitsverstoß auf Seiten des Cloud-Anbieters ebenfalls zur Verantwortung gezogen werden. Und zwar dann, wenn von dem Unternehmen erhobene personenbezogene Daten davon betroffen sind und sich herausstellen sollte, dass das Datenschutzniveau des beauftragten Cloud-Anbieters nicht den Anforderungen der DSGVO entspricht. Hat das Unternehmen hingegen sichergestellt, dass das Datenschutzniveau des beauftragten Cloud-Anbieters ausreichend ist, steht bei einem derartigen Vorfall der Cloud-Anbieter in der Verantwortung.

Für Unternehmen bedeutet dies: Bis Mai 2018 die Verfahrensverzeichnisse ihrer Cloud-Anbieter eingehend überprüfen und für die Zukunft regelmäßige IT-Audits einfordern, um sicherzustellen, dass die Datensicherheit fortwährend gewährleistet ist. Gegenwärtig ist allerdings anzunehmen, dass allein der erste Teil der Aufgabe eine Vielzahl der Unternehmen an ihre Grenzen bringt. Insbesondere, wenn personelle und finanzielle Ressourcen für die Einführung der DSGVO-Standards knapp sind, wird der Zeitdruck empfindlich spürbar.

Doch selbst bei fristgerechter, gewissenhafter Verifizierung des Datenschutzniveaus der Cloud-Anbieter bleibt für Unternehmen ein gewisses Restrisiko: Als Auftragsdatenverarbeiter müssen sie der Informationspflicht ihren Kunden gegenüber auch bei Datensicherheitsvorfällen nachkommen, für die der Cloud-Anbieter die Verantwortung trägt. Ein Imageschaden gegenüber den Kunden ist somit trotz aller sorgfältigen Bemühungen nicht ausgeschlossen. Ebenso besteht theoretisch die Möglichkeit, dass auf Seiten des Cloud-Anbieters sich jemand unberechtigt Zugriff auf sensible Unternehmensdaten verschafft, dies jedoch unbemerkt bleibt. Ein gewisses Maß an Unsicherheit bleibt für Cloud-Nutzer somit trotz allem bestehen.

DSGVO mit Hilfe von Services und Dienstleistern umsetzen

Vorbereitung auf die Datenschutz-Grundverordnung

DSGVO mit Hilfe von Services und Dienstleistern umsetzen

01.09.17 - Am 25. Mai 2018 ist Stichtag für die DSGVO. Die für die Umsetzung der Datenschutz-Grundverordnung verbleibende Zeit ist knapp. Unternehmen, die jetzt noch Lücken in der Vorbereitung haben, sollten sich mit den Services befassen, die Dienstleister und Hersteller speziell zur DSGVO anbieten. lesen

Datenverschlüsselung: Sicherheitsvorteil und Zeitgewinn

Die Rolle als Auftragsdatenverarbeiter gewissenhaft wahrzunehmen und vollständige Kontrolle über sämtliche Daten zu behalten, ist insbesondere bei der Nutzung von Cloud-Anwendungen also gar nicht so einfach. Doch die DSGVO hält dafür sogar einen Lösungsweg bereit, wie in Artikel 34, Abs. 3a) dargelegt: „Die Benachrichtigung der betroffenen Person […] ist nicht erforderlich, wenn […] der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung,“[…]. Einfach gesprochen bedeutet dies, dass die Informationspflicht gegenüber Kunden entfällt, sofern durch eine Verschlüsselungslösung sichergestellt ist, dass die Daten in der Cloud im Falle eines Verlusts oder Diebstahls nutzlos sind. Im Sinne der DSGVO hat damit kein meldepflichtiger Datenverlust stattgefunden. Weiterhin kann auch die Meldung an die Aufsichtsbehörde entfallen, da sichergestellt ist, dass „[…] die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“ (Art. 33, Abs. 1)

Bei dem Verschlüsselungsverfahren sollten Unternehmen auf den höchsten Standard, derzeit AES-256 (Advanced Encryption Standard) setzen. Der Advanced Encryption Standard nutzt 256-Bit-Schlüssel für die Chiffrierung von Daten. Ein Initialisierungsvektor stellt sicher, dass bei jedem Verschlüsselungsvorgang ein neuer, zufälliger Schlüssel generiert wird. Damit in einer großen Datenmenge dauerhaft ausreichend Zufälligkeit sichergestellt ist, sollte der Initialisierungsvektor ebenso lang sein wie der Schlüssel – also ebenfalls 256 Bit.

Ein genauer Blick lohnt sich an dieser Stelle: Bei manchen Lösungen wird der Initialisierungsvektor häufig gekürzt, um die Anwendungsperformance nicht zu gefährden. Vorsicht ist auch bei der Verwaltung der Schlüssel geboten: Die Verschlüsselungsanwendung sollte dem nutzenden Unternehmen das Generieren und Verwalten von Schlüsseln ermöglichen. Damit wird dafür gesorgt, dass die Informationen zu den Schlüsseln das Unternehmen nicht verlassen. Innerhalb des Unternehmens sollte auch Schwachstellen durch Benutzer vorgebeugt werden, indem die Verwaltung der Schlüssel sowie die Zugriffsrechte in die Hände eines möglichst kleinen Personenkreises gegeben werden sollten. Mit derartigen Prinzipien ist ein Höchstmaß an Sicherheit gegeben – bei der Verwendung durch Unternehmensangehörige, der Übertragung zu und der Speicherung in der Cloud.

Der andere unbestreitbare Vorteil, den Cloud-Verschlüsselung den Unternehmen derzeit bietet, ist Zeit. Mit dem Einsatz eines zuverlässigen Verschlüsselungsverfahrens ist für Unternehmen die eingehende Überprüfung ihrer Cloud-Anbieter weniger zeitkritisch, da Datensicherheit grundsätzlich gegeben ist. Bis Mai 2018 bleibt für sie daher zunächst nur zu klären, ob ihr Cloud-Anbieter Subunternehmen nutzt, und diese gegebenenfalls in EU-Drittstaaten beheimatet sind, also Daten ins EU-Ausland übertragen werden. Sollte dies der Fall sein, muss noch rechtzeitig vor Ausführung der DSGVO das Einverständnis der Kunden eingeholt werden. Ansonsten können Unternehmen mit einer zuverlässigen Verschlüsselungslösung und einem passenden Zugriffskonzept der Cloud-Nutzung vor dem Hintergrund der DSGVO mit einer gewissen Gelassenheit entgegensehen.

Über den Autor: Eduard Meelhuysen ist Vice President Sales EMEA bei Bitglass.

Umsetzungsgesetz für EU-DSGVO verschärft Haftung

Auch Geschäftsführern und Mitarbeitern drohen Bußgelder

Umsetzungsgesetz für EU-DSGVO verschärft Haftung

13.07.17 - Mit Einführung der EU-Datenschutz-Grundverordnung (EU-DSGVO) steigt das Haftungsrisiko für Datenschutzverletzungen nicht nur für Unternehmen, sondern auch für Geschäftsführer, Mitarbeiter und interne Datenschutzbeauftragte. Bei Verstößen drohen bis zu 20 Millionen Euro Bußgeld und sogar Freiheitsstrafen. lesen

EU-DSGVO – so schafft Ihr Unternehmen einen reibungslosen Übergang

Kommentar von Marc Hirtz, Pitney Bowes Deutschland

EU-DSGVO – so schafft Ihr Unternehmen einen reibungslosen Übergang

15.08.17 - In rund einem Jahr wird die neue Datenschutz-Grundverordnung (DSGVO) oder General Data Protection Regulation (GDPR) der EU in Kraft treten. Für Unternehmen steht jetzt eine Bestandsaufnahme ihrer gespeicherten Daten an, denn: Auch wenn sie die bestehenden EU-Datenschutz-Richtlinien des Bundesdatenschutzgesetzes (BDSG) einhalten, muss das nach der neuen Verordnung nicht mehr der Fall sein – und dann drohen massive Sanktionen. lesen

Das müssen Unternehmen jetzt zur DSGVO wissen!

Europäischer Datenschutz

Das müssen Unternehmen jetzt zur DSGVO wissen!

21.09.17 - Die EU-Datenschutz-Grundverordnung (EU-DSGVO) ist bereits seit dem 24. Mai 2016 beschlossene Sache – die Schonfrist läuft allerdings am 25. Mai 2018 ab. Zu diesem Stichtag gilt für alle Unternehmen verbindlich die neue Rechtslage. Die Compliance-Experten von G Data verweisen dazu auf sechs Änderungen, über die Unternehmer jetzt Bescheid wissen müssen. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44908627 / Compliance und Datenschutz )