Sie sind hier: HomeTelekommunikation

Datenschutz : Multi-Cloud-Management und DSGVO zur Win-Win-Situation machen

Viele IT-Verantwortliche stehen momentan vor der Herausforderung, zwei Großprojekte erfolgreich umzusetzen: Zum einen gilt es, die eigene IT mittels Multi-Cloud-Umgebung agil und zukunftsfähig zu gestalten. Zum anderen muss die Transformation zugleich die Anforderungen der DSGVO erfüllen.

Win Win Bildquelle: © Jakub Jirsak - 123RF

Die Unternehmen weltweit haben erkannt, dass die Zukunft ihrer IT in multiplen Cloud-Lösungen liegt. So werden laut IDC-Studie IDC FutureScape: Worldwide Cloud 2018 Predictions  bis 2020 bereits 90 Prozent aller Unternehmen mehrere Cloud-Services und -Plattformen nutzen. Schon für 2019 rechnet 451 Research mit einer Multi-/Hybrid-Cloud-Verbreitung von 69 Prozent.  Das ist nur folgerichtig. Denn nur eine Multi-Cloud-Umgebung bietet die hochflexible und kostengünstige Infrastruktur für IT-Ressourcen, die die Herausforderungen der Digitalisierung meistern kann – von der Private- über die Public- bis hin zur Hybrid-Cloud einschließlich aller Services (IaaS, SaaS, PaaS).

Zugleich sind durch die DSGVO die Anforderungen an Datensicherheit und Datenschutz besonders hoch. Seit Ende der zweijährigen Schonfrist am 25. Mai 2018 gilt Unwissenheit nicht als Ausrede. Auch wenn nur 15 Prozent der Befragten der Deloitte-Studie “The time is now: The Deloitte General Data Protection Regulation Benchmarking Survey” daran glauben, die Anforderungen der EU-Verordnung zu erfüllen, bleibt Furcht ein schlechter Ratgeber. Stattdessen können Unternehmen mit der richtigen Strategie und einem erfahrenen ICT-Service-Provider gleich zwei Fliegen mit einer Klappe schlagen: Eine agile, hochskalierbare und flexible IT-Infrastruktur aus einer Hand, die im selben Moment allen Anforderungen der DSGVO gerecht wird.

Wie also gelingt es Verantwortlichen, eine erfolgreiche Orchestrierung in der Multi-Cloud durch vertrauenswürdige Partner zu gewährleisten und ebenso die Anforderungen der DSGVO an das eigene Unternehmen vollumfänglich zu erfüllen? Zunächst ist es für Unternehmen (Datenverantwortliche) wichtig, konkret zu wissen, welche Auflagen seit dem 25. Mai für sie gelten, denn diese haben ebenso die Cloud-Provider (Datenverarbeiter) zu erfüllen.

Location, Location, Location

Grundsätzlich stehen Cloud-Nutzer und -Anbieter im Rahmen der DSGVO in der Pflicht, jederzeit nachweisen zu können, wo personenbezogene Daten – sprich Daten, die einer bestimmten Person zugeordnet werden können – von EU-Bürgern gespeichert und verarbeitet werden. So wird verhindert, dass die Daten in die Hände von Ländern oder Regierungen gelangen, deren rechtstaatliche Prinzipien nicht den Vorgaben der EU entsprechen. Außerdem enthält die DSGVO weitreichende neue Endnutzerrechte für EU-Bürger (etwa Recht auf Löschung von Daten, Recht auf Berichtigung von Daten, etc.), die nur gewährleistet werden können, wenn die entsprechenden Daten jederzeit auffindbar sind.

Damit dies auch in komplexen Multi-Cloud-Umgebungen gelingt, sollten Verantwortliche darauf achten, dass ihr Cloud-Provider sämtliche Daten in Rechenzentren innerhalb der EU speichert und vorhält, da hier die Durchsetzung der neuen DSGVO-Richtlinien gesichert ist.

Security by Design

Ein weiterer wichtiger Aspekt ist der eigentliche Schutz der Daten vor unerlaubtem Zugriff, Missbrauch oder Verlust. Im eigenen Unternehmen kann dies von den Verantwortlichen selbst gesteuert werden, aber auch bei der Nutzung von Multi-Cloud-Angeboten, muss ein Unternehmen dafür Sorge tragen, dass die Daten DSGVO-konform geschützt sind. Beispielsweise indem er sie anonymisiert/pseudonymisiert, bevor er sie in die Cloud auslagert. Denn beim Schutz der Daten in der Cloud steht nicht nur der Cloud-Anbieter in der Pflicht.

Vertrauenswürdige Cloud-Anbieter können garantieren – etwa mittels Verschlüsselung, VPN-gesicherten Zugängen, Firewalls, Anti-Viren-Programmen und hochsicheren Rechenzentren –, dass ihre Datenschutzmaßnahmen auf dem neuesten Stand sind. Zudem müssen sie über einen Datenschutzbeauftragten verfügen.

Auf jeden Fall sollten die Konzepte „Privacy by Design“ (Datenschutz durch Technikgestaltung) und „Privacy by Default“ (Datenschutz durch datenschutzfreundliche Voreinstellungen) zum Tragen kommen. Der Anbieter sollte also sicherstellen, dass sowohl die Entwicklung, also auch die Nutzereinstellungen seiner Services schon ab der ersten Konzeption den DSGVO-Richtlinien entsprechen.