Datenschutz Cloud

Cloud zum Datenschutz

Thematik des Datenschutzes Welche Cloud kann Unternehmern trauen? Im Rahmen des Forschungsprojekts Wirtschaftsprüfer wird ein Zeugnis erstellt, das der besseren Verständlichkeit der Anbieter entspricht, wie Dr. Marius Feldmann von Cloud&Heat Technologies und Prof. Ali Sunyaev vom Karlsruhe Institute of Technology erklären. Wie wirken sich die DSGVO-Innovationen auf Wolkenlösungen aus?

Prof. Ali Sunyaev: So hilfsbereit die digitalen Lösungsansätze im Zusammenhang mit den sehr komplexen und fein granulierten Prozessen in den Betrieben auch sein mögen, dank DSGVO ist man nun gezwungen, einen genaueren Blick darauf zu werfen:

Bei der Erhebung, Verarbeitung, Speicherung oder Übermittlung von personenbezogenen Merkmalen an Dritte zur weiteren Verarbeitung sind strenge Auflagen zu beachten. Bei personenbezogenen Angaben, d.h. bei allen Angaben zu einer identifizierten oder identifizierbaren natürlichen Personen - wie z.B. Kunden-, Bank- oder Online-Daten - hat die EU die geltenden Bestimmungen in der DSGVO offengelegt.

Es ist explizit beabsichtigt, die verschiedenen bisher geltenden EU-Rechtsvorschriften zum Datenschutz und zur Wahrung der Vertraulichkeit zu vereinheitlichen. Dies wirkt sich auf alle Arten, Größen und Branchen von Betrieben aus. Aber auch die Bereiche Verkehr und Spedition sind nicht davon ausgenommen - schließlich werden entlang der gesamten Prozesskette persönliche Informationen erhoben. Mit der DSGVO, die am 15. Juni 2018 in Kraft tritt, werden die bisher geltenden nationalen Vorschriften, wie z.B. das auf Bundesebene anwendbare BDSG, standardisiert und durch EU-weite einheitliche Vorgaben für die Datenverarbeitung aufgesetzt.

Welche Gefahren drohen für den Betrieb, wenn die neuen Vorschriften nicht erfüllt werden? Wenn noch nicht erfolgt, wird den Betrieben daher nachdrücklich empfohlen, zu prüfen, ob sie persönliche Angaben verarbeitet und ob sie bereits die Bestimmungen der DSGVO erfüllen. Kannst du ein Beispiel dafür geben, dass die Erfüllung der DSGVO schwierig zu realisieren ist? Sunyaev: Es ist nicht ungewöhnlich, dass der Satan im Dilemma steckt, denn gerade die Logik beinhaltet oft komplizierte Distributionsprozesse, die von einer großen Anzahl von Firmen und Subunternehmern durchgeführt werden.

In der Regel haben sie alle über synchrone Anlagen oder korrespondierende Interfaces Zugang zu unseren kundenrelevanten Informationen; zugleich werden zusätzliche personenbezogene Informationen wie die des zuständigen Triebfahrzeugführers oder Sachbearbeiters auf dem Bildschirm angezeigt. Dass jedes Glieder an der Verarbeitung der Informationen teilnimmt - und damit auch die neuen DSGVO-Anforderungen erfüllt sein müssen, beweist die Ketten. Wie werden die meisten persönlichen Angaben gespeichert?

Sunyaev: Im Rahmen der Dezentralisierung bearbeiten und pflegen Firmen ihre Informationen nicht nur im eigenen Datacenter vor-Ort, sondern oft auch in der Cloud mit Fremdanbietern, um von geringeren IT-Infrastrukturkosten, mehr Flexibilität im laufenden Geschäft - zum Beispiel bei der Übermittlung und Weiterleitung von bspw. auch von kundenbezogenen Informationen - und damit von einem Wettbewerbsvorteil zu haben.

Worauf sollte ich bei der zukünftigen Wahl eines Cloud-Providers achten? Feldmann: Heute gibt es Cloud-Anbieter wie z. B. den Strand am See. Die Suche nach dem passenden, langfristig orientierten Ansprechpartner für Ihre Applikationen ist besonders schwer, da oft nicht klar ist, ob die strengen Vorgaben der DSGVO vom jeweiligen Cloud-Provider auch wirklich erfüllt werden.

Mit Zertifikaten kann dieser Situation entgegengewirkt werden, indem die Betreiber von virtuellen IT-Ressourcen sowohl aus technischer als auch aus organisatorischer Sicht auf den Prüfstand gestellt werden und der transparente und objektive Konformitätsnachweis mit den Vorgaben der DSGVO erbracht wird. Obwohl es bereits eine große Anzahl von Zulassungen für Cloud Services auf dem Produktmarkt gibt, orientieren sich diese an individuellen Anforderungskatalogen und lassen bisher keine einheitlichen Konformitätsprüfungen mit Rücksicht auf die DSGVO zu.

Um die Dunkelheit der Informationsverarbeitung zu beleuchten und im Umkreis der Qualitätssiegel und Zulassungen für mehr Transparenz zu sorgen, ist eine gleichbleibende, akkreditierte Datenschutzzertifizierung von Cloud Services vonnöten. Diesem Problem haben sich mehrere dt. Firmen und Institutionen unter der Federführung von Prof. Dr. Sunyaev vom Karlsruhe Institute of Technology im Namen des Bundeswirtschaftsministeriums verschrieben.

Zielsetzung ist es, eine EU-weit einheitliche Datenschutzzertifizierung für Cloud-Dienste zu erarbeiten und in der Anwendung zu testen. Bei dem bis Ende 2019 dauernden Fördervorhaben werden alle wesentlichen Gesichtspunkte wie Verantwortlichkeiten, Transparenzverpflichtungen, Haftungs- und Kontrollsysteme immer vor dem Hintergund der neuen DSGVO erörtert. Beteiligt sind auch die Firma Datenschutz Cert, der DIN-Normenausschuss für Informationstechnologie und der Verband Eurocloud Deutschland.

Darüber hinaus ist Prof. Dr. Alexander Roßnagel von der Uni Kassel für die rechtliche Weiterentwicklung der Zertifizierungen verantwortlich. Darüber hinaus wird das Vorhaben von einer Reihe von Verbundpartnern begleitet, die ihre praktischen Erfahrungen und ihr Wissen in das Vorhaben eingebracht haben. Auditoren bauen auf ihrem Vorläufer, dem Trusted Cloud Privacy Profile - kurz TCDP - auf, einem anerkanntem Teststandard für die Datenschutzanforderungen des BDSG für Cloud Services.

Sunyaev: Derzeit erarbeitet das Konsortium neue Vorgaben und Zertifikationskriterien auf Basis der DSGVO. Zum Beispiel unterliegen nun strenger Dokumentations- und Verantwortlichkeitspflichten für Firmen, die persönliche Informationen aufbewahren. Nun sind die Betriebe dazu angehalten, ein Register aller Datenverarbeitungsaktivitäten zu führen. der Jahresabschluss ist damit festgestellt. Internen Informationen von Logistikunternehmen - wie GPS-Bewegungsdaten von Lieferfahrzeugen und anderen Tracking-Möglichkeiten für das Unter-nehmen und seine Abnehmer - muss ebenfalls ein Audit der Datenschutzgerechten Übermittlung, Bearbeitung und Auswertung in Cloud Services standgehalten werden.

Die entwickelten Auditorenprozesse werden dann von Cloud Service Providern, darunter Cloud&Heat, Ecsec und Hornet-Security, getestet und ein geeignetes Business-Modell für die Fortsetzung des Auditor-Zertifikats erarbeitet. Denn nur so kann das Verbundunternehmen zur Schaffung eines EU-weiten Regelwerks beizutragen, das sich in der Realität durchsetzt und damit Unternehmern und Privaten eine echte langfristige Unterstützung der Informationssicherheit in der Cloud bietet.

Mehr zum Thema