DSGVO und GDPR

Datenschutz-Grundverordnung - was Cloud-Nutzer wissen müssen

08.05.2017 von Oliver Schonschek

Im Mai 2018 tritt die Datenschutz-Grundverordnung (DSGVO) in Kraft. Lesen Sie, worauf sich Cloud-Nutzer und Cloud-Anbieter jetzt einstellen müssen.

Die Uhr tickt: Ab 25. Mai 2018 gilt EU-weit die Datenschutz-Grundverordnung (DSGVO), international auch unter dem Kürzel GDPR (General Data Protection Regulation) bekannt. Diese FAQ beantwortet die wichtigsten Fragen.

Viele Unternehmen fühlen sich schlecht gerüstet, wenn es um die Datenschutz-Grundverordnung der EU geht.
Foto: Blue Island - shutterstock.com

Wie wirkt sich die DSGVO auf den Cloud-Markt aus?

Steigende Verunsicherung bei IT-Entscheidern, Cloud-Nutzung wächst trotzdem

Der Datenschutz gilt seit langem als das größte Hemmnis, wenn es bei Unternehmen in Deutschland um die Entscheidung für Cloud Computing geht. Trotzdem steigt die betriebliche Cloud-Nutzung in Deutschland weiter an, wie der Cloud Monitor 2017 von KPMG und Bitkom Research zeigt. Die Mehrheit der IT-Entscheider hält die Cloud für entsprechend sicher: Nach den Ergebnissen der Bitkom-Umfrage halten 57 Prozent ihre Unternehmensdaten in der Public Cloud für "sehr sicher" oder "eher sicher". Nur vier Prozent halten ihre Daten für "sehr unsicher" oder "eher unsicher". 37 Prozent können keine klare Aussage machen.

Doch die ab dem 25. Mai 2018 anzuwendende Datenschutz-Grundverordnung (DSGVO / GDPR) kann die Unsicherheit bei den IT-Managern steigen lassen: Der Veritas 2017 GDPR Report ergab, dass sich fast die Hälfte (48%) der befragten deutschen Unternehmen nicht gerüstet fühlt für die DSGVO. Laut dem Global Databerg Report von Veritas sind die Fragmentierung von Daten und der fehlende Einblick in die Daten die größten Herausforderungen im Rahmen der DSGVO.

Insbesondere die zunehmende Nutzung von schwer kontrollierbaren Speicherorten in der Cloud lässt Unternehmen im Hinblick auf die Compliance keine Ruhe, so die Veritas-Studie. So benutzt ein Viertel der Studienteilnehmer Cloud-basierte Dienste wie Box, Google Drive, Dropbox, EMC Simplicity oder Microsoft OneDrive, obwohl es nicht konform zu ihren Unternehmensrichtlinien ist. Weitere 25 Prozent bestätigten, dass sie nicht anerkannte Speicherdienste außerhalb des Unternehmens verwenden.

Die Nutzung von Cloud Computing in Unternehmen boomt, trotz der bestehenden Datenschutzbedenken. Wird die DSGVO / GDPR die Bedenken wachsen und die Cloud-Nutzung wieder sinken lassen? Eher nicht.
Foto: Bitkom

Einschätzung: Es ist dennoch nicht davon auszugehen, dass die Unsicherheit durch die DSGVO dazu führen wird, das Cloud-Wachstum spürbar zu bremsen. Die bereits bestehenden Datenschutzbedenken haben dem Cloud-Boom auch keinen Abbruch getan.

Lesen Sie dazu auch:
EU-Datenschutz-Grundverordnung zu streng für deutsche Unternehmen
Die Finanzbranche vor der nächsten großen Herausforderung?
DSGVO: Die Folgen für das Marketing

Fokus auf deutsche Clouds, trotz Harmonisierung des Datenschutzes

Sowohl eine Umfrage der STRATO AG als auch eine Studie von Bitdefender haben ergeben, dass Cloud-Nutzer lieber einen Provider wählen, der dem deutschen Datenschutzrecht unterliegt. Laut der Bitdefender-Studie vertrauen 89 Prozent der deutschen IT-Entscheider am ehesten deutschen Cloud-Providern, 54 Prozent misstrauen US-Providern.

Die DSGVO soll für eine EU-weite Harmonisierung des Datenschutzes sorgen, so dass aus Datenschutzsicht eine EU-Cloud das gleiche Vertrauen genießen könnte wie eine deutsche Cloud. Ebenso sorgt die DSGVO durch das sogenannte Marktortprinzip dafür, dass die DSGVO auch von Cloud-Providern aus Drittstaaten einzuhalten ist, wenn sie ihre Dienste innerhalb der EU anbieten.

Bei der Wahl ihres IT- oder Telekommunikationsanbieters ist 85 Prozent der Kunden wichtig, dass ihre Daten ausschließlich in Deutschland gespeichert und nach deutschem Datenschutzgesetz verarbeitet werden, so eine Umfrage der STRATO AG. Werden EU-Clouds durch die DSGVO genauso beliebt werden wie Clouds aus Deutschland? Bis auf weiteres nein.
Foto: Strato 2017

Einschätzung: Dass die Cloud-Dienste aus Deutschland in Zeiten der DSGVO nicht mehr bevorzugt werden, ist zumindest mittelfristig nicht zu erwarten. Gerade in Sachen Cloud Computing haben Anwender das Bedürfnis zu wissen, wo ihre Daten sind. Bei einem Cloud-Dienst aus Deutschland lässt sich diese Frage aus Sicht vieler IT-Entscheider leichter beantworten.

Weder Cloud-Nutzer noch Cloud-Anbieter sollten allerdings glauben, dass die DSGVO ohne Folgen für Cloud Computing sein wird. Wie umfangreich die Konsequenzen sind, zeigen die nächsten Abschnitte.

DSGVO: Worauf müssen Nutzer bei der Auswahl des Cloud-Providers achten?

Garantien für den Datenschutz sind unverzichtbar:

Cloud Computing ist aus Datenschutzsicht in aller Regel eine Form der Auftragsverarbeitung, früher Auftragsdatenverarbeitung genannt. Wie bisher auch, bleibt es mit der DSGVO dabei, dass der Cloud-Nutzer als Auftraggeber verantwortlich bleibt für den Datenschutz, auch wenn sich seine Daten fernab in einer Cloud befinden.

Unternehmen in Deutschland bevorzugen Cloud-Dienste aus Deutschland. Nicht nur US-Provider sind dagegen weit abgeschlagen, auch Provider aus EU-Staaten liegen deutlich zurück in der Gunst der deutschen IT-Entscheider. Das wird die DSGVO erst einmal nicht ändern.
Foto: Bitdefender

Cloud-Nutzer sollen laut DSGVO nur solche Cloud-Anbieter beauftragen, "die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet".

Damit obliegen dem Cloud-Nutzer als Auftraggeber Prüfpflichten hinsichtlich des Datenschutzes und der Datensicherheit bei dem Cloud-Anbieter. Der Vertrag mit dem Cloud-Anbieter muss eine Reihe von Vorgaben erfüllen, die in Artikel 28 (Auftragsverarbeiter) der DSGVO aufgeführt sind. Geklärt werden muss insbesondere auch, ob eine Datenübermittlung in Drittstaaten vorgesehen ist, wie dann das erforderliche Datenschutzniveau gewährleistet werden soll und ob Subunternehmen eingesetzt werden.

Schon heute bereitet die Überprüfung des Cloud-Anbieters den Cloud-Nutzern große Schwierigkeiten. Hilfreich ist es deshalb, dass die DSGVO vorsieht, dass die "Einhaltung genehmigter Verhaltensregeln oder eines genehmigten Zertifizierungsverfahrens durch einen Auftragsverarbeiter als Faktor herangezogen werden kann", um hinreichende Garantien für den Datenschutz und die Datensicherheit in der Cloud nach DSGVO-Vorgaben nachzuweisen.

Entscheidend ist dabei, dass es sich um genehmigte Verhaltensregeln oder genehmigte Zertifizierungsverfahren handeln muss. Wie weiter unten ausgeführt wird, eignet sich nicht jedes Cloud-Zertifikat als entsprechender Nachweis.

Was Unternehmen zur EU-Datenschutzreform beachten müssen

Was Unternehmen zur EU-Datenschutzreform beachten müssen
Es ist wohl nur noch eine Frage von Wochen und Monaten, bis die neue EU-Datenschutzverordnung in Kraft tritt. Was bedeutet das für die Unternehmen? Was müssen sie wissen? Marco Schmid, Country Manager DACH beim Webhoster Rackspace, gibt Tipps.

Einwilligung
Unternehmen müssen sicherstellen, dass sie über eine unmissverständliche Einwilligung zur Verarbeitung personenbezogener Daten verfügen, sowohl von Kunden als auch von Mitarbeitern. Von dieser Neuerung sind vor allem Firmen im Consumer-Bereich betroffen, die alle Daten aus ihren Kunden-Datenbanken löschen müssen, für die kein Einverständnis vorliegt. So ist es beispielsweise nicht zulässig, die Daten von Frau Mustermann, die vor zehn Jahren Socken für ihren Mann gekauft hat, weiterhin zu speichern. Marketingabteilungen müssen zukünftig in der Lage sein, Anfragen von Kunden zu berücksichtigen, die um die Löschung ihrer persönlichen Daten bitten oder wollen, dass ihre Daten nicht weiter genutzt werden.

"Recht auf Vergessen"
Die meisten Unternehmen konzentrieren sich erfolgreich darauf, Daten zu sammeln – aber die wenigsten darauf, sie auch wieder aus ihren Systemen zu löschen. Dies wird eine Herausforderung für viele Firmen, sobald Googles „Recht auf Vergessen“ zum Tragen kommt. Eventuell ist die Anonymisierung von Daten eine Alternative für Unternehmen, die es sich leisten können.

Technische und organisatorische Maßnahmen
Ein weiterer wichtiger Aspekt ist die Sicherheit der IT-Systeme vor ungewollten Zugriffen. Setzen Unternehmen geeignete Kontrollen ein, um Kunden- und Personaldaten zu schützen – und das solange es erforderlich ist und ohne dass die Gefahr eines unbeabsichtigten Verlusts entsteht? Ist überhaupt bekannt, warum solche Daten gespeichert werden – geschieht es einfach nur wegen der legitimen Absicht, sie weiter zu verarbeiten? Indem Unternehmen diese Fragen beantworten, bereiten sie sich technisch und organisatorisch auf die Einführung der neuen Datenschutz-Verordnung vor.

Anzeige bei Verstößen
Unternehmen, die Daten verarbeiten, sind dazu verpflichtet, Verstöße gegen die Datensicherheit den zuständigen Datenschutz-Behörden und den Betroffenen innerhalb von 72 Stunden zu melden, wenn der Verstoß zu hohen Risiken führt. Daher müssen Unternehmen zuverlässige Reaktionsprozesse zum Incident Management etablieren, mit denen sie dieser Verpflichtung nachkommen können.

Umsetzung und Strafen
Wenn ein Unternehmen aus irgendeinem Grund gegen die Datenschutz-Verordnung verstößt, kann die zuständige Behörde eine Strafe von bis zu einer Million Euro oder zwei Prozent des jährlichen Umsatzes fordern.

Welche neuen Risiken bestehen bei der Cloud-Nutzung?

Bei Verstößen drohen hohe Bußgelder:

Neben den bekannten Cloud-Risiken kommt mit der DSGVO insbesondere das Risiko hinzu, dass Cloud-Nutzer bei einer Datenschutzverletzung in der Cloud mit einem hohen Bußgeld belegt werden können. So findet man in der DSGVO: "Bei Nichtbefolgung einer Anweisung der Aufsichtsbehörde (…) werden (…) Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist." Damit werden Datenschutzverletzungen noch kritischer oder sogar existenzbedrohend für das verantwortliche Unternehmen.

Die Sorgen der Unternehmen, die DSGVO nicht rechtzeitig umsetzen zu können, sind groß. Cloud-Nutzer und Cloud-Anbieter sollten nun ihre Lücken schließen, damit die Cloud-Compliance gewährleistet werden kann.
Foto: Veritas

Welche neuen Risiken bestehen für Cloud-Anbieter?

Cloud-Anbieter ebenfalls in der Verantwortung:

Die Verantwortung für den Datenschutz trägt der Cloud-Nutzer nicht alleine. Kommt es zu einer Datenschutzverletzung, die der Cloud-Anbieter zu verantworten hat, oder generell zu einem Verstoß gegen die DSGVO durch die Auftragsverarbeitung, wird der Cloud-Anbieter ebenfalls zum Verantwortlichen, mit entsprechenden Folgen im Bereich Haftung und Sanktionen.

Leider werden oft deutliche Lücken in der Datensicherheit bei Cloud-Anbietern sichtbar, die bei Anwendung der DSGVO hohe Bußgelder für den Provider bedeuten können. So sagte zum Beispiel der BSI-Präsident Arne Schönbohm im März 2017 (Bundesamt für Sicherheit in der Informationstechnik):

"Cloud-Betreiber sind für die Sicherheit ihrer Cloud verantwortlich und sollten mit dieser Verantwortung sorgsam umgehen. Der Betrieb von Clouds mit veralteten Software-Versionen, für die bereits seit langer Zeit Updates der Hersteller bereitstehen, ist fahrlässig und macht es Kriminellen viel zu leicht, sensible Daten zu stehlen oder Geschäftsprozesse zu beeinflussen."

Was bringen Cloud-Zertifizierungen?

Nachweise sind nützlich, wenn sie der DSGVO entsprechen:

Die DSGVO stärkt die Bedeutung von Zertifizierungen, denn sie können als Nachweis für die notwendigen Garantien genutzt werden, die ein Cloud-Anbieter erbringen muss, um das erforderliche Datenschutzniveau zu bestätigen. Bekanntlich gibt es bereits eine ganze Reihe von Cloud-Zertifikaten, die zum Beispiel das BSI aufführt.

Wichtig ist jedoch, dass das Cloud-Zertifikat explizit den Datenschutz im Fokus haben muss. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) zum Beispiel hat folgende Erfahrung dazu berichtet: "Das BayLDA hat in seinen aufsichtlichen Kontrollen (…) zwar festgestellt, dass Unternehmen oft verschiedenste Zertifikate vorweisen konnten -jedoch genügten diese bislang in keinem einzigen Fall, um die Fragen aus dem Prüfumfang des BayLDA ausreichend zu beantworten." Bei bestehenden Zertifizierungsverfahren muss zwangsläufig eine Überarbeitung hinsichtlich der neuen Vorgaben der DSGVO stattfinden, so das BayLDA.

Einige weitere Einschränkungen gilt es zu bedenken, wenn es um Cloud-Zertifikate geht: Die Zertifizierungsstellen müssen entsprechend der DSGVO (Artikel 43) akkreditiert sein. Und: Eine Zertifizierung gemäß DSGVO mindert nicht die Verantwortung des Verantwortlichen oder des Auftragsverarbeiters für die Einhaltung der DSGVO und berührt nicht die Aufgaben und Befugnisse der Aufsichtsbehörden, sprich: Alleine eine Cloud-Zertifizierung sorgt nicht dafür, dass einfach von der Einhaltung der DSGVO in der Cloud ausgegangen werden kann. Dennoch werden geeignete Cloud-Zertifikate gute Werkzeuge im Cloud-Datenschutz sein.

Was fordert die DSGVO für die Cloud-Sicherheit?

Neue Forderungen, etwa bezüglich der Belastbarkeit:

Wie zuvor beschrieben, müssen Datenschutz und Datensicherheit in der Cloud durch den Cloud-Anbieter garantiert werden können, der Cloud-Nutzer muss dies überprüfen. Der Cloud-Vertrag muss die Maßnahmen der Datensicherheit aufführen. Zu den genannten Sicherheitsmaßnahmen nach DSGVO gehören insbesondere

die Pseudonymisierung und Verschlüsselung personenbezogener Daten,
die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen,
die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen,
ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Betrachtet man den Status der Cloud-Sicherheit in Unternehmen, besteht noch einiger Handlungsbedarf. So ergab der Cloud-Monitor 2017 von KPMG und Bitkom Research: Etwa zwei von drei Unternehmen haben Maßnahmen ergriffen, um die Datensicherheit in der Cloud zu erhöhen. 63 Prozent kontrollieren die unerlaubte Nutzung von Public-Cloud-Diensten im Unternehmen. Ein Drittel der Unternehmen (34 Prozent) kontrolliert die Cloud-Nutzung in der Organisation bislang nicht. Immerhin: Neun von zehn Cloud-Anwendern (91 Prozent) nutzen spezielle Security Services, um unerlaubte Zugriffe zu verhindern und die eigenen Daten zu schützen. Dazu zählt unter anderem eine Verschlüsselung von Daten in der Cloud oder ein Monitoring der verwendeten Geräte und Anwendungen, um ungewöhnliche Zugriffe oder Datenabflüsse schnell bemerken zu können.

Ein deutliches Beispiel für den Handlungsbedarf ist die Belastbarkeit der Systeme und Dienste, die nach DSGVO sichergestellt sein muss: 40 Prozent der deutschen Organisationen gaben an, dass ihre Widerstandskraft gegen Cyber-Angriffe in den vergangenen zwölf Monaten nicht gewachsen ist, so der zweite Ponemon Cyber Resilient Enterprise-Report. Die Belastbarkeit von Cloud-Services muss also dringend verbessert werden, wenn man an die steigende Zahl und Intensität der Cyber-Attacken denkt.

Was bedeutet das Recht auf Vergessenwerden für die Cloud?

Vor dem Löschen steht die Transparenz der Daten und Speicherorte:

Löschpflichten bestehen bereits heute, doch das Recht auf Vergessenwerden fordert zusätzlich, dass die Stellen, an die die zu löschenden Daten übertragen wurden, informiert werden, dass eine Löschverpflichtung besteht. Im Cloud Computing bedeutet dies, dass auch Links auf die zu löschenden Daten und Datenkopien in einer Cloud von der Löschpflicht erfasst werden.

Die Umstellung auf die DSGVO bereitet vielen Unternehmen Probleme. Gerade im Cloud Computing kann dies deutliche Auswirkungen auf die Compliance haben. Ein Beispiel ist die fehlende Transparenz, wo welche Daten liegen. Ohne diese Transparenz lassen sich viele Forderungen der DSGVO nicht umsetzen.
Foto: Veritas

Eine umfassende Löschung im Internet bereitet bekanntlich Probleme, diese beginnen bereits damit, dass viele Unternehmen gar nicht wissen, wohin überall sie die zu löschenden Daten übertragen haben. Hier muss in Zeiten der DSGVO Transparenz bestehen, um das Recht auf Vergessenwerden angehen zu können.

Doch nicht nur Cloud-Nutzer müssen handeln, auch die Cloud-Anbieter sind gefordert, für eine umfassende Datenlöschung zu sorgen. Eine Untersuchung von Skyhigh Networks ergab: 84 Prozent der Cloud-Services löschen Kundendaten nicht sofort, wenn der Vertrag oder das Abonnement endet. Ob eine sofortige Löschung denn erforderlich ist, gilt es zu prüfen. Cloud-Anbieter sollten in jedem Fall umgehend ihre Löschkonzepte dahingehend prüfen, ob sie die Löschpflichten richtig umsetzen.

Was ändert sich in Sachen Cloud-Migration?

Datenübersicht, Schnittstellen und Formate sind gefragt:

Das neue Recht auf Datenübertragbarkeit in der DSGVO bedeutet, dass es Cloud-Nutzern möglich sein muss, bestimmte Daten von einem Cloud-Anbieter auf einen anderen Anbieter zu übertragen, um den Anbieter zu wechseln. Hierbei muss der bisherige Cloud-Anbieter unterstützen: Soweit es technisch machbar ist, muss dabei der bisherige Cloud-Anbieter die definierten Daten an den neuen Provider übertragen. In jedem Fall müssen die betroffenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format dem Cloud-Nutzer bereitgestellt werden.

Cloud-Anbieter müssen sich also um Schnittstellen und Formate kümmern, die Cloud-Nutzer und Cloud-Anbieter um eine umfassende Übersicht, wo sich welche Daten befinden. Andernfalls kann keine erfolgreiche Übertragung stattfinden, da gegebenenfalls wichtige Daten fehlen. Bisher haben aber viele Cloud-Nutzer keinen wirklichen Überblick über ihre Datenbestände in der Cloud, es muss also nachgebessert werden.

Was muss bei einer Datenpanne in der Cloud geschehen?

Meldepflichten auch für Cloud-Anbieter:

Kommt es zu einer Datenschutzverletzung, bestehen nicht nur für den Cloud-Nutzer mögliche Meldepflichten (mit 72-Stunden-Frist) gegenüber Aufsichtsbehörde und den betroffenen Personen, auch der Cloud-Anbieter als Auftragsverarbeiter hat bestimmte Meldepflichten gegenüber dem Cloud-Nutzer. So besagt die DSGVO: Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Verantwortlichen (also dem Cloud-Nutzer) unverzüglich.

Hier muss so mancher Cloud-Anbieter nacharbeiten, wenn man sich die Cloud-Datenpannen in der letzten Zeit ansieht. Laut einer Untersuchung von Skyhigh Networks informiert nur ein Prozent der Cloud-Services innerhalb von 24 Stunden über Sicherheitsvorfälle. Es ist also zu prüfen, ob die Cloud-Nutzer ihrer Meldepflicht dann noch gerecht werden können. Cloud-Anbieter dürfen hier nicht zum Bremsklotz werden.