Was bedeutet die wachsende Verbreitung von Cloud Computing für die IT-Sicherheit und Compliance-Maßnahmen? Die Flexibilität, die man beim Cloud Computing gewinnt, erhöht gleichzeitig das Risiko von Compliance-Verletzungen - wie den Verlust unternehmenskritischer Daten. In der Cloud ist dieses Risiko besonders groß, denn die Einfluss- und Kontrollmöglichkeiten entziehen sich den Verantwortlichen.

Auch für die Cloud gilt aber: Jedes Unternehmen unterliegt im Rahmen seiner Geschäftstätigkeit verschiedenen Gesetzen, branchenspezifischen Regelungen und eigenen Vorgaben zur ordnungsgemäßen Datenverarbeitung. Kommt ein Dienstleister ins Spiel, der Teile der IT-Infrastruktur, Anwendungen und Daten für das Unternehmen verwaltet und betreut, dehnt sich der Verantwortungsbereich auch auf diesen Dienstleister aus. Jedes Unternehmen muss sicherstellen, dass der Dienstleister vertrauenswürdig ist und die Compliance-Anforderungen eingehalten werden.

Verantwortung ist nicht delegierbar

Um es klar zu sagen: Wer Cloud-Services nutzt, delegiert damit nicht die Verantwortung für den Schutz der Daten an den Dienstleister. Beim Transport und der Verarbeitung von Mitarbeiter- oder Kundendaten müssen auch in der Cloud die Bestimmungen des Bundesdatenschutzgesetzes (BDSG) eingehalten werden. Auf EU-Ebene gibt etwa die "Data Protection Directive" aus dem Jahr 1995 den Rahmen vor.

In Staaten außerhalb der EU herrscht häufig ein Datenschutz-Verständnis, das stark von der europäischen Linie abweicht. So sieht die EU-Richtlinie auch vor, dass vor einem Transfer personenbezogener Daten in Drittstaaten zu überprüfen ist, ob dort ein vergleichbares Niveau der Datenschutzbestimmungen vorliegt. Nur dann ist die Übermittlung zulässig.

Auch abgesehen von den gesetzlichen Anforderungen ist es im ureigenen Interesse eines Unternehmens, sicherzugehen, dass ein Dienstleister die Vertraulichkeit, Verfügbarkeit und Integrität der Daten sicherstellt, die ihm anvertraut werden. Grundsätzlich sollten Verantwortliche deshalb vor der Entscheidung für einen Dienstanbieter die eigenen Anforderungen an Sicherheit und Compliance möglichst genau definieren.

Der Provider wiederum sollte in der Lage sein, seine Dienstleistungen auf die Compliance-Anforderungen des Kunden abzustimmen. Es muss dasselbe Datenschutzniveau bieten wie der Auftraggeber. Zudem muss sich der Nutzer von Cloud-Services regelmäßig selbst ein Bild von den technischen und organisatorischen Maßnahmen machen, mit denen der Service-Provider den Schutz von Daten seiner Kunden und die Einhaltung von Compliance-Vorgaben sicherstellt.