08.11.2018
Expertise
1. Teil: „Cloud-Lösungen als DSGVO-Risiko“
Cloud-Lösungen als DSGVO-Risiko
Autor: Gastautor
Good_Stock / Shutterstock.com
Die DSGVO-Umsetzung ist längst nicht abgeschlossen. Ein besonderer Fall sind SaaS-Lösungen, da es in diesem Bereich bei vielen Unternehmen an der Transparenz zur Erfüllung der Compliance mangelt.
Dieser Beitrag wurde von Benedict Geissler verfasst, Geschäftsführer bei Snow Software, einem internationalen Anbieter von Software-Asset-Management-Lösungen.
Die Gründe für den Umstieg auf Cloud-Lösungen liegen auf der Hand: geringere Ausfallzeiten, mehr Effizienz in der IT sowie Kostensenkungen durch Zeiteinsparungen, Prozessbeschleunigungen und geringeren Wartungsaufwand. Die hierzulande lange vorherrschenden Sicherheitsbedenken spielen mittlerweile keine besondere Rolle mehr.
In der Studie „Cloud-Migration 2018“ von IDG Research Services ist „mehr Sicherheit“ sogar einer der meistgenannten Gründe für den Umstieg in die Cloud. Unabhängig davon lässt sich feststellen, dass der Markt für Cloud-Services in den vergangenen Jahren stark gewachsen ist. Kaum ein Unternehmen verzichtet noch auf sie und der Trend weist klar in die Richtung, immer mehr Services in die Cloud zu migrieren.
Natürliche Feinde: Cloud – DSGVO
In der IT passieren derzeit viele Dinge gleichzeitig. Parallel zur Cloud-Revolution kämpfen Unternehmen noch immer mit der DSGVO. Die in diesem Jahr endgültig in Kraft getretene Verordnung birgt viele Herausforderungen, die meisten lassen sich aber auf eine entscheidende Grundproblematik reduzieren: Unternehmen müssen exakt verstehen, wo personenbezogene Daten liegen, wer auf sie zugreift und zu welchen Zwecken sie weiterverarbeitet werden.
In diesem Zusammenhang maßgeblich ist Artikel 30 der DSGVO, der vorschreibt, ein „Verzeichnis von Verarbeitungstätigkeiten“ zu pflegen. Um dieses Verzeichnis zu erstellen, müssen Unternehmen alle Bestände an personenbezogenen Daten ermitteln – unabhängig von der Plattform.
Und hier wird die Cloud zum Risikofaktor: Während die meisten Unternehmen einen einigermaßen guten Überblick haben, wo personenbezogene Daten auf ihren lokalen Systemen liegen, sind sie gerade bei SaaS-Lösungen meist völlig ahnungslos.
Die mangelnde Transparenz hat mehrere Gründe: Das erste Problem sind die in vielen Unternehmen verbreiteten Discovery-Tools und -Methoden, da sie in der Regel auf On-Premise-Ressourcen limitiert sind. Was in der Cloud passiert, bleibt ihnen verborgen.
Das zweite Problem ist die Art und Weise, wie viele SaaS-Anwendungen angeschafft werden. Oftmals gehen Fachabteilungen hier nämlich nicht mehr den Umweg über die IT, sondern kaufen die benötigte Lösung einfach selbst. So geht die zentrale Kontrolle verloren.
Die entstehende Transparenzlücke führt dazu, dass sich weder die IT noch die für die Umsetzung der DSGVO zuständigen Mitarbeiter ein vollständiges Bild machen können, wie, wo und von wem personenbezogene Daten verarbeitet werden. Die Pflege des geforderten Verzeichnisses für Verarbeitungstätigkeiten und die Umsetzung der DSGVO können somit nur lückenhaft erfolgen. Die DSGVO-Compliance verkommt zum Glücksspiel; bei Verstößen drohen empfindliche Strafen.
2. Teil: „Risikobegrenzung“
Risikobegrenzung
Eine Abkehr von der Cloud ist natürlich keine Option – zu groß sind die Vorteile. Unternehmen müssen deshalb Maßnahmen ergreifen, um die beschriebenen Risiken zu begrenzen.
Plattformübergreifende Discovery automatisieren: Wie beschrieben, ist die Inventarisierung der personenbezogenen Daten eine unverzichtbare Maßnahme, um die DSGVO-Compliance sicherzustellen. Automatisierte Discovery-Lösungen eignen sich nicht nur zur initialen Bestandsaufnahme, sondern auch zur fortlaufenden Pflege der Inventarliste. Zeitgemäße Tools berücksichtigen dabei auch die Cloud und erfassen zudem die sogenannte Schatten-IT, also IT-Ressourcen, die von den Fachabteilungen auf eigene Faust angeschafft wurden.
Transparenz über die Weitergabe von Daten an Drittanbieter gewinnen: Eine der großen Herausforderungen der DSGVO ist, dass sie Firmen nicht nur für eigenes Fehlverhalten im Umgang mit personenbezogenen Daten haftbar macht, sondern auch für das von Drittanbietern, mit denen sie die Daten teilen. Oft geschieht die Weitergabe der Daten über SaaS-Lösungen, weshalb auch hier ein exakter Überblick entscheidend ist. Es muss stets klar sein, welche Drittanbieter personenbezogene Daten erhalten und wie diese verarbeitet werden.
Personenbezogene Daten lokalisieren und kategorisieren: Um DSGVO-konform zu arbeiten, sollten Unternehmen nicht nur wissen, wo personenbezogene Daten liegen, sondern auch, worum es sich jeweils handelt. Um etwa das „Recht auf Vergessenwerden“ umzusetzen, muss die zuständige Abteilung einen exakten Überblick darüber haben, welche Daten einem spezifischen Nutzer zuzuordnen sind und welche davon gelöscht werden müssen. Dabei gilt es, auch Cloud-Repositories mit einzubeziehen.
Zugriff auf personenbezogene Daten regulieren: Bei der Zugriffskontrolle haben Unternehmen mit On-Premise-Lösungen ebenfalls eher selten Probleme. Aber auch hier versagen die verbreiteten Tools, wenn es um die Cloud geht. Die Zugriffskontrollen auf Cloud-Ressourcen sind oftmals unzureichend, es gibt viele Account-Leichen von ehemaligen Mitarbeitern, und neuen Kollegen räumt die IT im Zweifelsfall lieber zu viele Rechte ein als zu wenig. Dieser Nachlässigkeit müssen Unternehmen unbedingt ein Ende bereiten, wenn sie eine vollständige DSGVO-Compliance erreichen wollen.
DSGVO-Compliance in der Cloud
Cloud-Technologien im Allgemeinen und SaaS-Lösungen im Besonderen erschweren den Kampf um nachhaltige DSGVO-Compliance. Um ihn zu bestehen, müssen Unternehmen zu jedem Zeitpunkt sämtliche W-Fragen beantworten können: Wo liegen personenbezogene Daten? Um welche Informationen handelt es sich? Wer greift auf sie zu? Was passiert mit diesen Daten? Dieses Maß an Transparenz ist auf On-Premise-Systemen nicht unüblich, Cloud-Ressourcen sorgen aber noch immer für blinde Flecken im Monitoring. Die richtigen Technologien helfen dabei, die Transparenzlücke zu schließen.
Personen
Nfon CCO Gernot Hofstetter tritt zurück
Gernot Hofstetter war sechs Jahre beim Münchner Cloud-PBX-Anbieter Nfon, zuletzt als Chief Commercial Officer. Nun hat er das Unternehmen verlassen und ist zum Start-up Stealth Mode gewechselt.
>>
Cloud Infrastructure
Oracle mit neuen KI-Funktionen für Sales, Marketing und Kundenservice
Neue KI-Funktionen in Oracle Cloud CX sollen Marketingspezialisten, Verkäufern und Servicemitarbeitern helfen, die Kundenzufriedenheit zu verbessern, die Produktivität zu steigern und die Geschäftszyklen zu beschleunigen.
>>
Schellerer Ausbau
Hessen, OXG und Vodafone schließen Partnerschaft für Glasfaser
Vodafone und OXG starten gemeinsam mit dem Land Hessen eine umfangreiche Ausbau-Offensive für schnelles Internet. Bis 2030 wollen die Unternehmen Glasfaser-Anschlüsse für bis zu 520.000 Haushalte bauen.
>>
Personalie
CEO Frank Roebers verlässt Synaxon
Er war 32 Jahre bei der Verbundgruppe und hat sie maßgeblich geprägt. Nun tritt der CEO von Synaxon Ende des Jahres zurück – und gründet ein eigenes Unternehmen.
>>