Cloud
08.11.2018
Expertise
1. Teil: „Cloud-Lösungen als DSGVO-Risiko“

Cloud-Lösungen als DSGVO-Risiko

DSGVODSGVODSGVO
Good_Stock / Shutterstock.com
Die DSGVO-Umsetzung ist längst nicht abgeschlossen. Ein besonderer Fall sind SaaS-Lösungen, da es in diesem Bereich bei vielen Unternehmen an der Transparenz zur Erfüllung der Compliance mangelt.
Dieser Beitrag wurde von Benedict Geissler verfasst, Geschäftsführer bei Snow Software, einem internationalen Anbieter von Software-Asset-Management-Lösungen.
Die Gründe für den Umstieg auf Cloud-Lösungen liegen auf der Hand: geringere Ausfallzeiten, mehr Effizienz in der IT sowie Kostensenkungen durch Zeiteinsparungen, Prozessbeschleunigungen und geringeren Wartungsaufwand. Die hierzulande lange vorherrschenden Sicherheitsbedenken spielen mittlerweile keine besondere Rolle mehr.
In der Studie „Cloud-Migration 2018“ von IDG Research Services ist „mehr Sicherheit“ sogar einer der meistgenannten Gründe für den Umstieg in die Cloud. Unabhängig davon lässt sich feststellen, dass der Markt für Cloud-Services in den vergangenen Jahren stark gewachsen ist. Kaum ein Unternehmen verzichtet noch auf sie und der Trend weist klar in die Richtung, immer mehr Services in die Cloud zu migrieren.

Natürliche Feinde: Cloud – DSGVO

In der IT passieren derzeit viele Dinge gleichzeitig. Parallel zur Cloud-Revolution kämpfen Unternehmen noch immer mit der DSGVO. Die in diesem Jahr endgültig in Kraft getretene Verordnung birgt viele Herausforderungen, die meisten lassen sich aber auf eine entscheidende Grundproblematik reduzieren: Unternehmen müssen exakt verstehen, wo personenbezogene Daten liegen, wer auf sie zugreift und zu welchen Zwecken sie weiterverarbeitet werden.
In diesem Zusammenhang maßgeblich ist Artikel 30 der DSGVO, der vorschreibt, ein „Verzeichnis von Verarbeitungstätigkeiten“ zu pflegen. Um dieses Verzeichnis zu erstellen, müssen Unternehmen alle Bestände an personenbezogenen Daten ermitteln – unabhängig von der Plattform.
Und hier wird die Cloud zum Risikofaktor: Während die meisten Unternehmen einen einigermaßen guten Überblick haben, wo personenbezogene Daten auf ihren lokalen Systemen liegen, sind sie gerade bei SaaS-Lösungen meist völlig ahnungslos.
Die mangelnde Transparenz hat mehrere Gründe: Das erste Problem sind die in vielen Unternehmen verbreiteten Discovery-Tools und -Methoden, da sie in der Regel auf On-Premise-Ressourcen limitiert sind. Was in der Cloud passiert, bleibt ihnen verborgen.
Das zweite Problem ist die Art und Weise, wie viele SaaS-Anwendungen angeschafft werden. Oftmals gehen Fachabteilungen hier nämlich nicht mehr den Umweg über die IT, sondern kaufen die benötigte Lösung einfach selbst. So geht die zentrale Kontrolle verloren.
Die entstehende Transparenzlücke führt dazu, dass sich weder die IT noch die für die Umsetzung der DSGVO zuständigen Mitarbeiter ein vollständiges Bild machen können, wie, wo und von wem personenbezogene Daten verarbeitet werden. Die Pflege des geforderten Verzeichnisses für Verarbeitungstätigkeiten und die Umsetzung der DSGVO können somit nur lückenhaft erfolgen. Die DSGVO-Compliance verkommt zum Glücksspiel; bei Verstößen drohen empfindliche Strafen.
2. Teil: „Risikobegrenzung“

Risikobegrenzung

Eine Abkehr von der Cloud ist natürlich keine Option – zu groß sind die Vorteile. Unternehmen müssen deshalb Maßnahmen ergreifen, um die beschriebenen Risiken zu begrenzen.
Plattformübergreifende Discovery automatisieren: Wie beschrieben, ist die Inventarisierung der personenbezogenen Daten eine unverzichtbare Maßnahme, um die DSGVO-Compliance sicherzustellen. Automatisierte Discovery-Lösungen eignen sich nicht nur zur initialen Bestandsaufnahme, sondern auch zur fortlaufenden Pflege der Inventarliste. Zeitgemäße Tools berücksichtigen dabei auch die Cloud und erfassen zudem die sogenannte Schatten-IT, also IT-Ressourcen, die von den Fachabteilungen auf eigene Faust angeschafft wurden.
Transparenz über die Weiter­gabe von Daten an Drittanbieter gewinnen: Eine der großen He­rausforderungen der DSGVO ist, dass sie Firmen nicht nur für eigenes Fehlverhalten im Umgang mit personenbezogenen Daten haftbar macht, sondern auch für das von Drittanbietern, mit denen sie die Daten teilen. Oft geschieht die Weitergabe der Daten über SaaS-Lösungen, weshalb auch hier ein exakter Überblick entscheidend ist. Es muss stets klar sein, welche Drittanbieter personenbezogene Daten erhalten und wie diese verarbeitet werden.
Personenbezogene Daten lokalisieren und kategorisieren: Um DSGVO-konform zu arbeiten, sollten Unternehmen nicht nur wissen, wo personenbezogene Daten liegen, sondern auch, worum es sich jeweils handelt. Um etwa das „Recht auf Vergessenwerden“ umzusetzen, muss die zuständige Abteilung einen exakten Überblick da­rüber haben, welche Daten einem spezifischen Nutzer zuzuordnen sind und welche davon gelöscht werden müssen. Dabei gilt es, auch Cloud-Repositories mit einzubeziehen.
Zugriff auf personenbezogene Daten regulieren: Bei der Zugriffskontrolle haben Unternehmen mit On-Premise-Lösungen ebenfalls eher selten Probleme. Aber auch hier versagen die verbreiteten Tools, wenn es um die Cloud geht. Die Zugriffskontrollen auf Cloud-Ressourcen sind oftmals unzureichend, es gibt viele Account-Leichen von ehemaligen Mitarbeitern, und neuen Kollegen räumt die IT im Zweifelsfall lieber zu viele Rechte ein als zu wenig. Dieser Nachlässigkeit müssen Unternehmen unbedingt ein Ende bereiten, wenn sie eine vollständige DSGVO-Compliance erreichen wollen.

DSGVO-Compliance in der Cloud

Cloud-Technologien im Allgemeinen und SaaS-Lösungen im Besonderen erschweren den Kampf um nachhaltige DSGVO-Compliance. Um ihn zu bestehen, müssen Unternehmen zu jedem Zeitpunkt sämtliche W-Fragen beantworten können: Wo liegen personenbezogene Daten? Um welche Informationen handelt es sich? Wer greift auf sie zu? Was passiert mit diesen Daten? Dieses Maß an Transparenz ist auf On-Premise-Systemen nicht unüblich, Cloud-Ressourcen sorgen aber noch immer für blinde Flecken im Monitoring. Die richtigen Technologien helfen dabei, die Transparenzlücke zu schließen.

mehr zum Thema