Sysbus
ArtikelCompliance

Cloud & Compliance: Welche Anforderungen müssen Anbieter erfüllen?

dcg

Europäische Unternehmen sind dementsprechend besser beraten, auf die Dienste eines europäischen Cloud-Anbieters zurückzugreifen, dessen Rechenzentren sich zudem innerhalb der EU befinden. Deshalb sollten Nutzer auch auf potenzielle Unklarheiten achten, zum Beispiel ob ein Cloud-Host seine Standorte oder gegebenenfalls die seiner Co-Location-Anbieter transparent kommuniziert.  Nur so kann Rechtssicherheit gewährleistet werden.

Die Verantwortung der Unternehmen

Unternehmen sollten allerdings nicht davon ausgehen, dass sie durch die Beauftragung eines Cloud-Hosts die Verantwortung für die Daten in der Cloud abtreten. Insbesondere die Zweckgebundenheit von (personenbezogenen) Daten ist ein komplexes Thema. Ein Entfallen der Zweckbindung führt zur Löschverpflichtung – ein negatives Beispiel hier ist Deutsche Wohnen, gegen die letztlich durch das Fehlen eines verbindlichen Löschkonzepts ein Bußgeldbescheid von 14,5 Millionen Euro erlassen wurde. Mittlerweile liegt der Rechtsstreit beim Europäischen Gerichtshof.

Zu den generellen Vorgaben zur Handhabung personenbezogener Daten kommen spezifische Sorgfaltspflichten hinzu, die beispielsweise von Branchen oder Berufsgruppen abhängig sind. So gibt es berufsrechtliche Verschwiegenheitsanforderungen bestimmter Berufsgruppen, die mit Blick auf die Speicherung und Verarbeitung in der Cloud zu beachten sind, beispielsweise bei Steuerberatern, Rechtsanwälten und Apotheken. Branchenspezifische Weisungen finden sich zum Beispiel im Standard TISAX (Trusted Information Security Assessment Exchange) im Bereich der Automobilindustrie und ihrer Zulieferer. Dieser Anforderungskatalog betrifft die unter anderem die sichere Verarbeitung von Informationen von Partnerunternehmen.

Schon jetzt ist die Frage, wem IoT-Daten gehören, interessant: Dem Anwender, dem Plattformbetreiber oder dem Anbieter der IoT-Lösung? Dies ist aus juristischer Position noch zu klären, denn es gibt keine gesetzlichen Vorschriften zu Daten ohne Personenbezug, also Maschinendaten. Im Zweifelsfall sollte zwischen Cloud-Anbietern, Cloud-Nutzern und Dritten vertraglich geregelt werden, wer als Eigentümer welcher Daten gilt, um mögliche Konkurrenzsituationen auszuschließen.

Generell werden die Souveränität beziehungsweise die Hoheit über personenbezogene und unternehmenskritische Daten zukünftig aus verschiedenen Gründen ein immer wichtigeres Thema. Zum einen verschwinden Grenzen zwischen externen und internen Systemen (SaaS, PaaS, IaaS) immer mehr. Im Bereich Innovation und Produktentwicklung wird ein steigender Wert auf die Verknüpfung interner und externer Daten gelegt (Beispiele sind Machine Learning Modelle, Predictions etc.), Datasharing wird also in zunehmendem Maße die Norm. Des Weiteren kann sich die Monetarisierung von Daten vom bereits stark betroffenen Consumer Bereich (wie Social Media, Google etc.) auf den Unternehmensbereich erweitern. Unternehmer sollten also stets souverän entscheiden können, was mit ihren Daten passiert.

Transparenz ist Trumpf

Prinzipiell gilt: Je transparenter Provider mit Blick auf sämtliche Elemente ihres Angebots sind, desto eher können Nutzer ihnen vertrauen. Dies gilt sowohl für Speicherorte als auch für die Anwendung von Datensicherheitsstandards. Cloud-Hosts sollten eine stabile Basis bieten, auf der Nutzer arbeiten können; Nutzer sollten sich auf ihre Anbieter verlassen können, ihnen jedoch nicht blind vertrauen. Letzten Endes gilt für die Cloud eine „shared responsibility“, das heißt Cloud-Betreiber müssen Datenschutzbestimmungen einhalten und Nutzer müssen prüfen, ob dies der Fall ist sowie selbst eine gute „Datenhygiene“ betreiben.

Ähnliche Beiträge:

  1. Cloud-Technologien: Die allgegenwärtige IT
  2. Data Sharing im Mittelpunkt der wirtschaftlichen, politischen und humanitären Transformation
  3. Im Test: Das Zyxel “Nebula Control Center” – zentrale Verwaltungslösung für IT-Infrastrukturen
  4. Im Test: WhatsUp Gold Version 16.2.1- Voller Durchblick für Administratoren

Das könnte dir auch gefallen

Robuste Netzwerkanforderungen und SD-WAN

gg

Die Auswirkungen des neuen IT Sicherheitsgesetzes und andere rechtlicher Grundlagen auf BC/DR

gg

Betrugsprävention vor Weihnachten

gg