{"id":11118,"date":"2017-05-24T14:13:21","date_gmt":"2017-05-24T12:13:21","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=11118"},"modified":"2017-05-23T11:15:55","modified_gmt":"2017-05-23T09:15:55","slug":"europaeische-datenschutzgrundverordnung-drei-tipps-fuer-die-cloud-nutzung-in-unternehmen","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=11118","title":{"rendered":"Europ\u00e4ische Datenschutzgrundverordnung: Drei Tipps f\u00fcr die Cloud-Nutzung in Unternehmen"},"content":{"rendered":"<p>Autor\/Redakteur: <a href=\"https:\/\/www.bitglass.com\/\">Eduard Meelhuysen, Vice President Sales EMEA bei Bitglass<\/a>\/gg<\/p>\n<p>In knapp einem Jahr ist es soweit: Am 25. Mai 2018 tritt die Europ\u00e4ische Datenschutzgrundverordnung (DSGVO) in Kraft. Privatpersonen haben damit das Recht, von Unternehmen, denen sie im Zuge einer Gesch\u00e4ftsbeziehung ihre Daten anvertraut haben, auf Anfrage umfassende Auskunft \u00fcber die Verarbeitung ihrer pers\u00f6nlichen Daten zu erhalten. Die Unternehmen wiederum unterliegen dann der Kontrolle staatlicher Pr\u00fcfinstanzen, weshalb sie gefordert sind, nicht nur f\u00fcr Sicherheit, sondern auch f\u00fcr Transparenz in ihren Datenverarbeitungsprozessen zu sorgen.<\/p>\n<p><!--more--><\/p>\n<p>Eine besondere Verantwortung wird Unternehmen zuteil, wenn es um die Nutzung von Cloudanwendungen geht. Zwar sieht die DSGVO eine geteilte Verantwortung zwischen Cloud-Nutzern und Cloud-Providern vor, doch zur Verantwortung gezogen werden schlussendlich die Unternehmen, die die Cloud nutzen. Als so genannte Auftragsverarbeiter nehmen sie in etwa die Rolle eines Gatekeepers zwischen ihren Kunden und den Cloud-Providern ein. Laut DSGVO liegt es nunmehr in ihrer Verantwortung, sicherzustellen, dass alle erhobenen Daten nur auf die Art verarbeitet werden, der ihre Kunden und Nutzer zuvor ausdr\u00fccklich zugestimmt haben.<\/p>\n<p>Eine gro\u00dfe Herausforderung, wenn man bedenkt, dass bestimmt nicht alle Unternehmen \u00fcber ausreichend Ressourcen verf\u00fcgen, sich spielend leicht in diese Rolle einzufinden. Um in den verbleibenden zw\u00f6lf Monaten auch die Cloud-Front sicher zu machen, sollten Unternehmen daher gegenw\u00e4rtig folgende Punkte beachten:<\/p>\n<ul>\n<li>Koordinierte \u201eFahndung\u201c nach Unternehmensdaten: Um die IT-Infrastruktur des Unternehmens DSGVO-konform zu machen, arbeitet die IT in der Regel eng mit verschiedenen Abteilungen sowie der Gesch\u00e4ftsf\u00fchrung zusammen, um ein Verfahrensverzeichnis, also eine \u00dcbersicht der Verarbeitungsprozesse s\u00e4mtlicher gesammelten Datenarten \u2013 beispielsweise personenbezogene Daten, Inhaltsdaten oder Verkehrsdaten &#8211; zu erstellen. Als personenbezogene Daten gelten dabei nicht nur Angaben zur Person, sondern weitere Daten, die eine nat\u00fcrliche Person bestimmbar machen, beispielsweise die IP-Adresse. F\u00fcr Unternehmen, die den Wechsel in die Cloud planen oder diesen bereits vollzogen haben, bedeutet dies zun\u00e4chst, dass sie ermitteln m\u00fcssen, welche Art von Kundendaten im t\u00e4glichen Geschehen den Weg in die Cloud finden und nicht zuletzt auch, wie diese dort gesch\u00fctzt sind. Beispielsweise k\u00f6nnten Inhaltsdaten in E-Mail-Cloud-Anwendungen ausgelagert sein oder Verkehrsdaten \u00fcber bestimmte Websiteanalysetools dorthin gelangen.<br \/>\nJe nach Kapazit\u00e4ten und personeller Auslastung im Unternehmen ist es sicherlich kein einfacher Job, herauszufinden, inwieweit welche Daten in die Cloud wandern werden oder bereits gewandert sind. Doch irgendjemand muss ihn machen, oder anders gesagt: Jemand muss die Verantwortung \u00fcbernehmen. Zwar ist es wichtig, s\u00e4mtliche relevanten Unternehmensverantwortliche in den Prozess einzubeziehen. Doch um Verantwortungsdiffusion zu vermeiden, m\u00fcssen diese Bem\u00fchungen koordiniert werden. Es ist zu sp\u00e4t, auf Grund einer neu eingef\u00fchrten Cloudanwendung am Vorabend der DSGVO erneut das Verfahrensverzeichnis und s\u00e4mtliche damit verbundenen Prozesse \u2013 zum Beispiel das Einholen der Zustimmung von Kunden \u2013 zu \u00e4ndern. Daher sollte fr\u00fchzeitig der im Rahmen der DSGVO geforderte unternehmenseigene Datenschutzbeauftragte ernannt und idealerweise mit der Koordination der f\u00fcr die DSGVO relevanten Prozesse betraut werden.<\/li>\n<li>Datenverarbeitung auf Seiten der Cloud-Provider ermitteln: Ist das Verfahrensverzeichnis erst einmal erstellt, sollte man seine Cloud-Provider um eine Aush\u00e4ndigung ihres Verfahrensverzeichnisses bitten. Im Vergleich l\u00e4sst sich damit ermitteln, inwieweit die Verarbeitungsart und auch die Sicherheitsstandards mit denen des Unternehmens \u00fcbereinstimmen oder im umgekehrten Fall, inwieweit diese dar\u00fcber hinausgehen und ob daf\u00fcr ein erweitertes Einverst\u00e4ndnis durch die Kunden eingeholt werden muss. Den Ergebnissen entsprechend muss die Datenschutzerkl\u00e4rung des Unternehmens aktualisiert werden.<br \/>\nDie DSGVO sieht dar\u00fcber hinaus eine Zertifizierung von Cloud-Providern vor. \u00dcber verschiedene G\u00fctesiegel soll das Niveau an Datenschutz und -sicherheit eines Anbieters zuverl\u00e4ssig abgebildet werden. Allerdings sind bisher noch keine einheitlichen Standards etabliert und die Zertifizierung ist freiwillig. Zwar ist anzunehmen, dass G\u00fctesiegel langfristig f\u00fcr Cloud-Provider faktisch zu einem Wettbewerbskriterium werden. Doch es ist nicht abzusehen, ob dies s\u00e4mtliche Cloud-Provider p\u00fcnktlich bis Inkrafttreten der DSGVO umsetzen werden. Um rechtzeitig auf der sicheren Seite zu sein, sollten Unternehmen vorerst nicht darauf setzen, dass der blo\u00dfe Blick auf ein G\u00fctesiegel ihnen gro\u00dfe M\u00fchen ersparen wird. Vielmehr sollten sie die Datenverarbeitungsprozesse ihrer Cloud-Provider eingehend pr\u00fcfen und auch auf eingesetzte Sicherheitsfunktionen wie Data Leakage Prevention (DLP) achten. Angesichts der drohenden Bu\u00dfgelder, die Unternehmen treffen k\u00f6nnen, wenn die von ihnen gew\u00e4hlten Cloud-Provider nicht ausreichend Sorgfalt walten lassen, lohnt es sich, bei der \u00dcberpr\u00fcfung \u00e4u\u00dferst gewissenhaft vorzugehen.<\/li>\n<li>Schatten-IT vermeiden und Mitarbeiter schulen: Mit den \u00c4nderungen durch die DSGVO sollten Unternehmen auch ein st\u00e4rkeres Augenmerk darauf legen, welche Unternehmensmitarbeiter auf welche Datenarten Zugriff haben und vor allem auch, von welchen Ger\u00e4ten. Es sollte m\u00f6glichst ausgeschlossen werden, dass Mitarbeiter beispielsweise nach Feierabend von einem nicht abgesicherten, privaten Ger\u00e4t auf wichtige Kunden- und Unternehmensdaten zugreifen und diese beliebig speichern oder mit anderen Cloudanwendungen bearbeiten k\u00f6nnen. Ebenso muss allen Mitarbeitern bewusst gemacht werden, dass sie bei Ausfall eines unternehmenskritischen Dienstes \u2013 beispielsweise einem Ausfall des E-Mailservers \u2013 zwischenzeitlich nicht auf andere private E-Mailkonten oder sonstige frei verf\u00fcgbare Dienste ausweichen k\u00f6nnen, um dringende Korrespondenzen mit ihren Kunden doch noch abzuschlie\u00dfen. F\u00fcr derartige F\u00e4lle m\u00fcssen die Sensibilit\u00e4t der Mitarbeiter f\u00fcr Datensicherheit gesch\u00e4rft sowie Verhaltensregeln festgelegt werden. Derartige Vorsichtsma\u00dfnahmen erfordern mitunter auch die Unterst\u00fctzung durch den Datenschutzbeauftragten und die Gesch\u00e4ftsleitung. Auch technische Vorkehrungen, wie die Verschl\u00fcsselung von Cloud-Daten und die Sicherung s\u00e4mtlicher mobiler Unternehmensger\u00e4te, k\u00f6nnen zur Minimierung derartiger Risiken beitragen. Hilfreich ist auch die Erarbeitung eines Rechte-Rollen-Konzeptes, um Zugriffsrechte zu segmentieren und den Nutzerzugriff auf sensible Daten zu einzuschr\u00e4nken.<\/li>\n<\/ul>\n<p>Mit der DSGVO wird ein europ\u00e4ischer Standard f\u00fcr Datenschutz im digitalen Zeitalter geschaffen. Wie die Rechtsprechung sich im Zuge dessen f\u00fcr Cloud-Provider und die Cloud-nutzenden Unternehmen entwickeln wird, muss sich in der Praxis erst noch zeigen. Vorerst ist die Einf\u00fchrung DSGVO-konformer Prozesse f\u00fcr Unternehmen eine gro\u00dfe Herausforderung \u2013 f\u00fcr manche mehr, f\u00fcr andere weniger. Doch langfristig bietet dies Unternehmen auch die M\u00f6glichkeit, sich mit ihren Grunds\u00e4tzen zur Datenverarbeitung von ihren Wettbewerbern abzuheben und ihren Kundenkreis zu erweitern. Es lohnt sich also, von Anfang an gewissenhaft f\u00fcr die Sicherheit der Kundendaten Sorge zu tragen, sowohl innerhalb der eigenen Unternehmens-IT als auch in der Cloud.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Autor\/Redakteur: Eduard Meelhuysen, Vice President Sales EMEA bei Bitglass\/gg In knapp einem Jahr ist es soweit: Am 25. Mai 2018<\/p>\n","protected":false},"author":3,"featured_media":11116,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,39],"tags":[9407,6257,8005,2243,9408,1060,3927,3104,3436,8841,4733],"class_list":["post-11118","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-management","tag-bitglass","tag-cloud","tag-datenschutzgrundverordnung","tag-dlp","tag-dsgvo","tag-e-mail","tag-guetesiegel","tag-provider","tag-schatten-it","tag-tipp","tag-transparenz"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/11118","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=11118"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/11118\/revisions"}],"predecessor-version":[{"id":11119,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/11118\/revisions\/11119"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/11116"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=11118"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=11118"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=11118"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}