{"id":21980,"date":"2022-10-08T11:27:00","date_gmt":"2022-10-08T09:27:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=21980"},"modified":"2022-09-15T11:51:09","modified_gmt":"2022-09-15T09:51:09","slug":"cloud-compliance-welche-anforderungen-muessen-anbieter-erfuellen","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=21980","title":{"rendered":"Cloud & Compliance: Welche Anforderungen m\u00fcssen Anbieter erf\u00fcllen?"},"content":{"rendered":"\n

Autor: Markus Fleischer, Head of Strategy & New Markets bei A1 Digital<\/a>\/gg<\/p>\n\n\n\n

Die Nutzung von Cloud-Plattformen wird mit Voranschreiten der Digitalisierung immer wichtiger f\u00fcr Unternehmen und zunehmend auch f\u00fcr Beh\u00f6rden. Die Suche nach sicheren und skalierbaren L\u00f6sungen stellt Nutzer jedoch vor einige Herausforderungen. Insbesondere mit Blick auf Compliance und IT-Sicherheit sollten Anwender keine Kompromisse eingehen und m\u00fcssen sich umgehend informieren, welche Cloud-Anbieter ihren Kriterien entsprechen.<\/p>\n\n\n\n

\"\"<\/a>
Bild: A1 Digital<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Informations- und Cloud-Sicherheit<\/strong><\/p>\n\n\n\n

Doch warum sollte man sich \u00fcberhaupt f\u00fcr eine Cloud-L\u00f6sung entscheiden? Gegen\u00fcber einem eigenen Rechenzentrum beziehungsweise einer unternehmens- oder beh\u00f6rdeninternen IT-Struktur bietet sie einige Vorteile, die auf der Hand liegen. Hierzu z\u00e4hlen unter anderem die dynamische Skalierung, laufend aktualisierte Entwicklungsumgebungen und der Einsatz zentraler Datenplattformen. Durch die Zentralisierung von Daten l\u00e4sst sich Silobildung vermeiden sowie Datenanalysen einfacher durchf\u00fchren. Doch auch mit Blick auf IT-Sicherheit k\u00f6nnen Cloud-Services einen Beitrag leisten.<\/p>\n\n\n\n

Eine verbesserte Widerstandsf\u00e4higkeit auf technischer Seite ergibt sich beispielsweise aus der Expertise der Anbieter in Sachen digitaler Sicherheit und laufender Aktualisierung der Systeme. Zudem finden ein umfangreiches Monitoring und \u00dcberwachung der Dienste statt, was insbesondere kleinen und mittleren Unternehmen in Bezug auf Zeit, Aufwand und Kosten hilft, unter anderem die Effekte des IT-Fachkr\u00e4ftemangels zu entsch\u00e4rfen.<\/p>\n\n\n\n

Cloud-Anbieter m\u00fcssen dar\u00fcber hinaus hohe Sicherheitsstandards erf\u00fcllen, die h\u00e4ufig mit Zertifizierungen einhergehen. Wenn Cloud-Nutzer also ihre eigenen Zertifizierungen im Bereich der Informationssicherheit oder auch Versicherungsschutz im Bereich Cyber-Sicherheit anstreben, k\u00f6nnen diese Verfahren verk\u00fcrzt werden. Sollten Kunden dar\u00fcber hinaus individuelle Verschl\u00fcsselungen ihrer Datens\u00e4tze w\u00fcnschen, so k\u00f6nnen sie diese zus\u00e4tzlich zu den standardm\u00e4\u00dfigen Cloud-Verschl\u00fcsselungen aufsetzen.<\/p>\n\n\n\n

Standort als zentraler Faktor<\/strong><\/p>\n\n\n\n

Seit 2018 ist die Datenschutz-Grundverordnung (DSGVO<\/a>) geltendes Recht innerhalb der EU sowie in Nicht-EU-Staaten des Europ\u00e4ischen Wirtschaftsraumes. Die Verordnung vereinheitlicht die Regulierung zur Verarbeitung personenbezogener Daten. Der Regelsatz hat viele Unternehmen vor gro\u00dfe Herausforderungen hinsichtlich Digitalisierung sowie den Themenkomplexen IT-Sicherheit und den Datenschutz gestellt.<\/p>\n\n\n\n

Der Ort der Datenhaltung ist besonders entscheidend: Deutschland und die EU sind als Orte zur Speicherung unproblematisch. Drittl\u00e4nder sind deutlich schwieriger, wobei Unternehmen Datens\u00e4tze, die in Drittl\u00e4ndern gehalten werden \u00fcber die EU-Standardvertragsklauseln abbilden k\u00f6nnen. Einen Problemfall stellt die USA und deren \u00dcberwachungsgesetze dar. Auf Basis des sogenannten Cloud-Acts<\/a> k\u00f6nnen amerikanische Unternehmen zur Herausgabe der von ihnen verwalteten Datens\u00e4tze gezwungen werden. Das gilt auch f\u00fcr Daten, die sich nicht in den USA befinden. Somit l\u00e4sst sich diese Zwickm\u00fchle nicht mit den Schritten amerikanischer Provider umgehen, obwohl diese inzwischen die Daten ihrer europ\u00e4ischen Kunden innerhalb der EU speichern.<\/p>\n\n\n\n

Auch eine eigenst\u00e4ndige Verschl\u00fcsselung \u2013 Stichwort \u201ebring your own key\u201c \u2013 die einer Cloud-Nutzung vorangestellt w\u00e4re, bringt keine absolute Sicherheit. Der Versuch einer allgemeing\u00fcltigen Vereinbarung, wie mit der Daten\u00fcbermittlung in Drittl\u00e4nder wie die USA umgegangen werden sollte, beispielsweise dem \u201eEU-US Privacy Shield\u201c wurde letztlich gekippt: Das \u201eSchrems II\u201c -Urteil des Europ\u00e4ischen Gerichtshofs nimmt europ\u00e4ische Nutzer von nicht in der EU sitzenden Cloud-Anbietern in die Pflicht, ihre transatlantische Daten\u00fcbermittlung zu pr\u00fcfen.<\/p>\n\n\n\n\n\n\n\n

Europ\u00e4ische Unternehmen sind dementsprechend besser beraten, auf die Dienste eines europ\u00e4ischen Cloud-Anbieters zur\u00fcckzugreifen, dessen Rechenzentren sich zudem innerhalb der EU befinden. Deshalb sollten Nutzer auch auf potenzielle Unklarheiten achten, zum Beispiel ob ein Cloud-Host seine Standorte oder gegebenenfalls die seiner Co-Location-Anbieter transparent kommuniziert.  Nur so kann Rechtssicherheit gew\u00e4hrleistet werden.<\/p>\n\n\n\n

Die Verantwortung der Unternehmen<\/strong><\/p>\n\n\n\n

Unternehmen sollten allerdings nicht davon ausgehen, dass sie durch die Beauftragung eines Cloud-Hosts die Verantwortung f\u00fcr die Daten in der Cloud abtreten. Insbesondere die Zweckgebundenheit von (personenbezogenen) Daten ist ein komplexes Thema. Ein Entfallen der Zweckbindung f\u00fchrt zur L\u00f6schverpflichtung \u2013 ein negatives Beispiel hier ist Deutsche Wohnen<\/a>, gegen die letztlich durch das Fehlen eines verbindlichen L\u00f6schkonzepts ein Bu\u00dfgeldbescheid von 14,5 Millionen Euro erlassen wurde. Mittlerweile liegt der Rechtsstreit beim Europ\u00e4ischen Gerichtshof.<\/p>\n\n\n\n

Zu den generellen Vorgaben zur Handhabung personenbezogener Daten kommen spezifische Sorgfaltspflichten hinzu, die beispielsweise von Branchen oder Berufsgruppen abh\u00e4ngig sind. So gibt es berufsrechtliche Verschwiegenheitsanforderungen bestimmter Berufsgruppen, die mit Blick auf die Speicherung und Verarbeitung in der Cloud zu beachten sind, beispielsweise bei Steuerberatern, Rechtsanw\u00e4lten und Apotheken. Branchenspezifische Weisungen finden sich zum Beispiel im Standard TISAX (Trusted Information Security Assessment Exchange) im Bereich der Automobilindustrie und ihrer Zulieferer. Dieser Anforderungskatalog betrifft die unter anderem die sichere Verarbeitung von Informationen von Partnerunternehmen.<\/p>\n\n\n\n

Schon jetzt ist die Frage, wem IoT-Daten geh\u00f6ren, interessant: Dem Anwender, dem Plattformbetreiber oder dem Anbieter der IoT-L\u00f6sung? Dies ist aus juristischer Position noch zu kl\u00e4ren, denn es gibt keine gesetzlichen Vorschriften zu Daten ohne Personenbezug, also Maschinendaten. Im Zweifelsfall sollte zwischen Cloud-Anbietern, Cloud-Nutzern und Dritten vertraglich geregelt werden, wer als Eigent\u00fcmer welcher Daten gilt, um m\u00f6gliche Konkurrenzsituationen auszuschlie\u00dfen.<\/p>\n\n\n\n

Generell werden die Souver\u00e4nit\u00e4t beziehungsweise die Hoheit \u00fcber personenbezogene und unternehmenskritische Daten zuk\u00fcnftig aus verschiedenen Gr\u00fcnden ein immer wichtigeres Thema. Zum einen verschwinden Grenzen zwischen externen und internen Systemen (SaaS, PaaS, IaaS) immer mehr. Im Bereich Innovation und Produktentwicklung wird ein steigender Wert auf die Verkn\u00fcpfung interner und externer Daten gelegt (Beispiele sind Machine Learning Modelle, Predictions etc.), Datasharing wird also in zunehmendem Ma\u00dfe die Norm. Des Weiteren kann sich die Monetarisierung von Daten vom bereits stark betroffenen Consumer Bereich (wie Social Media, Google etc.) auf den Unternehmensbereich erweitern. Unternehmer sollten also stets souver\u00e4n entscheiden k\u00f6nnen, was mit ihren Daten passiert.<\/p>\n\n\n\n

Transparenz ist Trumpf<\/strong><\/p>\n\n\n\n

Prinzipiell gilt: Je transparenter Provider mit Blick auf s\u00e4mtliche Elemente ihres Angebots sind, desto eher k\u00f6nnen Nutzer ihnen vertrauen. Dies gilt sowohl f\u00fcr Speicherorte als auch f\u00fcr die Anwendung von Datensicherheitsstandards. Cloud-Hosts sollten eine stabile Basis bieten, auf der Nutzer arbeiten k\u00f6nnen; Nutzer sollten sich auf ihre Anbieter verlassen k\u00f6nnen, ihnen jedoch nicht blind vertrauen. Letzten Endes gilt f\u00fcr die Cloud eine \u201eshared responsibility\u201c, das hei\u00dft Cloud-Betreiber m\u00fcssen Datenschutzbestimmungen einhalten und Nutzer m\u00fcssen pr\u00fcfen, ob dies der Fall ist sowie selbst eine gute \u201eDatenhygiene\u201c betreiben.<\/p>\n","protected":false},"excerpt":{"rendered":"

Die Nutzung von Cloud-Plattformen wird mit Voranschreiten der Digitalisierung immer wichtiger f\u00fcr Unternehmen und zunehmend auch f\u00fcr Beh\u00f6rden. Die Suche nach sicheren und skalierbaren L\u00f6sungen stellt Nutzer jedoch vor einige Herausforderungen. Insbesondere mit Blick auf Compliance und IT-Sicherheit sollten Anwender keine Kompromisse eingehen und m\u00fcssen sich umgehend informieren, welche Cloud-Anbieter ihren Kriterien entsprechen.<\/p>\n","protected":false},"author":81,"featured_media":21983,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,10140],"tags":[10809,6257,1016,9408,6259],"class_list":["post-21980","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-compliance","tag-a1-digital","tag-cloud","tag-compliance","tag-dsgvo","tag-security"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/21980","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/81"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=21980"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/21980\/revisions"}],"predecessor-version":[{"id":21984,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/21980\/revisions\/21984"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/21983"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=21980"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=21980"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=21980"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}