Verantwortung
Sicher in die Cloud – aber wie?
von
Pius
Grüter - 28.12.2015
Foto: Fotolia / Nomad_Soul
IT-Verantwortlichen fällt es schwer, die von ihnen geforderte Informationssicherheit zu verantworten. com! professional zeigt, wie CIOs von der Cloud profitieren und ihrer Verantwortung nachkommen.
Kosteneinsparungen und Effizienzsteigerungen – die meistgenannten Vorteile der virtuellen Infrastruktur – sind schlagende Argumente für die Verlagerung der IT in die Cloud. Bei einer genaueren Betrachtung fällt es IT-Verantwortlichen jedoch schwer, die von ihnen geforderte Informationssicherheit zu verantworten. Schließlich müssen sie sicherstellen, dass die Informationen vertraulich, integer und authentisch bleiben und jederzeit verfügbar sind.
Benjamin Schönfeldt
Geschäftsführer, Leaseweb
Geschäftsführer, Leaseweb
www.leaseweb.com
Gemäß dem aktuellen EuGH-Urteil dürfen personenbezogene Daten auf der Basis von Safe Harbor nicht mehr über den großen Teich übermittelt und dort gespeichert werden.
Das Angebot vieler Cloud-Anbieter ist verlockend, aber intransparent. Weder der Datenstandort noch die eingebundenen Partnerunternehmen sind bekannt und beeinflussbar. Der Mangel an etablierten internationalen Standards macht es schwer, Anbieter zu beurteilen und zu vergleichen. Eine genaue Prüfung der rechtlichen Rahmenbedingungen, der physischen Infrastruktur und der involvierten Unternehmen ist daher dringend zu empfehlen.
Einhaltung des Datenschutzes
Die Erhebung, Nutzung und Verarbeitung von personenbezogenen Daten unterliegt generell dem Datenschutz und darf im Zuge der Cloud-Verarbeitung auf keinen Fall unterwandert werden. Diese Daten dürfen nur zu dem Zweck bearbeitet werden, der bei ihrer Beschaffung angegeben wurde.
Nach Bundesdatenschutzgesetz (BDSG) gilt ein Cloud-Anwender bei Erhebung personenbezogener Daten als rechtlich verantwortlich. Selbst wenn der Cloud-Anwender die Dienstleistungen eines Cloud-Anbieters in Anspruch nimmt, etwa um die Daten zu speichern oder zu verarbeiten, bleibt der Cloud-Anwender für die Einhaltung sämtlicher datenschutzrechtlicher Bestimmungen in der Verantwortung.
Bei der Auswahl des Cloud-Anbieters können sich Anwender grundsätzlich an der Zertifizierung nach ISO 27001 orientieren. Allerdings muss der Cloud-Anwender vom Cloud-Anbieter auch einen Nachweis von einer unabhängigen Stelle einfordern, womit die Datenschutzrisiken für den Anwender wie vom Gesetz vorgeschrieben begrenzt werden.
Sollte der Cloud-Anbieter selbst Unteranbieter beauftragen, dann muss dafür einerseits die Erlaubnis des Cloud-Anwenders vorliegen. Andererseits muss für die Unterbeauftragung der gleiche Kontrollmaßstab wie zwischen Cloud-Anwender und Cloud-Anbieter angelegt werden und der zwischen dem Cloud-Anbieter und dem Unterauftragnehmer geschlossene Vertrag die zwischen dem Cloud-Anwender und Cloud-Anbieter geltenden Vertragsbedingungen widerspiegeln. Weil der EuGH aber kürzlich das Safe-Harbor-Abkommen mit den USA für ungültig erklärt hat, dürfen personenbezogene Daten künftig nicht mehr in die USA transferiert werden.
Wichtig: Die Beauftragung des Cloud-Anbieters muss schriftlich erfolgen. Eine Mustervereinbarung bietet der Hessische Datenschutzbeauftragte.
