München, Starnberg, 07. März 2017 - Vier Tipps, worauf Unternehmen und IT-Organisationen besonders achten sollten; ein Gastbeitrag...
Zum Hintergrund: Wer Cloud-Services nutzt, muss die jeweiligen Datenschutzgesetze immer beobachten und einhalten, denn Datenschutzverletzungen können richtig teuer werden. Aufgrund seiner langjähriger Erfahrungen beim Datenschutz hat Horst Thieme (1), Manager Cloud Business Development bei NetApp nachfolgend vier Tipps zusammengestellt, worauf Unternehmen bei ihrer Datenschutz-Strategie für die Cloud aus seiner Sicht besonders achten sollten...
Zum Gastbeitrag: "Wer global agiert und länderübergreifend Cloud-Services nutzt, muss aufpassen, dass er mit den jeweiligen regionalen Gesetzen konform geht und Datenschutzbestimmungen ändern sich schnell... Wer hier schlampt, muss mit empfindlichen Bußgeldern rechnen. Vorsicht ist also geboten, und zwar für Unternehmen aller Branchen. Denn fast überall werden heute personenbezogene Daten erhoben und gespeichert, ob Kundendaten, Patientendaten oder Personaldaten.
1. Beziehen Sie den Datenschutz schon in die Cloud-Planungsphase mit ein
Cloud Services sind zwar flexibel und kosteneffizient, bieten aber nicht dieselbe Transparenz und Kontrolle wie On-Premise-Lösungen. Das macht es für Unternehmen schwerer, den Schutz von personenbezogenen Daten zu gewährleisten. Deshalb ist es wichtig, eine umfassende Strategie für die Cloud zu entwickeln – und zwar schon bevor man Anwendungen in die Cloud verlagert. Sie muss sowohl die Datensicherheit als auch den Datenschutz berücksichtigen. Aspekte wie regionale Datenschutzrichtlinien und grenzüberschreitender Datenfluss sind dabei genauso wichtig wie Dateneigentümerschaft, die Zustimmung des Datensubjekts oder die Rolle des Cloud Providers.
2. Klassifizieren Sie Ihre Daten und bewerten Sie Risiken
Welche Daten dürfen in die Cloud und welche besser nicht? Das ist eine entscheidende Frage. Um sie zu beantworten, sollten Unternehmen ihre Daten zunächst in Kategorien einteilen. Anschließend können sie abwägen, wie riskant es ist, die jeweiligen Datentypen in die Cloud zu verlagern. Die folgenden Fragen können als Leitfaden dienen:
- Sammelt und speichert das Unternehmen personenbezogene Daten, die Datenschutzgesetzen unterstehen?
- Könnte es dem Unternehmen, seinen Angestellten oder Kunden schaden, wenn Daten unautorisiert an die Öffentlichkeit gelangen?
- Welche juristischen Hoheitsgebiete sind für das Unternehmen relevant?
- Welche Datenschutzgesetze schränken die Verarbeitung und Speicherung von personenbezogenen Daten in der Cloud ein?
3. Sprechen Sie mit Ihrem Cloud Service Provider
Cloud Service Provider beschäftigen sich zwar mit Datensicherheit, aber selten mit Datenschutz. Kunden sind selbst in der Pflicht zu prüfen, inwiefern ein Anbieter den geforderten Datenschutzrichtlinien gerecht wird, welche Daten sie in die Cloud verlagern, wo sich das Rechenzentrum des Providers befindet, welche Sicherheitsvorkehrungen es dort gibt und wie Zugriffsrechte geregelt sind. Cloud Service Provider sind für Datenschutzverletzungen nur begrenzt haftbar. Verantwortlich für die Daten bleibt der Dateneigentümer, und das ist der Kunde. Bei der Wahl eines Anbieters sollten Unternehmen daher auf folgende Aspekte achten:
- Wo befindet sich das Rechenzentrum, wo werden die Daten gesichert oder repliziert?
- Fließen die Daten durch verschiedene juristische Hoheitsgebiete, bevor sie ins Rechenzentrum gelangen?
- Hat der Cloud Provider das Rechenzentrums-Management an Dritte vergeben (Outsourcing)? Falls ja, wer kontrolliert die Daten und wer verarbeitet sie?
- Wo bleibt dabei der Kunde, der zwar der Eigentümer der Daten ist, sie aber vielleicht nicht länger kontrolliert - obwohl er die alleinige Verantwortung für Datenschutzverletzungen trägt?
4. Nehmen Sie Ihre Zukunft in die Hand
Trauen Sie sich ruhig, Ihrem Cloud Service Provider auch unbequeme Fragen zu stellen. Schließlich sind Sie der Dateneigentümer und müssen dafür sorgen, dass Ihre Daten den gesetzlichen Anforderungen entsprechend geschützt werden. Eine gute Cloud-Strategie, die den Datenschutz mit einbezieht, hilft Ihnen dabei, bestmöglich von der neuen Technologie zu profitieren – egal ob Sie sich für ein Public Cloud, ein Private Cloud oder ein Hybrid-Modell entscheiden. Planen Sie den Schritt in die Cloud sorgfältig und übernehmen Sie Verantwortung für Ihre Daten. So können Sie kostspielige Datenschutzverletzungen vermeiden und Ihr Unternehmen sicher in die Zukunft steuern.“
Große Mengen an Daten aus verschiedenen Quellen zu sammeln, zu verarbeiten und zu analysieren wird für Unternehmen immer wichtiger. Dafür spielt die Cloud eine entscheidende Rolle. Wer Cloud-Services nutzt, muss jedoch die Datenschutzgesetze immer im Auge behalten. Denn Datenschutzverletzungen können sehr teuer werden. Aus dem wertvollen Gut wird dann schnell ein gefährlicher Stolperstein“.
(1) Horst Thieme, Manager Cloud Business Development / Bildquelle NetApp
Einige weitere Hintergrundinformationen
Europäische Datenschutz-Grundverordnung und die Nutzung von Clouddiensten: Fortschrittsfeindliches Werk oder dringend notwendige Modernisierung veralteter Regelungen? Ein Kommentar von Veracode...
Neue europäische Datenschutz-Grundverordnung (GDPR) fordert Unternehmen, Intralinks-Ovum-Studie zeigt: Unternehmen sollten ihre Strategien und Budgetplanungen überdenken...
Neue Datenschutzverordnung GDPR: Was das Recht auf Löschen für Unternehmen bedeutet. Gastbeitrag der Firma Veritas zu den Zielen, Inhalten, Anforderungen und Auswirkungen der neuen europäischen Datenschutzverordnung...