Die Cloud im Alltag – Gedanken zur Compliance

UnbenanntDie Nutzung von Cloud-Diensten im Unternehmen wird für das operative Tagesgeschäft aufgrund der bereitgestellten Software, Speicherkapazitäten, Rechnerleistungen und den flexiblen Zugangsmöglichkeiten auch aus betriebswirtschaftlicher Sicht zunehmend nachgefragt. Diese Form der Informations- und Datenauslagerung wird in verschiedenen Branchen allerdings kritisch im Zusammenhang mit einer datenschutzkonformen Ausgestaltung gesehen.

Wir hatten uns bereits in einem weiteren Beitrag zum Thema Datenschutz mit der Thematik beschäftigt, wie sicher die Cloud denn nun eigentlich sei. Mit dieser Frage hat sich auch der TÜV zertifizierte Datenschutzexperte Mike Rasch auseinandergesetzt und dies im nachfolgenden Blogbeitrag festgehalten.

8211bewsw Mike Rasch – Gedanken zur Compliance der Microsoft Cloud

Die Nutzung von Cloud-Diensten im Unternehmen wird für das operative Tagesgeschäft aufgrund der bereitgestellten Software, Speicherkapazitäten, Rechnerleistungen und den flexiblen Zugangsmöglichkeiten auch aus betriebswirtschaftlicher Sicht zunehmend nachgefragt. Diese Form der Informations- und Datenauslagerung wird in verschiedenen Branchen allerdings kritisch im Zusammenhang mit einer datenschutzkonformen Ausgestaltung gesehen.

Grundsätzlich – und dies ist voranzustellen – gelten die spezifischen Datenschutzgesetze der Länder, in denen die Daten auf den Servern abgelegt werden. Innerhalb der Europäischen Union und des Europäischen Wirtschaftsraumes kommen im harmonisierten Kundeninteresse nahezu identische Inlandsregelungen zum Tragen. Die erste Frage die sich ein Entscheider zur Datenauslagerung daher stellen sollte, ist folglich die nach dem Standort der datenverarbeitenden Stellen.

Im Weiteren Verlauf sollte geklärt werden, ob der Standort als auch die konkreten Umsetzungen das eigene und das Vertrauen der Endkunden in eine Datenweitergabe bzw. –verwendung rechtfertigen. Das konkrete Bedürfnis des Kunden im gesamten technisierten Alltag auf ein angemessenes Datenschutzniveau zu vertrauen und jenes auch im Tatsächlichen zu hinterfragen, ist nicht zu unterschätzen.

Insbesondere der Software-Konzern Microsoft befasst sich nicht nur theoretisch sondern auch praktisch verstärkt mit dieser Thematik und hat eine Vielzahl von Maßnahmen veranlasst, um die anvertrauten gespeicherten Daten zu schützen. Sämtliche Microsoft‐Infrastruktur, welche die Cloud-Anwendungen (Office 365, Microsoft Azure, CRM Online) bereitstellt, bietet zudem spezielle Instrumentarien an z.B. Azure Rights Management (Verschlüsselung von Daten durch ein Hardware-Sicherheitsmodul), um die Datensicherheit fachlich und juristisch zu unterstützen.

Der maßgebende Compliance-Gedanke wird durch die derzeit im Cloudbereich in dieser ausdifferenzierten Form einzigartige Akzeptanz der sogenannten EU-Standardvertragsklauseln untermauert. Standardvertragsklauseln stellen aus Sicht der europaweiten Aufsicht eine adäquate datenschutzrechtliche Lösung für eine Zulässigkeit der Auslagerung von datenverarbeitenden Prozessen dar. Das vertragliche Übereinkommen dient als Grundlage für die nach § 11 Bundesdatenschutzgesetz geforderte Auftragsdatenverarbeitungsvereinbarung (Data Processing Agreement) zur zwingend vorzunehmenden risikoaffinen und gefährdungsanlysierenden Einzelfallbetrachtung.
Die Artikel 29-Datenschutzgruppe hat Microsoft am 2. April 2014 ausdrücklich bestätigt, dass die getroffenen Vereinbarungen zu einer ordnungsgemäßen Umsetzung der EU-Standardvertragsklauseln geeignet sind eine Datenweitergabe sogar außerhalb der EU mithin rechtlich dem Grunde nach zulässig ist. Die weiterhin geforderten technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten stellt Microsoft ebenso wie gesonderte datenschutzrechtliche Zertifizierungen (z.B. Safe Harbour) durch regelmäßige ISO/IEC 27001-Zertifizierungen sicher.

Aktuell setzt Microsoft als einer der ersten Cloud-Anbieter überdies den internationalen ISO/IEC 27018 Stan¬dard für Datenschutz in der Cloud um. Die Erweiterung des ISO 27001-Standards bezieht sich im Detail auf den Schutz der in der Cloud gelagerten personenbezogenen Da¬ten. Durch die transparente Gestaltung des Datenflusses erhält der Kunde somit einen Einblick über die getroffenen Maßnahmen zur Datensicherheit und kann durch die qualitative Netzwerkinfrastruktur produktiv über die Daten verfügen; wesentliche Aspekte eines datenschutzkonformen Agierens.

Für weitere Informationen zu Cloud Services sprechen Sie uns gerne an oder schauen Sie einfach hier.

Autor: Mike Rasch

Hinterlasse eine Antwort