<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=2038511469714819&amp;ev=PageView&amp;noscript=1">

EU-DSGVO: Wie Sie mit eperi Cloud Data Protection Ihre Prüfpflichten bei der Nutzung von Cloud-Services reduzieren

16. April 2018

Die EU-DSGVO ist nun voll in Kraft getreten, und mit ihr zahlreiche Arbeiten und Anstrengungen, was den Datenschutz personenbezogener Daten betrifft. Im Vordergrund stehen unter anderem die sogenannte Datenschutz-Folgenabschätzung sowie weitere Prüf- und Dokumentationspflichten, wenn Unternehmen Auftragsdatenverarbeiter und Cloud-Dienste in Anspruch nehmen.

business_partnersEines ist völlig klar: Mit der EU-DSGVO wurden unter anderem die Vorschriften der externen Datenverarbeitung erheblich verschärft und im Zuge der europäischen Harmonisierung des Datenschutzes konkretisiert. Doch was ändert sich für die zahlreichen Datenverantwortlichen in mittelgroßen bis großen Unternehmen?

Nun, die DSGVO sieht eine explizite Datenverarbeitung personenbezogener Daten auch außerhalb der EU vor, unabhängig davon, ob der Auftragsverarbeiter (also zum Beispiel der Cloud Service Provider) innerhalb oder außerhalb der EU sitzt. Das hat natürlich diverse Konsequenzen zur Folge. So verschärfen sich beispielsweise die Auswahlkriterien von Cloud-Anbietern in besonderem Maße, da diese selbst zum Verantwortlichen werden können, sobald sie den Zweck der Datenverarbeitung selbstständig bestimmen.

Daneben ergeben sich für Datenverantwortliche sowie externe Auftragsverarbeiter weitere, teils erhebliche Verschärfungen, was vor allem die Verantwortung der Datenverarbeitung und die Haftungsfrage bei möglichen Verstößen gegen die DSGVO betrifft.

Wer ist verantwortlich für die Daten: Unternehmen oder Cloud-Provider?

Die DSGVO sieht vor, dass nicht nur der Auftraggeber der externen Datenverarbeitung bei möglichen Verstößen gegen die DSGVO in Haftung genommen werden kann, sondern auch der externe Auftragsverarbeiter. Denn es wird künftig so sein, dass der für die Datenverarbeitung Verantwortliche und der Auftragsverarbeiter gemeinsam haften.

Mit der DSGVO kommen besondere Pflichten auf Datenverantwortliche zu

Auf die Datenschutzverantwortlichen der Unternehmen kommen zahlreiche Pflichten zu, die man durchaus ernst nehmen sollte. Sie müssen vor allem sicherstellen und nachweisen können, dass die Verarbeitung von personenbezogenen Daten jederzeit so erfolgt, wie das die DSGVO fordert. Dazu zählen unter anderem die Einhaltung bestimmter Grundsätze wie der Pseudonymisierung und Verschlüsselung von Daten, der Datenminimierung, der Einhaltung des Verarbeitungszwecks, etc. Daraus ergibt sich unter anderem, welche Daten in welchem Umfang und wie lange verarbeitet und gespeichert werden dürfen.

Konformität mit DSGVO: Mühseliger Aufwand für Unternehmen

Wenn personenbezogene Daten verarbeitet werden, stellt dies Unternehmen vor großen Herausforderungen. Die Menge an sensiblen Daten ist dabei unerheblich. Es reicht schon, wenn der Lebenslauf eines Mitarbeiters oder die E-Mail-Adresse oder Anschrift eines Kunden gespeichert werden. Allein der Nachweis über die vorgenommenen Maßnahmen zum Schutz dieser Daten führt insgesamt zu einem hohen Aufwand, der vor allem dann zum Tragen kommt, wenn diese Daten nicht innerhalb des eigenen Unternehmens, sondern in einer Cloud-Umgebung gespeichert und verarbeitet werden.

Da hilft es ungemein, wenn sensible Daten dank vorheriger Verschlüsselung und Pseudonymisierung erst gar nicht in Klartext beim Cloud-Anbieter ankommen, denn so fallen sie auch nicht unter dem Schutzmantel der DSGVO, weil sie so erst gar nicht zum Gegenstand einer Datenschutzrechtsverletzung auf Seiten des Cloud-Anbieters werden können.

eperi und DSGVO: So kann der Prüfumfang für Datenverantwortliche reduziert werden

Wie also die bisherigen Ausführungen zeigen, kommen der Umsetzung und dem Nachweis entsprechender Schutzmaßnahmen im DSGVO-Kontext eine nicht unerhebliche Bedeutung zu. Denn gerade im Cloud-Umfeld entstehen regelmäßig neue Techniken und Services, die jedesmal auf ihre Zuverlässigkeit, Integrität und Sicherheit in Sachen personenbezogene Daten überprüft werden müssen. Damit übernimmt die von der DSGVO geforderte Datenschutz-Folgenabschätzung (DSFA) die Rolle eines Art Frühwarnsystems, mit dessen Hilfe mögliche Schwachstellen schneller und zuverlässiger entdeckt und eliminiert werden können. Die DSFA-Analyse ermöglicht eine vollständige Transparenz aller Zuständigkeiten und liefert damit Aufschlüsse, welche Datenschutzvorkehrungen erforderlich sind.

Diese und weitere Aspekte machen deutlich, dass vor allem Firmen, bei denen die Nutzung von Cloud-Services Teil der IT-Unternehmensstrategie sind, diverse Anstrengungen und Überlegungen in Betracht ziehen müssen, wollen sie den hohen Anforderungen der EU-DSGVO genügen.

Mit eperi Cloud Data Protection (CDP) entspannt ins DSGVO-Zeitalter

An dieser Stelle kommt eperi ins Spiel. Denn mithilfe des eperi Gateways lassen sich die konkreten Forderungen zum Schutz sensibler personenbezogener Daten mit relativ geringem Aufwand umsetzen. So behalten dank der eperi-Lösung die Unternehmen die alleinige Kontrolle über ihre Datenschutz-Prozesse und garantieren damit das Einhalten der strengen DSGVO-Vorgaben, wenn Cloud-Services im Unternehmen genutzt werden. Der Prüfaufwand sowie die damit verbundene Nachweispflicht reduziert sich somit nur auf die Vorkehrungen und Datenschutzmaßnahmen, die im eigenen Unternehmen umgesetzt werden.

Diese Vorgehensweise bietet einen weiteren Vorteil: Nutzt man einen Cloud Service Provider (CSP), der eine eigene Verschlüsselungsmethode nutzt, muss der Datenverantwortliche zunächst aufwändig und umständlich prüfen, ob der CSP die DSGVO vollständig umsetzt. Dabei müssen eine Reihe von Fragen geklärt werden, unter anderem:

  • Wie stellt der CSP sicher, dass ein Dateneinbruch erkannt und verhindert wird und wie stellt er sicher, welche Daten davon betroffen sind?
  • Wie garantiert er, dass der Datenverantwortliche eine Datenschutzverletzung nach Bekanntwerden innerhalb von 72 Stunden an die zuständige Behörde melden kann?
  • Wo genau werden die sensiblen Daten (und Backups) gespeichert und wer hat alles Zugriff auf darauf?

Diesen Aufwand kann man mithilfe von eperi ganz locker umgehen. Und das sehr smart.

Datenverschlüsselung, bevor Daten in die Cloud wandern

Denn das Zauberwort für all diese Anwendungsfälle lautet: „Datenverschlüsselung“. Damit lassen sich sämtliche sensiblen Daten für Unbefugte unleserlich machen, bevor personenbezogene Daten überhaupt einen Schritt in Richtung Cloud unternehmen. Das bedeutet vor allem für größere und mittelgroße Unternehmen, dass sie die volle Kontrolle über ihre personenbezogene Daten behalten und damit die strengen Auflagen in Sachen Datenschutz-Konformität quasi „on the fly“ erfüllen.

Doch nicht nur das: Dank der transparenten Verschlüsselung der Cloud-Daten können sehr elegant zahlreiche Risiken „ad acta“ gelegt werden, die bei der Auswahl des geeigneten Cloud-Konzepts respektive des dazu passenden Cloud Service Providers entstehen können. Denn wer kann schon genau sagen, ob der infrage kommende Cloud-Anbieter die strengen Auflagen der DSGVO so ernst nimmt, wie er das eigentlich tun sollte.

Laut EU-DSGVO sind zwar einheitliche Zertifizierungsmaßnahmen gewünscht und sollen auch entsprechend gefördert werden. Solange es aber keine verbindlichen und gemeinsamen Standards gibt, sind diese Zertifikate wohl nicht mal das Papier wert, auf dem sie gedruckt werden. Mit der Verschlüsselung im eperi-Stil löst sich die Diskussion rund um den richtigen Cloud Service Provider quasi in Luft auf.

Ob Office 365, Salesforce oder andere Cloud-Anwendungen: das eperi Gateway als zentraler Kontrollpunkt

Denn mit der von der eperi-Lösung offerierten Unterstützung für weitverbreitete Cloud-Anwendungen wie Office 365 oder Salesforce stellen Unternehmen sicher, dass besonders sensible personenbezogene Daten jederzeit und vollumfänglich vor fremden Zugriffen geschützt sind. Denn weder der Cloud-Provider noch ein externer Auftragsverarbeiter erhält Zugriff auf die Daten, da die Schlüssel im alleinigen Besitz des Cloud-Anwenders, also des Unternehmens bleiben. Damit wird ein zentraler Kontrollpunkt für das Datenschutz- und Verschlüsselungsmanagement festgelegt, das dem Datenverantwortlichen die alleinige Kontrolle über die Verschlüsselungs- und Tokenisierungsprozesse garantiert.

eperi Cloud Data Protection bedeutet aber auch, dass sich die Verschlüsselung der Daten in keiner Weise auf die Cloud-Plattform und deren Techniken auswirkt und darüber hinaus alle wichtigen Anwendungsfunktionalitäten bei komfortabler Bedienerfreundlichkeit erhalten werden. Und das mit einem relativ geringen Vorbereitungsaufwand.

Fazit: Machen Sie mithilfe von eperi Ihre Cloud-Daten DSGVO-konform

Zusammenfassend lässt sich also sagen, dass Unternehmen, die sich für eine Verschlüsselung auf Basis der eperi Cloud Data Protection-Lösung entscheiden, einen großen Schritt in Sachen DSGVO-Konformität gehen. Denn damit hieven sie ihren Datenschutz ohne größeren Aufwand auf einen Level, um den sie so mancher Datenschutzbeauftragte beneiden würde. Darüber stellt diese Cloud-Verschlüsselungslösung die richtige Mixtur dar, was Datenkontrolle, Datenschutz und Benutzerfreundlichkeit der bekannten Cloud-Anwendungen wie Office 365, SharePoint, SalesForce und andere Applikationen betrifft.


Auch interessant:

Kostenloses E-Book: Global Compliance - Was Führungskräfte über Compliance-Vorschriften wissen sollten, wenn sie zu Cloud Services wechseln

 

Share Button: LinkedIn Share Button: XING