Cloud-Computing und Privacy – geht das zusammen? Aktuelle Umfragen belegen, dass immer mehr Unternehmen in Deutschland auf die Cloud-Technologie setzen, das gilt vor allem für den Mittelstand.
Gerade während der Corona-Pandemie haben sich viele bisher noch zögernde Firmen dafür entschieden, zumindest einen gewissen Teil ihrer Geschäftsprozesse in die Cloud zu migrieren. Gleichzeitig steigen jedoch die Quote der Datenschutzverletzungen und die Schlagzahl neuer rechtlicher Vorgaben – und damit die Verunsicherung bei den Entscheidern:
Die zuverlässige Befolgung von Sicherheits- und Compliance-Regeln rangiert auf ihrer Liste der Auswahlkriterien für Cloud-Provider nahezu gleichauf mit der Leistungsfähigkeit und Stabilität des jeweiligen Angebots. Deshalb haben wir dieses Special ausschließlich dem Thema Privacy gewidmet.
Die Anforderungen zum Schutz persönlicher Daten haben seit dem Kippen des Safe-Harbour-Abkommens und dem Inkrafttreten der DSGVO noch einmal kräftig zugelegt. Mittlerweile sollte jedem Unternehmen, das seine und die Daten seiner Kunden einem Cloud-Dienstleister anvertraut (Stichwort: Auftragsdatenverarbeitung), bekannt sein, dass es letztendlich für diese Daten verantwortlich bleibt.
Darum muss ein vertrauenswürdiger Provider zumindest die gängigen Sicherheitsvorgaben erfüllen. Ariane Rüdiger hat entsprechende Zertifizierungen, Testate und Audits, die über die Einhaltung von Sicherheitvorgaben Auskunft geben sollen, genauer unter die Lupe genommen. Ab Seite 4 setzt sie sich mit den wichtigsten davon auseinander.
Da die Dienstanbieter aber niemals die gesamte Verantwortung übernehmen dürfen und können, argumentieren sie oft mit dem Prinzip der Shared Responsibility. Das klingt einfach und gut, doch die DSGVO sieht die Haftungsfrage bei Datenschutzrechtsverstößen etwas anders, wie Dirk Bongardt festgestellt hat (Seite 8).
Kommt es tatsächlich einmal zum „Wolkenbruch“, zählt neben der Haftungsfrage aber auch der Faktor Zeit: Wann und vor allem wie schnell Datenpannen gemeldet werden müssen, erläutert David Schahinian und gibt Empfehlungen, was sich Unternehmen in dieser Hinsicht von ihren Cloud-Anbietern vertraglich zusichern lassen sollten (Seite 14).
Bei der Beauftragung von Cloud-Dienstleistern, besonders dann, wenn sie mit den internationalen Branchenriesen zusammenarbeiten, lässt es sich in der Regel kaum vermeiden, dass Geschäfts- und Kundendaten das Rechtsgebiet der EU verlassen, und zwar einerlei, ob es um reine Storage- oder komplexe Software-Dienste geht.
Wie es um die Compliance beim Datentransfer in Drittländer steht und ob sich Probleme einfach mit Standardvertragsklauseln aus dem Weg räumen lassen, erklärt Dirk Bongardt ab Seite 12. Bei seinen Recherchen stieß er nebenbei in Europa und auf dem amerikanischen Kontinent auf eine Reihe cleverer junger Unternehmen, die sich für den Datenschutz in der Cloud stark machen. Einige der umtriebigsten dieser Privacy Start-ups stellt er ab Seite 10 vor.
Aus ungebremstem Interesse fürs Thema macht sich Dirk Bongardt zum Abschluss auf einen Streifzug durch die heimische Cloud-Landschaft. Spätestens nach den jüngsten Entscheidungen des Europäischen Gerichtshofes (Stichwort: Schrems II) haben Cloud-Anbieter aus der EU Hochkonjunktur. Für deutsche Unternehmen kann es zudem von Vorteil sein, wenn Firmensitz und Rechenzentren des Providers in Deutschland liegen.
Welche erstaunlichen Lösungen regionale Cloud-Dienstleister zu bieten haben und dass sie damit den Konkurrenten aus Übersee durchaus Paroli bieten können, zeigt er in seinem Querschnitt durch den deutschen Cloud-Markt ab Seite 16. Wer danach die eingangs aufgeworfene Frage aufs Neue stellt – ob das geht, Cloud-Computing und Privacy, der kann sie sich jetzt selbst beantworten: Und wie das geht!
Quelle: Privacy in Unternehmen 1/21 im August 2021 via iX und MittelstandsWiki