THINK Blog DACH

Die DSGVO feiert fünften Geburtstag. Zwar gilt sie erst seit drei Jahren verbindlich, verabschiedet wurde sie aber schon 2016. Und heute ist die Datenschutzgrundverordnung relevant wie nie: Die COVID-19-Pandemie hat viele Unternehmen gezwungen, sich mit der Auslagerung von Daten in die Cloud zu beschäftigen. Damit einher gehen Fragen zum Schutz der teilweise sehr sensiblen Daten. Wer übernimmt die juristische Verantwortung? Bei wem liegt die Datensouveränität? Und wie lässt sich die Cloud im Alltag in das Unternehmen und die Prozesse einbinden? Auch wenn einige nach wie vor skeptisch sind: Datensouveränität und die Nutzung der Cloud lassen sich durchaus miteinander vereinbaren. Allerdings gibt es einige wichtige Grundlagen, die zu beachten sind.

Zwar gibt es keine offizielle Definition des Begriffs Datensouveränität, im Allgemeinen versteht man unter dem Begriff aber die größtmögliche Kontrolle und Hoheit über die eigenen bzw. betriebsinternen Daten. In den vergangenen Jahren haben sich unsere Daten zu einem Wirtschaftsgut entwickelt, einer massiven Ressource, mit der gehandelt wird. Dessen muss sich jede Person, jedes Unternehmen und jede Organisation, die über Daten verfügen, bewusst sein. Entsprechend ist es wichtig, sich über die Souveränität dieser Daten Gedanken zu machen. Schon im privaten Bereich sind Fragen nach der Datensouveränität schwer zu beantworten, Unternehmen stehen vor einer noch größeren Herausforderung. Gerade im Hinblick auf die DSGVO ist der Schutz und die Hoheit über die Daten ein nicht zu vernachlässigendes Thema, das schon zu viel Kopfzerbrechen geführt hat.

Datensouveränität schon beim Einstieg in die Cloud

Entsprechend wächst die Nachfrage nach sicheren Cloud-Umgebungen. Bei stetig wachsenden Datenmengen reichen die lokalen Ressourcen der Unternehmen oft nicht mehr aus. Zudem ist eine eigene komplexe Speicherinfrastruktur sehr aufwendig zu managen, besonders hinsichtlich der Total-Cost-of-Ownership und der Latenz, mit der die hauseigene IT-Infrastruktur auf sich verändernde Anforderungen reagieren kann. Auch bei Speichersystemen können kritische Situationen in der Weltwirtschaft zu Lieferengpässen führen. So ist es wenig verwunderlich, dass Datenwachstum, Beschaffungsprobleme und Komplexität die Hauptmotivation für Anwender sind, sich bei Cloud-Service-Anbietern Unterstützung zu holen.

Sobald die Entscheidung für die Nutzung einer Cloud gefallen ist, müssen weitere Fragen zur Datensouveränität geklärt werden. Schließlich geht es um die Hoheit über die eigenen Daten, die Unternehmen nicht aufgeben wollen. An erster Stelle steht die Frage, welche Daten verarbeitet werden. An personenbezogene oder hochgradig regulierte Daten stellt die DSGVO striktere Anforderungen, als an nicht-personenbezogene Daten. Daraus resultierend ist es wichtig, wo die Daten aufbewahrt und wo sie verarbeitet werden, und auch das wie und wofür muss geklärt werden. Dies gilt natürlich besonders für personenbezogene Informationen oder sensible Daten. Ebenso müssen Faktoren wie Wartung und Datensicherung bedacht werden. Auch hierfür greift jemand auf die Daten zu. Und abschließend: Dürfen Behörden auf die Systeme zugreifen – wenn ja, unter welchen Bedingungen?

Professionelle Cloud-Service-Anbieter haben diese Fragen im Blick und entwickeln ihre Angebote entsprechend. Bei IBM beispielsweise befinden sich die Cloud-Ressourcen in Deutschland im Raum Frankfurt/Main und grundsätzlich ist gewährleistet, dass keine Daten aus den 16 zertifizierten europäischen Datenzentren in Nicht-EU-Staaten verlagert werden. So können Kunden sicher sein, dass ihre Daten im EU-Raum verbleiben.

Das Prinzip Keep-your-own-Key (KYOK) sorgt für zusätzliche Sicherheit der Daten. Eine Verschlüsselung, die absolut exklusiv ist, da nur vom Kunden autorisierte Nutzer Zugang zu den jeweiligen Keys und damit zu den verschlüsselten Daten haben. Andere Fragen allerdings, wie etwa, wer zu welchem Zeitpunkt über die Abläufe informiert sein muss und welche Mitarbeiter wann Zugriff benötigen, müssen frühzeitig im Unternehmen selbst geklärt werden.

Juristische Verantwortung beim Data Processor und Data Controller

Auch Fragen zur Haftung gehören bei der Einrichtung der Cloud bedacht. Häufig beschreiben personenbezogene Daten den Endnutzer eines Systems, also den Kunden des Cloud-Anwenders. Im DSGVO-Kontext sind die Endnutzer in der Rolle eines „Data Subject“. Daneben gibt es den „Data Controller“ – typischerweise das Anwenderunternehmen – sowie den „Data Processor“. Dienstleister oder Cloud-Service-Anbieter verarbeiten als Data Processor personenbezogene Daten im Auftrag des Data Controllers. Data Controller und Data Processor sind laut DSGVO die Entitäten, die juristisch zur Verantwortung gezogen werden können. Allerdings haben auch diese beiden Entitäten häufig ihrerseits Konzerngesellschaften oder Unterauftragnehmer, die juristisch verantwortlich sein können.

Damit ein Unternehmen seine Datensouveränität behalten bzw. überhaupt erreichen kann, gibt es Funktionen zur Steuerung und Kontrolle der Rollen und Prozesse rund um die Erhebung, Verwendung und Speicherung von Daten. Der Begriff Datensouveränität befasst sich dabei mit allen technischen und nicht-technischen Funktionen und Prozessen im Unternehmen, wie Datensicherung (Backup, auch Archivierung), Datensicherheit (Passwörter, Abwehr von Schadsoftware) und Rechenzentrumssicherheit (Versorgung, Haustechnik, Gebäudeschutz, u.a.). Für letztere bieten europäische Normen und Empfehlungen von Verbänden wie dem Bitkom hilfreiche Leitfäden an.

Zertifizierungen geben Orientierung

Transparenz und Vertrauen sind unabdingbare Voraussetzungen bei der Wahl des richtigen Partners für eine Cloud-Lösung. Manche Anwender vermeiden die öffentliche Cloud, weil sie fürchten, ihre Daten aus der Hand zu geben, wenn sie sie in die Public Cloud verlagern. Sie bevorzugen dann eher Partner mit traditionellen Modellen, wobei das Konzept Co-Location typisch ist: Dem eigenen Data Center wird dedizierte Technik im Rechenzentrum eines Partners zugeordnet. Je sensibler die Daten, desto restriktiver ist oft die Handhabung. Deshalb wird die Cloud nach wie vor selten für personenbezogene Daten genutzt. Dabei gibt es inzwischen Anbieter, die an ihre Public-Cloud-Infrastrukturen dieselben restriktiven Maßstäbe anlegen. Zertifizierungen nach Normen wie ISO 27001, ISO 27018 und weiteren europäischen und nationalen Verordnungen geben Aufschluss darüber. Anbieter wie IBM haben außerdem spezielle Programme, die bestehende und zukünftige Kunden hinsichtlich ihrer Anliegen jederzeit informieren, beispielsweise in Sachen Sicherheit, Privatsphäre, Einhaltung gesetzlicher Vorgaben, Verfügbarkeit, räumliche Nähe und vieler anderer Fragen.

Das richtige Cloud-Modell auszuwählen, egal ob Public, Private oder Hybrid, und sich für einen Anbieter zu entscheiden ist sehr individuell und hängt auch von dem Bedürfnis nach Offenheit oder Abschottung der Daten ab. Das liegt zum einen an den jeweiligen Kunden- und Projektanforderungen, zum anderen teilweise auch an branchenspezifischen Regularien, die eingehalten werden müssen. Wer vor solchen Herausforderungen steht, braucht einen Partner, der in diesem Bereich bereits Erfahrungen gesammelt hat.

Wichtigste Grundvoraussetzung bei der Wahl eines Partners für die Cloud ist der Respekt, der den eigenen Daten entgegengebracht wird. Bei der Wahl des Cloudanbieters sollte beachtet werden, dass die Datensouveränität im eigenen Unternehmen bleibt und nicht auf den Cloudanbieter übergeht. So steht einer DSGVO-konformen Migration in die Cloud nichts mehr im Weg.