KOSTENLOS STARTEN
dracoon-login-w
Menu
JETZT TESTEN
LOGIN
Datenschutz

Anforderungen an eine Cloud-Lösung aus Sicht eines Datenschützers

Datenbeschützerin Regina Stoiber
16.05.22 10:00

So finden Sie den richtigen Cloud-Anbieter

Fast jedes Unternehmen beschäftigt sich früher oder später mit dem Thema Cloud. Dabei kommen viele Fragen auf: Ist Cloud Computing überhaupt sicher? Worauf sollte man bei der Auswahl des richtigen Dienstleisters achten? Welche Kriterien müssen erfüllt werden? Wir sprechen in diesem Beitrag über die wichtigsten Aspekte aus der Sicht der Datenbeschützerin.

➡️ Merkmale des Cloud Computing

Was kennzeichnet eigentlich einen Cloud-Service?

  • Die Nutzung eines externen Cloud-Anbieters stellt in der Regel immer eine Tätigkeit des Auftragnehmers im Auftrag dar. Das heißt, es muss ein Auftragsverarbeitungsvertrag zur Verfügung gestellt werden.
  • Bei einer Anwendung über das Internet (Software as a Service) ist der örtliche Standort, von dem Sie auf den Dienst zugreifen können, nicht eingeschränkt.
  • Die Updates für den Service werden immer zentral durchgeführt. Endbenutzer müssen kein Update auf dem Rechner durchführen.
  • Demnach braucht man in der internen IT auch keine Administratoren, die sich um die technische und fachliche Bereitstellung des Service kümmern.
  • Meist teilen sich mehrere Kunden eine Infrastruktur. Im Idealfall sollten die Daten voneinander getrennt sein.

 

☁️ Warum auf einen Service Provider zurückgreifen?

Einzelunternehmer und KMUs beschäftigen in der Regel kein großes Team von internen IT-Experten. Daher lohnt es sich, externe Services für verschiedene Zwecke zu nutzen. Ein Service Provider kann den Service auf jeden Fall besser und meist auch kostengünstiger anbieten. Und er versteht sein Kerngeschäft.

Ein weiteres Argument ist die Cloud Security – die Aspekte Verfügbarkeit und Sicherheit. Eine hohe zeitliche Verfügbarkeit der Dienste anzubieten ist im Interesse des Providers. Die Ausfallsicherheit wird gewährleistet, aktuelle Security Lücken werden beobachtet und geschlossen. Um diese Themen braucht sich der Anwender nicht kümmern.

Der orts- und zeitunabhängige Zugriff auf Daten und Applikationen gewinnt durch international vernetzten Strukturen immer mehr an Bedeutung. Ein Cloudservice erfüllt diese Anforderungen, ohne interne personelle Ressourcen des anwendenden Unternehmens zu belasten.

Risiken-1

☁️ Risiken bei der Nutzung von Cloud Services?

Aber Cloud hat doch nicht nur Vorteile, oder? Sollte man nicht auch einen kritischen Blick auf den Einsatz von Cloudservices werfen?

Natürlich sehen wir das auch so. Es ist wichtig, nicht nur die Vorteile zu beleuchten, sondern auch zu überlegen, wo eventuell Nachteile oder sogar Risiken lauern könnten.

Aus unserer Sicht lassen sich die Risiken in drei Gruppen klassifizieren, auf die wir nachfolgend kurz eingehen möchten:

  • Compliance Risiken
  • Risiken beim Dienstleister und
  • Risiken im eigenen Unternehmen

Vor der Betrachtung dieser Risiken empfehlen wir, zunächst den Zweck der Datenverarbeitung und die Datenarten zu definieren, damit eine bessere Einschätzung erfolgen kann.

 

Compliance-1

☁️ Welche Compliance Risiken gibt es?

  • Die wichtigste Frage: Erfüllt der Dienst die gesetzlichen, regulativen oder vertraglichen Vorgaben?
  • Wo befindet sich der Server-Standort (Länder/Standorte)? Wo werden die Daten verarbeitet?
  • Ist eine vollständige Datenschutzerklärung (DSE) für den entsprechenden Service vorhanden (Erfüllung nach Art. 13 und 14)?
  • Auch vertragliche Regeln mit Kunden müssen unter den Compliance Risiken betrachtet werden.
  • Erfüllt der Service die Anforderungen im Datenschutz (DSGVO)?
  • Zusätzlich zur DSGVO-Konformität können Unternehmen können auch vertraglich gezwungen sein, Dienste mit einer bestimmten Zertifizierung oder Qualitäts-Nachweis zu nutzen (ISO, TISAX®, HIPAA, FDA).
  • Wer ist Vertragspartner und wo ist dessen Standort?

 

Service Provider-1

☁️ Risiken beim Service Provider

Hier geht es um das Thema technische und organisatorische Sicherheit. Die Verfügbarkeit, Vertraulichkeit oder Integrität des gesamten Dienstes ist gefährdet, wenn Sicherheitslücken beim Cloud-Dienstleister auftreten.

Daher gibt es einige Punkte, die hier zu berücksichtigen sind.

  • Wird sichergestellt, dass neue Features einem entsprechenden Change- oder Entwicklungsprozess unterliegen, der die Funktionen und Sicherheitsmaßnahmen gewährleistet?
  • Erfüllen beispielsweise auch neue Features die Vorgaben des Datenschutzes? Eventuell muss der Dienst hier nach dem Update erst individuell durch den Anwender angepasst werden.
  • Wenn der Dienst als Software as a Service zur Verfügung gestellt wird, wird die Infrastruktur von allen Kunden genutzt. Umso wichtiger ist das Thema Mandantentrennung. Ansonsten besteht das Risiko eines unrechtmäßigen Zugriffs.

Neben den organisatorischen Themen sind auch technische Sicherheitsmaßnahmen ein elementarer Aspekt. 

  • Bietet der Service eine Multifaktor-Authentifizierung, dass zumindest für höher privilegierte Zugriffe eine erhöhte Sicherheit beim Anmelden verlangt wird?
  • Wie sieht es mit Verschlüsselungsmaßnahmen aus?
  • Können interne Compliance Vorgaben durch regelbasierte Datenrichtlinien um- und durchgesetzt werden?

 

Unternehmen-1

☁️ Risiken beim Einsatz in Unternehmen

Hier geht es um die Risiken im eigenen Unternehmen beim Einsatz des Service und natürlich auch vorher bei der Konfiguration der Applikation.

Aus unserer Erfahrung bergen nicht die externen, sondern die internen Faktoren das größte Risiko bei der Verwendung von Cloud-Diensten. Es müssen dementsprechende interne Regelungen definiert und umgesetzt werden.

Vielleicht gibt es schon ein ISMS (Management für Informationssicherheit) im Unternehmen? Falls nicht, kann man sich auch über eine Risikoanalyse ein klares Bild verschaffen. Wichtig sind z.B. Antworten auf folgende Fragen:

  • Hat jemand plötzlich Zugriff, der vorher keine Berechtigungen hatte?
  • Gibt es die Möglichkeit, ein rollenbasiertes Berechtigungskonzept umzusetzen?
  • Im Idealfall bietet der Service sogar die Möglichkeit, zeitlich basierte Rechte und Freigaben zu vergeben, die zusätzlich mit einem Passwort geschützt sind.
  • Ist die Datensicherung gewährleistet?
  • Sind genügend fachliche Key-User und gegebenenfalls Administratoren für den Betrieb des Cloud-Dienstes vorhanden?
  • Haben die Benutzer eine Schulung erhalten und verwenden sie den Dienst ordnungsgemäß? (Sperrung vom PC, keine Weitergabe von Passwörtern etc.)
  • Ist jedem Anwender klar, welche Datenklassen über das System verarbeitet werden dürfen und welche nicht?

Datenschutz-1

☁️ Kann man Cloud Services im Unternehmen datenschutzfreundlich nutzen?

Dieser Punkt ist neben vielen fachlichen und sicherheitstechnischen Aspekten inzwischen genauso wichtig und kritisch zu betrachten, wenn Sie eine Software as a Service auswählen.

Die Grundvoraussetzung für eine datenschutzfreundliche Nutzung eines Cloud-Services ist, dass der eigentliche Geschäftszweck, den man mit dem Dienst umsetzen möchte, datenschutzkonform ist. Das heißt, Sie müssen sich die Frage stellen: Gibt es eine gültige Rechtsgrundlage nach Art. 6 (1) DSGVO?

  • Rechtfertigt der Vertrag (oder eine vorvertragliche Maßnahme) mit Mitarbeitern, Kunden oder anderen Zielgruppen den Einsatz des Service?
  • Gibt es vielleicht sogar eine gesetzliche Grundlage, aufgrund derer Sie die Daten im System verarbeiten müssen?
  • Oder ist es Ihr berechtigtes Interesse als Unternehmen, die Daten im oder mit dem Cloud Service zu verarbeiten?

Weitere Risiken-1

☁️ Passt alles oder gibt es Risiken?

Worauf sollten Sie besonders achten, um eventuelle Risiken zu vermeiden?

  • Werden die Daten nur zu den definierten Zwecken verarbeitet oder behält sich der Anbieter vor, Daten der Anwender (User- sowie Nutzerdaten) auch zu eigenen Zwecken zu verwenden?
  • Wurden in der Entwicklung des SaaS die Datenschutzaspekte schon berücksichtigt? Besser bekannt ist dieses Thema unter der Bezeichnung "Privacy by Design".
  • Und natürlich der Aspekt "Privacy by default". Hiervon spricht man, wenn der Service in der Grundfunktion, ohne zusätzliche individuelle Konfigurationen datenschutzkonform auf hohem Niveau betrieben werden kann. Eine weitere individuelle Konfiguration erfolgt zweckkonform. Zu berücksichtigen sind hier u.a. verschlüsselte Übertragung, verschlüsselte Speicherung, (mehrstufiger) Login und Berechtigungen im Zugriff.
  • Der Administrator sollte das System weiter konfigurieren können, um die Anforderungen des Datenschutzes einzustellen.
  • Im Idealfall kann der Dienstleister sogar ein Zertifikat nachweisen, welches die Konformität unterschiedlicher Anforderungen unabhängig bestätigt.

Auftragsverarbeitung-1

 

☁️ Service Provider als Auftragsverarbeiter

Eingangs wurde bereits erwähnt, dass Cloud Serviceprovider meistens Auftragsverarbeiter sind. Wann es sich um einen Auftragsverarbeiter im Detail handelt, haben wir in einem eigenen ausführlichen Beitrag erläutert. 

 ➡️ Cloud Services - ja oder nein: ein Fazit

Wir, das Team der Datenbeschützerin, befürworten den Einsatz von Services aus der Cloud. Aber nur, wenn bestimmte Rahmenbedingungen umgesetzt werden.

In unserer heutigen vernetzten Infrastruktur mit vielen verschiedenen Anwendungsfällen ist es nicht mehr praktikabel, rentabel und vor allem nicht mehr sicher, alle Services inhouse zu betreiben. Vor allem für kleinere Unternehmen zahlt sich dies nicht aus. Daher bleibt aus den angeführten Gründen nur der Griff in die Wolke.

Wenn auch Sie zu dem Ergebnis kommen, dass ein Cloud Service Ihre Anforderungen besser löst als eine On-Premises Applikation, dann berücksichtigen Sie die oben genannte Punkte bei der Auswahl, der Einführung und beim Betrieb.

 

Großer Anbieter Vergleich 
ISG_Cloud-Transformation-Operation-Services-&-XaaS

Fordern Sie jetzt kostenfrei die unabhängige ISG-Studie an und erhalten Sie eine Übersicht über die relevanten Anbieter im deutschen Markt:

Jetzt kostenlose ISG-Studie anfordern
DRACOON_ISG-Studie2021-Blog

Fordern Sie jetzt kostenfrei die umfangreiche ISG-Studie an!

Die Information Services Group bietet mit ihren Analysen und Reports besondere Entscheidungshilfen und unterstützt Firmen bei ihrem Weg den richtigen Business-Partner zu finden. Der aktuelle Quadrant „Secure Enterprise Filesharing Services“ gibt Anwendern einen fundierten Einblick in den Markt.

Jetzt kostenlose ISG-Studie anfordern

Bei neuen Blog-Artikeln benachrichtigen lassen: