Anforderungen an eine Cloud-Lösung aus Sicht eines Datenschützers

• Cloud-Services müssen im Hinblick auf Datenschutz und Compliance sorgfältig ausgewählt werden, wobei der Standort des Servers und die Einhaltung der DSGVO entscheidend sind.
  
• Technische und organisatorische Sicherheitsmaßnahmen (TOM), wie Multifaktor-Authentifizierung und Verschlüsselung, sind bei der Nutzung eines Cloud-Services unerlässlich.
  
• Intern müssen Unternehmen eigene Risiken, wie Zugriffsberechtigungen und Datensicherung, beim Einsatz von Cloud-Services beachten und entsprechende interne Regelungen definieren.
  
• In diesem Artikel erfahren Sie, wie Sie einen Cloud Service auswählen, der Datenschutz und Compliance erfüllt, und welche internen Maßnahmen Sie ergreifen sollten, um Risiken zu minimieren.
  

So finden Sie den richtigen Cloud-Anbieter

Fast jedes Unternehmen beschäftigt sich früher oder später mit dem Thema Cloud. Dabei kommen viele Fragen auf: Ist Cloud Computing überhaupt sicher? Worauf sollte man bei der Auswahl des richtigen Dienstleisters achten? Welche Kriterien müssen erfüllt werden? Wir sprechen in diesem Beitrag über die wichtigsten Aspekte aus der Sicht der Datenbeschützerin.

☁️ Warum auf einen Service Provider zurückgreifen?

Einzelunternehmer und KMUs beschäftigen in der Regel kein großes Team interner IT-Experten. Daher lohnt es sich, externe Services für verschiedene Zwecke zu nutzen. Ein Service Provider kann den Service auf jeden Fall besser und meist auch kostengünstiger anbieten. Und er versteht sein Kerngeschäft.

Ein weiteres Argument ist die Cloud Security – die Aspekte Verfügbarkeit und Sicherheit. Eine hohe zeitliche Verfügbarkeit der Dienste anzubieten ist im Interesse des Providers. Die Ausfallsicherheit wird gewährleistet, aktuelle Security Lücken werden beobachtet und geschlossen. Um diese Themen braucht sich der Anwender nicht kümmern.

Der orts- und zeitunabhängige Zugriff auf Daten und Applikationen gewinnt durch international vernetzten Strukturen immer mehr an Bedeutung. Ein Cloud-Service erfüllt diese Anforderungen, ohne interne personelle Ressourcen des anwendenden Unternehmens zu belasten.

☁️ Risiken bei der Nutzung von Cloud Services?

Aber Cloud hat doch nicht nur Vorteile, oder? Sollte man nicht auch einen kritischen Blick auf den Einsatz von Cloud-Services werfen?

Natürlich sehen wir das auch so. Es ist wichtig, nicht nur die Vorteile zu beleuchten, sondern auch zu überlegen, wo eventuell Nachteile oder sogar Risiken lauern könnten.

Aus unserer Sicht lassen sich die Risiken in drei Gruppen klassifizieren, auf die wir nachfolgend kurz eingehen möchten:

• Compliance Risiken
• Risiken beim Dienstleister und
• Risiken im eigenen Unternehmen

Vor der Betrachtung dieser Risiken empfehlen wir, zunächst den Zweck der Datenverarbeitung und die Datenarten zu definieren, damit eine bessere Einschätzung erfolgen kann.

☁️ Welche Compliance-Risiken gibt es?

• Die wichtigste Frage: Erfüllt der Dienst die gesetzlichen, regulativen oder vertraglichen Vorgaben?
• Wo befindet sich der Server-Standort (Länder/Standorte)? Wo werden die Daten verarbeitet?
• Ist eine vollständige Datenschutzerklärung (DSE) für den entsprechenden Service vorhanden (Erfüllung nach Art. 13 und 14)?
• Auch vertragliche Regeln mit Kunden müssen unter den Compliance Risiken betrachtet werden.
• Erfüllt der Service die Anforderungen im Datenschutz (DSGVO)?
• Zusätzlich zur DSGVO-Konformität können Unternehmen können auch vertraglich gezwungen sein, Dienste mit einer bestimmten Zertifizierung oder Qualitäts-Nachweis zu nutzen (ISO, TISAX®, HIPAA, FDA).
• Wer ist Vertragspartner und wo ist dessen Standort?
  

☁️ Risiken beim Service-Provider

Hier geht es um das Thema technische und organisatorische Sicherheit. Die Verfügbarkeit, Vertraulichkeit oder Integrität des gesamten Dienstes ist gefährdet, wenn Sicherheitslücken beim Cloud-Dienstleister auftreten.

Daher gibt es einige Punkte, die hier zu berücksichtigen sind.

• Wird sichergestellt, dass neue Features einem entsprechenden Change- oder Entwicklungsprozess unterliegen, der die Funktionen und Sicherheitsmaßnahmen gewährleistet?
• Erfüllen beispielsweise auch neue Features die Vorgaben des Datenschutzes? Eventuell muss der Dienst hier nach dem Update erst individuell durch den Anwender angepasst werden.
• Wenn der Dienst als Software as a Service zur Verfügung gestellt wird, wird die Infrastruktur von allen Kunden genutzt. Umso wichtiger ist das Thema Mandantentrennung. Ansonsten besteht das Risiko eines unrechtmäßigen Zugriffs.

Neben den organisatorischen Themen sind auch technische Sicherheitsmaßnahmen ein elementarer Aspekt. 

• Bietet der Service eine Multifaktor-Authentifizierung, dass zumindest für höher privilegierte Zugriffe eine erhöhte Sicherheit beim Anmelden verlangt wird?
• Wie sieht es mit Verschlüsselungsmaßnahmen aus?
  • Können aus dem Service heraus versendete E-Mails inhaltsverschlüsselt werden?
  • Sind die Dateianhänge verschlüsselt?
• Können interne Compliance Vorgaben durch regelbasierte Datenrichtlinien um- und durchgesetzt werden?

☁️ Risiken beim Einsatz in Unternehmen

Hier geht es um die Risiken im eigenen Unternehmen beim Einsatz des Service und natürlich auch vorher bei der Konfiguration der Applikation.

Aus unserer Erfahrung bergen nicht die externen, sondern die internen Faktoren das größte Risiko bei der Verwendung von Cloud-Diensten. Es müssen dementsprechende interne Regelungen definiert und umgesetzt werden.

Vielleicht gibt es schon ein ISMS (Management für Informationssicherheit) im Unternehmen? Falls nicht, kann man sich auch über eine Risikoanalyse ein klares Bild verschaffen. Wichtig sind z.B. Antworten auf folgende Fragen:

• Hat jemand plötzlich Zugriff, der vorher keine Berechtigungen hatte?
• Gibt es die Möglichkeit, ein rollenbasiertes Berechtigungskonzept umzusetzen?
• Im Idealfall bietet der Service sogar die Möglichkeit, zeitlich basierte Rechte und Freigaben zu vergeben, die zusätzlich mit einem Passwort geschützt sind.
• Ist die Datensicherung gewährleistet?
• Sind genügend fachliche Key-User und gegebenenfalls Administratoren für den Betrieb des Cloud-Dienstes vorhanden?
• Haben die Benutzer eine Schulung erhalten und verwenden sie den Dienst ordnungsgemäß? (Sperrung vom PC, keine Weitergabe von Passwörtern etc.)
• Ist jedem Anwender klar, welche Datenklassen über das System verarbeitet werden dürfen und welche nicht?

☁️ Kann man Cloud Services im Unternehmen datenschutzfreundlich nutzen?

Dieser Punkt ist neben vielen fachlichen und sicherheitstechnischen Aspekten inzwischen genauso wichtig und kritisch zu betrachten, wenn Sie eine Software as a Service auswählen.

Die Grundvoraussetzung für eine datenschutzfreundliche Nutzung eines Cloud-Services ist, dass der eigentliche Geschäftszweck, den man mit dem Dienst umsetzen möchte, datenschutzkonform ist. Das heißt, Sie müssen sich die Frage stellen: Gibt es eine gültige Rechtsgrundlage nach Art. 6 (1) DSGVO?

• Rechtfertigt der Vertrag (oder eine vorvertragliche Maßnahme) mit Mitarbeitern, Kunden oder anderen Zielgruppen den Einsatz des Service?
• Gibt es vielleicht sogar eine gesetzliche Grundlage, aufgrund derer Sie die Daten im System verarbeiten müssen?
• Oder ist es Ihr berechtigtes Interesse als Unternehmen, die Daten im oder mit dem Cloud Service zu verarbeiten?

☁️ Passt alles oder gibt es Risiken?

Worauf sollten Sie besonders achten, um eventuelle Risiken zu vermeiden?

• Werden die Daten nur zu den definierten Zwecken verarbeitet oder behält sich der Anbieter vor, Daten der Anwender (User- sowie Nutzerdaten) auch zu eigenen Zwecken zu verwenden?
• Wurden in der Entwicklung des SaaS die Datenschutzaspekte schon berücksichtigt? Besser bekannt ist dieses Thema unter der Bezeichnung "Privacy by Design".
• Und natürlich der Aspekt "Privacy by default". Hiervon spricht man, wenn der Service in der Grundfunktion, ohne zusätzliche individuelle Konfigurationen datenschutzkonform auf hohem Niveau betrieben werden kann. Eine weitere individuelle Konfiguration erfolgt zweckkonform. Zu berücksichtigen sind hier u.a. verschlüsselte Übertragung, verschlüsselte Speicherung, (mehrstufiger) Login und Berechtigungen im Zugriff.
• Der Administrator sollte das System weiter konfigurieren können, um die Anforderungen des Datenschutzes einzustellen.
• Im Idealfall kann der Dienstleister sogar ein Zertifikat nachweisen, welches die Konformität unterschiedlicher Anforderungen unabhängig bestätigt.
  
  

☁️ Service Provider als Auftragsverarbeiter

Eingangs wurde bereits erwähnt, dass Cloud-Service-Provider meistens Auftragsverarbeiter sind. Wann es sich um einen Auftragsverarbeiter im Detail handelt, haben wir in einem eigenen ausführlichen Beitrag erläutert.