Gratis-Download

Bei vielen unternehmensinternen Regelungen mit Datenschutz-Bezug ist der Betriebsrat zu beteiligen. Hierbei kommt Ihnen als Datenschutzbeauftragten...

Jetzt downloaden

So begleiten Sie als Datenschutzbeauftragter den Umstieg in die Cloud

0 Beurteilungen

Von Wolfram von Gagern,

Cloud-Computing ist ein recht junges Thema. Im Gegensatz zu anderen Techniken und Anwendungen herrscht hier also noch ein Mangel an fundierten Erfahrungswerten, aus denen Administratoren und Datenschutzbeauftragte gleichermaßen schöpfen könnten. Die nachfolgende Checkliste hilft Ihnen dabei, bei der Migration von Daten in die Cloud keine wesentlichen Aspekte zu vergessen.

Überprüfen Sie mit dieser Checkliste Ihren Cloud-Anbieter

  • Verfügt der Anbieter über ein Rechenzentrum, das zertifiziert wurde (z. B. ISO 27001)?
  • Genügen die vom Anbieter garantierten Servicelevel den Ansprüchen Ihres Unternehmens in Hinblick auf die Verfügbarkeit der Daten? Welche Mindestgarantie zur Erreichbarkeit von Servern wird gegeben?
  • Welche Sicherheitsniveaus gewährt der Anbieter? Wie sind darin die Vertraulichkeit und Integrität der Daten geregelt? Passen diese zum Schutzbedarf der Daten, die Ihr Unternehmen auslagern will?
  • Werden die Datenschutzvorgaben gemäß Auftragsdatenverarbeitung (§ 11 BDSG) erfüllt?
  • Welche Vorkehrungen sind getroffen worden, damit Mandanten- und Kundenbereiche voneinander klar getrennt sind?
  • Besteht Transparenz darüber, wo sich Ihre Daten physikalisch tatsächlich befinden?
  • Welche Verschlüsselungstechniken kommen zum Einsatz? Entsprechen diese dem Stand der Technik?
  • Werden sowohl die Übertragung der Daten als auch die Speicherung selbst verschlüsselt?
  • Kann diese Verschlüsselung auch nicht durch die Administratoren des Anbieters umgangen werden?
  • Welche Maßnahmen für den Notfall hat der Anbieter ergriffen? Wie sieht es mit der Erreichbarkeit aus? Welche garantierte Reaktionszeit wird für den Fall eines Falles zugesichert? Gibt es eine auch nachts erreichbare Hotline oder eine andere Kommunikationsmöglichkeit?
  • Welche Schutzmaßnahmen zur Erkennung in- und externer Angreifer hat der Anbieter ergriffen? Kann der Anbieter auf Ihre gespeicherten Daten zugreifen, oder haben Sie die Verschlüsselung vollständig in eigenen Händen?

Nicht blenden lassen

Mein Rat: Große Namen und bekannte Marken schaffen scheinbar Vertrauen. Allerdings dürfen Sie sich als Datenschutzbeauftragter keinesfalls vom Marketing blenden lassen. Ein bekannter Name wie Microsoft, IBM oder Apple bedeutet keineswegs, dass Sie den Angeboten dieser Unternehmen blind vertrauen sollten. Die Entwicklungen in Sachen Cloud-Computing sind zu neu, um bereits an die vordringlichsten potenziellen Pannen oder Angriffsversuche gedacht zu haben.

Bei der Auswahl eines Cloud-Anbieters ziehen Sie diese Checkliste zurate. Idealerweise sollte Ihr Anbieter alle Kriterien erfüllen bzw. technologisch auf einem hohen Niveau sein.

Auch an den Umzug denken!

Bei der Buchung eines Dienstes in der Cloud ist es mehr als ratsam, bereits an das potenzielle Ende der Geschäftsbeziehung zu denken. Ob aus geschäftspolitischen Gründen oder aus Sicherheitsbedenken heraus: Früher oder später kann der Wechsel von einem Anbieter zu einem anderen anstehen. Insbesondere sollte bereits vor Abschluss eines Vertrags über dieses Thema gesprochen werden, um sogenannte Lock-in-Effekte zu minimieren.

Darunter werden allgemein der Aufwand und die Kosten verstanden, die im Zusammenhang mit einem Wechsel einer Technologie entstehen. Je höher diese sind, desto weniger bereit sind Anwender, die Technik zu wechseln. Es besteht also die Abhängigkeit zu einem Anbieter.

Bei der Migration der Daten von einem Cloud-Anbieter zu einem anderen können Unternehmen inzwischen auch auf das Angebot von Dienstleistern zurückgreifen. Oder der neue Anbieter ist dabei behilflich.

Bei der Migration von Cloud zu Cloud folgendes bedenken

Steht die Migration an, sollten Sie diesen Punkten Ihre Aufmerksamkeit schenken:

  • Ist eine Ende-zu-Ende-Verschlüsselung zwischen Start- und Ziel-Cloud vorhanden? Dies gilt nur dann, wenn die Daten direkt übertragen werden, also etwa nicht mittels eines Speichermediums.
  • Bei der Konvertierung in ein neues Format können die Daten meist temporär im Klartext vorliegen. Welche Maßnahmen sind ergriffen worden, um die Daten in diesem Zeitraum zu schützen?
  • Ist gewährleistet, dass keine dauerhafte Speicherung der Daten auf dem Server des Dienstleisters erfolgt?
  • Werden die vom Nutzer angegebenen Zugangsdaten für Start-Cloud und Ziel-Cloud durch den Dienstleister unmittelbar gelöscht?
  • Welche Maßnahmen zur Zugangskontrolle (z. B. starke Nutzerpasswörter, verschlüsselte Verbindung zu Nutzeroberfläche) sind beim Dienstleister ergriffen worden?
  • Wurden die Schnittstellen und Konverter in einem umfangreichen Testlauf kontrolliert, um die Datenintegrität sicherzustellen?

Wenn Sie mit den hier gegebenen Hinweisen einen Cloud-Anbieter gemeinsam mit der IT auswählen, haben Sie einen soliden Beitrag zur Datensicherheit und dem Datenschutz geleistet. Erfüllen Anbieter, deren Dienste in Ihrem Unternehmen bereits genutzt werden, die Kriterien nicht, sollten Sie mit den Kollegen aus den technischen Bereichen Nachbesserungen fordern oder sich nach einem neuen Service umsehen.

Denn bedenken Sie, dass Ihr Unternehmen nach § 11 Abs. 1 BDSG immer für den Datenschutz verantwortlich bleibt, auch wenn Ihr Dienstleister Fehler begeht.

Datenschutz-Ticker

Mit jeder Ausgabe neue Tipps, Anregungen, Hinweise auf aktuelle Urteile und Gesetzesänderungen, aber auch auf so manche vorteilhafte Gestaltungsmöglichkeit, die sich Ihnen als Datenschutzbeauftragten bietet.

Datenschutz

Anzeige

Produktempfehlungen

Ihr starker Berater für ein rechtssicheres Online-Marketing

Praxisnahes Wissen zur Verbesserung und Erleichterung Ihrer Arbeit als betrieblicher Datenschutzbeauftragter!

Einsatzfertige PowerPoint Präsentation zur Schulung Ihrer Mitarbeiter

Schnelle und einfache Mitarbeiterschulung

Umfassender Überblick für Datenschutzbeauftragte