Einleitung
In der heutigen Geschäftswelt erfreut sich die Nutzung von Public Clouds zunehmender Beliebtheit. Unternehmen unterschiedlichster Größenordnungen und Branchen sind vermehrt auf die Cloud angewiesen, um ihre Daten zu speichern und effizient zu verwalten. Besonders in Deutschland hat die Bedeutung der Cloud in Zeiten der Digitalisierung stark zugenommen, wie aus einer Statista-Umfrage hervorgeht.
Trotz dieser wachsenden Akzeptanz gibt es jedoch berechtigte Bedenken hinsichtlich des Datenschutzes und der Einhaltung der Datenschutz-Grundverordnung (DSGVO). Eine kürzlich durchgeführte Studie des Sicherheitsanbieters Gemalto (jetzt Thales Group) belegt, dass die gesetzlich vorgeschriebene DSGVO-Konformität in Bezug auf die Public Cloud nur selten gewährleistet ist. Lediglich 40 Prozent der Befragten gaben an, Verschlüsselungstools und ähnliche Maßnahmen in der Public Cloud zu nutzen. Daher besteht ein dringender Bedarf darin, Unternehmen zu unterstützen, die Cloud DSGVO-konform zu nutzen. In diesem Beitrag werden wir uns diesem Thema widmen und Ihnen aufzeigen, wie Sie DSGVO-konform in die Cloud migrieren können.
Grundlagen und Grundprinzipien der DSGVO
Die Datenschutz-Grundverordnung (DSGVO) ist eine EU-Verordnung, die den Schutz personenbezogener Daten von EU-Bürgern regelt. Sie legt strikte Regeln für Unternehmen fest, die personenbezogene Daten sammeln, verarbeiten und speichern. Bei Nichteinhaltung können erhebliche Geldstrafen verhängt werden. Die Grundprinzipien der DSGVO umfassen:
- Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz: Die Verarbeitung muss rechtmäßig, fair und transparent für die Betroffenen sein.
- Zweckbindung: Die personenbezogenen Daten dürfen nur für klar definierte und rechtmäßige Zwecke erhoben werden und dürfen nicht anderweitig verarbeitet werden.
- Datenminimierung: Die erhobenen personenbezogenen Daten müssen angemessen, relevant und auf das für die Verarbeitung erforderliche Maß beschränkt sein.
- Richtigkeit: Die personenbezogenen Daten müssen korrekt und aktuell sein. Unrichtige Daten müssen gelöscht oder berichtigt werden.
- Speicherbegrenzung: Die personenbezogenen Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke der Verarbeitung erforderlich ist.
- Integrität und Vertraulichkeit: Die personenbezogenen Daten müssen sicher verarbeitet werden, um eine angemessene Sicherheit zu gewährleisten.
- Rechenschaftspflicht: Der Verantwortliche ist verpflichtet, die Einhaltung der oben genannten Grundsätze nachzuweisen.
Die DSGVO hat auch spezifische Auswirkungen auf die Nutzung der Public Cloud. Unternehmen, die personenbezogene Daten in der Public Cloud speichern, müssen geeignete Maßnahmen ergreifen, um die Sicherheit dieser Daten zu gewährleisten. Dazu gehören die Verschlüsselung von Daten und die Nutzung privater Netzwerkverbindungen für den Cloud-Zugriff.
Die Verantwortung für die Cloud-Sicherheit wird geteilt. Studien zufolge teilen sich die Verantwortlichkeiten fast gleichmäßig zwischen der firmeneigenen IT, den Benutzern und den Cloud-Anbietern auf. Daher sollten alle Beteiligten ihre jeweiligen Verantwortlichkeiten kennen und geeignete Maßnahmen zur Einhaltung der DSGVO ergreifen.
Cloud-Dienstleister bieten häufig spezielle Tools zur DSGVO-Einhaltung an. Ein Beispiel hierfür ist der Compliance Manager von Microsoft Azure, ein Tool, das die dauerhafte Einhaltung der strengen Datenschutzrichtlinien überwacht. Unternehmen müssen jedoch aktiv von diesen Tools Gebrauch machen, um ihre Daten in der Public Cloud effektiv zu schützen.
Risiken ungeschützter Public-Cloud-Systeme
Daten werden oft als der „Goldstandard“ eines Unternehmens bezeichnet, und ihre Bedeutung kann nicht genug betont werden. Leider werden diese wertvollen und oft sensiblen Informationen ohne angemessene Sicherheitsvorkehrungen in die Public Cloud hochgeladen, wodurch sie potenziellen Risiken ausgesetzt sind.
Sicherheitslücken in Cloud-Systemen sind keine Seltenheit. Bekannte Fälle wie Tesla oder der Cryptomining-Angriff auf AWS zeigen, dass Angreifer kontinuierlich nach Schwachstellen suchen, um wertvolle Daten zu stehlen. Die Zahl dieser Angriffe auf Cloud-Systeme hat in den vergangenen Jahren dramatisch zugenommen. Microsoft, einer der wenigen Anbieter, die öffentlich zu diesem Thema sprechen, meldete beispielsweise einen Anstieg von 300 Prozent der Attacken gegen Azure.
Die Rolle der vorhandenen Unternehmensinfrastruktur in Bezug auf die Cloud-Sicherheit wird häufig unterschätzt. Wenn die Infrastruktur bereits unsicher ist, wird auch die Cloud-Umgebung gefährdet.
Unternehmen, die ihre Daten in der Public Cloud nicht ausreichend schützen, riskieren nicht nur den Verlust oder Diebstahl wertvoller Daten, sondern auch erhebliche Geldstrafen im Rahmen der DSGVO. Die Kosten für die Behebung eines Sicherheitsvorfalls oder eines Datenverlusts können erheblich sein und die Investitionen in wirksame Sicherheitsmaßnahmen bei weitem übertreffen.
Verantwortung für die Cloud-Sicherheit
In Fällen von Sicherheitsvorfällen wird die Verantwortung oft fast gleichmäßig zwischen der internen IT des Unternehmens, den Benutzern und den Cloud-Anbietern verteilt. Daher ist es wichtig, dass alle Beteiligten ihre Rolle in der Cloud-Sicherheit verstehen und aktiv daran arbeiten, die Daten sicher zu halten.
Cloud-Dienstleister verstärken ständig ihre Sicherheitsmaßnahmen und stellen diese Verbesserungen auch ihren Kunden zur Verfügung. Dies umfasst auch Tools zur Einhaltung der DSGVO. Es ist jedoch wichtig zu beachten, dass trotz der von den Dienstleistern bereitgestellten Tools die Unternehmen selbst letztlich die Verantwortung für die korrekte Nutzung dieser Tools tragen.
Unternehmen müssen sich selbst darum kümmern, die von den Cloud-Dienstleistern bereitgestellten Sicherheitstools effektiv zu nutzen. Dies kann eine Herausforderung darstellen, da viele Unternehmen nicht über das notwendige Wissen und die Ressourcen verfügen. In solchen Fällen kann es hilfreich sein, externe Unterstützung, etwa von IT-Experten, in Anspruch zu nehmen.
Unternehmen, die personenbezogene Daten in der Public Cloud nicht ordnungsgemäß und damit ausreichend schützen, spielen mit dem Feuer und riskieren hohe Bußgelder gemäß DSGVO. Die Kosten für die Beseitigung von Sicherheitsvorfällen und Datenverlusten, ganz zu schweigen von den möglichen Strafen, machen Investitionen in effektive Cloud-Sicherheitsmaßnahmen zu einer vernünftigen Entscheidung.
Vorbereitung auf die Migration
Um sich auf eine DSGVO-konforme Migration in die Cloud vorzubereiten, sollten Sie eine Reihe von Schritten durchführen:
- Entwicklung oder Überprüfung Ihrer Datenschutzrichtlinien gemäß der DSGVO: Überprüfen Sie Ihre aktuellen Datenschutzrichtlinien und passen Sie sie an die Anforderungen der DSGVO an. Dies könnte die Art und Weise umfassen, wie Daten gesammelt, verarbeitet und gespeichert werden, sowie Ihre Verfahren für Datensicherheit und Datenschutzverletzungen.
- Bewertung der Datensicherheit Ihrer Organisation: Beurteilen Sie Ihre aktuellen Sicherheitsmaßnahmen und prüfen Sie, ob sie den Anforderungen der DSGVO entsprechen. Dies könnte die Überprüfung von Verschlüsselung, Zugriffskontrolle und anderen Sicherheitsmaßnahmen umfassen.
- Bestimmung des Datenverantwortlichen: Identifizieren Sie, wer in Ihrer Organisation als Datenverantwortlicher fungiert. Dies ist die Person oder Einrichtung, die die Zwecke und Mittel der Datenverarbeitung bestimmt.
- Datenschutzprozesse: Überlegen Sie, welche Datenschutzprozesse Sie möglicherweise durchführen müssen. Dies könnte das Bearbeiten von Anfragen betroffener Personen, das Melden von Datenschutzverletzungen und die Durchführung von Datenschutz-Folgenabschätzungen umfassen.
- Einhaltung von Anfragen betroffener Personen: Die DSGVO verlangt, dass Sie in der Lage sein müssen, betroffenen Personen eine Kopie ihrer personenbezogenen Daten zur Verfügung zu stellen, ihnen zu helfen, ungenaue personenbezogene Daten zu korrigieren, Daten zu löschen oder deren Verarbeitung einzuschränken, ihre Daten in einem lesbaren Format zu erhalten und, wo zutreffend, eine Anfrage zur Übertragung ihrer Daten an einen anderen Datenverantwortlichen zu erfüllen.
- Durchführung von Datenschutz-Folgenabschätzungen (DPIA): Die DSGVO verlangt von Ihnen als Datenverantwortlichen, DPIAs durchzuführen, bevor Sie mit der Datenverarbeitung beginnen, die wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten von Einzelpersonen darstellt. Dies kann insbesondere bei der Verwendung neuer Technologien der Fall sein.
- Beratung mit Ihrer Datenschutzbehörde (DPA): Vor Beginn einer Verarbeitung, bei der Sie keine ausreichenden Prozesse zur Minimierung hoher Risiken für betroffene Personen identifizieren können, müssen Sie Ihre DPA konsultieren.
DSGVO-konforme Migrationsstrategien
In der heutigen digitalen Welt spielt die Datenspeicherung eine zentrale Rolle für jedes Unternehmen. Die Cloud bietet eine flexible und kostengünstige Lösung für dieses Problem, aber der Prozess der Datenmigration kann komplex sein. Hierbei sind nicht nur technische, sondern auch datenschutzrechtliche Aspekte zu berücksichtigen. Im Folgenden wird ein umfassender Leitfaden für eine sichere und DSGVO-konforme Migration von Unternehmensdaten in die Cloud vorgestellt.
Erkennen, Kategorisieren und Ordnen von Daten
Der erste Schritt in diesem Prozess ist die Entwicklung eines umfassenden Plans, der sich zunächst auf die Identifikation und Kategorisierung aller Geschäftsdaten konzentriert. Betriebsdaten sollten in verschiedene Klassen unterteilt werden, zum Beispiel:
- Daten sind (streng) vertraulich
- Daten sind extern zugänglich
- Daten sollen nur noch lesbar und ohne Schreibzugriff verfügbar sein
- Daten sind aktiv in Gebrauch
- Daten können in ein (Online-)Archiv ausgelagert werden
Mit entsprechend klassifizierten Daten lässt sich eine Struktur aus Ordnern und Ebenen entwickeln, die für die Speicherung in der Cloud entscheidend ist.
Auswahl der Daten für die Cloud-Speicherung
Im nächsten Schritt wird festgelegt, welche Daten in die Cloud migriert und welche auf den eigenen Servern behalten werden sollen. Daten, die nicht mehr benötigt werden, können in lokalen Verzeichnissen oder auf einem lokal erstellten Backup verbleiben, um die Speicherkosten für Daten in der Cloud zu minimieren. Nur die aktiv genutzten Daten werden in die Cloud migriert. Es ist jedoch wichtig zu prüfen, ob es rechtlich zulässig ist, alle Daten auszulagern.
Datenmigration und DSGVO: Wichtige Aspekte
Die Datenschutz-Grundverordnung (DSGVO) gilt für alle personenbezogenen Daten. Sie erlaubt die Speicherung personenbezogener Daten nur auf Servern innerhalb der Europäischen Union (EU). Daten können theoretisch auch außerhalb der EU gespeichert werden, sofern die Server gemäß EU-Datenschutzrecht betrieben werden. Es ist jedoch einfacher, wenn ein Anbieter gewählt wird, der eine Europa-Cloud oder eine Deutschland-Cloud anbietet, da dies rechtliche Sicherheit hinsichtlich der Speicherung personenbezogener Daten bietet.
Datenverschlüsselung beachten
Vertrauenswürdige Anbieter verschlüsseln die Daten während der Übertragung in die Cloud. Diese Ende-zu-Ende-Verschlüsselung gewährleistet, dass die Daten vor der Übertragung verschlüsselt werden und auch auf den Servern in verschlüsselter Form bleiben. Nur mit den Zugangsdaten des Unternehmens können sie wieder entschlüsselt und weiterverarbeitet werden. Aufgrund des Verschlüsselungsalgorithmus würde eine unbefugte Entschlüsselung viele Jahre dauern, sodass die Daten auch während der Übertragung sicher sind.
Verwenden Sie sichere Passwörter
Ein wesentlicher Aspekt des Datenschutzes und der Datensicherheit ist die Verwendung sicherer Passwörter. Stellen Sie sicher, dass alle Benutzer starke, einzigartige Passwörter verwenden, die nicht einfach zu erraten sind. Zwei-Faktor-Authentifizierung (2FA) kann ebenfalls verwendet werden, um die Sicherheit zu erhöhen. Die meisten Cloud-Dienste bieten diese Option an.
Planung der Datenmigration
Bevor die eigentliche Datenmigration beginnt, muss ein detaillierter Plan erstellt werden. Dieser Plan sollte Folgendes beinhalten:
- Zeitplan: Wann und wie werden die Daten migriert?
- Rollback-Strategie: Was passiert, wenn etwas schiefgeht? Es sollte einen Plan B geben.
- Überprüfung: Es muss ein Verfahren zur Überprüfung der korrekten Datenmigration eingerichtet werden.
Durchführung der Datenmigration
Nach sorgfältiger Vorbereitung und Planung kann die Datenmigration durchgeführt werden. Es ist wichtig, dass die Migration störungsfrei abläuft und die Datenintegrität während des gesamten Prozesses gewährleistet bleibt. Eventuell ist es sinnvoll, die Migration außerhalb der Geschäftszeiten oder am Wochenende durchzuführen, um die Auswirkungen auf die normalen Geschäftsvorgänge zu minimieren.
Nach der Datenmigration
Nach Abschluss der Datenmigration sollten Sie die Daten sorgfältig überprüfen, um sicherzustellen, dass alle Daten korrekt und vollständig migriert wurden. Weiterhin sollten Sie regelmäßige Sicherheitsüberprüfungen und -updates durchführen, um die Integrität und Sicherheit der Daten in der Cloud zu gewährleisten.
Eine gut durchdachte und sorgfältig geplante Datenmigration in die Cloud kann viele Vorteile für ein Unternehmen mit sich bringen. Es ist jedoch wichtig, dass dieses Projekt sorgfältig geplant und ausgeführt wird, um potenzielle Störungen zu minimieren und die Datensicherheit zu gewährleisten.
Nach der Migration: Aufrechterhaltung der DSGVO-Konformität
Um die Einhaltung der DSGVO nach der Migration zu gewährleisten, sind folgende Punkte zu beachten:
- Regelmäßige Bewertung der DSGVO-Konformität: Stellen Sie sicher, dass Sie regelmäßige Bewertungen und Audits Ihrer DSGVO-konformen Aktivitäten durchführen. Dies sollte auch eine Überprüfung Ihrer Datenschutzrichtlinien und -verfahren umfassen. Es ist wichtig, dass Sie alle Aktivitäten dokumentieren, die personenbezogene Daten betreffen, um die Einhaltung der DSGVO in Ihrem Unternehmen zu unterstützen.
- Betrachtung der DSGVO bei der Entwicklung neuer Systeme: Bei der Planung und Implementierung neuer Systeme oder Änderungen an bestehenden Systemen sollte der Datenschutz von Anfang an berücksichtigt werden („Privacy by Design“). Dies umfasst auch die Durchführung von Datenschutz-Folgenabschätzungen (DSFA) vor Beginn eines neuen Projekts oder Änderungen an bestehenden Systemen, die die Verarbeitung personenbezogener Daten beeinflussen könnten.
- Schulung und Sensibilisierung der Mitarbeiter: Um eine unternehmensweite Unterstützung für die DSGVO zu gewährleisten, sollten die Mitarbeiter über die Vorschriften informiert und geschult werden, damit sie ihre Verantwortlichkeiten kennen.
- Berücksichtigung der DSGVO bei der Auswahl von Cloud-Anbietern: Wenn Sie Daten in der Cloud speichern, sollten Sie sicherstellen, dass Ihr Cloud-Anbieter DSGVO-konform ist. Die meisten großen Cloud-Anbieter sind DSGVO-konform, da sie wahrscheinlich Kunden in EU-Mitgliedstaaten haben. Sie sollten den Anbieter jedoch nach Nachweisen für die DSGVO-Konformität fragen. Ferner sollte der Anbieter alle Daten verschlüsseln.