Die Cloud vs. DSGVO: ein Compliance-Alptraum?

18. Januar 2018 | Drooms Germany

Der Grundgedanke hinter der Verordnung Die Datenschutz-Grundverordnung (DSGVO), die von manchen als „die“ größte Veränderung der europäischen Datenschutzgesetze der letzten beiden Jahrzehnte betrachtet wird, sorgt weltweit für Aufregung: Unternehmen müssen bis Mai 2018 den Anforderungen entsprechen, sonst drohen schwere Sanktionen.


Die neue Verordnung, die im April 2016 abgeschlossen wurde und die Datenschutzrichtlinie 95/46/EG ersetzt, hat das Ziel, die personenbezogenen Daten von Privatpersonen besser zu schützen. Der Klarheit halber wird darauf hingewiesen, dass es sich hierbei um Informationen aller Art handeln kann, die die Identität einer Person bestätigen - unter anderem Name, E-Mail-Adresse, Kennnummer, Standortdaten, Einkommen, Bankverbindung, Angaben über die Gesundheit und IP-Adresse.

Warum gibt es einen verstärkten Fokus auf dieses Thema?

Ähnlich wie im Straßenverkehr durch die Straßenverkehrsordnung – ein treffender Vergleich von David Lewis, GRC-Manager beim Cybersicherheitsspezialisten Imperva – sollte der Besucher einer Website geschützt sein. Beim online Surfen erwarten wir, dass unsere persönlichen Informationen sicher sind und auch sicher an ihrem Endziel ankommen.

Leider jedoch hat das Risiko einer Verletzung der Sicherheit von Besucherdaten exponentiell zugenommen, wie in letzter Zeit immer wieder in der Presse berichtigt wurde.

So sind im November letzten Jahres Einzelheiten über eine Datenschutzverletzung bei Uber aus 2016 aufgetaucht. Dem Unternehmen zufolge waren 57 Millionen Menschen von diesem Cyberangriff betroffen. Ein Monat zuvor bestand der Verdacht, dass detaillierte Kartenzahlungsinformationen von rund 60.000 Pizza-Hut-Kunden Angriffen durch Hacker ausgesetzt waren. Wiederum ein Monat davor war Deloitte einem Cyberangriff zum Opfer gefallen, dessen wahre Auswirkungen sich noch zeigen werden, der angeblich jedoch Deloittes globalen E-Mail-Server gefährdet haben soll. Im Juli 2017 wurde gemeldet, eine Datenschutzverletzung bei Bupa habe eine halbe Million Kunden betroffen. 2016 gefährdete Android Malware mehr als eine Million Google-Konten. 2013 gab Yahoo eine Datenschutzverletzung bekannt, von der bis zu 3 Milliarden E-Mail-Benutzer des Unternehmens betroffen waren.

In Reaktion auf den Rückgang des Vertrauens der Anwender und die damit verbundenen, zwangsläufig negativen Auswirkungen auf Unternehmen und auf die Wirtschaft, steigern Regierungen jetzt die gesetzlichen Schutzvorrichtungen. Im Gegensatz zur Richtlinie liefert die DSGVO ein einheitliches Regelwerk für alle Unternehmen, die personenbezogene Daten aus der EU erfassen, verarbeiten, speichern und weiterleiten. Organisationen müssen neue Maßnahmen umsetzen, um die Anforderungen der Verordnung zu erfüllen, und beim Erfassen, Sammeln, Nutzen und Speichern der Daten ihrer Kunden, Klienten und Mitarbeiter extrem vorsichtig sein.

Die Implementierung einer einzigen, einheitlichen Verordnung soll auf lange Sicht Geschäftsprozesse fördern und Organisationen dazu anhalten, Daten gleich von Beginn an an einem einzigen Ort zu konsolidieren und zu rationalisieren, an dem sie schnell anonymisiert werden können. Die erhebliche Senkung der Organisationskosten, das Potenzial für Innovation und der Aufbau besserer Kundenbeziehungen sowie der Rückgang der mit vermeidbaren Datenschutzverletzungen verbundenen Marken- und Rufschädigung werden ebenfalls als Vorteile der neuen Verordnung angeführt.

Cloud-Dienste und die DSGVO

Die Regeln der DSGVO gelten unabhängig davon, ob Daten in der Cloud oder auf Papier gespeichert werden. Insbesondere die Cloud jedoch ist im Hinblick auf Compliance problematisch.

Einerseits entsprechen laut dem Shadow Data Threat Report von Elastica nur 1 % aller internen Prozesse der Cloud-Provider der neuen Gesetzgebung. Bei weniger als 3 % der Provider werden Richtlinien für sichere Passwörter zur Erfüllung der Anforderungen der DSGVO durchgesetzt. Dies ist zum Teil darauf zurückzuführen, dass die Richtlinie den Schwerpunkt auf den Verantwortlichen und nicht auf dem Auftragsverarbeiter legt, so dass viele Provider für die Rolle, die sie bei Datenschutz und Datensicherheit spielen, nicht zur Rechenschaft gezogen werden können. Außer einem Szenario, in dem direkte vertragliche Verpflichtungen im Namen des Verantwortlichen durchgesetzt werden, haften Auftragsverarbeiter nicht für Verlust oder Gefährdung von Informationen. Wo Verordnungen kein Problem darstellen, können Provider von Cloud-Diensten ihren Fokus somit auf Anwenderfreundlichkeit und leichtes Navigieren ihrer Plattformen und Services beschränken.

Andererseits, wie auch laut dem jüngsten Netskope Cloud Report verlautbar wurde, haben EU-Firmen keine Ahnung, wie viele Cloud-Anwendungen ihre Organisationen tatsächlich benutzen – eine Zahl, die sich im Durchschnitt auf über 600 Softwareprogramme belaufen soll.

Im Rahmen der neuen Verordnung werden erheblich strengere Vorschriften gelten, mit angedrohten Geldstrafen von bis zu 20 Millionen EUR bzw. 4 % des Jahresumsatzes eines Unternehmens (wobei der jeweils höhere Wert gilt) und mit geteilter Haftung zwischen Auftragsverarbeiter und Verantwortlichem. Cloud-Provider ebenso wie Anwender müssen eine Reihe technischer und organisatorischer Verfahren umsetzen, um das vorgeschriebene Sicherheitsniveau zu gewährleisten. Laut Dr. Rois Ni Thuama, Head of Cyber Governance bei OnDMARC, sind die Geldstrafen jedoch nicht unbedingt die größte Gefahr für das Bankkonto eines Unternehmens. Das Recht der betroffenen Person, infolge einer Datenschutzverletzung zu klagen, unabhängig von deren Auswirkungen, ist erheblich besorgniserregender.

„Derzeit sehen wir eine klare Spaltung zwischen einer zunehmenden Zahl von Unternehmen, die sagen: „Warte, dieses DSGVO-Ding kommt wirklich“, und Unternehmen, die immer noch nicht begriffen haben, dass man Daten nicht einfach in der Cloud hin- und herbewegen kann, ohne sich um Datenschutz zu kümmern. Datenschutzverordnungen werden heute im IT-Bereich immer geläufiger, ähnlich wie einst Arzneimittellizenzen für die Pharmaindustrie. Entweder du stellst klar, dass du dich an die Verordnungen hältst, oder du kannst den Verkauf an seriöse Kunden vergessen,” sagt Bostjan Makarovic, Gründer von Aphaia, einer auf die DSGVO ausgerichteten Beratungsfirma.

Die Einstellungen von Verantwortlichen und Auftragsverarbeitern werden sich drastisch verändern müssen, vor allem was das Aushandeln von Verträgen betrifft. Strenge Bestimmungen über den Aufgabenbereich des Verantwortlichen und Auftragsverarbeiters müssen definiert und implementiert werden. Annabel Jones, UK Director bei ADP, meinte dazu: „Vertragliche Due Diligence wird sich als noch wichtiger erweisen, da Geschäfte sich verstärkt um eine Zusammenarbeit mit Unternehmen bemühen werden, die eine rechtmäßige Verarbeitung von Daten nachweisen können.“ Mehr Due Diligence für Dritte und ein verschärfter Fokus auf Versicherungspolicen werden sich vermutlich ebenfalls abzeichnen.

Schritte zur Compliance

Bei der Auswahl eines Providers müssen Organisationen, die Cloud-Dienste in Anspruch nehmen, sicherstellen, dass der Anbieter zunächst einmal in der Lage ist, seinen Kunden zu sagen, wo die von ihnen verarbeiteten und gespeicherten Daten lokalisiert sind. Laut der DSGVO sind Datenübertragungen an Dritte außerhalb der EU, die keine angemessenen Datenschutzstandards haben, nur unter bestimmten Umständen gestattet. Derzeit erfüllen nur 11 Länder diese Standards.

Genauso wichtig ist es, dass Unternehmen auf alle Drittparteien aufmerksam gemacht werden, die an der Verarbeitung der Daten mitwirken. Laut dem Global Security Report von Trustwave sind an rund 63 % aller Datenschutzverletzungen Dritte beteiligt – sie werden häufig als größtes Gefährdungsrisiko eines Unternehmens angesehen. Demzufolge werden sie auch die Ersten sein, die von den Aufsichtsbehörden geprüft werden. Sobald sie an irgendeiner Prozessphase mitwirken, müssen Maßnahmen ergriffen werden, um sicherzustellen, dass auch sie die Anforderungen erfüllen.

Sicherheit muss für Provider ganz oben auf ihrer Prioritätenliste stehen, und sie sollten in der Lage sein, die diversen Maßnahmen zu erklären, die ergriffen wurden, um Daten vor Änderung, unbefugter Verarbeitung oder Verlust zu schützen. Alle Datenzentren müssen den neuesten ISO-Zertifizierungen entsprechen, und die Speicherung und Übertragung von Dokumenten sollten ausschließlich über SSL-Verbindungen mit 256-Bit-AES-Verschlüsselung erfolgen. Regelmäßige Penetrationstest zur Bewertung der Datensicherheit sollen ausgeführt werden. Dateneigentümer können autonom entscheiden, wie und ob ihre Daten gespeichert werden, unter anderem durch Zwei-Faktor-Authentifizierung, Datenlöschung, Trash Retrieval und Zugangsrechtkontrollen.