Was bringen Cloud-Zertifizierungen?
Nachweise sind nützlich, wenn sie der DSGVO entsprechen:
Die DSGVO stärkt die Bedeutung von Zertifizierungen, denn sie können als Nachweis für die notwendigen Garantien genutzt werden, die ein Cloud-Anbieter erbringen muss, um das erforderliche Datenschutzniveau zu bestätigen. Bekanntlich gibt es bereits eine ganze Reihe von Cloud-Zertifikaten, die zum Beispiel das BSI aufführt.
Wichtig ist jedoch, dass das Cloud-Zertifikat explizit den Datenschutz im Fokus haben muss. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) zum Beispiel hat folgende Erfahrung dazu berichtet: "Das BayLDA hat in seinen aufsichtlichen Kontrollen (…) zwar festgestellt, dass Unternehmen oft verschiedenste Zertifikate vorweisen konnten -jedoch genügten diese bislang in keinem einzigen Fall, um die Fragen aus dem Prüfumfang des BayLDA ausreichend zu beantworten." Bei bestehenden Zertifizierungsverfahren muss zwangsläufig eine Überarbeitung hinsichtlich der neuen Vorgaben der DSGVO stattfinden, so das BayLDA.
Einige weitere Einschränkungen gilt es zu bedenken, wenn es um Cloud-Zertifikate geht: Die Zertifizierungsstellen müssen entsprechend der DSGVO (Artikel 43) akkreditiert sein. Und: Eine Zertifizierung gemäß DSGVO mindert nicht die Verantwortung des Verantwortlichen oder des Auftragsverarbeiters für die Einhaltung der DSGVO und berührt nicht die Aufgaben und Befugnisse der Aufsichtsbehörden, sprich: Alleine eine Cloud-Zertifizierung sorgt nicht dafür, dass einfach von der Einhaltung der DSGVO in der Cloud ausgegangen werden kann. Dennoch werden geeignete Cloud-Zertifikate gute Werkzeuge im Cloud-Datenschutz sein.
Was fordert die DSGVO für die Cloud-Sicherheit?
Neue Forderungen, etwa bezüglich der Belastbarkeit:
Wie zuvor beschrieben, müssen Datenschutz und Datensicherheit in der Cloud durch den Cloud-Anbieter garantiert werden können, der Cloud-Nutzer muss dies überprüfen. Der Cloud-Vertrag muss die Maßnahmen der Datensicherheit aufführen. Zu den genannten Sicherheitsmaßnahmen nach DSGVO gehören insbesondere
die Pseudonymisierung und Verschlüsselung personenbezogener Daten,
die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen,
die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen,
ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Betrachtet man den Status der Cloud-Sicherheit in Unternehmen, besteht noch einiger Handlungsbedarf. So ergab der Cloud-Monitor 2017 von KPMG und Bitkom Research: Etwa zwei von drei Unternehmen haben Maßnahmen ergriffen, um die Datensicherheit in der Cloud zu erhöhen. 63 Prozent kontrollieren die unerlaubte Nutzung von Public-Cloud-Diensten im Unternehmen. Ein Drittel der Unternehmen (34 Prozent) kontrolliert die Cloud-Nutzung in der Organisation bislang nicht. Immerhin: Neun von zehn Cloud-Anwendern (91 Prozent) nutzen spezielle Security Services, um unerlaubte Zugriffe zu verhindern und die eigenen Daten zu schützen. Dazu zählt unter anderem eine Verschlüsselung von Daten in der Cloud oder ein Monitoring der verwendeten Geräte und Anwendungen, um ungewöhnliche Zugriffe oder Datenabflüsse schnell bemerken zu können.
Ein deutliches Beispiel für den Handlungsbedarf ist die Belastbarkeit der Systeme und Dienste, die nach DSGVO sichergestellt sein muss: 40 Prozent der deutschen Organisationen gaben an, dass ihre Widerstandskraft gegen Cyber-Angriffe in den vergangenen zwölf Monaten nicht gewachsen ist, so der zweite Ponemon Cyber Resilient Enterprise-Report. Die Belastbarkeit von Cloud-Services muss also dringend verbessert werden, wenn man an die steigende Zahl und Intensität der Cyber-Attacken denkt.
Was bedeutet das Recht auf Vergessenwerden für die Cloud?
Vor dem Löschen steht die Transparenz der Daten und Speicherorte:
Löschpflichten bestehen bereits heute, doch das Recht auf Vergessenwerden fordert zusätzlich, dass die Stellen, an die die zu löschenden Daten übertragen wurden, informiert werden, dass eine Löschverpflichtung besteht. Im Cloud Computing bedeutet dies, dass auch Links auf die zu löschenden Daten und Datenkopien in einer Cloud von der Löschpflicht erfasst werden.
Eine umfassende Löschung im Internet bereitet bekanntlich Probleme, diese beginnen bereits damit, dass viele Unternehmen gar nicht wissen, wohin überall sie die zu löschenden Daten übertragen haben. Hier muss in Zeiten der DSGVO Transparenz bestehen, um das Recht auf Vergessenwerden angehen zu können.
Doch nicht nur Cloud-Nutzer müssen handeln, auch die Cloud-Anbieter sind gefordert, für eine umfassende Datenlöschung zu sorgen. Eine Untersuchung von Skyhigh Networks ergab: 84 Prozent der Cloud-Services löschen Kundendaten nicht sofort, wenn der Vertrag oder das Abonnement endet. Ob eine sofortige Löschung denn erforderlich ist, gilt es zu prüfen. Cloud-Anbieter sollten in jedem Fall umgehend ihre Löschkonzepte dahingehend prüfen, ob sie die Löschpflichten richtig umsetzen.