Cloud-Lösungen: Wie Unternehmen diese datenschutzkonform nutzen

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print

Cloud-Lösungen: Wie Unternehmen diese datenschutzkonform nutzen

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print
Deutsche Unternehmen setzen bei Cloud-Lösungen überwiegend auf US-amerikanische Hyperscaler. Doch Vorsicht: Nachdem das Privacy Shield im Juli 2020 gekippt wurde, gibt es aktuell keine eindeutige Rechtsgrundlage zur Datenübermittlung in die USA. Europäische Provider stellen hier eine rechtssichere und datenschutzkonforme Alternative dar.
Cloud_Lösungen

Quelle: iStock

Der Schutz personenbezogener Informationen und Respekt vor der Privatsphäre gehören zu unseren europäischen Grundrechten. Diese Rechte müssen auch dann gelten, wenn schützenswerte Daten mittels Cloud-Lösungen in die USA und andere Drittstaaten übermittelt werden. Der österreichische Jurist Max Schrems hat vor diesem Hintergrund bereits mehrmals gegen Facebook geklagt. Er kritisiert, dass Behörden wie die NSA oder das FBI in unverhältnismäßigem Umfang auf Daten europäischer Nutzer zugreifen können, die Facebook auf Servern in den USA verarbeitet. Am 16. Juli 2020 gab der Europäische Gerichtshof (EuGH) Schrems recht. Gleichzeitig mit diesem Urteil erklärte der EuGH auch das sogenannte Privacy Shield für ungültig. Dieser Schutzschild regelte zwischen 2016 und 2020 die Übermittlung von personenbezogenen Daten von der EU in die USA.

Cloud-Lösungen: Datentransfer jetzt gründlich prüfen

Das Urteil zu Schrems hat weitreichende Folgen. Denn es betrifft Organisationen vom Mittelständler über Schulen bis hin zu Behörden. Sie alle verarbeiten und übermitteln – oft auch unbewusst – automatisiert personenbezogene Daten in Länder außerhalb der EU. Beispielsweise weil sie Cloud-Dienste von US-amerikanischen Hyperscalern nutzen. Denn rund 65 Prozent der weltweiten Marktanteile für Cloud-Services liegen bei Amazon, Microsoft und Google.

Ohne das Privacy Shield können wir in Europa nun aber nicht mehr davon ausgehen, dass unsere Daten nach europäischem Recht verarbeitet werden. Jede Organisation muss jetzt individuell prüfen, welche Informationen in die USA oder andere Drittstaaten gelangen und welche individuellen Schutzmaßnahmen zusätzlich getroffen werden müssen. Wer immer noch personenbezogene Daten nach den Vorgaben des Privacy Shields in den USA verarbeitet, sollte mit seinem Provider aus den Vereinigten Staaten zügig Standarddatenschutzklauseln der Europäischen Kommission vereinbaren. Die Unternehmen sollten dabei keine Zeit verlieren, weil im Urteil des EuGHs keine Rede von einer Übergangsfrist ist.

In größeren Firmen übernehmen solche Prüfungen Datenschutzbeauftragte und Rechtsabteilungen. Aber gerade mittelständische Entscheider tun sich oft schwer dabei, nachzuvollziehen, ob sie ihre aktuelle Public-Cloud-Lösung weiterhin datenschutzkonform nutzen können. Zwar sollte auch jeder Mittelständler laut DSGVO einen Datenschutzbeauftragten haben, doch verfügen diese oft nicht über das Know-how der Volljuristen oder gar ganzer Rechtsabteilungen in großen Konzernen.

Cloud-Lösungen europäischer Anbieter als Alternative

Die Empfehlung lautet: Nutzen Sie europäische Public-Cloud-Lösungen. Denn sie verarbeiten Daten ausschließlich innerhalb der europäischen Grenzen – und ersparen den Nutzer*innen so die rechtlichen Prüfungen. Trotzdem rate ich Unternehmen auch bei der Wahl europäischer Cloud-Anbieter dazu, auf einige Punkte besonders zu achten: Die Mitgliedschaft eines Providers bei GAIA-X garantiert beispielsweise Datensouveränität. GAIA-X ist eine europäische Initiative mit aktuell 212 teilnehmenden IT-Firmen und Forschungseinrichtungen. Deren Ziel ist es, dass Unternehmen jeder Größe europäische Cloud-Lösungen datenschutzkonform nutzen können.

Die Deutsche Telekom ist Gründungsmitglied der Initiative und unterstützt diese unter anderem mit ihrer Public-Cloud-Lösung, der Open Telekom Cloud. Ein großer Vorteil von GAIA-X ist die Open-Source-Architektur. Quelloffene statt proprietärer Cloud-Technologien schaffen Freiheiten für Kunden, denn sie müssen bei einem Wechsel zu einem anderen Anbieter keine langen Zeiten oder einen großen Programmieraufwand für die Migration ihrer Cloud-Landschaft einplanen. Ganz entscheidend außerdem: Die offenen Quellcodes sorgen für mehr Sicherheit. Denn dadurch können alle Verantwortlichen nachvollziehen, wenn jemand den Code verändert oder sich unbefugt Zugriff auf die Infrastruktur verschafft.

Ausfallsichere Rechenzentren und die passenden Zertifizierungen

Neben dem Hosting in der EU sollten Unternehmen zudem auf äußerste Sicherheit in den Rechenzentren des jeweiligen Anbieters achten. Die Daten in der Open Telekom Cloud werden beispielsweise in hochsicheren Twin-Core-Rechenzentren in Deutschland und den Niederlanden verarbeitet. Der Vorteil von Twin-Core ist, dass die Rechenzentren exakt gleich aufgebaut sind. Fällt ein Standort aus, sichert der andere den reibungslos fortlaufenden Betrieb und die Daten. Außerdem sollte klar sein, wie die Rechenzentren vor Naturgewalten wie Sturm oder Hochwasser geschützt sind. Eine kontinuierliche Stromversorgung sowie professioneller Brandschutz sollten ebenfalls garantiert sein. Wenn für den Betrieb der Rechenzentren erneuerbare Energien genutzt werden, ist die Cloud-Lösung zudem noch nachhaltig.

Bei Cloud-Lösungen auf Zertifizierungen achten

Nicht zuletzt sollten Unternehmen bei der Wahl eines passenden Cloud-Anbieters auf Zertifizierungen achten. Das Siegel „Trusted Cloud“ zeigt vertrauenswürdige Cloud-Lösungen und -Services an und wird vom Bundesministerium für Wirtschaft und Energie vergeben. Der C5-Kriterienkatalog des Bundesamtes für Sicherheit in der Informationstechnik (BSI) listet Kriterien, die Cloud-Anbieter erfüllen sollten, um sichere Datenverarbeitung gemäß DSGVO zu ermöglichen. Diese Zertifizierung ist Standard bei großen Cloud-Providern. Tisax ist die Sicherheitszertifizierung der Automobilindustrie und diverse ISO-Zertifizierungen wie ISO 27001 kennzeichnen datenschutzkonforme und vertrauenswürdige Rechenzentren. Ob und welche der Kriterien erfüllt sind, erfahren Entscheider in einer kompetenten Beratung des jeweiligen Cloud-Anbieters. (sg)

Cloud-Lösungen T-Systems
Andreas Falkner verantwortet die Open Telekom Cloud bei der T-Systems International GmbH. (Bild: T-Systems)

Über den Autor: Andreas Falkner besitzt langjährige Erfahrung in der Leitung großer internationaler Telco- und IT-Projekte. Seit 2016 verantwortet er den Bereich Open Telekom Cloud in der T-Systems International GmbH. In der Zeit davor war er bei der TSI unter anderem als Vice President im Konzerngeschäftsfeld Energie tätig.

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on xing
XING
Share on whatsapp
WhatsApp
Share on email
E-Mail
Share on print
Drucken

Andere Leser haben sich auch für die folgenden Artikel interessiert

Gerade für die Personalverwaltung bietet die digitale Zusammenarbeit ein großes Potenzial, Informationen schnell bereitzustellen. Denn automatisierte Tools für die digitale Kommunikation, wie Chatbots oder Self-Service-Portale, sind immer erreichbar und geben schnell die richtigen Antworten. Auch Bereiche wie Recruiting sowie On- und Offboarding profitieren davon.

Redaktionsbrief

Tragen Sie sich zu unserem Redaktionsbrief ein, um auf dem Laufenden zu bleiben.

Aktuelle Ausgabe

Topthema: Communication & Collaboration

Wie der produktive Sprung in die neue Arbeitswelt gelingt

Mehr erfahren

Wir wollen immer besser werden!

Deshalb fragen wir SIE, was Sie wollen!

Nehmen Sie an unserer Umfrage teil, und helfen Sie uns noch besser zu werden!

zur Umfrage

Entdecken Sie weitere Magazine

Schön, dass Sie sich auch für weitere Fachmagazine unseres Verlages interessieren.

Unsere Fachtitel beleuchten viele Aspekte der Digitalen Transformation entlang der Wertschöpfungskette und sprechen damit unterschiedliche Leserzielgruppen an.