Wie Unternehmen in der Cloud in Übereinstimmung mit der GDPR arbeiten

Der Datenschutz stellt Unternehmen vor viele Herausforderungen, aber die Cloud hilft bei der Einhaltung von Standarddiensten. Mit dem richtigen Sicherheitskonzept lassen sich heute auch sensible personenbezogene Daten oder geistiges Eigentum verschlüsselt in die Cloud übertragen und dort sicher speichern. Eine zentrale Datenspeicherung hilft auch beim Recht auf Vergessenwerden und beim Recht auf Information. Immer mehr Unternehmen nutzen die Cloud aus Gründen wie Effizienz, IT-Fachkräftemangel, Agilität und Innovation. Bei der Migration von Arbeitslasten stellt sich jedoch auch die Frage nach der Einhaltung des Datenschutzes. Viele Unternehmen sind besorgt, weil der Datenschutz in Deutschland nicht völlig transparent gehandhabt wird. Datenschutz ist hier Ländersache. Jedes Bundesland hat seine eigenen Datenschutzbeauftragten, die mit unterschiedlicher Intensität und "Aggressivität" agieren. Die Angst, bei Stichproben als Negativbeispiel ins Rampenlicht zu geraten, ist auch deshalb so groß, weil Datenschutz durchaus als Grauzone wahrgenommen wird. Oft ist nicht bis ins letzte Detail klar, was rechtlich erlaubt ist - und was nicht.  

Die gute Nachricht ist, dass mit einem durchdachten Sicherheitskonzept die Einhaltung der GDPR auch in komplexen Szenarien machbar ist. Eine breite Palette von AWS-Standardservices für Sicherheit, Datensicherheit, IAM (Identitäts- und Zugriffsmanagement) und Datenintegrität ist bereits verfügbar, um die Datenschutzanforderungen zu erfüllen. Die IDG-Studie "Cloud Security 2021" (Link: https://www.computerwoche.de/a/das-bild-von-cloud-sicherheit-stimmt-noch-nicht,3550978) zeigt, dass gut 60 Prozent der knapp 400 befragten Unternehmen die Cloud als Chance zur Verbesserung der Sicherheit sehen.  

Die Daten verlassen die EU nicht  

Bei der Entscheidung für eine Cloud-Migration stellt sich zuallererst die Frage, wo die Daten gespeichert werden sollen. In der Regel wird das größte AWS-Rechenzentrum in Frankfurt gewählt, aber auch andere Regionen wie Paris oder Stockholm sind geeignet: In der EU gilt die General Data Protection Regulation. Anbieter wie AWS verpflichten sich zu CISPE, dem Code of Conduct for Cloud Infrastructure Services (Link: https://cispe.cloud/code-of-conduct/). Eine techconsult-Ionos-Studie (Link: https://cloud.ionos.de/reports/techconsult-gaia-x-studie-2021) aus dem vergangenen Jahr zeigt: 56 Prozent der 207 befragten Unternehmen setzen auf deutsche Cloud-Rechenzentren, 31 Prozent auf Rechenzentren in der EU.

Alle Daten werden verschlüsselt gespeichert  

Der zweite wichtige Grundsatz für Daten in der Cloud lautet: Verschlüsselung. Diese Aufgabe wird durch den AWS KMS (Key Management Service) abgedeckt: Der KMS bietet verschiedene Ansätze: Beim Customer Managed Key behält der Kunde selbst den Zugriff auf die Schlüssel und verwaltet sie in seiner Infrastruktur. Ansonsten werden die Schlüssel sicher in der Cloud-Umgebung verwaltet. Natürlich sollten insbesondere personenbezogene Daten möglichst nicht öffentlich zugänglich sein, aber hier gibt es viele Grauzonen. Doch auch für komplexe Herausforderungen rund um personenbezogene Daten (Link: https://aliceandbob.company/work/case-study-socialmedia-s3-asset-playout-gdpr-comliant/) lassen sich Lösungen finden: Zum Beispiel, wenn es um Profilbilder geht, die ebenfalls als PII (personal identifiable information) gelten. So kann der Secure Asset Server von Alice&Bob dafür sorgen, dass in einem Content Delivery Network (einer Gruppe von geografisch verteilten Servern) die Daten immer verschlüsselt - und verschlüsselt - in der EU ausgeliefert werden. Die Lösung stellt sicher, dass es bei diesem Prozess keine nennenswerten Zeitverzögerungen gibt, auch nicht am australischen Standort.  

 ‍

Wachsam wie ein Falke: Guard Duty und Co.     

AWS ist bereits stark auf den Datenschutz fokussiert. (Link: https://aws.amazon.com/de/compliance/gdpr-center/). Als einer der wichtigsten Dienste ist hier Guard Duty zu nennen. Der Dienst ermöglicht ein Threat Detection Monitoring, das genau beobachtet, was in der Infrastruktur vor sich geht: Verhält sich ein Mitarbeiter anders als sonst oder werden zum Beispiel viele Anfragen zum Herunterladen von Profilbildern gestellt? Darüber hinaus ist der Überwachungsdienst von Macie sehr leistungsfähig. Macie kann automatisch erkennen, ob persönliche Daten wie Kreditkartennummern involviert sind, und eine Vielzahl von Protokolldateien analysieren. Sobald ein "Klarname" oder eine Kartennummer in einer Protokolldatei entdeckt wird, wird eine Meldung gesendet, dass die betreffende App falsch konfiguriert wurde. AWS Inspector hingegen überwacht, ob die Konfiguration der verwendeten Dienste ordnungsgemäß durchgeführt wurde. Hier können Sie auswählen, welche Regeln geprüft werden sollen, wie z.B. PCI DSS für Zahlungsdienstleister oder GDPR. Inspector weist auf alles hin, was den Best Practices des Datenschutzes widerspricht. Mit AWS Configuration Rules können auch vordefinierte Regeln kontinuierlich überprüft werden, und bei Problemen wird eine Benachrichtigung über Slack oder E-Mail versendet.  

Zusatzvereinbarungen wie SCC nutzen  

Im Zusammenspiel mit Cloud-Anbietern und Dienstleistern ist auch die Vereinbarung zur Auftragsdatenverarbeitung wichtig, in der der Dienstleister die Nutzung der Daten selbst ausschließt. Zusätzliche vertragliche Vereinbarungen sind im Datenverarbeitungszusatz oder in den SCC (Standardvertragsklauseln) festgehalten. Dies ist vor allem dann wichtig, wenn ein Unternehmen mit einer Vielzahl von Dienstleistern im Internet zusammenarbeitet, wie zum Beispiel bei einem Vergleichsportal. Dann müssen Tabellen über den Kontext geführt werden, in dem personenbezogene Daten vorkommen. Darüber hinaus muss die GDPR-Compliance der einzelnen Partner vertraglich sichergestellt werden.  

Datenschutz ist in der Cloud einfacher     

Die Cloud bietet wichtige Vorteile: Tools, die vor Ort separat gekauft und verwaltet werden müssen, sind oft kostenlos verfügbar. Alle Dienste sind von vornherein miteinander, mit dem Cloud-Speicher und den Datenbanken integriert. Erforderliche Audits und Zertifizierungen sind einfach zu implementieren, insbesondere bei bekannten Anbietern wie AWS. Viele Aufgaben lassen sich bei Bedarf und IT-Personalmangel problemlos in Form von Managed Security Services auslagern.  

Das Recht auf Vergessenwerden: Pflichten zur Löschung    

Das Recht auf Vergessenwerden und das Recht zu erfahren, welche Daten über eine Person gespeichert sind, sind in der Praxis sehr ähnlich. Beide stellen die Unternehmen vor echte Herausforderungen. Für die Umsetzung, insbesondere in komplexen Zusammenhängen wie dem Online-Handel, sind oft noch eigene Teams nötig, die manuell - und entsprechend fehleranfällig - prüfen, welche personenbezogenen Daten in welchen Prozessen gespeichert sind. Stattdessen sollten die Daten so zentral wie möglich gespeichert werden. Tools wie Octa helfen dabei, die Konten der Endkunden zu verwalten. Hier greifen dann alle genutzten Dienste zentral auf die Kundendaten zu. Indem die Historie der gespeicherten Daten auf Knopfdruck einsehbar ist, lassen sich Verbraucherrechte und Löschpflichten viel leichter gewährleisten.  

Datensparsamkeit und Privacy by Design     

Grundsätzlich ist es aber wichtig, die Datenflut im Unternehmen kritisch zu betrachten. Um gesetzliche Vorgaben wie Privacy by Design und Privacy by Default umzusetzen, ist es grundsätzlich notwendig, Marketing und Vertrieb neu zu denken. Denn das mit den gesetzlichen Vorgaben verbundene Prinzip der Datensparsamkeit widerspricht dem Wunsch, immer mehr kundenbezogene Daten zu sammeln, um sie später auszuwerten. Bei der Auswahl von neuen SaaS-Lösungen und Drittanbietern in der Cloud sollte daher bereits im Auswahlprozess geprüft werden, wie die potenziellen Partner in Bezug auf die GDPR aufgestellt sind.  

Anfängerfehler vermeiden: Bewertung der Sicherheit     

Beim Umgang mit Cloud-Daten ist immer Vorsicht geboten, damit zum Beispiel Kundendaten in einem S3-Bucket nicht versehentlich öffentlich werden oder bei Diensten wie Elastic Search die DSGVO nicht verletzt wird. Um klassische Datenschutzfehler zu vermeiden, bieten Dienstleister wie Alice&Bob ein Security Assessment an. Dazu gehört auch, automatisierte Prüfungen in die CI/CD-Entwicklungsumgebungen der Kunden einzubauen, um Fehler zu vermeiden. Trotz der Hürden zeigen die Erfahrungen aus vielen Projekten: Ein konsequenter Datenschutz in der Cloud lässt sich durchaus mit einem ganzheitlichen Konzept umsetzen (Link: https://aliceandbob.company/whitepaper-migration-2021-10/).

‍