Wird die DSGVO zum Sprungbrett in die Cloud?
Cloud Computing boomt. Nicht zuletzt, weil die wirtschaftlichen Vorteile, IT-Aufgaben und -Strukturen auszulagern, immer deutlicher werden. Die EU rückt mit der ab 25. Mai 2018 europaweit geltenden Datenschutzgrundverordnung (DSGVO) Cloud Computing noch stärker in den Fokus. Denn sie stellt alle Unternehmen vor die Aufgabe, grundlegend zu klären, wie man die eigenen Datenströme sichert.
Eric Schmidt, US-amerikanischer Informatiker, der unter anderem CEO-Positionen bei Novell und Google besetzte, hat es schon 1993 vorausgesagt: Sobald die Technik reif sei für große Bandbreiten, werde das Netz die Aufgaben des Computers übernehmen. Seit ein paar Jahren ist dies der Fall. Ob Speicherplatz, Rechenleistung oder Software – Angebote aus der Cloud lösen mehr und mehr die Inhouse-Betriebsform ab.
Erfolgsfaktor in Sachen Wirtschaftlichkeit
Der größte Vorteil der Cloud ist ihre Ressourcenökonomie. Angebote aus der Cloud sind passgenau skalierbar. Unternehmen brauchen keine überdimensionierten Datenzentren vorzuhalten, nur um sporadische Spitzenlasten abzufedern. Das bedeutet, Fehlinvestitionen in Hardware, die am Ende doch nicht oder nur marginal genutzt wird, haben ein Ende. Außerdem können die Ressourcen hoch qualifizierter IT-Mitarbeiter wertvoller eingesetzt werden, wenn Updates und Systempflege entfallen.
Auch mit Blick auf die Herausforderung DSGVO greifen die Vorzüge des Cloud Computing: Hat ein Unternehmen seine IT ausgelagert, kann es sich in erster Linie um sichere und gut dokumentierte Prozesse kümmern und die eigenen Mitarbeiter in puncto Sicherheit sensibilisieren.
65 % der Unternehmen in Deutschland nutzen bereits Cloud Computing, sagt eine Studie von Bitkom für die KPMG aus dem Jahr 2017. In anderen Industrieländern ist der Run auf die Cloud noch ungebremster. Hin- und hergerissen zwischen Chance und Risiko scheinen die Entscheider hierzulande aber zwischen zwei Haltungen zu schwanken: Optimismus und Unsicherheit.
In der KPMG-Studie, dem „Cloud-Monitor 2017“, gestand jedenfalls ein gutes Drittel der befragten Geschäftsführer und IT-Verantwortlichen, keine klare Aussage treffen zu können, ob ihre Daten in der Public Cloud sicher sind. Nur ein Bruchteil hegte Zweifel, fast zwei Drittel bejahte dagegen die Frage voll Optimismus.
Cloud ist jedoch nicht gleich Cloud. Public Clouds, also öffentliche Angebote, die jedermann zugänglich sind, sind naturgemäß anfälliger als exklusive, zugangsbeschränkte Private Clouds, die sich auf einen klar umgrenzten Nutzerkreis konzentrieren. Es ist auch nicht davon auszugehen, dass jeder Anbieter automatisch einen ausreichenden Schutz der ihm anvertrauten Daten sicherstellt.
Andererseits zeigt die Praxis, dass Cloud Computing bislang weniger Probleme verursacht als die vermeintlich sicheren Inhouse-Lösungen. Der Cloud-Monitor 2017 brachte an den Tag, dass im letzten Jahr 19 % der Unternehmen Sicherheitsvorfälle in einer Public Cloud zu verzeichnen hatten. 22 % dagegen berichteten von Sicherheitsvorfällen in der hauseigenen IT.
Warum also noch warten?
Dass viele Entscheider trotz vieler Vorteile noch zögern, ihre IT an einen externen Dienstleister zu vergeben, liegt nicht zuletzt an dem bisherigen Glauben, dass die Daten im eigenen Haus am sichersten aufgehoben und kontrollierbar sind. Einem Cloud-Anbieter zu vertrauen, erscheint zunächst schwerer.
Dabei verlangt das deutsche Datenschutzgesetz seit Langem: Wer sensible Daten von Kunden und Geschäftspartnern Dritten anvertraut, muss die Auftragsverarbeitung und -speicherung durch belastbare Verträge absichern. Hier bleibt der Auftraggeber immer uneingeschränkt in der Verantwortung für Schutz und Sicherheit der Daten.
Daher hat gerade in der Immobilienwirtschaft das Thema Datensicherheit eine hohe Bedeutung. Schließlich werden vertrauliche und persönliche Informationen der Kunden gespeichert und verarbeitet. Mieter erwarten deshalb von ihrem Vermieter einen ebenso hohen Schutz ihrer Daten wie von ihrer Bank. Er soll uneingeschränkte Vertraulichkeit und Integrität gewährleisten. Gelingt das nicht, ist der Schaden hoch.
Impulse durch die DSGVO
Die Verschärfung der Standards für Datenschutz und -sicherheit bringt nun Bewegung in das Thema Cloud Computing. Dass im Mai die DSGVO in Kraft tritt, hat viele Verantwortliche wach gerüttelt. Nicht mehr der Betroffene muss künftig ein ordnungsgemäßes Datenhandling nachweisen: Die Beweislast, dass mit Daten gesetzeskonform umgegangen wird, liegt nun umgekehrt bei dem, der Daten nutzt.
Verstöße werden streng geahndet. Dabei geht es nicht nur um Kriminalität. Auch Fehler und Irrtümer werden bestraft. Wer als Entscheider nicht handelt, läuft deshalb Gefahr, sein Unternehmen dauerhaft zu schädigen. Mehr noch: Er kann selbst belangt werden, denn Datenverantwortliche und Geschäftsführer haften persönlich.
Auf der anderen Seite macht die DSGVO den Unternehmen ihre Aufgabe auch leichter: Wer Cloud-Dienste anbietet, muss die Verfahrensschritte bei der Verarbeitung fremder Daten nun genau dokumentieren (§ 30 DSGVO). Außerdem muss er seinen Auftraggeber sofort und rückhaltlos informieren, wenn es zu einer Datenschutzpanne kommt. Und § 28 DSGVO besagt, dass auch der Dienstleister in Verantwortung genommen wird, wenn er Daten seines Kunden nicht DSGVO-konform und anders als vereinbart verarbeitet.
„Anders als vereinbart“ heißt: Auch nach DSGVO müssen Unternehmen mit ihrem Cloud-Dienstleister vertraglich sicherstellen, dass und wie dieser ihre Daten gesetzeskonform verarbeitet. Mehr noch: Sie dürfen künftig nur noch solche Anbieter beauftragen, die dafür „hinreichende Garantien“ (§ 28 DSGVO) bieten.
Ein zertifizierter Cloud-Anbieter ist entscheidend
An diesem Punkt trifft sich die DSGVO mit der Einschätzung vieler Experten, die gerade aus Sicherheitsgründen zur Cloud und zum Outsourcen der IT raten – solange der Dienstleister zuverlässig ist. Der Grund ist einfach: Professionelle Clouds werden von Fachleuten betrieben, die seit Jahren auch in Sachen Sicherheit Vollprofis sind.
„Als marktführendes Beratungs- und IT-Systemhaus für die Immobilienwirtschaft mit exklusiver Cloud im zertifiziertem Rechenzentrum in Deutschland können wir ganz anders agieren als manches Wohnungsunternehmen, das eine so komplexe Materie außerhalb des eigenen Kerngeschäfts stemmen muss“, sagt Mario Werner, Direktor Group IT Services bei Aareon.
Cloud-Nutzer tun also gut daran, ihren Anbieter mit Bedacht auszuwählen und dabei Datenschutzkonformität zu einem Kernkriterium zu machen. Doch wie müssen die Qualitätsgarantien aussehen, die die DSGVO einfordert? Genehmigte Verfahrensregeln und Zertifizierungen können dazu herangezogen werden, die geforderte Eignung nachzuweisen. Dazu zählen die Zertifizierung des Rechenzentrums durch den TÜV, bei der neben baulichen Aspekten, Stromversorgung und Gebäudetechnik auch die organisatorischen Abläufe geprüft werden, die Zertifizierung des Informationssicherheits-Managementsystems nach ISO/IEC 27001 oder der IDW-Prüfungsstandard PS 951, der ein Auge darauf hat, ob das interne Kontrollsystem angemessen und wirksam ist.
Sicher in Expertenhand
Die Gütesiegel helfen nicht nur dem Auftraggeber bei der Entscheidung. Auch der Cloud-Anbieter profitiert. Bei Aareon jedenfalls sieht man die Anforderungen der DSGVO vor allem als Chance, die Kunden bei der Lösung ihrer IT-Anforderungen zu unterstützen. „Die Datenverarbeitung bei Aareon ist rundum sicher und erfüllt alle DSGVO-Vorgaben“, sagt Mario Werner. „Ein Zertifikat der TÜV Rheinland i-sec GmbH bescheinigt, dass wir schon heute insbesondere in der Auftragsdatenverarbeitung technische und organisatorische Maßnahmen zum Schutz der personenbezogenen und personenbeziehbaren Daten wirksam umgesetzt haben.“
Ergebnis ist ein exklusives und hoch verfügbares Datenzentrum mit redundanter Auslegung, das den zeit- und ortsunabhängigen Zugriff auf alle relevanten Informationen sichert. Es werden regelmäßig Audits zur Rezertifizierung durchgeführt. Darüber hinaus stellen professionelle Hacker ebenso regelmäßig die Netzwerke, Portale und Systeme auf die Probe.
Ob Speicherplatz, Rechenleistung oder Software – Angebote aus der Cloud lösen mehr und mehr die Inhouse-Betriebsform ab.