Compliance-Anforderungen beim Cloud Computing

Die Vorteile von Cloud-Diensten sind schon längst nicht mehr zu ignorieren. Über kurz oder lang kommt kein Unternehmen an dieser Technologie vorbei. Doch vor der Entscheidung für ein bestimmtes Cloud-Modell sollten wichtige Compliance-Anforderungen bedacht werden.

Daten, Rechenleistung und Anwendungen überall auf jedem Gerät verfügbar zu haben, wird in unserer dynamischen Arbeitswelt immer mehr zu einer selbstverständlichen Anforderung. Auf beliebige Datenmengen auch mobil über iPad und Smartphone zugreifen zu können, wird bereits als eine übliche Arbeitsgrundlage angesehen.

Die moderne Technologie bietet die Möglichkeit, Computerleistung nicht Lokal vorhalten zu müssen. Doch die Flexibilität, die man dadurch gewinnt, kann unter Umständen einen gewissen Kontrollverlust über die eigenen Daten bedeuten. Dennoch bleibt der Nutzer von Cloud-Diensten vor dem Gesetz für die Sicherheit seiner Daten und die Einhaltung von Compliance-Anforderungen verantwortlich. Denn auch wenn Unternehmensdaten irgendwo auf entfernten Servern liegen und verarbeitet werden, hat der Auftraggeber Einfluss- und Kontrollmöglichkeiten, um die Einhaltung rechtlicher Bestimmungen zu gewährleisten. Was muss dabei beachtet werden?

Der Umgang mit personenbezogenen Daten

Personenbezogene Daten bedürfen eines besonderen, juristisch festgelegten Schutzes. Werden also beispielsweise Mitarbeiter- oder Kundendaten über die „Wolke“ transportiert, sind auch hier die Bestimmungen des Bundesdatenschutzgesetzes (BDSG) einzuhalten. Auf EU-Ebene gibt etwa die „Data Protection Directive“ (Directive 95/46/EC) aus dem Jahr 1995 den Rahmen vor. Grundsätzlich sollten Verantwortliche vor der Entscheidung für einen Dienstanbieter auch die eigenen Anforderungen an Sicherheit und Compliance möglichst genau definieren.

Der Ort der Datenverarbeitung hat große Bedeutung

In Staaten außerhalb der EU herrscht häufig ein Datenschutz-Verständnis, das stark von der europäischen Linie abweicht. So sieht die EU-Richtlinie auch vor, dass vor einem Transfer personenbezogener Daten in Drittstaaten zu überprüfen ist, ob dort ein vergleichbares Niveau der Datenschutzbestimmungen vorliegt. Nur dann ist die Übermittlung zulässig. Verarbeitet ein Cloud-Anbieter Daten ausschließlich innerhalb Deutschlands oder der EU sind damit viele Probleme ausgeschlossen, die beim Transfer personenbezogener Daten in Drittstaaten zu bewältigen wären.

Absicherung durch Service Level Agreements

Auch abgesehen von den gesetzlichen Anforderungen ist es im ureigenen Interesse eines Unternehmens, sicherzugehen, dass ein Dienstleister die Vertraulichkeit, Verfügbarkeit und Integrität der Daten sicherstellt, die ihm anvertraut werden. Dies kann in sogenannten Service Level Agreements (SLA) festgelegt werden.
Darin sollte unter anderem festgeschrieben werden,

  • wie der Anbieter die Sicherheit der Daten gewährleistet,
  • auf welche Weisen die entsprechenden Maßnahmen überprüft werden können,
  • wo die Daten gespeichert werden und
  • wer Zugriff darauf hat.

Zertifizierungen garantieren ein hohes Maß an Sicherheit

Zertifizierungen sind bei der Einschätzung des von einem Provider versprochenen Sicherheitsniveaus von enormem Wert. Der Gesetzgeber verlangt, dass ein Auftraggeber, der personenbezogene Daten durch einen Dritten verarbeiten lässt, durch regelmäßige Kontrollen sicherstellt, dass die Anforderungen des Datenschutzes im Umgang mit den übermittelten Daten eingehalten werden. Besitzt ein Dienstanbieter ein anerkanntes Zertifikat, reicht es aus, zu kontrollieren, dass dieses gültig ist und immer wieder erneuert wird.

Ein professioneller Auditor verfügt außerdem über die notwendige Erfahrung, Routine und das Know-How, um einen Dienstanbieter regelmäßig auf alle möglichen Schwachstellen hin zu überprüfen. Diese Leistung kann ein Auftraggeber, der seinen Dienstleister überprüfen möchte, in der Regel nicht in einem vergleichbaren Maße erbringen.

Im Bereich der Informationssicherheit ist vor allem die internationale Norm ISO/IEC 27001 relevant. Darin werden die notwendigen Bedingungen für die Gestaltung, Einführung, Anwendung, Überwachung, Wartung und Verbesserung eines dokumentierten Informationssicherheits-
Managementsystems unter Berücksichtigung der Risiken innerhalb der gesamten Organisation definiert. Der Inhaber eines solchen Zertifikats wird von einer kompetenten Stelle in regelmäßigen Abständen überprüft.