Ständig kommen neue Cloud-Dienste auf den Markt. Doch leisten sie, was sie ver­spre­chen? Wenn Sie dies testen wollen, denken Sie auch an den Daten­schutz, bevor Sie zum Bei­spiel Kun­den­da­ten test­wei­se in eine Cloud übertragen.

Die Cloud gehört zum Firmenalltag
Im Jahr 2017 nutzten zwei Drittel aller Un­ter­neh­men (66 Prozent) Re­chen­leis­tun­gen aus der Cloud, so eine Umfrage des Di­gi­tal­ver­bands Bitkom. Wer Cloud-An­­wen­­dun­­gen nutzt oder damit plant, für den ist Daten­schutz das Top-Kri­­te­ri­um, wenn es um die Auswahl eines Dienst­leis­ters geht. Prak­tisch alle Un­ter­neh­men (97 Prozent) gaben an, dass für sie die Kon­for­mi­tät mit der Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung (DS-GVO) bei Cloud-Lö­­sun­­gen un­ver­zicht­bar ist.
In der Ver­gan­gen­heit klagten viele Un­ter­neh­men über Aus­fäl­le der Cloud-Lö­­sun­­gen. Ins­ge­samt konnten sieben von zehn Cloud-An­­wen­­dern (69 Prozent) kurz­zei­tig nicht auf ihre Cloud-Dienste zu­grei­fen. Dafür gibt es ver­schie­de­ne Ur­sa­chen: Die häu­figs­te Ursache dafür, waren tech­ni­sche Pro­ble­me auf­sei­ten des Cloud-Providers.
Aus Da­ten­schutz­sicht ist es mehr als sinn­voll, nicht nur auf dem Papier zu prüfen, ob ein Cloud-Dienst sicher und zu­ver­läs­sig ist.

Erst testen, dann nutzen
Es sollte selbst­ver­ständ­lich sein, einen neuen Dienst­leis­ter aus­gie­big zu testen, um zu sehen, ob er die fach­li­chen und tech­ni­schen An­for­de­run­gen erfüllt. Auch die Da­ten­schutz­funk­tio­nen einer Lösung gehören auf den Prüf­stand, bevor der Dienst zum Einsatz kommt.
Selbst wenn es Gü­te­sie­gel sowie Da­ten­­­schutz- und IT-Si­cher­heits­­­zer­­ti­­fi­­ka­­te gibt, bleibt ins­be­son­de­re die Frage, ob die fach­li­chen An­for­de­run­gen des Nutzers, der Ab­tei­lung oder all­ge­mein des Un­ter­neh­mens erfüllt werden können. Um das zu über­prü­fen, sind in der Regel Test­da­ten erforderlich.

Achtung: Ein Test ist bereits der Ernstfall
Die Auf­sichts­be­hör­den für den Daten­schutz weisen bereits seit vielen Jahren darauf hin, dass der Test­fall für den Daten­schutz bereits der Ernst­fall ist. Deshalb kommt es auf die rich­ti­ge Vor­be­rei­tung der Test­da­ten an. Ein denk­ba­rer Schutz für die Test­da­ten mit Per­so­nen­be­zug wäre die Ver­schlüs­se­lung. Doch viel­fach werden die Daten nicht ver­schlüs­selt, weil die zu tes­ten­de Cloud-Lösung nicht mit den ver­schlüs­sel­ten Daten umgehen kann.
Deshalb sind Ver­schlüs­se­lungs­lö­sun­gen sinn­voll und hilf­reich, die aus den Echt­da­ten so­ge­nann­te Tokens er­zeu­gen. Bei der To­ke­ni­sie­rung werden die zu schüt­zen­den, ver­trau­li­chen Daten durch Daten des­sel­ben Typs, also pas­sen­der Art und Länge ersetzt. Die neuen Werte (Tokens) weisen aber keinen echten Per­so­nen­be­zug mehr auf.

Da­ten­schutz­ni­veau muss stimmen
Dadurch si­mu­lie­ren die ent­spre­chend ver­än­der­ten Daten die Nutzung echter Daten, ohne jedoch den Daten­schutz zu ge­fähr­den. Fach­li­che Tests der Funk­tio­nen einer Cloud-Lösung werden so möglich, ohne per­so­nen­be­zo­ge­ne Daten zum Test in eine Cloud zu über­tra­gen. Nicht nur bei Cloud-Diens­­ten, die jen­seits der EU be­trie­ben werden, könnte dies sonst zum Da­ten­schutz­pro­blem werden, sondern ge­ne­rell muss si­cher­ge­stellt sein, dass das Da­ten­schutz­ni­veau der Cloud-Lösung den Vor­ga­ben der DS-GVO entspricht.

Wichtig ist es dabei, nicht einfach eine Lösung dafür zu nutzen, die der An­bie­ter, den man testen möchte, be­reit­stellt. Oftmals lässt sich dann nicht aus­schlie­ßen, dass Mit­ar­bei­ter des An­bie­ters die Test­da­ten un­er­laubt wieder zu­gäng­lich machen könnten. Die Ver­schlüs­se­lung und die To­ke­ni­sie­rung sollten immer in der Hoheit des Nutzers liegen, die Schlüs­sel sollten also beim An­wen­der vor­ge­hal­ten werden, auch schon im Testfall.

Wenn Sie Fragen haben, kon­tak­tie­ren Sie uns:
per E-Mail consulting@AdOrgaSolutions.de oder
Büro München +49 89 411 726 – 35 / Büro Wien +43 1 253 017- 8177.

06. No­vem­ber 2018

Wie können wir Ihnen weiterhelfen?

Kontaktieren Sie uns: Wir sind gerne für Sie da!