Ständig kommen neue Cloud-Dienste auf den Markt. Doch leisten sie, was sie versprechen? Wenn Sie dies testen wollen, denken Sie auch an den Datenschutz, bevor Sie zum Beispiel Kundendaten testweise in eine Cloud übertragen.
Die Cloud gehört zum Firmenalltag
Im Jahr 2017 nutzten zwei Drittel aller Unternehmen (66 Prozent) Rechenleistungen aus der Cloud, so eine Umfrage des Digitalverbands Bitkom. Wer Cloud-Anwendungen nutzt oder damit plant, für den ist Datenschutz das Top-Kriterium, wenn es um die Auswahl eines Dienstleisters geht. Praktisch alle Unternehmen (97 Prozent) gaben an, dass für sie die Konformität mit der Datenschutz-Grundverordnung (DS-GVO) bei Cloud-Lösungen unverzichtbar ist.
In der Vergangenheit klagten viele Unternehmen über Ausfälle der Cloud-Lösungen. Insgesamt konnten sieben von zehn Cloud-Anwendern (69 Prozent) kurzzeitig nicht auf ihre Cloud-Dienste zugreifen. Dafür gibt es verschiedene Ursachen: Die häufigste Ursache dafür, waren technische Probleme aufseiten des Cloud-Providers.
Aus Datenschutzsicht ist es mehr als sinnvoll, nicht nur auf dem Papier zu prüfen, ob ein Cloud-Dienst sicher und zuverlässig ist.
Erst testen, dann nutzen
Es sollte selbstverständlich sein, einen neuen Dienstleister ausgiebig zu testen, um zu sehen, ob er die fachlichen und technischen Anforderungen erfüllt. Auch die Datenschutzfunktionen einer Lösung gehören auf den Prüfstand, bevor der Dienst zum Einsatz kommt.
Selbst wenn es Gütesiegel sowie Datenschutz- und IT-Sicherheitszertifikate gibt, bleibt insbesondere die Frage, ob die fachlichen Anforderungen des Nutzers, der Abteilung oder allgemein des Unternehmens erfüllt werden können. Um das zu überprüfen, sind in der Regel Testdaten erforderlich.
Achtung: Ein Test ist bereits der Ernstfall
Die Aufsichtsbehörden für den Datenschutz weisen bereits seit vielen Jahren darauf hin, dass der Testfall für den Datenschutz bereits der Ernstfall ist. Deshalb kommt es auf die richtige Vorbereitung der Testdaten an. Ein denkbarer Schutz für die Testdaten mit Personenbezug wäre die Verschlüsselung. Doch vielfach werden die Daten nicht verschlüsselt, weil die zu testende Cloud-Lösung nicht mit den verschlüsselten Daten umgehen kann.
Deshalb sind Verschlüsselungslösungen sinnvoll und hilfreich, die aus den Echtdaten sogenannte Tokens erzeugen. Bei der Tokenisierung werden die zu schützenden, vertraulichen Daten durch Daten desselben Typs, also passender Art und Länge ersetzt. Die neuen Werte (Tokens) weisen aber keinen echten Personenbezug mehr auf.
Datenschutzniveau muss stimmen
Dadurch simulieren die entsprechend veränderten Daten die Nutzung echter Daten, ohne jedoch den Datenschutz zu gefährden. Fachliche Tests der Funktionen einer Cloud-Lösung werden so möglich, ohne personenbezogene Daten zum Test in eine Cloud zu übertragen. Nicht nur bei Cloud-Diensten, die jenseits der EU betrieben werden, könnte dies sonst zum Datenschutzproblem werden, sondern generell muss sichergestellt sein, dass das Datenschutzniveau der Cloud-Lösung den Vorgaben der DS-GVO entspricht.
Wichtig ist es dabei, nicht einfach eine Lösung dafür zu nutzen, die der Anbieter, den man testen möchte, bereitstellt. Oftmals lässt sich dann nicht ausschließen, dass Mitarbeiter des Anbieters die Testdaten unerlaubt wieder zugänglich machen könnten. Die Verschlüsselung und die Tokenisierung sollten immer in der Hoheit des Nutzers liegen, die Schlüssel sollten also beim Anwender vorgehalten werden, auch schon im Testfall.
Wenn Sie Fragen haben, kontaktieren Sie uns:
per E-Mail consulting@AdOrgaSolutions.de oder
Büro München +49 89 411 726 – 35 / Büro Wien +43 1 253 017- 8177.
06. November 2018