Ob Public, Private oder Hybride Cloud, personenbezogene Daten werden überall und oft unüberlegt abgelegt. Um die Datenhoheit zu gewährleisten und Compliance-Richtlinien zu erfüllen, müssen Sie deshalb einige wichtige Security-Faktoren bei der Entwicklung einer Cloud-Strategie beachten. [...]
Befinden sie sich heute noch auf dem heimischen Computer, sind sie morgen vielleicht schon in Irland oder den USA. Die Rede ist von personenbezogenen Daten. Wir hinterlassen sie überall im Internet: Wenn wir online Geschäfte abwickeln, wenn wir online Beziehungen pflegen oder wenn wir uns online vernetzen. Umso mehr stellt sich die Frage, welche Maßnahmen notwendig sind, um digitale Informationen im Internet und vor allem in der Cloud zu schützen. Regierungen entwickeln zum Thema Datenhoheit zunehmend neue Gesetze und Regulierungen. Unternehmen hingegen müssen selbst auf sichere Technologien und sichere Cloud-Anbieter achten.
Der digitale Wandel hat den Umgang mit personenbezogenen und unternehmenseigenen Daten grundlegend verändert. Der konstante Zugang zu Unternehmensinformationen von jedem Ort und zu jeder Zeit wird heute im beruflichen Alltag vorausgesetzt. Datenschutz und Datensicherheit müssen dabei stets gewährleistet sein. Um die Kontrolle über die Daten zu behalten, ist es für Unternehmen wichtig, ihre aktuelle technologische Infrastruktur und ihre Compliance-Richtlinien zu prüfen und bei Bedarf entsprechend zu optimieren. Bei der Entwicklung ihrer Cloud-Strategie sollten sie daher eine Reihe von relevanten Faktoren beachten.
Optimierung der technologischen Infrastruktur Im Internet und in der Cloud nehmen Daten drei Stadien ein: in Benutzung (Data-in-use), in Übertragung (Data-in-motion) und im Ruhezustand (Data-at-rest). Früher haben Unternehmen die volle Datenkontrolle häufig nur mit Daten in gespeichertem Zustand, also ruhenden Daten, in Verbindung gebracht. Auch während der Übertragung wurden Sicherheitsvorkehrungen an den physischen Ort der Dateien gekoppelt.
In der Praxis ist es für einen umfassenden Datenschutz allerdings nicht mehr ausreichend, die Sicherheit der Daten von ihrem Speicherort abhängig zu machen. Unternehmen müssen das Thema Datenkontrolle aus diesem Grund vom physischen Ort ihrer Daten lösen und eine Technologie verwenden, die in der Lage ist, die Informationen in allen drei Stadien zu schützen.
IT-Lösungen, wie Customer Managed Encryption Keys, können hierbei der entscheidende Faktor sein. Digitale Dokumente lassen sich damit so komplex verschlüsseln, dass niemand deren Inhalt lesen kann. So behält das Unternehmen die vollständige Kontrolle über Dokumente. Und wird der eingesetzte Schlüssel deaktiviert, ist niemand in der Lage, die Daten zu entschlüsseln – selbst der Anbieter der Lösung nicht.
Darüber lassen sich mithilfe von Information-Rights-Management-Tools (IRM) weitere Sicherheitsvorkehrungen treffen. Dabei haben Unternehmen die Wahl, ob sie die Dateien nach einer gewissen Zeit unwiderruflich löschen oder nur für eine begrenzte Zeit zum Download bereitstellen. Eine solche IT-Lösung hilft ihnen beispielsweise auch dabei, zu bestimmen, an welchen Orten sich die Dateien öffnen lassen und ob die Dokumente mit Nutzername und IP-Adresse des Ursprungsrechners als Kopie gekennzeichnet werden sollen.
Anpassung der Compliance-Richtlinien Neben den technologischen Maßnahmen müssen Unternehmen auch ihre Compliance-Bestimmungen ändern. Dabei müssen sie besonders berücksichtigen, dass in den einzelnen Ländern, in denen sie agieren, unter Umständen andere Bestimmungen zur Datensicherheit gelten. Denn gerade aktuelle Themen wie die General Data Protection Regulation (GDPR), die Datenschutz-Grundverordnung der Europäischen Union (EU), zeigen, dass das Thema Datenhoheit sehr komplex sein kann.
Regierungen weltweit arbeiten derzeit an strengeren Regulierungen, um die Daten unter Kontrolle zu bekommen. Hong Kong beispielsweise reformierte seine Datenschutzgesetze im Jahr 2012, wobei der Abschnitt zum internationalen Datentransfer bislang noch nicht in Kraft getreten ist. Brasilien hat den Brazilian Internet Act verabschiedet, der sich mit der Behandlung und Nutzung persönlicher Daten im Internet befasst. Nun hat die EU die GDPR eingeführt und damit die aus dem Jahr 1995 stammende Datenschutzrichtlinie der Europäischen Gemeinschaft (Richtlinie 95/46/EG10) abgelöst.
Mit der Datenschutz-Grundverordnung beabsichtigt die EU, die Regeln zur Verarbeitung von personenbezogenen Daten EU-weit zu vereinheitlichen. Sie soll sowohl für öffentliche Stellen als auch private Organisationen in 28 Ländern gelten und innerhalb eines zweijährigen Zeitraums implementiert werden. Das Ziel: personenbezogene von EU-Bürgern zu schützen. Außerdem will sie dadurch einen freien Datenverkehr innerhalb des Europäischen Marktes sicherstellen.
Derzeit bedeuten die gesetzlichen Regelungen zur Datenhoheit für Unternehmen, dass in jeder Niederlassung unter Umständen unterschiedliche Regulierungen gelten können. Diese müssen sie wiederum bei der Übertragung in andere Standorte beachten. Tritt die GDPR wie geplant 2018 in Kraft, könnte sich diese Situation für Unternehmen zumindest EU-weit vereinfachen. Verstoßen sie allerdings gegen die Datenschutz-Grundverordnung der EU und es kommt dadurch zu Sicherheitslücken, müssen sie Bußgelder zahlen, die zirka vier Prozent ihres globalen Jahresumsatzes betragen. Für manche Unternehmen könnte das zu Strafzahlungen in Milliardenhöhe führen. Viele global agierende Unternehmen werden jedoch ihr Europageschäft aufgrund der mit den Verordnungen verbundenen Kosten ganz neu bewerten müssen.
Richtige Auswahl des Cloud-Anbieters Geschäftsinteressen und Datenschutzvorgaben aufeinander abzustimmen, erfordert große Sorgfalt und in der Regel die Unterstützung durch kompetente Partner. Unternehmen sollten daher bei der Auswahl eines Cloud-Anbieters darauf achten, dass dieser die Datenhoheitsregelungen aller Länder erfüllt, in denen das Unternehmen Geschäfte abwickelt. Angesichts dessen ergeben sich einige Punkte, die Unternehmen bei der Wahl ihres Cloud-Anbieters beachten sollten:
Technisch-organisatorische Maßnahmen: Unternehmen sollten genau wissen, wie Cloud-Anbieter ihre Daten schützen. Jeder Dienstleister muss sowohl technische als auch organisatorische Maßnahmen zum Schutz personenbezogener Daten umsetzen. Dazu zählt beispielsweise der Einsatz von Verschlüsselungs- und Datenmanagement-Tools.
Zusammenarbeit mit anderen Zulieferern: In der Regel arbeiten Cloud-Anbieter mit Zulieferern zusammen, die ihnen bei der Verarbeitung, Übertragung und Speicherung der Daten helfen. Um den Schutz ihrer Daten sicherzustellen, sollten Unternehmen zunächst wissen, um welche Partner es sich dabei handelt. Anschließend sollten sie ihre Compliance-Richtlinien so ausrichten, dass die Geschäftspartner ebenfalls die Datenschutz-Regelungen beachten und befolgen müssen.
Physischer Speicher- und Verarbeitungsort der Daten: Bevor Unternehmen mit der Cloud arbeiten, sollten sie sich auch mit der Frage auseinandersetzen, wo genau der Cloud-Anbieter ihre Daten physisch speichert und welche gesetzlichen Regulierungen entsprechend greifen. Werden die Daten innerhalb des Europäischen Wirtschaftsraums (EWR) verarbeitet und gespeichert, dürfen die Daten diesen ohne vorab getroffene gesetzliche Vorschriften nicht verlassen. Der europäische Wirtschaftsraum umfasst Island, Norwegen, Liechtenstein sowie alle Länder der EU.
Den Datentransfer von EU-Ländern in die USA regelte bislang das Safe-Harbor-Abkommen, das Anfang Oktober vom Europäischen Gerichtshof (EuGH) für ungültig erklärt wurde. Ein europäisch-amerikanisches Datentransferabkommen, wie das kürzlich beschlossene EU-US Data Privacy Shield, könnte allerdings als Alternative die Regelung des Transfers von Daten in die USA übernehmen.
Fazit Tag für Tag produzieren wir bewusst oder unbewusst Daten. Deren Verarbeitung und Speicherung verlagern Organisationen zunehmend in die Cloud. Sowohl Staaten als auch Unternehmen stehen daher in der Pflicht, Maßnahmen zum Schutz personenbezogener Daten zu ergreifen. Unternehmen sollten vor ihrem Einstieg in die Cloud ihre Infrastruktur zur Datenkontrolle und ihre Compliance-Richtlinien an die rechtlichen und technischen Anforderungen im internationalen Umfeld ausrichten. Der Einsatz moderner Information-Management- und Verschlüsselungssoftware sowie der richtige Cloud-Anbieter können hierbei entscheidend sein.
* Deema Freij ist Senior Vice President, stellvertretende Leiterin der Rechtsabteilung und globale Datenschutzbeauftragte bei Intralinks.
Das heimische GreenTech-Startup Circly erhält von den PlanRadar-Gründern Ibrahim Imam und Sander van de Rijdt ein sechsstelliges Investment in Form eines Wandeldarlehens. Gleichzeitig wird Sander van de Rijdt als neues Mitglied des Boards von Circly ernannt. […]
Konica Minolta Österreich gibt einen Wechsel in der Geschäftsführung bekannt: Joerg Hartmann, seit November 2019 an der Spitze des Unternehmens, verlässt Konica Minolta auf eigenen Wunsch im November 2024. Werner Theißen übernimmt ab 1. Dezember 2024 die Geschäftsführung für Deutschland und Österreich. […]
Kleine und mittlere Unternehmen (KMU) brauchen Cloud-Strategien, die flexibel sind und sich an ihre individuellen Bedürfnisse anpassen. Hyperkonvergente Infrastrukturen, die speziell für KMU entwickelt wurden, bieten neue Möglichkeiten zur Nutzung hybrider Clouds. […]
Bei der Auswahl der richtigen ERP-Lösung und des richtigen ERP-Anbieters gibt es für Unternehmen eine Reihe von Aspekten zu beachten. Schließlich bringen nur passgenaue und ausgereifte Systeme auch die erwünschten Vorteile. […]
Das Österreichische Umweltzeichen ist das wichtigste, staatlich geprüfte Umweltsiegel und zertifiziert Unternehmen, Produkte, Events und Dienstleistungen für konsequente Umweltschutzbemühungen. Seit diesem Jahr gibt es eine neue Zielgruppe, die sich mit dem Umweltzeichen („UZ 80“) zertifizieren kann: österreichischen Rechenzentren. […]
Individualsoftware bietet Unternehmen die Möglichkeit, ihre Abläufe präzise auf die eigenen Bedürfnisse abzustimmen und dadurch effizienter sowie flexibler zu arbeiten. […]
Generative künstliche Intelligenz (GenAI) ist gekommen, um zu bleiben. Die Frage ist, wie Unternehmen die Voraussetzungen für die Einführung schaffen. Meist fehlt es an Fachkenntnissen und geeigneneten Datenmodellen. Ein exklusiver Gastbeitrag von Mohammed Brückner. […]
Matthias Loebich übernimmt den Staffelstab von Kiumars Hamidian, der das Unternehmen seit 2018 geführt hat und wie geplant nach zwei Amtszeiten nicht mehr zur Wiederwahl stand. […]
KI hat sich von einem Hype zu einem strategischen Gamechanger entwickelt. Laut einer Studie von NTT DATA ist die Experimentierphase für generative KI (GenAI) endgültig vorbei. Stattdessen stehen nun konkrete Pläne zur langfristigen Nutzung im Vordergrund – mit dem Ziel, Performance, Arbeitsplatzkultur, Compliance, Sicherheit und Nachhaltigkeit zu optimieren. […]
Aktuelle Business IT-News für Österreich. Die ITWELT (vormals: COMPUTERWELT) ist Österreichs führende IT- Zeitung für den gesamten Bereich der Informationstechnik und Telekommunikation. Wir schreiben für leitende IT- Experten (IT-Leiter, CIO) in IT-Branche und EDV-Abteilungen. Unsere Themen: Business Software, Netzwerk, Security, Mobile Kommunikation, Infrastruktur, Cloud, Wirtschaft, IT-Innovation. Zudem finden Sie hier IT-Anbieter, Whitepaper, Webinare, Termine, Social Events und Praxisreports aus der IT und ITK Branche. (c) 2024 - ITW Verlag GmbH
Anmeldung Roundtable
No Fields Found.
Datenschutz Newsletter
Ich erhalte den Newsletter der Computerwelt c/o CW Fachverlag GmbH, Halbgasse 3-5 in 1070 Wien.
Meine Daten werden sicher gespeichert und niemals an Dritte weitergegeben.
Eine Abmeldung vom Newsletter, sowie Anmeldungen zu weiteren Services ist durch einen Link am Ende des Newsletters möglich.
Sie sehen gerade einen Platzhalterinhalt von Facebook. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Sie sehen gerade einen Platzhalterinhalt von Instagram. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Sie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Be the first to comment