„Cloud Computing bezeichnet aus Sicht der Anwender die bedarfsgerechte Nutzung von IT-Leistungen wie beispielsweise Software, Speicherplatz oder Rechenleistung über Datennetze. Das Datennetz kann ein unternehmens- bzw. organisationsinternes Intranet (Private Cloud Computing) oder das öffentliche Internet (Public Cloud Computing) sein.“ - bitkom
Datenschutz das Top-Kriterium bei der Auswahl eines Cloud-Dienstleisters
Fast alle Unternehmen (90 Prozent) geben an, dass für sie die Konformität mit der Datenschutz-Grundverordnung bei Cloud-Lösungen unverzichtbar ist. Dabei ist der Cloud-Anwender im Außenverhältnis weiterhin für die Sicherheit der Daten verantwortlich. Darüber hinaus muss mit dem Cloud-Dienstleister ein Vertrag zur Auftragsverarbeitung geschlossen werden, bei welchem neben den allgemeinen Bedingungen des § 11 BDSG insbesondere auch auf die Kontrollrechte einzugehen ist.
Umgang mit den gesetzlich notwendigen Kontrollrechten
Im Vertrag zur Auftragsverarbeitung muss geregelt sein, dass der Cloud-Anwender seine Kontrollrechte wahrnehmen kann. Eine Vor-Ort Kontrolle ist allerdings oftmals nicht möglich oder mit sehr hohem Aufwand verbunden. Die Kontrollpflicht des Anwenders erschöpft sich jedoch auch nicht dadurch, dass er sich Protokolle vorlegen lässt. Der Cloud-Anwender sollte genau prüfen, mit welchen Maßnahmen der Cloud Anbieter die Risiken absichert. Eine Hilfestellung hierzu bietet die Broschüre „Sichere Nutzung von Cloud Diensten“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
Das Kontrollrecht kann durch den Nachweis von Zertifikaten erbracht werden
Für Cloud-Anwender ausgesprochen hilfreich ist an dieser Stelle eine ISO 27001-Zertifizierung der Cloud-Rechenzentren. Denn hierdurch trägt der Cloud-Dienstleister auf eigene Kosten, regelmäßig geprüft durch das Audit eines unabhängigen Dritten, für die Aufrechterhaltung der (auch) datenschutzrechtlichen Sicherheitsmaßnahmen Sorge. Damit übernimmt der Cloud-Dienstleister die gesetzlichen Prüfpflichten der Cloud-Anwender.
Mehr Infos zum Datenschutz für Cloud Computing in der ISO 27001 finden Sie hier mit einem Beitrag zur ISO 27018
Ansprechpartner
Habe Sie Fragen oder Hinweise zum Thema ISO 27001 oder Cloud Computing? Wenden Sie sich gerne an Marcel Däfler.