Die Cloud wächst und wächst, meldet der Verband der Internetwirtschaft eco. Das sieht der Digitalverband Bitkom genauso: 54 Prozent der Unternehmen in Deutschland setzen auf Speicher, Rechenleistung oder Software aus der Cloud, so der Cloud-Monitor 2016. Zum ersten Mal setzt demnach die Mehrheit der deutschen Unternehmen auf Cloud Computing. Die Sorgen um Sicherheit und Datenschutz sind aber nicht vergangen, betont die Studie. Trotz des kräftigen Anstiegs bei der Public-Cloud-Nutzung sind Sicherheitsbedenken weiter das größte Hindernis für einen intensiveren Einsatz der Technologie.
Cloud-Nutzung und Datenschutzbedenken steigen
Die Datenschutzbedenken nehmen sogar noch zu, wie die Nationale Initiative für Informations- und Internet-Sicherheit e.V. (NIFIS) berichtet. 91 Prozent der Unternehmen sind sich laut NIFIS bewusst, dass sie künftig mehr in ihre Datensicherheit investieren müssen als je zuvor. 63 Prozent wollen bei der Nutzung von Cloud-Diensten ausschließlich auf deutsche oder zumindest europäische Anbieter zugreifen. Die Sensibilität der deutschen Wirtschaft beim Datenschutz ist somit gestiegen.
Für die weitere Ausbreitung des Cloud Computing kommt es deshalb darauf an, dass die Cloud-Nutzer Transparenz und Kontrolle über den Cloud-Standort haben und die Cloud-Provider vor und während der Nutzung genau überprüfen können. Bekanntlich macht den Nutzern die Datenschutzkontrolle gerade im Fall von Cloud Computing aber große Probleme, so dass eine große Hoffnung in die Cloud-Zertifizierung gesteckt wird. Bisher befreit alleine das Vorliegen eines Cloud-Zertifikats nicht von den Kontrollpflichten bei einer Auftragsdatenverarbeitung, wie sie bei Cloud Computing in aller Regel vorliegt. Dies hatten die Aufsichtsbehörden für den Datenschutz zum Beispiel in ihrer Orientierungshilfe Cloud Computing deutlich gemacht. Doch mit der kommenden Datenschutz-Grundverordnung (DSGVO) kann und wird sich dies ändern.
DSGVO stärkt die Bedeutung von Zertifizierungen
In den Artikeln 40 bis 43 behandelt die Datenschutz-Grundverordnung neben den Verhaltensregeln auch die Zertifizierungen. Wie die Bundesbeauftragte für den Datenschutz ausführt, können diese Instrumente bei der Beurteilung der Datensicherheit, beim Nachweis der Einhaltung der Verpflichtungen eines Auftragsverarbeiters, bei der Durchführung einer Datenschutz-Folgenabschätzung oder bei der Prüfung geeigneter Garantien für die Übermittlung in Drittländer herangezogen werden. Damit sind Datenschutz-Zertifizierungen (und offizielle Verhaltensregeln) insbesondere für Cloud-Nutzer und Cloud-Anbieter sehr interessant und hilfreich.
Cloud-Zertifikat ist aber nicht Cloud-Zertifikat
In den letzten Monaten hat sich das Thema Cloud-Zertifizierung in Deutschland deutlich weiter entwickelt. Mit dem Anforderungskatalog Cloud-Computing hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Kriterien zur Beurteilung der Informationssicherheit von Cloud-Diensten veröffentlicht. Ein Ziel davon ist die Schaffung von Transparenz, damit potentielle Cloud-Kunden entscheiden können, „ob gesetzliche Vorschriften (wie z. B. Datenschutz), die eigenen Richtlinien oder auch die Gefährdungslage bezüglich Wirtschaftsspionage die Nutzung des jeweiligen Cloud-Dienstes als geeignet erscheinen lassen“.
Zudem sind die Versicherungswirtschaftlicher Datendienst GmbH (VDG) und die Uniscon GmbH als erste Unternehmen nach dem Trusted Cloud Datenschutzprofil (TCDP) zertifiziert worden. Das Trusted Cloud Datenschutzprofil ist ein neuer Prüfstandard für die Datenschutz-Zertifizierung. Er wurde im Rahmen des „Trusted Cloud“-Programms des Bundesministeriums für Wirtschaft und Energie (BMWi) entwickelt. Kurze Zeit später meldet ein Unternehmen, dass es ein „staatliches Zertifikat für deutschen Datenschutz“ erhalten hat, gemeint ist das Datenschutz-Gütesiegel des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD).
Es zeigt sich, dass der Markt für Cloud-Zertifizierungen weiter dynamisch und in Bewegung ist und dass es sicherlich auch weiterhin viele, verschiedene Cloud-Datenschutz-Zertifikate geben wird. Doch eines muss klar sein: Die Datenschutz-Grundverordnung macht klare Aussagen dazu, wie die Zertifizierungen aussehen werden.
Anforderungen an Cloud-Datenschutz-Zertifikate kommen
Cloud-Zertifizierungen bekommen nach DSGVO definierte Grundlagen: Zertifizierungen, die nachweisen sollen, dass die Datenschutz-Grundverordnung bei Verarbeitungsvorgängen eingehalten wird, werden durch die zuständige Aufsichtsbehörde oder durch eine hierfür akkreditierte Stelle ausgesprochen (Art. 42 Abs. 5 DSGV). Es wird beim Europäischen Datenschutzausschuss ein Register aller Zertifizierungsmechanismen geben, wo Cloud-Nutzer prüfen können, ob eine Cloud-Datenschutz-Zertifizierung verzeichnet ist oder nicht.
Die Zertifizierungskriterien werden von den Aufsichtsbehörden festgelegt. Nicht jedes Cloud-Datenschutz-Zertifikat wird also die Anforderungen nach DSGVO erfüllen. Hier müssen Cloud-Nutzer und Cloud-Anbieter genau aufpassen und hinterfragen. Aber: Es wird Cloud-Datenschutz-Zertifikate geben, die der geforderten Datenschutzkontrolle des Cloud-Nutzers gerecht werden, den Cloud-Nutzer also rechtlich und inhaltlich entlasten, und das ist eine ausgesprochen gute Nachricht für das Cloud-Business.
Weitere Artikel zur EU-Datenschutz-Grundverordnung:
- EU-Datenschutz-Grundverordnung: HPE stellt Starter Kit vor
- EU-Datenschutz-Grundverordnung: Bußgelder könnten drastisch steigen
- EU-Datenschutz-Grundverordnung: weniger als 500 und fallend
- Datenschutz-Grundverordnung: Was Cloud-Nutzer beachten sollten
- Der Mittelstand braucht neue Mobile Security-Konzepte
- EU-Datenschutz-Grundverordnung: Kaspersky Lab bietet Unternehmen Online-Angebot und Assessment-Tool
- DSGVO: 11 Tipps für die optimale Umsetzung
- Wie es mit Datenübermittlungen in Drittstaaten weitergeht
- Was Sie jetzt über Datenschutz-Zertifikate wissen müssen
- Studie: Viele Unternehmen sind noch nicht auf Umsetzung der DSGVO vorbereitet
Tipp: Wie gut kennen Sie die Chefs der IT-Firmen? Testen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.