Die DSGVO-Compliance als Auswahlkriterium für Cloud-Anbieter

Die DSGVO-Compliance als Auswahlkriterium für Cloud-Anbieter

 

Die Datenschutz-Grundverordnung (DSGVO) ist am 25. Mai 2018 in Kraft getreten und gilt seither für alle Unternehmen in der gesamten EU. Die Verordnung hat zum Ziel die personenbezogenen Daten zu schützen und sicherzustellen, dass kein Dritter Zugriff auf entsprechende Informationen erhält. Darüber hinaus wurden zahlreiche Informations- und Auskunftspflichten definiert. Die Grundsätze für die Verarbeitung personenbezogener Daten sind zunächst in Artikel 5, Absatz 1 der DSGVO geregelt. Wobei auch aus den Artikeln 25 und 32 grundlegende Regelungen hervorgehen. Aufgrund der Tatsache, dass es sich bei der DSGVO um eine gesetzliche Regelung handelt, sind Unternehmen dazu gezwungen, bei der Geschäftstätigkeit und allen Arbeitsprozessen darauf zu achten, dass diese der DSGVO entsprechen.

 

Ein primäres Auswahlkriterium für Cloud-Anbieter: die DSGVO-Compliance

Unternehmen sind dazu gezwungen einen Nachweis darüber erbringen zu können, dass die von ihnen gespeicherten Kundendaten der DSGVO unterliegen. Dies ist einer der Gründe, weshalb sich die Public Cloud in vielen deutschen Unternehmen bisher nicht durchsetzen konnte. Eine Studie von NetApp hat hierzu herausgefunden, dass die Durchsetzung der Cloud in Deutschland durch die DSGVO deutlich erschwert wird. Als Vergleichsländer zieht NetApp Frankreich, Großbritannien und die USA heran. Trotzdem setzen laut der vom Branchenverband bitkom durchgeführten Cloud-Monitor Studie 2019 bereits 73 % der befragten Betriebe auf Cloud-Computing. Die Ergebnisse zeigen deutlich, dass sich Cloud und DSGVO-Konformität nicht ausschließen. Einer der Wachstumstreiber im Cloud-Markt ist die Public Cloud, die im Unternehmenseinsatz immer häufiger gewählt wird.

Unternehmen haben unterschiedliche Möglichkeiten, um sicherzustellen, dass der Cloud-Anbieter der DSGVO unterliegt. Es kann hilfreich sein zu hinterfragen, in welchem Land das Hosting des Anbieters stattfindet. Ist der Serverstandort in der EU angesiedelt, unterliegen alle darauf gespeicherten Daten der DSGVO, wodurch die Anbieter in der Regel konform mit der Datenschutz-Grundverordnung gehen. Gewissheit schafft hier der Auftragsverarbeitungsvertrag (AVV) mit dem Cloud-Anbieter, in dessen technischen und organisatorischen Maßnahmen (TOM) weitere Informationen über alle Sicherheitsmechanismen zu erfahren sind. Grundsätzlich gilt die Regelung, dass die auf dem Cloud-Server gespeicherten Daten immer der Datenschutzverordnung des jeweiligen Landes unterliegen, auf dessen Boden sich der Server befindet. Noch mehr Sicherheit bietet eine EU-DSGVO Konformitätsprüfung, z.B. durch den TÜV-SÜD oder einer anderen geeigneten Auditierungsstelle.

Dass der Einfluss der Datenschutz-Grundverordnung bei der Verarbeitung personenbezogener Daten stark bis sehr stark ist, bestätigen rund 82 % der Befragten der IDG-Studie Cloud Security 2019. Von allen Befragten gibt außerdem rund ein Drittel an, dass die DSGVO Einfluss auf die Wahl des Cloud-Anbieters habe. Auch die Datensicherheit beschreiben 31 % der Befragten als ausschlaggebenden Faktor bei der Auswahl der Anbieters. Anbieter, die hier auf eine hohe Rechtskonformität achten und ihre Anwendungen rechtzeitig auf alle rechtlichen Aspekte hin aktualisieren, haben einen Vorteil. Andersherum entsteht der Vorteil der Rechtssicherheit bei den anwendenden Unternehmen, die auf solche Anbieter bei ihrer IT-Infrastruktur setzen.

Vorteile von SaaS in der Public Cloud

Die Verwendung der Public Cloud, allen voran im Bezugsmodell Software-as-a-Service (SaaS), kann Unternehmen großen Nutzen bringen. Zu den übergeordneten Vorteilen zählen beispielsweise die Verbesserung der Effizienz und der Wirtschaftlichkeit bzw. Kosteneffizienz. Aber auch die Flexibilität der Mitarbeiter wird durch die Cloud positiv beeinflusst. Um auf Daten zugreifen zu können, ist lediglich ein Endgerät mit Internetanschluss notwendig, wodurch Möglichkeiten wie beispielsweise das Homeoffice und mobile Business eine neue Bedeutung erhalten. Selbst Projektarbeiten können mithilfe der Cloud einfacher abgewickelt werden, indem jeder Mitarbeiter Zugriff auf die notwendigen Daten bekommt. Durch die Cloud kann sichergestellt werden, dass die zugänglichen Daten immer auf dem aktuellen Stand sind. Auch für den Außendienst wird die Arbeit aufgrund der durch die Cloud ermöglichten Flexibilität enorm erleichtert.

Aufgrund der Tatsache, dass Anwendungen in Public Clouds von den Cloud-Anbietern mit automatischen Updates versorgt werden, wird sichergestellt, dass die kritischen Applikationen immer up to date sind. Durch die Automatisierung dieser Prozesse wird auch die IT-Abteilung des jeweiligen Unternehmens entlastet, was zur Folge hat, dass diese mehr Zeit für geschäftskritische Aufgaben aufwenden kann. Ebenfalls zur Entlastung der IT-Abteilung trägt die Tatsache bei, dass die Einführung von cloudbasierter Business Software ein zeitlich überschaubarer und gut zu planender Vorgang ist.

Die Vorteile von Business Software in der Public Cloud im Überblick:

  • Höhere Kosteneffizienz und Wirtschaftlichkeit
  • Umfangreicher Standard, der individuell konfiguriert werden kann
  • Zugriff ohne räumliche Einschränkungen garantiert erhöhte Flexibilität der Mitarbeiter
  • Schnelle Einführung
  • Automatische und regelmäßige Updates
  • Einfache Integration externer Partner sowie Durchführung von Projektarbeiten
  • Rechtssicherheit

Immer mehr KMU greifen zu Cloud-ERP via SaaS

Das Bezugsmodell Software-as-a-Service (SaaS) ist grundsätzlich nichts neues. Hierbei wird die Business Software, z.B. ein cloudbasiertes ERP, als Dienstleistung über das Internet bezogen. Die Zahl der Unternehmen, die sich für die Verwendung von SaaS in einer Public Cloud entscheiden, steigt kontinuierlich an. Unterm Strich lohnt sich der Schritt zu cloudbasierten SaaS-Lösungen insbesondere für KMU, da Arbeitsprozesse optimiert, Kosten gesenkt und der Fokus, aufgrund der einfachen Handhabung und schnellen Integration in die Struktur des Unternehmens, auf wichtige Projekte gelenkt werden kann. Der Artikel hat darüber hinaus gezeigt, dass bei der Wahl des passenden Cloud-Anbieters die Rechtskonformität eine zentrale Rolle spielt. Wer hier auf einen verlässlichen Partner setzt, kann darauf vertrauen, dass auch bei zukünftigen Veränderungen wie der geplanten ePrivacy-Verordnung die Rechtssicherheit vom Anbieter gewährleistet wird. In der Folge wird klar, dass sich das Unternehmen zumindest um diesen Aspekt ihrer IT nicht mehr kümmern muss.