Ist die Cloud die sicherste Lösung in Punkto Datenschutz?
Die kurze Antwort lautet: „Im Prinzip ja – aber es kommt darauf an, wie.“ Folgende Überlegungen sind entscheidend: In Bezug auf den Betrieb von Datenzentren werden Big Player mit tiefen Taschen, einer Heerschar erfahrener Datenschutzexperten und mehrfachen physischen Schutzschichten immer im Vorteil sein gegenüber kleineren Unternehmen mit eigenen kleinen IT-Infrastruktur-Teams und Kernkompetenzen in anderen Bereichen. Aber in Punkto Server-Uptime und der Erkennung und Verhinderung von Eindringversuchen wird die Cloud unangefochten an der Spitze liegen – und Ausfälle wegen Wartungsrückständen oder verstaubterLüftungen gehören der Vergangenheit an.
In Bezug auf den Betrieb von Plattformen stellen Cloud-Anbieter – insbesondere die Hyperscaler AWS, Azure und GCP (Google Cloud Platform) viele nützliche Features wie KI-basierte automatische DDoS-Verhinderung (samt automatischer Traffic-Umleitung) und Benachrichtigungen zur Verfügung. Wird die Plattform jedoch im eigenen Haus konfiguriert und betrieben, sind die Spezialisten des Unternehmens dafür verantwortlich, ein sicheres und zuverlässiges Netzwerk und eine VM-Architektur zu entwerfen. Damit wird ein nennenswerter Teil des Betriebsrisikos auf das Unternehmen selbst übertragen.
Software-as-a-Service bedingt zusätzliche Betriebsrisiken. Der Anwendungsfall „Talentmanagement“ (z.B. SAP SuccessFactors oder Workday) zeigt klar, dass sich der Aufgabenbereich in der Dienstnutzung deutlich über Compliance hinaus erweitern kann: Man stelle sich als Beispiel eine SaaS-Lösung mit inbegriffenen Funktionen zur „Talentrekrutierung“ vor, die von der Personalabteilung eines Unternehmens verwendet werden, obwohl diese Nutzung nicht von den DSGVO-Richtlinien und -Regeln des Unternehmens erfasst ist. Die Verarbeitung von Bewerberdaten wäre somit ungesetzlich und könnte zu empfindlichen Strafen führen. In diesem Fall hat der Cloud-Anbieter nur bedingte Kontrolle über den Datenschutz, und das Unternehmen selbst ist
für die Umsetzung technischer bzw. organisatorischer Sicherheitsmaßnahmen verantwortlich.
Dr. Tobias Höllwarth
Präsident von EuroCloud Europe
Mitglied des FIC Advisory Board
Partner bei Sourcing-International