Unternehmen und Organisationen aller Größenordnungen haben sich zum Ziel gesetzt, ihre Geschäftsprozesse effizienter zu gestalten. In den vergangenen Jahren haben viele Unternehmen Cloud-Computing als ein probates Mittel erkannt, dieses Ziel zu erreichen. Laut der Studie Bitkom Research 2023 stehen für die Unternehmen dabei die Kostenreduzierung (64 %), die Reduzierung von CO₂-Emissionen (63 %) und die Umstellung auf Plattform- und SaaS-Angebote (57 %) im Fokus bei der Entscheidung für Cloud-Computing. Durch die vermehrte Nutzung von Cloud Services entstehen neue Herausforderungen im Bereich des Datenschutzes. Im folgenden Beitrag gebe ich einen Überblick über Cloud-Compliance und wie du die sichere Speicherung von sensiblen Daten in der Cloud gewährleisten kannst.
Was ist Cloud-Compliance?
Definition Cloud-Compliance
Die Einhaltung gesetzlicher Vorschriften, Standards und Best Practices bei der Nutzung von Cloud-Computing wird als Cloud-Compliance bezeichnet.
Abgrenzung Cloud-Computing und Cloud-Compliance
Die Begriffe Cloud-Compliance und Cloud-Computing werden häufig im Kontext der Verwendung von Cloud Services benutzt. Der Begriff Cloud-Computing bezieht sich auf die Verwendung von Cloud Services, um Geschäftsprozesse des eigenen Unternehmens zu verbessern und die Effizienz zu erhöhen. Im Gegensatz dazu umfasst der Begriff Cloud-Compliance die Einhaltung gesetzlicher Vorschriften, Standards und Best Practices bei der Nutzung von Cloud Services.
Warum ist Cloud-Compliance wichtig?
Unternehmen müssen sicherstellen, dass sie Compliance Anforderungen erfüllen. Zum einen um rechtlich abgesichert zu sein und zum anderen um Imageverlust, als Folge eines Complianceverstoßes zu vermeiden. Daher ist es für Unternehmen, die sensible Daten in der Cloud speichern wollen, notwendig, sich mit intensiv mit Cloud-Compliance auseinanderzusetzen. Um ihre Daten zu schützen und das Vertrauen der eigenen Kunden nicht zu verlieren.
Welche Themenbereiche umfasst Cloud-Compliance in Unternehmen und Organisationen?
Für Unternehmen und Organisationen ist es notwendig, ein gründliches Verständnis von Cloud-Compliance zu besitzen. Daher sollten die folgenden 3 Themenbereiche stets bedacht werden:
- Die Einhaltung von Datenschutzgesetzen: Diese ist wichtig, um sicherzustellen, dass personenbezogene Daten in Cloud-Services rechtmäßig geschützt sind und auf dem richtigen Weg verarbeitet werden.
- Die Gewährleistung von Datensicherheit und -integrität: Daten in der Cloud müssen unbedingt vor unbefugtem Zugriff, Verlust oder Beschädigung geschützt sein.
- Die Einhaltung von Vorschriften zur Aufbewahrung und Löschung von Daten. Unternehmen müssen sicherstellen, dass sie gesetzliche Anforderungen erfüllen, wenn sie sensible Informationen in der Cloud speichern. Ansonsten drohen rechtliche Konsequenzen, wie Bußgelder oder Schadensersatzforderungen. Zudem kann die Nichteinhaltung von Vorschriften zur Aufbewahrung und Löschung von Daten zu einem Vertrauensbruch zwischen dem Unternehmen und dem Kunden führen.
Cloud-Compliance Anforderungen in regulierten Märkten
Die Anforderungen für Cloud-Compliance ist abhängig von der Branche, in der das Unternehmen arbeitet und der Region, in der das Unternehmen seinen Sitz hat. Überdies gibt es besondere Anforderungen an die Datensicherheit in regulierten Märkten, wie dem öffentlichen Sektor, der Finanz- und Versicherungsbranche oder dem Gesundheitswesen z.B.
Cloud-Compliance Anforderungen im öffentlichen Sektor
- § 8 Abs. 1 BSI-Gesetz (BSIG): Mindeststandard des BSI zur Nutzung externer Cloud-Dienste
- Cloud Computing Compliance Criteria Catalogue (C5): Umsetzung und Einhaltung der Basiskriterien nach dem C5
- § 203 StGB Compliance: Anforderungen an Berufsgeheimnisträger (z.B. Dienstgeheimnisse)
- Notfall- und Kontinuitätsmanagement: Business Continuity Management Systems (BCMS) zertifiziert nach ISO 22301
- Datenschutz nach EU-DSGVO: Erfüllung von Art. 42, 43 DSGVO / § 39 BDSG mit Datenschutz-Zertifikaten (bspw. TCDP)
Cloud-Compliance Anforderungen im Gesundheitswesen
- Richtlinie TR-036161 „Anforderungen an Anwendungen im Gesundheitswesen“: Prüfaspekt Organisatorische Sicherheit: ISO 27001 und C5 Testat vom Typ2
- Datenschutz nach EU-DSGVO: Erfüllung von Art. 42, 43 DSGVO / § 39 BDSG mit Datenschutz-Zertifikaten (bspw. TCDP)
- § 203 StGB Compliance: Anforderungen an Berufsgeheimnisträger (z.B. Ärzte, Apotheker, Psychologen, etc.)
- § 35 SGB I Compliance: Anforderungen an Sozialversicherungsträger (z. B. Krankenkassen, Pflegekassen, etc.)
- IT-Sicherheitsgesetz 2.0 Compliance: KRITIS-konformes Hosting (z.B. für Krankenhäuser)
Cloud-Compliance Anforderungen im Finanz- und Versicherungswesen
- Cloud-Service-Vertrag: Ergänzende Bedingungen für Finanzdienstleister (BaFin, EZB oder EIOPA beaufsichtigt)
- Datenportabilität zur Verhinderung von „Vendor Lock-in“: Die Open Telekom Cloud basiert auf dem offenen Standard OpenStack
- Datenschutz und Drittstaatentransfer: Erfüllung von Art. 42, 43 DSGVO / § 39 BDSG mit Datenschutz-Zertifikaten (bspw. TCDP) Kein Drittstaatentransfer
- Cloud-Computing Compliance Criteria Catalogue (C5): Umsetzung und Einhaltung der Basiskriterien nach dem C5
- Zertifikate/Nachweise auf Basis gängiger Standards: SOC1/SOC2/C5/ISO27000-Familie
Sichere Cloud-Alternativen für Unternehmen und Organisationen
Auf dem europäischen Markt gibt es verschiedene Cloud-Provider, die eine Public-Cloud anbieten. Amazon Web Services (AWS), einer der größten und etabliertesten Cloud-Anbieter weltweit und die Open Telekom Cloud (OTC), welcher sich auf den deutschen Markt fokussiert, sind beispielsweise zwei Provider, die sich auf die Einhaltung von Cloud-Compliance Anforderungen spezialisiert haben.
Digitale Unterschrift in der OTC: Europäische Datensouveränität erleben
Fazit: Cloud-Compliance für sichere Datenspeicherung in der Cloud
Als Unternehmen ist es unverzichtbar in Cloud-Compliance zu investieren, um nicht nur die Vorteile des Cloud-Computings zu nutzen, sondern auch um Sicherheit und Datenschutz von sensiblen Daten gewährleisten zu können. Kunden der d.velop haben hierbei sogar die Möglichkeit sich zwischen der Open Telekom Cloud oder den Amazon Web Services zu entscheiden, um ihre Bedürfnisse perfekt abzustimmen. Dadurch können unsere Kunden dank der Einhaltung von gesetzlichen Anforderungen Vertrauen zum Kunden aufbauen, ihren CO₂-Abdruck verringern, flexibel skalieren und mit einer starken Wettbewerbsposition punkten.