DSGVO: Das müssen Unternehmen bei Cloud-Diensten beachten
Der Umgang mit Cloud-Diensten ist heute bei Unternehmen gang und gäbe. Damit möglichst wenige Probleme aufkommen, können einige Vorkehrungen getroffen werden.
Mit Cloud-Diensten zu arbeiten ist heutzutage für Unternehmen Alltag. Sie erleichtern Arbeitsprozesse, ermöglichen die Auslagerung von grossen Datenmengen und erlauben die flexible Nutzung von Hard- und Software. Doch die Anwenderrisiken nehmen zu. Unternehmen geben teils sensible Daten teilweise oder sogar ganz an fremde IT-Unternehmen weiter. "t3n.de" hat einige Tipps, um dabei für Sicherheit zu sorgen.
Über den Ort des Servers wird gerne diskutiert. Wird der Server in einem Land betrieben, das über ein hohes Datenschutzniveau verfügt, trägt das schon einiges zur Sicherheit bei. So lässt sich von vornherein verhindern, dass ein unberechtigter Zugriff erfolgt.
Die Datenschutz-Grundverordnung und die Schweiz
Seit dem 25. Mai 2018 gilt die neue Datenschutz-Grundverordnung (DSGVO) für alle EU-Länder. Auch Unternehmen mit Sitz in der Schweiz müssen die Verordnung in einigen Fällen beachten.
Wenn ein Schweizer Unternehmen personenbezogene Daten von natürlichen Personen aus der EU verarbeitet, diesen Personen Waren oder Dienstleistungen anbietet oder deren Verhalten verfolgt, muss es sich an die DSGVO halten.
Die Verordnung richtet sich an den datenschutzrechtlichen Verantwortlichen, also das Unternehmen, um dessen Daten es geht und das bestimmt, was mit den Daten passiert. Die Pflichten dieses Unternehmens betreffen die Datensicherheit, Transparenz und Rechtssicherheit. Eine der wichtigsten Pflichten ist die Datensicherheit, darunter fallen auch Massnahmen wie die Pseudonymisierung und die Verschlüsselung der betroffenen Daten.
Die verantwortlichen Unternehmen legen die Datensicherheit in die Hände der Cloudbetreiber, ergo eines IT-Dienstleisters. Dieser Dienstleister muss im Vorfeld, um der DSGVO zu entsprechen, geeignete technische und organisatorische Massnahmen treffen. Konkret muss dieses IT-Unternehmen über eine Zertifizierung (beispielsweise ISO/IEC 27001) verfügen. Weiter muss der Cloudnutzer eine genaue Liste der ergriffenen Sicherheitsmassnahmen führen (zum Beispiel die Zugriffs- und Zutrittsbeschränkungen oder die Massnahmen zur Pseudonymisierung).
Was ist zu tun, wenn…?
Als Teil der Cloud- oder IT-Strategie müssen Unternehmen verbindliche Richtlinien aufstellen, wie die Mitarbeiter mit den Cloud-Diensten umzugehen haben. Eine Schulung zum Thema Datensicherheit für alle Mitarbeiter ist auch ratsam. Angefangen bei grundsätzlichen Punkten wie der Vergabe von sicheren Passwörtern bis hin zur Verpflichtung der Mitarbeiter, dass nur Unternehmens-Hardware im Homeoffice benutzt werden darf. Ebenfalls wichtig ist, dass Mitarbeitende wissen, was im Falle einer Panne zu tun ist. Datenschutzbeauftragte sollten unverzüglich über die Details des Datenlecks informiert werden, damit schnell gehandelt werden kann.
Unternehmen, die Cloud-Dienste nutzen, müssen Datenschutzverträge abschliessen und einhalten können. Dazu zählen Vereinbarungen über die Datenverarbeitung und Standardvertragsklauseln der Europäischen Kommission, die sich auf Datentransfers ins Ausland beziehen. Die meisten Cloud-Anbieter stellen Vorlagen für diese Verträge zur Verfügung. Das Unternehmen selbst ist jedoch dafür verantwortlich, dass die Verträge korrekt und vollständig sind. Auf Anfrage der Datenschutzbehörden müssen die entsprechenden Dokumentationen vorgelegt werden können.
Phishing-Betrüger täuschen Opfer mit vermeintlich gesperrter Apple-ID
Latrodectus - der jüngste Schädling der IcedID-Entwickler
EU-Datenschützer beurteilen Bezahlzwang für Datenschutz als inakzeptabel
Firewalls von Palo Alto enthalten eine kritische Sicherheitslücke
Cisco warnt vor Schwachstellen in Serversoftware und Angriffen auf VPN-Dienste
Betrüger ziehen Tutti-Nutzerin 2500 Franken aus der Tasche
SBB bündeln Cybersecurity und andere Sicherheitsbereiche
Der Astrologe rettet den Tag ... oder auch nicht
EDÖB kritisiert Digitec Galaxus
