Cloud-Computing ist für die meisten Unternehmen in Deutschland inzwischen Alltag. 82 Prozent haben Cloud-Lösungen im Einsatz – nochmals 6 Prozentpunkte mehr als im Vorjahr. Das zeigt unser Cloud-Monitor. Wer in die Cloud möchte, sollte allerdings u.a. auf die EU-Kommission, den Europäischen Gerichtshof (EuGH) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) achten.
Manch Manager schreckt das ab. Sie sehen zwar die Vorteile der Cloud, fürchten jedoch, gegen Gesetze zu verstoßen und Strafen zu riskieren. Kein Wunder, denn die Liste mit regulatorischen Anforderungen für die Cloud-Nutzung ist lang: Die EuGH-Urteile zu Schrems I und II, die Datenschutzgrundverordnung (DSGVO) und der C5-Katalog des BSI berühren die Cloud-Compliance.
DSGVO und Schrems II als Cloud-Hindernis?
So verbietet die DSGVO die Verarbeitung der Daten in Ländern mit nicht vergleichbarem Datenschutzniveau wie der Europäischen Union. Das betrifft auch den Datenaustausch mit Unternehmen aus jenen Ländern mit geringerem Datenschutz.
Das Schrems-II-Urteil ist ebenfalls weitreichend, weil dadurch Standardvertragsklauseln unter Umständen nicht ausreichen. Sie müssen jeweils neu bewertet werden und gegebenenfalls durch technische und organisatorische Maßnahmen ergänzt werden. Neben Anonymisierung und Pseudonymisierung der Daten kommen hier auch Verschlüsselungsmechanismen („customer conrolled key management“) in Betracht.
>>> Cloud-Computing ist für die meisten Unternehmen in Deutschland inzwischen zu einer Selbstverständlichkeit geworden. 82 Prozent haben Cloud-Lösungen im Einsatz – im Vergleich zum Vorjahr ein Plus von sechs Prozent. Mehr erfahren Sie in unserem aktuellen Cloud-Monitor.“
Verantwortung liegt immer auch beim Cloud-Nutzer
Die Verantwortung für die Cloud-Compliance liegt eben schon per Gesetz nicht allein beim Cloud-Anbieter. Deswegen sollte bei der Architektur der Cloud die gemeinsame Verantwortlichkeit von Anbieter und Kunden mitgedacht werden. Public-Cloud-Provider liefern keine Service-Level-Agreements (SLAs) für einzelne Architekturbausteine, sondern Nutzer müssen ihrer Risikoeinschätzung entsprechend ihre Cloud-Architektur aufbauen. Beispielsweise müssen sie aktiv eine Georedundanz durch Auswahl verschiedener Regionen schaffen.
Diese Shared Responsibility wird auch durch den C5-Katalog des BSI eingefordert. Der Katalog beinhaltet zwar umfängliche Anforderungen an den Cloud-Provider (z. B. hinsichtlich des Umgangs mit Ermittlungsanfragen). Das BSI nimmt aber auch den Cloud-Kunden durch korrespondierende Kontrollen in die Pflicht.
Lokale Backups könnten nötig sein
Gewissermaßen ein Ergebnis der hohen regulatorischen Ansprüche ist Gaia-X als europäische Lösung und „next generation“ einer Dateninfrastruktur für Europa. Sie soll das Vertrauen in die Cloud mit der Entwicklung allgemein anerkannter Standards weiter stärken durch Offenheit, Transparenz und Zusammenarbeit. Gaia-X spiegelt damit das Bedürfnis für sichere und regulatorisch abgesicherte Anbieter wider.
Ein weiterer wichtiger Punkt sind IT-Sicherheit- und Datenschutz-fremde Anforderungen. Beispielsweise erbittet das deutsche Finanzamt jederzeit den Zugang zu den rechnungslegungsrelevanten Daten. Dadurch können lokale Backups erforderlich sein.
Abhängigkeiten prüfen
Zudem empfehle ich, einen „Vendor Lock-in“ zu vermeiden, also die Abhängigkeit von nur einem Cloud-Anbieter. Wenn Sie gezwungen sind, einen bestimmten Anbieter zu nehmen, haben Sie im Zweifel keine Verhandlungsmacht, sollte sich dieser nicht compliant verhalten. Das führt dann zwar zu Multi-Cloud Szenarien (zum Beispiel mehrere Cloud-Provider oder Cloud-Provider plus eigenes Rechenzentrum). Doch diese lassen sich durch Cloud-Management-Plattformen steuern.
Grundsätzlich sollten Sie die Dateninteroperabilität und Portabilität prüfen. Können Daten und Geschäftsprozesse jederzeit auch auf andere Cloud-Provider umgezogen werden? Prüfen Sie zudem, wie verfügbar Daten sein müssen. Welche Daten sind für den Geschäftsbetrieb kritisch und dürfen auf keinen Fall vom Ausfall einer Public Cloud betroffen sein? Daher empfiehlt sich mit Blick auf das Business Continuity Management (BCM) der Einsatz der Private Cloud.
5 Tipps für die Cloud-Compliance
Aus meiner Sicht gibt es daher fünf Empfehlungen, um die Cloud compliant zu nutzen:
- Beschäftigen Sie sich aktiv mit Cloud-Technologien und deren Möglichkeiten. Damit vermeiden Sie einen Tunnelblick und minimieren die Gefahr, in der Digitalisierung abgehängt zu werden.
- Managen Sie die Cloud-Risiken aktiv. Übersehen Sie dabei nicht die eigenen Verantwortlichkeiten und managen Sie die verbleibenden Restrisiken durch angemessene Kontrollen.
- Behalten Sie die Verlautbarungen der Datenschutzbehörden im Blick.
- Prüfen Sie bereits existierende und geplante Verträge mit Cloud-Anbietern. Welche Standardvertragsklauseln werden angewandt? Treffen Sie angemessene Maßnahmen, um mögliche Fälle von Managementhaftung zu reduzieren.
- Die Cloud-Architektur muss dem Security-by-Design-Prinzip folgen.
Die Cloud ist für viele Unternehmen der Himmel auf Erden. Gerade die Corona-Krise hat deren Nutzen eindrucksvoll unterstrichen. Lassen Sie sich von der Regulatorik nicht abschrecken, denn die Cloud-Compliance ist machbar.
Neues schafft, wer Neues denkt. Abonnieren Sie KPMG Klardenker. Erhalten Sie etwa alle vier Wochen Einschätzungen zu den neusten Branchentrends im Newsletter. Jetzt anmelden.