Jerry Sliwowski - Fotolia

DSGVO / GDPR: Das muss bei Cloud-Storage noch getan werden

Unternehmen brauchen einen Fahrplan für GDPR-Readiness, um die Datenschutz-Grundverordnung bei Cloud-Storage noch richtig und fristgerecht umzusetzen.

Umfragen und Studien zur Datenschutz-Grundverordnung (DSGVO / GDPR) berichten seit Monaten davon, dass es noch deutliche Lücken bei der Umsetzung des neuen Datenschutzrechts gibt. Von wirklicher GDPR-Readiness kann noch keine Rede sein. Selbst bei scheinbar einfachen Lösungen wie Cloud-Storage gibt es Compliance-Probleme.

So berichtete Veritas vor rund zehn Monaten, dass insbesondere die zunehmende Nutzung von schwer kontrollierbaren Speicherorten in der Cloud und File-Sharing-Diensten von Kunden Unternehmen im Hinblick auf die Compliance keine Ruhe lässt.

Immerhin benutzt ein Viertel der Studienteilnehmer Cloud-basierte Dienste wie Box, Google Drive, Dropbox, EMC Simplicity oder Microsoft OneDrive, ohne entsprechende betriebliche Freigabe der Nutzung. Weitere 25 Prozent bestätigten, dass sie nicht anerkannte Speicherdienste außerhalb des Unternehmens verwenden.

Es stellt sich die Frage, wie es heute aussieht, und zwar im eigenen Unternehmen: Wie steht es um die GDPR-Readiness bei den genutzten Cloud-Storage-Diensten? Ist die Cloud-Compliance heute im eigenen Unternehmen besser?

Fahrplan zur GDPR-Readiness aufstellen

Ob ihre Nutzung von Cloud-Storage ein Compliance-Problem darstellt oder nicht, können viele Unternehmen noch nicht zuverlässig sagen, insbesondere wenn es um die Datenschutz-Grundverordnung geht, die zwar bald umgesetzt sein muss, aber immer noch nicht ausreichend im Bewusstsein verankert und technisch umgesetzt ist.

Wie zum Beispiel der Netskope Cloud Report zeigt, setzen Unternehmen durchschnittlich 24 Apps für Cloud-Storage ein, von denen 67 Prozent noch nicht für den Unternehmenseinsatz freigegeben sein sollten, insbesondere weil sie nicht der Compliance entsprechen. Das muss sich dringend ändern, wenn die GDPR-Readiness in diesem Bereich im Mai 2018 sichergestellt sein soll. Es ist deshalb höchste Zeit, einen Fahrplan für die GDPR-Readiness aufzustellen.

GDPR-Readiness bei Cloud-Storage

Für jeden genutzten Service, für jede verwendete Apps im Bereich Cloud-Storage sollten Unternehmen umgehend prüfen:

Gibt es eine Rechtsgrundlage für die Speicherung der Daten (zum Beispiel Einwilligung der Betroffenen)?

Gibt es eine Rechtsgrundlage für die Übermittlung der Daten zu einem Cloud-Provider?

Sind alle Cloud-Storage-Dienste dokumentiert und im Verzeichnis der Verarbeitungstätigkeiten aufgenommen?

Sind die Standorte bekannt, an denen die Cloud-Speicherdienste betrieben, die Daten also gespeichert sind?

Setzen die Cloud-Storage-Provider Maßnahmen um, die für eine angemessene Datensicherheit sorgen?

Können zum Beispiel geeignete Zertifizierungen durch den Cloud Storage Provider vorgelegt werden?

Gibt es Vereinbarungen mit den Cloud-Storage-Providern, die die Vorgaben an eine Auftragsverarbeitung nach Artikel 28 DSGVO erfüllen?

Ist sichergestellt, dass die Cloud Storage Provider die bei ihnen gespeicherten Daten nicht zu anderen Zwecken missbrauchen können? Gleiches gilt für andere Nutzer des Cloud-Storage, die keinen Zugriff auf die Daten des Unternehmens erhalten dürfen.

Werden die Daten zuverlässig gelöscht, wenn die Nutzung des Cloud Storage beendet wird oder wenn eine Löschverpflichtung eintritt, wie das Ende einer Aufbewahrungsfrist?

Können die Daten von einem Cloud-Storage-Provider auf einen anderen übertragen werden?

Sind die Cloud-Storage-Dienste belastbar genug?

Können Manipulationen an Cloud-Storage-Inhalten verhindert werden?

Gibt es ein Verfahren zur Meldung von Datenschutzverletzungen durch den Cloud-Storage-Provider an das Unternehmen und durch das Unternehmen an die Aufsichtsbehörde sowie ggf. an die Betroffenen?

GDPR-Readiness für Cloud-Storage dokumentieren

Die genannten Fragen und Prüfpunkte helfen bei der Ermittlung der Cloud-Readiness, die Antworten sollten für jeden Cloud-Storage-Dienst dokumentiert werden. Wenn die genannten Punkte nicht erfüllt sind, ist die GDPR-Readiness in Gefahr.

Kann der Provider oder das Unternehmen keine Abhilfe leisten, sollte auf den betreffenden Cloud-Storage-Dienst verzichtet werden, sprich: Die betriebliche Freigabe sollte entzogen werden, die unerlaubte Nutzung durch entsprechende Lösungen wie CASB (Cloud Access Security Broker) verhindert werden. Dann gibt es auch gute Chancen dafür, dass der in der zuvor genannten Veritas-Studie genannte Zustand im Bereich Cloud-Storage-Compliance besser wird.

Folgen Sie SearchStorage.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Datenschutz-Grundverordnung: Welche Probleme Unternehmen jetzt beheben müssen

EU-Datenschutzrichtlinie erfordert rasches Handeln bei Prozessen und Organisation

In fünf Schritten zur Einhaltung der EU-Datenschutz-Grundverordnung

Artikel wurde zuletzt im Oktober 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Gesetzeskonforme Datenspeicherung

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close