Stellen Sie sich vor, Sie haben Ihre IT-Infrastruktur in eine Cloud-Umgebung transferiert. Weil Sie einfach keine teuren Rechenmaschinen mehr kaufen und verwalten wollten, weil der Zugriff auf Anwendungen und Daten seitens externer Mitarbeiter und Geschäftspartner einfacher werden sollte, und vielem mehr.

Spätestens an dieser Stelle könnte Ihnen auffallen, dass es trotz der vielen schönen Vorzüge von Cloud-basierten IT-Infrastrukturen eine erhebliche Schwachstelle gibt: die Datensicherheit. Damit ist vor allem die Datensicherheit und der Datenschutz im Sinne der DSGVO gemeint, die am 25. Mai 2018 endgültig in Kraft tritt. Ab diesem Tag wird auf die elektronische Datenverarbeitung personenbezogener Daten ganz besondere Herausforderungen zukommen. Dazu zählt unter anderem die sogenannte Datenschutz-Folgenabschätzung sowie weitere Prüf- und Dokumentationspflichten. Das ist vor allem dann der Fall, wenn Unternehmen Auftragsdatenverarbeiter und Cloud-Dienste in Anspruch nehmen.

Das hat auch damit zu tun, dass die DSGVO eine explizite Datenverarbeitung personenbezogener Daten auch außerhalb der EU vorsieht, unabhängig davon, ob der Auftragsverarbeiter (also ein Cloud Service Provider zum Beispiel) innerhalb oder außerhalb der EU sitzt. Daraus lassen sich diverse Konsequenzen ableiten: So können Cloud-Anbieter beispielsweise selbst zu Datenverantwortlichen werden, wenn sie den Zweck der Datenverarbeitung selbstständig bestimmen.

Liegt die Datenverantwortung beim Unternehmen oder Cloud-Provider?

Laut DSGVO wird künftig nicht mehr der Auftraggeber der externen Datenverarbeitung allein bei möglichen Verstößen haftbar gemacht, sondern auch der externe Auftragsverarbeiter, da Datenverarbeiter und Auftragsverarbeiter künftig gemeinsam haften.

DSGVO = besondere Pflichten für Datenverantwortliche

Ab 25. Mai 2018 müssen die Datenschutzverantwortlichen der Unternehmen sicherstellen und nachweisen können, dass die Verarbeitung von personenbezogenen Daten jederzeit im besten Sinne der DSGVO erfolgt. Dazu gehören diverse Prinzipien wie Pseudonymisierung und Verschlüsselung von Daten, die Datenminimierung, die Einhaltung des Verarbeitungszwecks, etc. Daraus ergibt sich unter anderem, welche Daten in welchem Umfang und wie lange verarbeitet und gespeichert werden dürfen.

DSGVO = großer Aufwand für größere Unternehmen

Gerade in größeren Unternehmen werden teils äußerst sensible Daten verarbeitete und gespeichert. Ob das Personaldaten sind oder die E-Mail-Adresse und Anschrift eines Kunden – über all diese Daten muss akribisch Buch im Sinne der DSGVO geführt werden. Dieser Aufwand verschärft sich zusätzlich, wenn personenbezogen Daten innerhalb einer Cloud-Umgebung gespeichert und verarbeitet werden.

Um dieses große Dilemma elegant zu umgehen, sollten sensible Daten am besten vor der Speicherung beim Cloud-Anbieter verschlüsselt werden. Denn damit werden sie automatisch pseudonymisiert, so wie es die DSGVO explizit fordert. Damit sind Datenschutzrechtsverletzung auf Seiten des Cloud-Anbieters gar nicht möglich, was sich auf die Umsetzung der DSGVO enorm positiv auswirkt.

Mit eperi Cloud Data Protection (CDP) entspannt ins DSGVO-Zeitalter

Damit wären wir beim eigentlichen Kern dieses Beitrags. Denn mithilfe des eperi-Gateways lassen sich die Forderungen der DSGVO zum Schutz personenbezogener Daten relativ unaufwendig umsetzen. So können Unternehmen auf Basis der eperi-Lösung ihre Datenschutz-Prozesse kontrollieren. Damit garantieren sie auch, die DSGVO-Vorgaben peinlich genau einzuhalten, wenn Cloud-Services im Unternehmen genutzt werden. Damit reduzieren sich der Prüfaufwand und die damit verbundene Nachweispflicht auf die Vorkehrungen und Datenschutzmaßnahmen, die im eigenen Unternehmen umgesetzt werden müssen.

Funktionsweise des eperi Gateway

„Erst verschlüsseln, dann speichern“ – so lautet die eperi-Devise

Die eperi-Devise in Sachen DSGVO-konforme Cloud-Daten lautet: „Erst verschlüsseln, dann speichern!“. Damit lassen sich nämlich sämtliche sensible Daten für Unbefugte unleserlich machen, bevor personenbezogene Daten überhaupt in der Cloud landen. Folge: Die Unternehmen behalten die volle Kontrolle über ihre personenbezogene Daten und erfüllen damit die strengen Auflagen in Sachen Datenschutz-Konformität „on the fly“.

Doch dieser eperi-Ansatz bietet einen weiteren Vorzug: Dank der transparenten Verschlüsselung der Cloud-Daten können sehr elegant zahlreiche Risiken „ad acta“ gelegt werden, die bei der Auswahl des geeigneten Cloud-Konzepts respektive des dazu passenden Cloud Service Providers entstehen können. Denn wer kann schon genau sagen, ob der infrage kommende Cloud-Anbieter die strengen Auflagen der DSGVO so ernst nimmt, wie er das eigentlich tun sollte.

Office 365, Salesforce & Co: eperi Gateway als zentraler Kontrollpunkt

Mithilfe des eperi Gateway für Cloud-Anwendungen wie Office 365 oder Salesforce stellen Unternehmen ebenfalls sicher, dass besonders sensible personenbezogene Daten jederzeit und vollumfänglich vor fremden Zugriffen geschützt sind. Denn weder der Cloud-Provider noch ein externer Auftragsverarbeiter erhält Zugriff auf die Daten, da die Schlüssel im alleinigen Besitz des Cloud-Anwenders, also des Unternehmens bleiben. Damit wird ein zentraler Kontrollpunkt für das Datenschutz- und Verschlüsselungsmanagement festgelegt, das dem Datenverantwortlichen die alleinige Kontrolle über die Verschlüsselungs- und Tokenisierungsprozesse garantiert.

eperi Cloud Data Protection bedeutet darüber hinaus, dass sich die Verschlüsselung der Daten in keiner Weise auf die Cloud-Plattform und deren Techniken auswirkt und darüber hinaus alle wichtigen Anwendungsfunktionalitäten bei komfortabler Bedienerfreundlichkeit erhalten werden.

Fazit: eperi sorgt für DSGVO-konforme Cloud-Daten

Zusammenfassend kann man also sagen: Unternehmen, die sich für eine Verschlüsselung auf Basis der eperi Cloud Data Protection-Lösung entscheiden, gehen einen großen Schritt in Sachen DSGVO-Konformität. Denn ihr Datenschutz wird ohne größeren Aufwand auf einen Level gehievt, um den sie so mancher Datenschutzbeauftragte beneidet.

Disclaimer: Dieser Beitrag basiert auf diesem verlinkten Blogartikel, den ich für meinen Kunden eperi verfasst habe.