Cloud-Computing – aber sicher

20. April 2023, von E. Häcker

Lassen Sie die Cloud nicht alles alleine mit Ihren Daten machen!

Cloud – Wolke ist ein Reizbegriff. Kaum einer gibt zu, dass dort Daten verarbeitet werden. Und doch gibt es niemanden mehr, zumindest bei den Smartphone-Usern, der keine Daten in der Cloud hat. Aber wer kontrolliert, dass seine Daten dort rechtskonform verarbeitet werden? Das ist keine gute Entwicklung. Steuern Sie aktiv dagegen, beginnen sie eine klare Cloud-Strategie und starten Sie in der Digitalisierung aktiv und kostenoptimiert durch!

Cloud – haben wir nicht

Jeder setzt Cloud-Computing ein: Wetten, dass keine Organisation heute mehr ganz ohne Cloud-Computing auskommt? Zwar betonen viele Verantwortliche, bei ihnen gebe es keine Cloud, aber damit meinen sie eher die Office-Suite von Microsoft. Tatsächlich hat so gut wie jeder Eigentümer eines Smartphones Apps im Einsatz, von denen die meisten in der Cloud betrieben werden.

Einkaufen von Cloud – ist doch kein Problem für den Einkauf!

Beschaffung von Cloud-Leistungen muss strukturiert erfolgen: Wetten, dass nur wenige Organisationen heute eine klare Anforderungsliste für die Auswahl des „richtigen“ Cloud-Anbieters haben? In vielen Fällen ist nicht einmal geklärt, wie die Beschaffung von Cloud-Dienstleistungen genau erfolgt, oft ist es nicht einmal eine einzige Stelle, die das tut. Ob aber alle Stellen über die Tücken des Cloud-Computing und die rechtlichen Anforderungen aus Sicht des Datenschutzes im Besonderen, der Compliance im Allgemeinen und der Informationssicherheit angemessen informiert sind und dieses Wissen auch bei der Beschaffung einsetzen, ist, wie die Erfahrung lehrt, leider alles andere als gewiss.

Prozesse kennen, die in die Cloud gehen? Wofür?

In die Cloud ausgelagerte Prozesse müssen strukturiert beschrieben sein: Wetten, dass die Prozesse, die und deren Daten in der Cloud verarbeitet werden, nur in wenigen Fällen hinreichend beschrieben sind, um beim Cloud-Computing keine gravierenden Fallstricke zu übersehen?

Kein Aufwand mit Cloud – Computing, deswegen machen wir das doch!

Cloud-Prozesse müssen angemessen begleitet werden: Wetten, dass die Begleitung der Cloud-Prozesse eher zufällig als strukturiert erfolgt und dass Änderungen an Prozessen nicht vollständig mit den Cloud-Anbietern kommuniziert sind? Outsourcing in die Cloud bedeutet keine Verringerung des Prozessmanagements, sondern eine weitere Stelle die einzubinden ist. Und zwar umfassend. Wer da die Ansprechpartner nicht kennt und ihnen nicht vertrauen kann, kann sehr leicht massive Probleme bekommen.

Verträge für Cloud-Computing – ist doch alles gesetzlich geregelt!

Cloud-Dienstleistungen müssen vertraglich wasserdicht sein: Wetten, dass Cloud-Prozesse nicht nach einheitlichen Verträgen sondern eher nach einem mehr oder weniger zufälligen Sammelsurium von Rechtsvorgaben der Anbieter geregelt sind und wetten, dass es nur selten eine Strategie gibt, wie damit umzugehen ist? Das kann einem Unternehmen aber schnell vor die Füße fallen, wenn es keine eindeutige und erprobte Cloud-Strategie gibt. Zwar hat man nur selten eine Chance, vor allem bei großen Anbietern mit eigenen Vertragsvorstellungen durchzukommen, aber prüfen muss man die vorgelegten Verträge dennoch, ob sie beispielsweise alle Anforderungen an EU-Datenschutzrecht enthalten. Ein Thema, das sich zu bearbeiten lohnt. Die Fallstricke sind mannigfaltig.

Datenschutz in der Cloud? Wofür habe ich denn einen Dienstleister?

Datenschutzverletzungen in der Cloud werden nur unzureichend erkannt und bearbeitet: Wetten, dass Datenschutzverletzungen in der Cloud nur selten strukturiert erfasse und abgearbeitet werden? Vor allem, wenn die Anbieter für die Leistung in einem so genannten Drittland sind, treten gar nicht so selten Divergenzen zum EU-Recht auf. Hier sollte man frühzeitig gegensteuern. Immerhin handelt es sich um EU-weit geltendes Recht, an das sich die Anbieter halten müssen. Sonst kann es teuer für den Cloud-Kunden werden.

Wenn der Cloudanbieter nicht spurt, wechseln wir eben!

Schön wäre es. Faktisch ist das anders. Cloud-Dienstleister können kaum noch gewechselt werden: Wetten, dass die meisten Cloud-Dienstleistungen kaum noch beendet und bei einem anderen Anbieter fortgesetzt werden können und damit ein weites Stück Unabhängigkeit verloren ist, wenn es keine klare Strategie zum Gegensteuern gibt? Gut, dass man von Microsoft nicht mehr wegkommt, haben zahlreiche fehlgeschlagene Projekte leider bewiesen. Umso wichtiger sind klare Strategien zum Umgang mit Microsoft 365. Aber bei anderen Anbietern, die nicht die Marktstellung haben wie Microsoft, ist ein Wechsel doch möglich. Aber nicht ohne Exit-Strategie! Und die muss schon in die ersten Überlegungen zum Wechsel in die Cloud hinein. Sonst kann es ein teures Erwachen geben!

Cloud beenden? Ja und?

Hand aufs Herz – gehen Sie lieber auf eine Taufe oder lieber auf eine Beerdigung? Natürlich macht ein neues Projekt mehr Spaß als ein auslaufendes. Gerade deshalb muss diese Beendigung auch vorbereitet sein. Cloud-Dienste werden zu oft nur unzureichend beendet: Wetten, dass selbst dann, wenn es möglich ist, Cloud-Anbieter zu wechseln, dies in der Praxis nicht angemessen kontrolliert wird? Aus eigener Erfahrung als Datenschutzbeauftragter bei einem entsprechenden Dienstleister – obwohl im Vertrag die Möglichkeit enthalten ist, habe ich von mehreren Hundert beendeten Projekten noch kein einziges Mal erlebt, dass die rechtskonforme Beendigung geprüft worden wäre. Das kann funktionieren, besser wäre aber eine klare Strategie zum sauberen Beenden eines solch wichtigen Projektes wie Weitergabe eigener wichtiger Daten an einen Dienstleister!

Sollten Sie hierzu und zu weiteren oft nur unzureichend gelösten Fragen im Zusammenhang mit Cloud-Computing weitere Informationen für sinnvoll halten, kommen Sie doch in das hier angesprochene Tagesseminar. Auch wenn wir uns „nur“ virtuell sehen, wir sehen uns! Ich freue mich drauf!

« Vier Umsetzungsschritte zur Etablierung operativer Prüfschritte für die Gestaltung datenschutzkonformer Verarbeitungen

Vier Umsetzungsschritte zur Etablierung operativer Prüfschritte für die Gestaltung datenschutzkonformer Verarbeitungen

14.04.23, von Corinna Bub

Akademische Diskussionen über die Auslegung der gesetzlichen Vorschriften aus DSGVO und lokalen Datenschutzgesetzen füllen bereits Bücher – aber wie schaffe ich es als verantwortliche Stelle, dass die viel diskutierten Grundsätze und Rahmenparameter im täglichen Geschäft Umsetzung finden? Die Antwort klingt banal, stellt aber die Operationalisierung der datenschutzrechtlichen Anforderungen sicher und bietet einen praktischen Baustein für die Erfüllung der Nachweispflicht: Die Etablierung eines Prozesses zur datenschutzkonformen Produktgestaltung. Weiterlesen