General Data Protection Regulation (GDPR): Was bedeutet der neue europäische Datenschutz-Standard für die Cloud-Strategie eines Unternehmens?


Mit der General Data Protection Regulation (GDPR) werden die Regeln für die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht. Dies zwingt viele Organisationen zu einem Umdenken in der Cloud-Strategie.

Ohne Cloud-Services stünden mittlerweile viele Unternehmen still – egal ob in der Finanzindustrie, im Gesundheitssektor oder in der öffentlichen Verwaltung. Eine der wichtigen Fragen, die die IT-Verantwortlichen dieser Unternehmen oft beschäftigt, sind jene des Datenschutzes und der Datensicherheit. Was passiert mit meinen geschäftskritischen Daten und Diensten im Notfall? Wie schnell sind sie wieder hergestellt? Und wer garantiert mir ausreichend Sicherheit?                 

Dazu kommen auch noch zahlreiche regulatorische Anforderungen. Und spätestens im Mai 2018 müssen alle im europäischen Wirtschaftsraum tätigen Unternehmen für einen weiteren grossen Brocken gewappnet sein: die im April 2016 verabschiedete General Data Protection Regulation (GDPR) der Europäischen Union (auf Deutsch: Datenschutz-Grundverordnung), mit der die Regeln für die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden.

Der Zeitraum bis 2018 mag vielleicht noch lange erscheinen, doch der Umfang der bestehenden IT-Implementierungen sowie die Komplexität der IT-Netzwerke und Datenspeicher, die Unternehmen im Lauf der Zeit aufgebaut haben, können die Zeit für die Implementierung durchaus knapp werden lassen. Und vor allem: Es gibt kaum jemanden, der nicht von der GDPR betroffen sein wird, denn sie betrifft alle Unternehmen und Organisationen, die in der EU ansässigen Personen Güter oder Dienstleistungen anbieten – unabhängig vom Betriebsstadort.

Daher lohnt es sich schon jetzt zu wissen, was die vielen neuen Bestimmungen der Datenschutz-Grundverordnung im Detail bedeuten:

Datenschutz beim Design und als Standard

  • Bereits bisher waren Unternehmen verflichtet, „angemessene technische und organisatorische Massnahmen“ zum Schutz persönlicher Daten zu treffen. Die GDPR  verpflichtet Unternehmen künftig auch dazu, den Nachweis zu erbringen, dass die getroffenen Massnahmen konstant überprüft und aktualisiert werden.
  • Zusätzlich müssen Unternehmen belegen, dass Datenverarbeitungsvorgänge schon durch das Design angemessene Schutzmassnahmen aufweisen und dass grundsätzlich nur dort persönliche Daten verarbeitet werden, wo dies tatsächlich notwendig ist.

Datenschutz-Folgenabschätzung

  • Unternehmen sind zu einer Datenschutz-Folgenabschätzung hinsichtlich der geplanten Verarbeitungsvorgänge verpflichtet, falls es wahrscheinlich erscheint, dass die Verarbeitung hohe Risiken für die Privatsphäre zur Folge hat. In diesem Fall muss die zuständige Datenschutzbehörde konsultiert werden.

Verpflichtende Meldung von Datenschutzverletzungen

  • Alle Unternehmen müssen Datenschutzverletzungen binnen 72 Stunden melden.
  • Im Falle einer Datenschutzverletzung mit hohen Risiken für die Privatsphäre müssen auch die betroffenen Personen informiert werden.

Abseits dieser technischen Details zwingt die GDPR auch zu einem Umdenken in der Cloud-Strategie vieler Organisationen. Sie verpflichtet Unternehmen, dass personenbezogene Daten nicht in Ländern ausserhalb des Europäischen Wirtschaftsraumes gespeichert oder übertragen werden dürfen, wenn diese nicht einen mindestens ebenso hohen Datenschutzstandard wie die EU aufweisen. Diese Requirements können vor allem von vielen grossen Cloud-Providern nicht in so kurzer Zeit erfüllt werden, da diese üblicherweise in grossem Mass Daten europäischer Kunden ausserhalb der EU speichern und verarbeiten – und das oftmals sogar ohne deren Wissen. Die Liste der Länder, die den europäischen Privacy-Standards genügen, ist ausserdem sehr kurz. Gerade einmal 11 Länder finden sich darauf – und die USA, wo knapp 70 Prozent der weltweiten Cloud-Anbieter ihre Hauptquartiere haben, sind nicht darunter.

Insbesondere für Kunden von US-amerikanischen Cloud-Providern besteht daher aufgrund der neuen Regelungen Handlungsbedarf. Ein zu 100 Prozent europäischer Anbieter gibt hier mehr Sicherheit, um schon heute den Anforderungen der Zukunft gerecht zu werden.                    

Wir bei Safe Swiss Cloud sind überzeugt: Eine Regelung wie die General Data Protection Regulation ist nicht nur eine Aufforderung zum Handeln, um nicht irgendwann hohe Bussen zu bezahlen – sie ist auch eine grosse Chance. Unternehmen sollten erkennen, dass Privatsphäre, Sicherheit und die Einhaltung höchster Standards äusserst wichtige Markenunterscheidungsmerkmale sind. Und das ist der Weg, auf dem wir unsere Kunden gerne begleiten. 

Schreiben Sie einen Kommentar

zehn + 1 =

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Hinweis:
Sie können beim Kommentieren folgende HTML Tags und Attribute verwenden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>