Compliance-Werkzeuge für eine DSGVO-konforme Cloud-Nutzung

veröffentlicht am 18. Mai 2022 | Lesedauer ca. 7 Minuten

Die Nutzung der breitgefächerten Angebote in der Cloud ist für die meisten Unterneh­men bereits Alltag. Sei es, um innovative Anwendungen zu integrieren oder Geschäfts­partnern und Kunden einen leichten Zugang zu Daten und Angeboten zu verschaffen. Für die dazu notwendigen Bausteine und Organisationsformen gelten vielfältige Compliance-Anforderungen, wie z.B. die DSGVO. Transparenz und Übersicht können mit spezialisierten Hilfsmitteln besser erreicht werden.

• Nur gemeinsam sind sie stark »

• 1. Die Verantwortlichen und deren Verantwortlichkeiten »

• 2. Die Cloud: Grosse und kleine Wolken, niedrige und hohe, im Grossen und Kleinen »

• 3. Sicherheit und Umgang mit den Daten der Betroffenen (auch des Unternehmens) »
  

Die in unseren aktuellen Informationen und Webinaren vorgestellten Themen umreißen bereits viele Aspekte, die für das Management und speziell auch für die IT-Verantwortlichen hohe Relevanz haben: Immer geht es auch darum, die sich weiter entwickelnden Themen und ihre Technologien auf dem Schirm zu behalten. Gleich­zeitig wachsen die Zahl von Risiken und Angreifern auf die Unternehmen und ihre Services. Die DSGVO schreibt der verantwortlichen Stelle jenseits dieser Komplexität in Art. 5 Abs. 2 DSGVO die sog. Rechenschafts­pflicht zu und verlangt, neben wirtschaftlichen Aspekten auch den Stand der Technik in den Produkten und Prozessen zu berücksichtigen. Damit ist klar, dass „die Compliance“ ein sehr breites und hoch dynamisches Umfeld zu betrachten hat.

Die Zahl der Angriffe und Datenpannen wächst seit Jahren stetig, und damit auch das Risiko, irgendwann selbst betroffen zu sein. Dabei ist es zunächst zweitrangig, ob die Ursache eigene Defizite oder Einflüsse aus internationalen Lieferketten sind. Die systemische Verbindung von Datenschutz mit Bezug zur DSGVO und Ver­fügbarkeit eines Informationssicherheitskonzeptes wurde bereits in dem Artikel „Sinnvolle Integration eines Informationssicherheits- und Datenschutzkonzeptes“ beschrieben.).

Nur gemeinsam sind sie stark

Es ist wichtig für die Compliance, die verantwortlichen Akteure – nutzende Unternehmen und Cloud-Service-Anbieter – und ihre jeweiligen Aufgaben klar zu trennen. Die Nutzer sind z.B. für die Rechtmäßigkeit und Si­cher­heit der Daten und ihrer Verarbeitung „zuständig“. Dies schließt u.a. alle Vorkehrungen mit ein, die den exklusiven und sicheren Zugriff nur für die jeweils berechtigten Mitarbeiter und Partner sicherstellen sollen. In dem sog. „Identity and Access Management“ (IAM) werden alle Regelwerke und Richtlinien zu den betref­fen­den Prozessen und Technologien zusammengefasst, die der Verantwortliche bereitstellen muss. Im Grundsatz sind diese für jede Organisation existenziell, egal ob mit oder ohne Cloud-Hintergrund. Nicht umsonst ist der Bereich Identitäts- und Zugriffsverwaltung einer von vier Kernthemen für die Sicherstellung der Security- und Compliance-Anforderungen etwa für die Microsoft-Cloud(s). Hinzu kommen Werkzeuge zur Sicherheits­ver­wal­tung, dem Schutz vor Bedrohungen (von innen und außen) sowie dem Schutz der Daten selbst.

Den organisatorischen, operativen Aufwand des Verantwortlichen (der Nutzer) begleiten Cloud-Anbieter, indem sie Security- und Compliance-Dashboards integrieren, die im Hinblick auf die DSGVO und/oder Frameworks wie die ISO27001 jeweils Controls aufzeigen und deren Bearbeitungsstatus auswerten. Die Zusammen­fas­sun­gen werden grafisch und mit einem Scoring-Wert zu einem Soll-Ziel übersichtlich abgebildet. Unvoll­ständige Umsetzungen werden aufgezeigt und Maßnahmen vorgeschlagen. Auch eine Terminverfolgung und Zuordnung von verantwortlichen Personen/Funktionen unterstützt das Monitoring der Aufgaben. Seitens der Cloud-Anbie­ter ist in deren Leistungsverträgen jedoch regelmäßig das Cloud-nutzende Unternehmen in der Pflicht, diese Vorgaben sozusagen „am Boden und bis vor die Cloud“ zu erfüllen, während der Cloud-Anbieter die technische Funktionalität der Anwendung(en) in seinem Cloud-Angebot zu gewährleisten hat.

Die Sicherheit der Cloud-Anwendung hängt daher „natürlich“ auch von der Einhaltung der Sicherheits- und Compliance-Vorgabe durch die Kunden ab. Deshalb stellen die Anbieter in ihren Compliance- oder DSGVO-Dashboards Checklisten und Empfehlungen zur Verfügung, wie zentrale Parameter eingestellt und Richtlinien aktiviert werden können bzw. müssen. Vorarbeiten, Einrichtung und Umsetzung in der Organisation sind ganz klar Sache des Nutzers und seiner Admins. Lücken und Fehler gehen zu seinen Lasten. So fällt dann auch die Verknüpfung verschiedener Cloud-Provider in die Verantwortung des Anwenders – sie kann aber ggf. mit ent­sprechend zugekauften Services des Providers technisch unterstützt werden, wenn der Kunde dies wünscht und beauftragt.

Bereits die ersten Versuche, dies mit vorhandenen Office-Tools in Eigenregie zu organisieren, kommen sehr schnell an ihre Grenzen. Schon für kleinere mittelständische Unternehmen, regelmäßig aber für internationale Firmengruppen und Konzerne, wird es kompliziert, die Prozesse (hier: Verarbeitungstätigkeiten) für mehrere nationale Vorgaben in der EU und/oder Transfers in unsichere Drittländer zu differenzieren. Nicht selten wird „zur Sicherstellung der Compliance-Anforderungen“ schließlich auf eine Cloud-Lösung abgestellt, um alle As­pekte transparent bearbeiten zu können.

Für die Compliance-Überlegungen rund um die Cloud(s) ist es sinnvoll, die Akteure einerseits, die Cloud-Kom­po­nenten andererseits und die Beziehungen untereinander zu betrachten:

Siehe Grafik:

1. Die Verantwortlichen und deren Verantwortlichkeiten
2. Die Cloud: große und kleine Wolken, niedrige und hohe, im Großen und Kleinen
   
3. Sicherheit und Umgang mit den Daten der Betroffenen (auch des Unternehmens…)
   

1. Die Verantwortlichen und deren Verantwortlichkeiten

Im Fokus steht der „Verantwortliche“ gem. Art. 4 Nr. 7, weil er „… allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Dazu kann er sog. Auftrags­verarbeiter nach Art. 28 (1) auswählen und in seine Verarbeitungsprozesse einbeziehen, wobei er in einem Auf­tragsverarbeitungsvertrag (AVV) diese Zusammenarbeit entsprechend der DSGVO regeln und regelmäßig kon­trollieren muss.

Der Cloud-Anbieter tritt bisweilen in der Rolle als gemeinsam Verantwortlicher in diese Nutzung von Daten ein, weil er z.B. für den sicheren Betrieb „seiner“ IT-Umgebung auch Daten über die Nutzenden verarbeiten muss/will (z.B. Protokoll-, System- oder Meta-Daten aus der Systemnutzung). Daraus können Risikoanalysen zu ein- oder ausgehenden Mails („Advanced Threat Processing“) abgeleitet werden, die zu seinem erweiternden Sicherheitsangebot gehören und helfen die Compliance hinsichtlich des Schutzes der Daten und der System­stabilität zu verbessern.

Inwieweit diese Angebote und auch die weitere Produktentwicklung sinnvoll und geboten sind oder andere Tools eingesetzt werden sollten, muss jeder Verantwortliche für sein Unternehmen abwägen.

Überlagert wird diese Diskussion oft, wenn globale Cloud-Plattformen genutzt werden, bei denen regelmäßig PbD zumindest in System- und Logfiles übermittelt werden (Art. 44) und ggf. in sog. unsichere Drittstaaten gem. Art. 46 übertragen werden sollen. Seit der EuGH im Zusammenhang mit dem sog. Schrems2-Urteil im Juli 2020 einen deutlich umfangreicheren Prüfrahmen für die Rechtmäßigkeit der Verarbeitung in Drittländern de­finiert hat – z.B. für die USA – müssen Verantwortliche weitere Hürden mit eigenen Mitteln oder speziellen (Cloud-)Anbietern abarbeiten. Ein einfaches Ende ist bisher leider nicht abzusehen.

2. Die Cloud: Große und kleine Wolken, niedrige und hohe, im Großen und Kleinen

So, wie der Erfolg laut Volksmund viele Väter hat, hat die Cloud auch viele Protagonisten und Interessenlagen, die der Verantwortliche unter seinen Compliance-Hut bringen muss.

„Die Cloud“ ist ein Synonym für mehrere Cloud-Ebenen, -Anbieter, -Plattformen und Anwendungen (Funktio­nen), die dennoch einzeln klar benennbar sein sollten, um ihr Zusammenspiel sauber verzahnen zu können. Die Ergänzung einer Cloud-Anwendung durch Drittanbieter fällt immer in die Verantwortung des nutzenden Unter­nehmens – Risikoübergang inklusive.

Auch wenn die Cloud-Basis mit den Providern IT-technisch, juristisch und ablauforganisatorisch aufbereitet werden konnte, bleiben für den Verantwortlichen viele laufende Hausaufgaben bestehen:

Welcher Umfang bzw. welche Lizenzpläne der Cloud-Umgebung sollen aktiviert werden?

• Damit effizient und compliant die Verarbeitungen sichergestellt wird. Und:
• Welche Aufgaben und Pflichten hat der Cloud-Partner oder der Nutzer „definitiv“ im Vertrag übernommen? Welche Lücken bestehen und bis wann sind sie zu schließen? (z.B. Berechtigungsmanagement, Zugangssicherheit, Verschlüsselungsmanagement)

Wie gehen man mit technischen Entwicklungen der Provider um?

• Was müssen/sollten wir nutzen, was können wir ggf. auslassen/aufschieben?
• Welchen Umstellungs- und Schulungsbedarf müssen wir jeweils einplanen?
• Wo gibt es (neue) kritische Anwendungen im Sinne unserer Compliance-Vorgaben?

Bei Cloud-Services gehört es zum Standard, dass sicherheits- und compliance-relevante Parameter durch Updates des Herstellers „neu eingestellt“, Features entfernt oder erweitert werden. Für den Verantwortlichen bedeutet das wiederkehrenden Prüfaufwand (trotz der Compliance-Tools).

Selbst wenn innovative Services integriert werden, die zunächst hilfreich erscheinen, ist ein zweiter Blick gebo­ten, wenn zusätzlicher Datentransfer zum Anbieter entsteht – möglicherweise in ein unsicheres Drittland – und dieser gegen bisherige Richtlinien und/oder die DSGVO Art. 44 ff. verstößt. Und Beispiele dazu gibt es sehr viele – auf allen Ebenen und Anwendungen- wie etwa bei der Freischaltung und Nutzung z.B. von

• integrierten Übersetzungshilfen und Korrektur-Programmen
• KI-gestützten Vorschläge bei der Visualisierung von Daten
• Auswertungen zum Nutzungsverhalten und der „Performance“ von Team-Mitgliedern zur Selbst-Optimierung oder zum Transfer von Know-how an die Kollegen
• Relevanz-basierter Unterstützung des Mailaufkommens uvm.

Berührungspunkte zur DSGVO und zu Compliance-Vorgaben sind dabei fortlaufend zu untersuchen.

So reicht z.B. eine Anfang 2021 dokumentierte Risikobewertung und Freigabe zum Einsatz von M365 wegen der Schrems2-Entscheidung des EuGHs alleine nicht mehr aus und muss an die heutigen Kriterien angepasst sein. Der Einsatz von MS Teams mit den Online-Versionen von SharePoint und Exchange setzt so voraus, dass der Verantwortliche die auftretenden Fragen im Detail ausarbeitet.

Hilfestellungen dazu bieten in Teilen die Admin-Konsolen, Security und Compliance Center sowie Checklisten oder Empfehlungen der Hersteller oder unabhängiger Prüfungseinrichtungen:

• Wie ist der Umgang mit sensiblen personenbezogenen Daten in der Teams-Ablage geregelt?
• Wer darf – unter welchen Vorgaben – neue, auch ggf. externe Team-Mitglieder einladen und berechtigen? Welche Rechte erhalten diese Externen? Werden diese regelmäßig überprüft?
• Ist eine Klassifizierung von Daten eingerichtet, die unerwünschte Transfers verhindert?
• Wie werden die Betroffenenrechte in den Teams und z.B. in MS Teams sichergestellt?
• Sind die Daten-/Prozess-/Teams-Owner zu ihren Verantwortlichkeiten ausreichend geschult?

Diese Skizzen zeigen, dass der Gang in die Cloud für den Verantwortlichen in jeder Phase viele Fragen aufwirft und ein umfangreiches Portfolio von Gestaltungs- und Kontrollaufgaben nach sich zieht.

Das weitere Wachstum der Datenmengen lässt erwarten, dass auch die Compliance-Risiken mindestens proportional mitwachsen und Ressourcen beanspruchen. Um fortgesetzt die Sicherheit der Verarbeitung nach Art. 32 DSGVO zu gewährleisten, muss der Verantwortliche immer auch sein Business Continuity Management anpassen und resilienter ausbauen.

Leider ist es nicht vorrangig Aufgabe der Hersteller oder Anbieter, die Funktionalität und Compliance der Pro­dukte nachzuweisen, sondern der Verantwortliche (Anwender) muss prüfen, ob seine Auswahl geeignet ist, die eigenen regulatorischen Bedingungen umfassend zu erfüllen.

3. Sicherheit und Umgang mit den Daten der Betroffenen (auch des Unternehmens)

Wie oben dargestellt reicht es aber nicht aus, sich auf die einzelnen Anbieter und deren Interpretation von Com­pliance zu verlassen. Die notwendigen Schnittstellen und Verzahnungen muss der Verantwortliche auf der Anwenderseite organisieren und überwachen, um seine Betriebssicherheit zu gewährleisten und etwaigen Straf­zahlungen oder Imageverlusten bei Datenpannen vorzubeugen.

In diesem Sinne wirken selbstredend auch andere Maßnahmen des Managements in den Bereichen der Quali­tätssicherung, des Internen Kotrollsystems (IKS) und des Risikomanagements durch Zertifizierungen etwa nach ISO 27001 (LINK), CISIS 12 (LINK), BSI Grundschutz uvm. positiv auf dieses Ziel.

Die regulatorischen Vorgaben der EU und vieler anderer Gesetzgeber beeinflussen Geschäftsmodelle aller Plattform-Anbieter und damit auch ihrer Nutzer, die diesen Änderungsdruck umsetzen müssen.
Die aktuellen Krisen zeigen eindrucksvoll, dass globale Lieferketten auch sehr anfällig in der IT-Vernetzung sind und weitere Investitionen in Technik und Sicherheit sowie Schulungen erfordern.

Mit den wachsenden Datenmengen und Compliance-Vorgaben werden auch die Komplexitäten der Com­pliance-Werkzeuge steigen (müssen). Ein guter Grund, rechtzeitig die Hausaufgaben mit Weitsicht anzu­gehen. Abwarten ist wegen der wachsenden Bedrohungsszenarien sicher keine gute Idee.