Expertise

Cloud-Lösungen als DSGVO-Risiko

von - 08.11.2018
DSGVO
Foto: Good_Stock / Shutterstock.com
Die DSGVO-Umsetzung ist längst nicht abgeschlossen. Ein besonderer Fall sind SaaS-Lösungen, da es in diesem Bereich bei vielen Unternehmen an der Transparenz zur Erfüllung der Compliance mangelt.
Dieser Beitrag wurde von Benedict Geissler verfasst, Geschäftsführer bei Snow Software, einem internationalen Anbieter von Software-Asset-Management-Lösungen.
Die Gründe für den Umstieg auf Cloud-Lösungen liegen auf der Hand: geringere Ausfallzeiten, mehr Effizienz in der IT sowie Kostensenkungen durch Zeiteinsparungen, Prozessbeschleunigungen und geringeren Wartungsaufwand. Die hierzulande lange vorherrschenden Sicherheitsbedenken spielen mittlerweile keine besondere Rolle mehr.
In der Studie „Cloud-Migration 2018“ von IDG Research Services ist „mehr Sicherheit“ sogar einer der meistgenannten Gründe für den Umstieg in die Cloud. Unabhängig davon lässt sich feststellen, dass der Markt für Cloud-Services in den vergangenen Jahren stark gewachsen ist. Kaum ein Unternehmen verzichtet noch auf sie und der Trend weist klar in die Richtung, immer mehr Services in die Cloud zu migrieren.

Natürliche Feinde: Cloud – DSGVO

In der IT passieren derzeit viele Dinge gleichzeitig. Parallel zur Cloud-Revolution kämpfen Unternehmen noch immer mit der DSGVO. Die in diesem Jahr endgültig in Kraft getretene Verordnung birgt viele Herausforderungen, die meisten lassen sich aber auf eine entscheidende Grundproblematik reduzieren: Unternehmen müssen exakt verstehen, wo personenbezogene Daten liegen, wer auf sie zugreift und zu welchen Zwecken sie weiterverarbeitet werden.
In diesem Zusammenhang maßgeblich ist Artikel 30 der DSGVO, der vorschreibt, ein „Verzeichnis von Verarbeitungstätigkeiten“ zu pflegen. Um dieses Verzeichnis zu erstellen, müssen Unternehmen alle Bestände an personenbezogenen Daten ermitteln – unabhängig von der Plattform.
Benedict Geissler
Geschäftsführer
Snow Software
Foto: Snow Software
„Die DSGVO-Compliance verkommt zum Glücksspiel.“
Und hier wird die Cloud zum Risikofaktor: Während die meisten Unternehmen einen einigermaßen guten Überblick haben, wo personenbezogene Daten auf ihren lokalen Systemen liegen, sind sie gerade bei SaaS-Lösungen meist völlig ahnungslos.
Die mangelnde Transparenz hat mehrere Gründe: Das erste Problem sind die in vielen Unternehmen verbreiteten Discovery-Tools und -Methoden, da sie in der Regel auf On-Premise-Ressourcen limitiert sind. Was in der Cloud passiert, bleibt ihnen verborgen.
Das zweite Problem ist die Art und Weise, wie viele SaaS-Anwendungen angeschafft werden. Oftmals gehen Fachabteilungen hier nämlich nicht mehr den Umweg über die IT, sondern kaufen die benötigte Lösung einfach selbst. So geht die zentrale Kontrolle verloren.
Die entstehende Transparenzlücke führt dazu, dass sich weder die IT noch die für die Umsetzung der DSGVO zuständigen Mitarbeiter ein vollständiges Bild machen können, wie, wo und von wem personenbezogene Daten verarbeitet werden. Die Pflege des geforderten Verzeichnisses für Verarbeitungstätigkeiten und die Umsetzung der DSGVO können somit nur lückenhaft erfolgen. Die DSGVO-Compliance verkommt zum Glücksspiel; bei Verstößen drohen empfindliche Strafen.
Verwandte Themen