Beiträge

Safe-Harbor-Abkommen gekippt Grafik

Safe-Harbor-Abkommen durch EuGH gekippt – was jetzt?

Safe-Harbor-Abkommen gekippt Grafik

Datenschützer und am Datenschutz Interessierte jubeln und feiern einen weiteren Teilerfolg, die Wirtschaft befürchtet Einschnitte – welche Auswirkungen hat das Urteil für Unternehmen?

Die Klage des Österreichers Max Schrems gegen die irische Datenschutz-Aufsichtsbehörde war erfolgreich – und könnte nachhaltig die Wirtschaft beeinflussen. So oder ähnlich sind die ersten Reaktionen auf das Urteil des EuGH zum Safe-Harbor-Abkommen. Realistische Einschätzungen für die Folgen der Rechtsprechung lassen sich zum jetzigen Zeitpunkt kaum erahnen. Die Tragweite ist für Firmen wie für Verbraucher noch weitgehend unbekannt.

Um was geht es?

Anstoß für das Urteil war die Tatsache, dass Daten, welche durch Facebook in Europa erfasst, aber in Amerika gespeichert werden, durch die US-Sicherheitsbehörden uneingeschränkt eingesehen und erfasst werden können. Link für Interessierte: http://www.europe-v-facebook.org/DE/de.html.

Grundlage für dieses Vorgehen ist der sogenannte „Patriot Act“, in welchem dieses Verhalten bei Sicherheitsbedenken für die USA gebilligt wird und aus Sicht der amerikanischen Behörden legitim ist. Im Zuge des NSA-Abhörskandals und nicht zuletzt durch die Veröffentlichungen des „Whistleblowers“ Edward Snowden geriet das Thema Datenschutz mehr und mehr in den Blickpunkt der Gesellschaft. Ein neuer Höhepunkt ist das aktuelle Urteil.

 

Die möglichen Auswirkungen

Unternehmen können sich nun nicht mehr auf das Safe-Harbor-Abkommen als Grundlage für die Speicherung der Daten in den USA berufen. Große amerikanische Firmen, welche die vorrangige Marktmacht auf verschiedenen Gebieten innehaben, verlassen sich jedoch nicht mehr nur auf dieses Abkommen. Sie werden mit ihren Rechtsabteilungen sicherlich andere gangbare Regelungen (BCR , EU-Standardvertragsklauseln) finden, personenbezogene Daten mehr oder weniger rechtssicher in die Vereinigten Staaten übertragen zu können.

Inwieweit die EU oder die Datenschutzaufsichtsbehörden einzelner Länder diese Regelungen beanstanden werden, bleibt abzuwarten. Die deutschen Aufsichtsbehörden werden sich dazu demnächst verbindlich äußern.

Kleinere Unternehmen, welche amerikanische Produkte vertreiben und bei denen die Speicherung der Daten in den USA erfolgt, sind jedoch zum Handeln gezwungen: Entweder sie treffen neue vertragliche Regelungen mit ihren amerikanischen Dienstleistern oder Kunden könnten ihnen möglicherweise verloren gehen.

Die Kunden sind auf jeden Fall von jetzt an in der Pflicht, bei ihren Dienstleistern zu prüfen, ob die personenbezogenen Daten rechtskonform in die USA transferiert werden.

Die Entwicklung auf dem Markt, dessen Landschaft sich definitiv verändern wird, ist mit Spannung zu erwarten. Ebenso wird die Fassung eines neuen Safe-Harbor-Abkommens von den betroffenen Unternehmen und von Datenschützern mit höchster Aufmerksamkeit verfolgt und wird ein aktuelles Thema bleiben.

Dem Kunden bleibt also momentan bei der Auswahl eines geeigneten Dienstleisters nur übrig, sich intensiv mit den geltenden Datenschutzbestimmungen für die angebotenen Produkte zu beschäftigen, im Zweifelsfall zu prüfen, ob eine ggf. stattfindende Übertragung von personenbezogenen Daten in die Vereinigten Staaten rechtskonform durchgeführt wird und dies alles zu dokumentieren, falls die zuständige Datenschutz-Aufsichtsbehörde oder interessierte Betroffene nachfragen.

 

Unsere Lösung für Sie

Alternativ kann der Kunde natürlich auch einen Anbieter auswählen, der seine Infrastruktur und alle angebotenen Dienstleistungen vollständig in Deutschland betreibt und demzufolge auch in der Lage ist, mit dem Kunden für die Dienstleistung eine Auftragsdatenverarbeitungsvereinbarung abzuschließen.

Bei cojama bekommen Sie genau das:

Cloud-Computing und Datenschutz: Wie bekommt man beides unter einen Hut?

Interview zum Datenschutz

Fragen an den Datenschutz-Beauftragten (DSB):

Herr Spaeing, die Firma ds-quadrat hat sich auf die Beratung für Datenschutz und Datensicherheit spezialisiert. ds² wurde 2001 gegründet und hat sich seit dem zu einer renommierten Unternehmensberatung in diesem Bereich entwickelt.

Dabei betreuen Sie Unternehmen und andere Organisationen verschiedener Branchen. Mit mehreren Projektbüros in ganz Deutschland bietet ds² Unternehmen und Institutionen ein erfahrenes Team bestehend aus Wirtschaftsexperten, Wirtschaftsinformatikern und Juristen.

Sie selbst leiten die Zweigstelle in der Lutherstadt Wittenberg und betreuen uns als Cloud-Computing Anbieter seit fast fünf Jahren.

Wie kann man Cloud-Computing als Unternehmen nutzen und dennoch dafür sorgen, dass die Themen Datenschutz u. Datensicherheit angemessenen berücksichtigt werden?

Cloud Computing ist kein komplett neues Thema. Meist waren ähnliche Dienstleistungen auch früher schon am Markt unter anderen Bezeichnungen verfügbar. Immer mussten diese Dienstleistungen (Outsourcing, Software-as-a-service), wenn es (auch) um die Verarbeitung personenbezogener Daten ging, über gesetzlich im BDSG geforderte Auftragsdatenverarbeitungs-Vereinbarungen geregelt werden.
Wenn heutzutage ein Unternehmen Cloud Computing nutzen will, um Daten zu verarbeiten und wenn dabei nicht ausgeschlossen werden kann, dass personenbezogene Daten verarbeitet werden (erst dann ist es ein Datenschutzthema), dann sollte dieses Unternehmen darauf achten, dass der Cloud Computing-Anbieter auch eine entsprechende Auftragsdaten-Vereinbarung anbietet und dass die dazugehörigen technische und organisatorische Maßnahmen (TOMs, hier werden unter anderem Maßnahmen für die Datensicherheit definiert) angemessen sind.

Welche Bedeutung hat es, ob sich die Systeme in Deutschland, der EU oder einem Drittland befinden?

Wichtig ist an dieser Stelle anzumerken, dass Auftragsdatenverarbeitung nur innerhalb des Geltungsbereichs der EU-Datenschutzrichtlinie von 1995 erlaubt ist. Wenn also der Cloud Dienstleister nicht aus der EU kommt, kann es sich nicht um eine ADV handeln. Dann wird es datenschutzrechtlich deutlich anspruchsvoller. Und es liegt die Vermutung nahe (je nach dem Land, in dem der Dienstleister agiert), dass dort das Datenschutzniveau nicht dem europäischen Anspruch genügt. Schon der europäische Anspruch entspricht nicht immer dem Niveau, das wir im Zweifelsfall in Deutschland haben wollen. In Abhängigkeit von der Sensibilität der personenbezogenen Daten kann es also eine gute Wahl sein (wenn alles andere auch passt) sich für einen Anbieter aus Deutschland zu entscheiden, da bei diesem am Ehesten vermutet werden kann, dass er sich komplett an deutsche Gesetze hält.

Was können Sie Unternehmen bzw. Organisationen grundsätzlich raten, wenn diese Interesse an einer Cloud Lösung haben?

Es muss sichergestellt sein, dass der Anbieter datenschutzkonform arbeitet.

Wenn es ein deutscher Anbieter ist, muss er sich an die deutsche Datenschutz-Gesetzgebung (Bundesdatenschutzgesetz, Landesdatenschutzgesetz, …) halten.

Wenn es ein Anbieter aus dem EU-Raum ist, muss sichergestellt sein, dass dieser sich an die in dem jeweiligen Land geltenden Datenschutzgesetze, die alle auf der EU-Datenschutz-Richtlinie basieren, hält und die Anforderungen des deutschen Bundesdatenschutz-Gesetzes ebenfalls erfüllt.

Herr Spaeing, welche Voraussetzungen muss ein Cloud-Computing Anbieter mindestens erfüllen, damit er die Themen Datenschutz und Datensicherheit für seine Kunden zufriedenstellend abgedeckt hat?

Der Anbieter muss dem Kunden eine ADV-Vereinbarung anbieten, und er muss dem Kunden garantieren, dass er dessen Vorgaben bzgl. der technisch-organisatorischen Maßnahmen (TOMs) erfüllt.

Welche Rolle spielt dabei die Frage nach einem Datenschutzbeauftragten beim Cloud-Computing-Anbieter?

Wir Datenschutzbeauftragte haben den gesetzlichen Auftrag auf die Einhaltung der Datenschutz-Gesetze hinzuwirken. Deswegen ist es durchaus ein Gütekriterium, wenn ein Cloud Computing-Anbieter einen Datenschutzbeauftragten hat, denn daran kann man absehen, dass das Thema Datenschutz von dem Anbieter mit hoher Wahrscheinlichkeit ernst genommen wird.

Wichtig ist hierbei, dass der Auftraggeber als sog. verantwortliche Stelle (gem. BDSG) auch überprüft, ob der beim Dienstleister bestellte Datenschutzbeauftragte die an ihn gestellten Anforderungen effektiv erfüllen kann. Hiermit meine ich: Ist der Datenschutzbeauftragte entsprechend ausgebildet, hat er die Möglichkeit, sich regelmäßig in diesem Fachgebiet weiterzubilden und wird er von dem Dienstleister in der Ausübung seiner Pflichten so unterstützt, wie das BDSG es fordert.

Welche Bedeutung haben die Eigentümerstruktur oder Konzern-Verflechtungen des Dienstleisters?

Grundsätzlich haben Eigentümerstruktur oder Konzernverflechtung des Dienstleisters keinen wesentlichen Einfluss auf das Datenschutz-Niveau des Dienstleisters.

Natürlich ist heutzutage gerade im Zusammenhang mit den bekannt gewordenen Geheimdienst-Skandalen eine durchaus wichtige Überlegung, welches Recht für den Dienstleister gilt. Es kann wahrscheinlich nicht ausgeschlossen werden, dass ein Unternehmen, welches einer amerikanischen Konzern-Mutter gehört, sich auch amerikanischem Recht unterwerfen muss. Es ist heutzutage allgemein bekannt, dass das amerikanische Datenschutz-Niveau an das europäische nicht heran reicht. Der Auftraggeber ist aber an deutsches Recht gebunden und muss im Zweifelsfall sicherstellen, dass der Dienstleister sich vollständig an deutsches Recht hält.

Ein zweiter Aspekt kann die Frage der Kontinuität des Dienstleisters sein, denn in größeren Konzernen kommt es häufiger zu Umstrukturierungen und dabei könnte durchaus auch mal der Dienstleister auf der Strecke bleiben. Bei den deutschen kleinen und mittleren Unternehmen (KMU) ist über die letzten Jahrzehnte regelmäßig Konstanz in der Firmenführung festzustellen gewesen.

Sehen Sie generell einen Vorteil in der Beauftragung eines Cloud-Computing-Anbieters?

Lassen Sie mich zur Beantwortung dieser Frage ein wenig ausholen:

Die Frage ob ich einen externen Anbieter mit der Erbringung einer Dienstleistung beauftrage oder diese Tätigkeit selbst ausführe, stellt sich ja auch bei der durch mich angebotenen Dienstleistung des Datenschutz-Beauftragten.

Unternehmen müssen einen Datenschutz-Beauftragten bestellen. Hierbei ist es ihnen freigestellt, einen Mitarbeiter zum internen Datenschutz-Beauftragten zu bestellen oder diese Dienstleistung über einen externen Anbieter in Anspruch zu nehmen. Beides kann Vorteile haben.

Wenn das Unternehmen den Mitarbeiter ordentlich qualifiziert und ihm alle benötigten Ressourcen zur Verfügung stellt, wird dieser interne Datenschutzbeauftrage seine Aufgabe gesetzeskonform und sicherlich auch gut erfüllen.

Das BDSG hat den Unternehmen aber auch die Möglichkeit gegeben, einen externen Dienstleister als Datenschutzbeauftragten zu bestellen. Ich z. B. bin nur als Datenschutz-Berater und bestellter Datenschutzbeauftragter tätig.

Meine Kunden gehen also davon aus, dass ich – weil ich mich ja nur mit dem Thema Datenschutz beschäftige – entsprechende Expertise und Erfahrung im Bereich des Datenschutzes habe.

Genau das Gleiche gilt grundsätzlich für alle anderen Dienstleistungen.

Natürlich kann ein Unternehmen z. B. einen Mailserver (Exchange-Server) im eigenen Haus betreiben. Dazu benötigt es dann finanzielle Ressourcen (Kauf der Hard- und Software) und natürlich auch qualifizierte Mitarbeiter, die diesen Server betreiben und ihn gegen alle bestehenden Gefahren und Risiken angemessen absichern. Das kann so problemlos funktionieren.

Oder das Unternehmen beauftragt einen Spezialisten, der nur diese oder zumindest nur wenige gleichartige Dienstleistungen anbietet, und überzeugt sich natürlich beim Auswahlprozess davon, dass dieser Dienstleister auch die entsprechende Expertise und Erfahrung hat. Hier fallen dann zwar regelmäßige Kosten an, aber letztendlich bleibt es einer individuellen Prüfung vorbehalten, ob diese Variante nicht über alles gesehen die bessere und günstigere Lösung ist.

cojama hat sich nach einer ausführlichen Prüfung für einen externen Datenschutzbeauftragten entschieden.

Herr Spaeing, vielen Dank, dass Sie sich die Zeit für die Beantwortung unserer Fragen genommen haben.

Das Interview führte Marco Großmeilert, Koordinator des Datenschutzes bei der cojama Infosystems GmbH, Fulda und Mitglied der Geschäftsleitung

Wussten Sie schon… wie Sie Ihre Daten besser schützen können?

Datenschutz und Datensicherheit werden immer wichtiger. Schützen Sie Ihre Daten!

Datenschutz und Datensicherheit werden immer wichtiger. Schützen Sie Ihre Daten!

Die Themen Datenschutz und Datensicherheit werden immer wichtiger.
Seitdem Hacker Angriffe und Datendiebstahl immer häufiger in den Medien thematisiert werden und die Möglichkeiten der Überwachung durch die NSA Affäre bekannt wurden, machen sich immer mehr Nutzer Gedanken über die Sicherheit Ihrer Daten.
Doch oft suchen Sie die Problemquellen nur beim Anbieter und lassen Ihre eigene Unachtsamkeit beim Datenschutz außer Acht. Wir informieren Sie rund ums Thema Datenschutz und zeigen Ihnen was Sie selbst für die Sicherheit Ihrer Daten tun können.

Das Bundesdatenschutzgesetz (BDSG):

Das deutsche Bundesdatenschutzgesetz (BDSG) regelt zusammen mit den Datenschutzgesetzen der Länder und anderen bereichsspezifischen Regelungen den Umgang mit personenbezogenen Daten, die in Informations- und Kommunikationssystemen oder manuell verarbeitet werden, inkl. deren Übermittlung an Dritte. Es setzt die Datenschutzrichtlinie (Richtlinie 95/46/EG) um.
Dieses besagt zusammengefasst:

Es gel­ten die Grund­sätze der Daten­ver­mei­dung und der Daten­spar­sam­keit nach § 3a BDSG: mög­lichst keine oder so wenig wie mög­lich an per­so­nen­be­zo­ge­nen Daten erhe­ben, ver­ar­bei­ten oder nutzen.

Ein wesent­li­cher Grund­satz des BDSG ist das sog. “Ver­bots­prin­zip mit Erlaub­nis­vor­be­halt”.
Die­ses besagt, dass die Erhe­bung, Ver­ar­bei­tung und Nut­zung von per­so­nen­be­zo­ge­nen Daten im Prin­zip eigent­lich ver­bo­ten ist. Diese ist jedoch erlaubt, wenn ent­we­der gesetz­li­che Ver­pflich­tun­gen vor­lie­gen, sie zur Durch­füh­rung eines Ver­trags­ver­hält­nis­sen erfor­der­lich sind oder wenn die betrof­fene Per­son aus­drück­lich (zumeist schrift­lich) ihre Zustim­mung (§13 Abs.2 ff).

Die dann zum Ein­satz kom­men­den Ver­fah­ren der Ver­ar­bei­tung sind vom inter­nen oder exter­nen Daten­schutz­be­auf­trag­ten zu prü­fen, oder (wenn ein sol­cher nicht vor­han­den ist) bei der zustän­di­gen Auf­sichts­be­hörde anzei­ge­pflich­tig. Je nach Sen­si­ti­vi­tät der Daten hat eine Vor­ab­kon­trolle stattzufinden.

Datenschutz durch den Provider:

Jeder Provider in Deutschland hat sich an das BDSG zu halten.
Weiterhin bieten die meisten seriösen IT Dienstleister die Bereitstellung Ihrer Dienste über ein zertifiziertes Rechenzentrum nach Zertifikaten wie ISO 27001:2005 an. Diese Zertifikate gewährleisten höchste internationale Standards hinsichtlich Gebäudesicherheit, Brandschutz, Stromversorgung, Klimatisierung und Zuverlässigkeit der Prozesse.
Eine weitere, jedoch noch nicht so etablierte Möglichkeit, die Kundendaten zu schützen, besteht darin, für seine Dienstleistungen über das Internet verschlüsselte https–Verbindungen zu ermöglichen.
Weiterhin ist jedes Unternehmen, das mit personenbezogenen Daten arbeitet, nach dem BDSG verpflichtet, einen Datenschutzbeauftragten zu beschäftigen. Dieser kann als Mitarbeiter der Organisation oder als ein externer Datenschutzbeauftragter engagiert werden. Seine Aufgaben liegen darin zu prüfen, ob das BDSG eingehalten wird, sowie die Kontrolle und Überwachung der ordnungsgemäßen Anwendung von Datenverabeitungsprogrammen.

Was können Sie selbst tun?

  1. Wichtigste Voraussetzung: Passwörter geheim halten
  2. Sichere Passwörter erstellen
  3. Passwörter regelmäßig ändern
  4. Aktuelle Antivirensoftware verwenden
  5. E-Mails verschlüsseln/signieren
  6. Verschlüsselungsprogramme wie PGP verwenden
  7. Regelmäßige Datensicherungen durchführen
  8. Bewusstes Surfen im Internet
  9. Bewusster Umgang mit Daten in sozialen Netzwerken

Wie erstelle ich ein sicheres Passwort?

Zum Erstellen eines sicheren Passworts gibt es ein paar übliche Methoden um es Angreifern erheblich zu erschweren ein Passwort zu knacken:

– Verwenden Sie keine echten Wörter, nicht einmal dann, wenn Sie etwa das „i“ durch eine „1“ oder das „E“ durch eine „3“ ersetzen
– Passwörter sollten mindestens aus acht Zeichen bestehen.
– Nicht verwenden sollte man Namen von Familienmitgliedern, Haustieren, Freunden, Lieblingsstars oder deren Geburtsdaten
– Ebenso ungeschickt sind Begriffe aus Wörterbüchern und gängigen Varianten und Wiederholungs- oder Tastaturmuster: also nicht „asdfgh“ (Tastenfolge auf der Tastatur), „1234abcd“ oder Ähnliches.
– Wenig Sinn hat auch das Anhängen einer Ziffer oder eines Sonderzeichens ans Ende eines im Übrigen unsicheren Kennwortes, also zum Beispiel „Schatzi4“.

Ein sicheres Passwort ist also: Mind. acht Zeichen lang, beinhaltet Umlaute, Sonderzeichen, Zahlen, sowie Groß- und Kleinschreibung. Dabei gilt es jedoch zu beachten, keine wirklichen Wörter zu verwenden.
Ein guter Tipp: Merken Sie sich einen Satz und setzen Sie das Passwort dann aus den ersten Buchstaben eines jeden Wortes zusammen.

Um Ihnen das Erstellen von sicheren Passwörter zu erleichtern gibt es verschiedene kostenlose Browserdienste wie z.B. https://www.passwort-generator.com, die Ihnen beim Erstellen helfen.
Natürlich ist es nicht einfach sich all die verschiedenen Passwörter zu merken, doch auch hierfür gibt es Programme wie „Password Safe“ oder „KeePass“, für die Sie sich nur ein einziges Passwort merken müssen.

Für cojama sind Datenschutz und Datensicherheit von Cloud-Diensten weit mehr als nur die Einhaltung rechtlicher Vorschriften.
Dazu gehören außerdem die Schulung und Sensibilisierung der Mitarbeiter, sowie die Auswahl unserer Partner und Lieferanten um ein hohes Niveau an Datensicherheit zu gewährleisten. Da uns die Sicherheit Ihrer Daten sehr wichtig ist, bieten für unsere Dienstleistungen, wie Hosted Exchange, Hosted SharePoint oder Hosted Terminalserver, sowie für unsere Homepage eine gesicherte https–Verbindung an.

Datenschutz bei BYOD und BYOC

BYOD & BYOC liegen im Trend

BYOD & BYOC liegen im Trend

Mit dem stets fortschreitenden digitalen Wandel eröffnen sich auch immer neue Möglichkeiten.
Der aktuelle Trend geht laut einer Studie der Beratungsgesellschaft Ernst & Young immer mehr in Richtung BYOD (BringYourOwnDevice) und auch BYOC (BringYourOwnCloud) und wird sich in den kommenden Jahren immer stärker etablieren.

Ob Notebook, Smartphone oder Tablet: Mit den stetig neu und weiterentwickelten Innovationen der IT Branche stellt sich auch für Unternehmen immer mehr das Thema BYOD in den Mittelpunkt.
Viele Mitarbeiter wünschen, mit ihren eigenen Endgeräten arbeiten zu können und auch temporäre Mitarbeiter oder Präsentatoren bringen oft ihre eigenen Geräte mit.
Diese müssen meist zumindest temporär ins Firmen Netzwerk aufgenommen werden, um alle relevanten Funktionen bereitstellen zu können.
Dies schafft jedoch natürlich auch Sicherheitslücken und stellt den Datenschutz vor große Herausforderungen.

BYOD hat sich etabliert

Dieses Prinzip wird schon seit einigen Jahren vor allem in Bildungseinrichtungen wie Schulen, Universitäten und anderen Institutionen mit ständig wechselnden Nutzern betrieben, um hohe Anschaffungskosten zu sparen.
Dabei gilt es, die privaten mobilen Endgeräte wie Laptops, Tablets oder Smartphones möglichst einfach und sicher in die Netzwerke zu integrieren.

Laut der Studie „Privacy Trends 2014: Privacy protection in the age of technology“ von Ernst & Young wird schon im Jahr 2018 auch ein Großteil der Erwerbstätigen ihre privaten mobilen Endgeräte zu Arbeitszwecken nutzen.
Wenn die Angestellten ihr Arbeitswerkzeug selbst bereitstellen, spart dies natürlich Anschaffungskosten für den Arbeitgeber.

Außerdem können sie so, wenn nötig, auch jederzeit von unterwegs oder im Homeoffice aus arbeiten. Dieses sogenannte Bring Your Own Device – Prinzip stellt Unternehmen allerdings beim Thema Datenschutz auch vor Herausforderungen. So darf bei der Kontrolle der eingesetzten Endgeräte die Privatsphäre der Nutzer nicht verletzt werden.

Lösungen hierfür können z.B. ein extra dafür eingerichtetes Gast-Netzwerk oder ein strikt in privat und beruflich aufgeteiltes Mobilgerät mit getrennten Arbeitsoberflächen sein. In jedem Fall sollte s der Arbeitgeber klare Richtlinien zur Thematik erstellen, um seinen Mitarbeitern die gewünschten Möglichkeiten zu bieten und trotzdem rechtlich abgesichert zu sein.

Auch das Thema BYOC wird Unternehmen langfristig beschäftigen

Mit Bring Your Own Cloud (BYOC) ist es möglich, dass Mitarbeiter in persönlich erstellten Clouds Dateien an ihre Kollegen freigeben, um gemeinsam an Projekten arbeiten zu können.
Auch hier kann es schnell zu Problemen mit dem Datenschutz kommen, da bisher nur ein Viertel der Unternehmen gegen die damit einhergehenden datenschutzrechtlichen Risiken gewappnet sind.
Doch durch diese Arbeitsformen ergeben sich auch tolle Möglichkeiten.
Anstatt Bring-Your-Own-Cloud-Konzepte grundsätzlich zu verbieten, sollten Richtlinien für einen sicheren Umgang mit BYOC entwickelt werden.

IT aus der Cloud – Den Sprung wagen

goldfish jumping out of the water - alliance concept

Immer mehr Unternehmen wollen ortsunabhängig und über verschiedene Medien bzw. Endgeräte auf Ihre Unternehmensdaten zugreifen. Gerade in  Zeiten, wo die geschäftliche Zusammenarbeit über Unternehmens- und Landesgrenzen hinausgeht, entstehen damit neue Herausforderungen. Dabei muss die Unternehmens-IT nicht nur up-to-date sondern auch flexibel aufgestellt sein. All diese Voraussetzungen bringen IT-Lösungen aus der Cloud mit. Und dennoch stehen viele Verantwortliche und Geschäftsführer von Unternehmen und Organisationen vor der Entscheidung. Die Zeit, den Sprung zu wagen, ist für viele greifbarer denn je. Wer allerdings eine Cloud-Lösung einsetzt, muss sich auch mit den Themen Compliance und Zugriffsrechte auseinandersetzen.

 

Wer hat wann und was verändert?
Nutzen Teams in Unternehmen Cloud-Lösungen wie Hosted SharePoint oder Hosted Exchange, die einen hohen Datenschutz bieten, ist es daher umso wichtiger, dass Verhaltensregeln in die Teamarbeit integriert werden, um den Datenschutz weiterhin zu garantieren. Versendet ein Mitarbeiter sensible Daten via E-Mail an einen externen Empfänger, findet diese Datenschutzverletzung außerhalb des Einflussbereiches des Anbieters statt.
Der Trugschluss, dass ausschließlich der Cloud-Provider für die Einhaltung von Datenschutzrichtlinien verantwortlich ist, ist dennoch weit verbreitet. Verstoßen jedoch Mitarbeiter im Unternehmen bereits gegen die unternehmensinternen Datenschutzrichtlinien, kann die Verantwortung für dieses Fehlverhalten nicht auf den Anbieter abgewälzt werden.
Daher raten wir, dass Unternehmen und Organisationen Verhaltensregeln für die Nutzung von Cloud-Lösungen einführen. Diese werden oft als Cloud Compliance bezeichnet. Durch die Einführung von Regeln lässt sich über den Datenschutz hinaus auch eine effiziente Teamarbeit realisieren.
Hosted SharePoint von Microsoft ist z.B. eine geeignete Collaboration-Software mit Compliance Möglichkeiten. Denn hier kann man nicht nur beliebig viele und verschiedene Team-Rooms erstellen, sondern für die Benutzung dieser auch unterschiedliche Benutzergruppen anlegen. Dabei haben die Benutzer individuelle Zugriffsrechte und können – je nach Berechtigung – Dokumente nur lesen oder auch bearbeiten. Zudem kann man anhand der Versionierung erkennen, wer wann zuletzt was geändert hat. Wenn gewünscht, kann man sich sogar über die Änderungen per E-Mail benachteiligen lassen. Die Freigabe für Änderungen an Dokumenten erteilt man in SharePoint über angepasste Workflows.

 

Cloud Computing unterstützt die Einhaltung von Compliance
In der Realität sind gerade kleine und mittelständische Unternehmen mit dem Thema Compliance in den meisten Fällen überfordert. Das überrascht nicht, denn die Fülle von Gesetzen, Verordnungen und Richtlinien macht es nicht einfacher. Folglich können oft nur Großunternehmen einen „Compliance-Fachmann“ oder einen “Chief Compliance Officer” bezahlen.

Die gute Nachricht für kleine und mittelständische Unternehmen ist also:
Wer sich für Cloud-Lösungen eines Cloud Computing Anbieters entscheidet, der reduziert seine Compliance-Arbeit und erhöht sein Sicherheitsniveau. Das liegt nicht nur daran, dass der Anbieter ein zertifiziertes Rechenzentrum nach ISO 27001 betreibt oder dieses für seine IT-Infrastruktur anmietet. Der Anbieter verfügt im Regelfall auch über ein Datenschutz-Konzept, welches von einem externen Datenschutzbeauftragten zwecks Einhaltung überwacht wird und hinsichtlich Datenschutz und Datensicherheit kompetent aufgestellt ist. Hinzu kommt die Tatsache, dass sich ein Cloud Computing Anbieter es nicht erlauben kann, wenn Sicherheitsprobleme auftauchen oder gar Daten verloren gehen. Dafür steht zu viel auf dem Spiel. Schlimmstenfalls kann der Anbieter seinen guten Ruf und seine Kunden verlieren. Das bedeutet also, dass das Geschäft des Anbieters auf die hohen Sicherheitsvorkehrungen aufbaut. Folglich achten die Anbieter penibel auf alle Einzelheiten und sorgen dafür, dass alle relevanten Compliance-Punkte „safe“ sind.

 

Fazit:
Cloud Lösungen sorgen einerseits dafür, dass gerade kleine und mittelständische Unternehmen die Datenschutzgesetze, Richtlinien und Verordnungen besser einhalten können. Andererseits können Unternehmen durch den Einsatz von Cloud Lösungen am Markt viel flexibler, effizienter und wettbewerbsfähiger agieren, weil sie ortsunabhängig, medienbruchfrei und stets die aktuellsten Softwareversionen einsetzen.

Gründe für den Kauf bei Hosted Exchange 2013

Wichtige Entscheidungskriterien und Vorteile zum Kauf von Hosted Exchange

Im Zeitraum vom 18.12.2012 bis zum 15.05.2013 führte cojama eine Online-Umfrage zu diversen Aspekten von Hosted Exchange durch. Den Befragten wurden sechs Kriterien vorgegeben, bei denen die Probanden nennen konnten, ob das jeweilige Kriterium einen Grund zum Kauf von Hosted Exchange darstelle. Zu den befragten Kriterien zählten der Preis, die Hochverfügbarkeit, der Serverstandort im Inland, der Speicherplatz, Datenschutz/Datensicherheit und Service/individuelle Betreuung. Insgesamt nahmen 387 Personen an der Umfrage teil.

Gründe für den Kauf bei Hosted Exchange 2013

 

Die Resultate verraten interessante Ausprägungen: Der „Serverstandort im Inland“ und der „Preis“ scheinen als Entscheidungskriterien auf den ersten Blick gleichhoch zu sein und stellen mit 133 bzw. 134 Stimmen die wichtigsten Merkmale für einen erneuten Kauf dar.

Allerdings muss man genauer hinsehen und dann erkennt man einen deutlichen Unterschied. Hinter der Auswahl für „Serverstandort im Inland“ steht auch immer das Bedürfnis nach Datenschutz und Datensicherheit mit insgesamt 50 Teilnehmern.  Hier stellt man sich also als Unternehmer oder Organisation die Frage, was wohl mit meinen Daten passiert, wenn diese sich nicht mehr in Deutschland befinden. Denn viele Provider bzw. Cloud Computing-Anbieter speichern die Daten auf Servern in den USA, wo sie nicht durch die Datenschutzgesetze Deutschlands bzw. der EU abgesichert sind.

Während „Speicherplatz“ und „Service und individuelle Beratung“ eine eher geringe Rolle spielen, hat die Hochverfügbarkeit der Systeme mit 38 Abstimmungen eine höhere Bedeutung.

Fazit für diesen Teil der Umfrage:
Nimmt man die Stimmen für den Serverstandort im Inland kombiniert mit Datenschutz und Datensicherheit, erhält man eine deutliche Botschaft. Für 184 Personen, also für 47,5% und folglich für knapp die Hälfte der Befragten stellen diese Sicherheitsthemen die wichtigsten Entscheidungskriterien für Hosted Exchange dar.

 

Des Weiteren fragte cojama nach den wichtigsten Vorteilen von Hosted Exchange:
Dabei nannten die Probanden die hohe Ausfallsicherheit als wichtigsten Vorteil von Hosted Exchange. Als weitere Vorteile reihen sich die durch den Einsatz von SaaS verbundene Kostenersparnis, der Zeitgewinn und die durch Hosted Exchange gewonnene Flexibilität ein. Darüber hinaus wurde der Standort Deutschland des Rechenzentrums als Vorteil genannt.

Die vier am häufigsten genannten Vorteile für Hosted Exchange

Die vier am häufigsten genannten Vorteile für Hosted Exchange

geplante Nutzung von Private, Hybrid und Public Cloud

Cloud Computing-Bezugsmodell der Zukunft

Unternehmen und Organisationen steht heute eine Vielzahl praktischer Anwendungsmöglichkeiten durch Nutzung von Cloud Computing zur Verfügung. Als gutes Beispiel soll an dieser Stelle die Nutzung von Collaboration-Software wie Hosted SharePoint in der Public Cloud dienen. Jedoch möchten wir unsere Betrachtung auf die Bezugsmodelle Private, Hybrid und Public Cloud legen und  die Frage nach dem Bezugsmodell der Zukunft stellen.

Deutsche Bank Research und techconsult GmbH zeigten in Ihrer Studie „Cloud Computing – Freundliche Aussichten für die Wolke“ aus dem Jahr 2012 die geplanten Nutzungsplanungen mittelständischer Unternehmen. Sehr deutlich erkennbar ist das hauptsächliche Interesse an der Private Cloud, gefolgt von der Public Cloud und einer im Trend abnehmender Hybrid Cloud. Als Gründe für die Neigung zur Private Cloud wurden die geringeren Bedenken gegenüber Private Clouds sowie Sicherheits- und Kontrollbedürfnisse genannt.¹ Aus unserem Blickwinkel werden oft noch ungerechtfertigte Bedenken aufgrund von nicht ausreichenden Datenschutz- und Datensicherheitsstandards erhoben.

Geplante Nutzung von Cloud-Angeboten

Laut computerwoche.de wird die Hybrid Cloud im Jahr 2014 im Trend liegen, so dass vermutlich viele Unternehmen auf Hybrid Cloud-Lösungen wechseln werden. Wir selbst sehen die Hybrid Cloud als Übergangsmodell zur Public Cloud an. Auch Dr. Mark Bedner sieht die Hybrid Cloud als Übergangsmodell: „Sobald das eigene Rechenzentrum nicht mehr ausreicht oder finanziell nicht mehr tragbar ist, kann man vollständig in die, bis dahin nur parallel genutzte, öffentliche Cloud migrieren. Gewonnenes Know-how, Praxiserfahrungen aus dem Parallelbetrieb und praktisch erprobte Standards und Schnittstellen dürften diesen Übergang erleichtern.“²

Unserer Meinung nach wird sich Public Cloud als Bezugsmodell in den nächsten Jahren weiter durchsetzen. Denn nur durch Public Cloud können Unternehmen oder Organisationen alle Vorteile in den diversen Aspekten wie u.a. Kostenersparnisse, Flexibilität, usw. voll ausschöpfen. Der momentane Trend zur Hybrid Cloud ist aus unserer Sicht vollkommen verständlich. Unternehmen möchten aus Sicherheitsbedürfnissen schrittweise der Public Cloud annähern und befürchten aus unserer Erfahrung zu Unrecht Nachteile bei Nutzung der Public Cloud. Unter anderem mag dies daran liegen, dass manche Public Cloud-Anbieter bspw. in puncto Datensicherheit und Datenschutz für zu geringe Transparenz sorgen oder das Themenfeld „Cloud Computing“ in manchen Aspekten noch zu sehr hinterfragt wird. Darüber hinaus sorgen negative Geschehnisse im nationalen sowie globalen Kontext, wie bspw. der NSA-Skandal, für einen negativen Beigeschmack und färben zu Unrecht ein schlechtes Bild auf Cloud-Lösungen ab.

Als Cloud Computing-Anbieter sehen wir uns dazu verpflichtet, einen hohen Standard in u.a. Datenschutz- und Datensicherheitsrichtlinien zu gewährleisten und diese kontinuierlich zu verbessern. Denn wir setzen unser volles Vertrauen in Bereitstellungsmodelle wie SaaS oder PaaS – nicht zuletzt, da wir selbst unsere Public Cloud-Produkte bei cojama intern als Unternehmen einsetzen und stets von deren Vorteilen gegenüber Inhouse-Lösungen profitieren. Somit steht der Anspruch auf einen hohen Standard im Fokus unser aller Interessen und wird den zukünftigen Weg zur Public Cloud weiter ebnen.

¹Vgl. Deutsche Bank Research, Cloud Computing – Freundliche Aussichten für die Wolke, Seite 9, 2012

²Dr. Mark Bedner, Cloud Computing – Technik, Sicherheit und rechtliche Gestaltung, S. 70 f., Institut für Wirtschaftsrecht, Band 14, 2012, Kassel)