Software Engineering

Serverless

Industrien

Banken & Versicherungen

Öffentlicher Sektor

Transport & Logistik

Automobil & produzierendes Gewerbe

Angebote

Pilotprojekt - OpenAI

Pilotprojekt - ESG Data Platform

Pilotprojekt - Cloud Landing Zone

Whitepaper - Enterprise ChatGPT in der Praxis

Whitepaper OpenaI Quer transparent

Enterprise ChatGPT in der Praxis

Sei Teil unserer Community

Arbeit als Cloud Consultant

DSGVO-konform in die Cloud migrieren

Jun 30, 2023 | Cloud

Der wachsende Einsatz der Public Cloud birgt Datenschutzherausforderungen und erfordert eine strikte DSGVO-Konformität. Dieser Artikel behandelt die Herausforderungen und Lösungsstrategien einer datenschutzkonformen Cloud-Migration. Es wird betont, dass Unternehmen die Vorteile der Cloud-Technologie voll ausschöpfen können, ohne Kompromisse beim Datenschutz einzugehen, wenn sie die richtigen Strategien und Tools einsetzen.

DSGVO konform in die Cloud migrieren<br />
fiktive Wolke aus einzelnen Teilen

Einleitung

In der modernen Geschäftswelt hat die Public Cloud an erheblicher Beliebtheit gewonnen. Unternehmen aller Größen und aus verschiedenen Branchen sind zunehmend auf die Cloud angewiesen, um ihre Daten zu speichern und zu verwalten. Insbesondere in Deutschland hat die Cloud aufgrund ihrer zahlreichen Vorteile in Zeiten der Digitalisierung an Bedeutung gewonnen, wie eine Umfrage von Statista zeigt.

Trotz dieser wachsenden Akzeptanz der Cloud gibt es jedoch ernsthafte Bedenken hinsichtlich des Datenschutzes und der Einhaltung der Datenschutz-Grundverordnung (DSGVO). Eine aktuelle Studie des Sicherheitsanbieters Gemalto (jetzt Thales Group) zeigt, dass der gesetzlich vorgeschriebene Datenschutz nach DSGVO nur selten gewährleistet wird. Nur 40 Prozent aller Befragten gaben an, in der Public Cloud Datenverschlüsselungstools und ähnliche Maßnahmen zu nutzen. Es besteht daher ein dringender Bedarf, Unternehmen dabei zu unterstützen, die Cloud  DSGVO-konform zu nutzen. In diesem Artikel werden wir uns mit genau diesem Thema befassen und Ihnen zeigen, wie Sie DSGVO-konform in die Cloud migrieren können.

Grundlagen und Grundprinzipien der DSGVO

Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, die den Schutz personenbezogener Daten von EU-Bürgern regelt. Sie legt strenge Regeln für Unternehmen fest, die personenbezogene Daten sammeln, verarbeiten und speichern. Bei Nichtbeachtung können erhebliche Geldstrafen verhängt werden. Die Grundprinzipien der DSGVO sind:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz: Die Verarbeitung muss rechtmäßig, fair und für den Betroffenen transparent sein.
  • Zweckbindung: Die personenbezogenen Daten müssen für festgelegte, ausdrückliche und rechtmäßige Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.
  • Datenminimierung: Die erhobenen personenbezogenen Daten müssen angemessen, relevant und auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.
  • Richtigkeit: Die personenbezogenen Daten müssen richtig und aktuell sein. Unrichtige Daten müssen gelöscht oder berichtigt werden.
  • Speicherbegrenzung: Die personenbezogenen Daten dürfen in einer Form, die die Identifizierung der betroffenen Personen ermöglicht, nur so lange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.
  • Integrität und Vertraulichkeit: Die personenbezogenen Daten müssen auf eine Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen.
  • Rechenschaftspflicht: Der Verantwortliche ist verpflichtet, die Einhaltung der oben genannten Grundsätze nachzuweisen.

Die DSGVO hat auch spezifische Auswirkungen auf die Nutzung der Public Cloud. Unternehmen, die personenbezogene Daten in der Public Cloud speichern, sind verpflichtet, geeignete Maßnahmen zu ergreifen, um die Sicherheit dieser Daten zu gewährleisten. Dazu gehört die Verschlüsselung von Daten sowie der Einsatz von privaten Netzwerkverbindungen für den Zugriff auf die Cloud.

Die Verantwortung für die Sicherheit in der Cloud ist geteilt. Studien zufolge werden die Verantwortlichkeiten fast gleichmäßig zwischen der firmeninternen IT, den eigenen Nutzern und den Cloud-Anbietern aufgeteilt. Alle Beteiligten sollten sich daher über ihre jeweiligen Verantwortlichkeiten im Klaren sein und geeignete Maßnahmen zur Einhaltung der DSGVO ergreifen.

Cloud-Dienstleister bieten häufig spezielle Tools zur Einhaltung der DSGVO an. Ein Beispiel ist der Compliance Manager von Microsoft Azure, ein Tool, das die permanente Einhaltung der strengen Datenschutzrichtlinien überwacht. Unternehmen müssen diese Tools jedoch aktiv nutzen, um ihre Daten in der Public Cloud effektiv zu schützen.

Risiken ungeschützter Public-Cloud-Systeme

Daten sind oft als das „Gold“ eines Unternehmens bezeichnet, und ihre Bedeutung kann nicht genug betont werden. Leider werden diese wertvollen und oft sensiblen Informationen ohne angemessene Sicherheitsvorkehrungen und -systeme in die Public Cloud hochgeladen und sind damit potenziellen Risiken ausgesetzt.

Sicherheitslücken in Cloud-Systemen sind keine Seltenheit. Fälle wie Tesla oder der Cryptomining-Angriff auf AWS zeigen, dass Angreifer ständig nach Schwachstellen suchen, um wertvolle Daten zu stehlen. Die Zahl dieser Angriffe auf Cloud-Systeme hat in den vergangenen Jahren dramatisch zugenommen. Microsoft hat so etwa, einer der wenigen Anbieter, die öffentlich zu diesem Thema sprechen, einen Anstieg von 300 Prozent der Attacken gegen Azure gemeldet.

Die Rolle der bestehenden Infrastruktur eines Unternehmens in Bezug auf die Cloud-Sicherheit wird oft unterschätzt. Wenn die Infrastruktur bereits unsicher ist, wird auch die Cloud-Umgebung gefährdet.

Unternehmen, die ihre Daten in der Public Cloud nicht ausreichend schützen, riskieren nicht nur den Verlust oder Diebstahl wertvoller Daten, sondern auch erhebliche Geldstrafen im Rahmen der DSGVO. Die Kosten für die Behebung eines Sicherheitsvorfalls oder eines Datenverlusts können erheblich sein und die Investitionen in wirksame Sicherheitsmaßnahmen weit übersteigen.

Verantwortung für die Cloud-Sicherheit

In Fällen von Sicherheitsvorfällen wird die Verantwortung oft fast gleichmäßig zwischen der internen IT des Unternehmens, den Benutzern und den Cloud-Anbietern verteilt. Daher ist es wichtig, dass alle Beteiligten ihre Rolle in der Cloud-Sicherheit verstehen und aktiv daran arbeiten, die Daten sicher zu halten.

Cloud-Dienstleister verstärken ständig ihre Sicherheitsmaßnahmen und stellen diese Verbesserungen auch ihren Kunden zur Verfügung. Dies umfasst auch Tools zur Einhaltung der DSGVO. Es ist jedoch wichtig zu beachten, dass trotz der von den Dienstleistern bereitgestellten Tools die Unternehmen selbst letztlich die Verantwortung für die korrekte Nutzung dieser Tools tragen.

Unternehmen müssen sich selbst darum kümmern, die von den Cloud-Dienstleistern bereitgestellten Sicherheitstools effektiv zu nutzen. Dies kann eine Herausforderung darstellen, da viele Unternehmen nicht über das notwendige Wissen und die Ressourcen verfügen. In solchen Fällen kann es hilfreich sein, externe Unterstützung, etwa von IT-Experten, in Anspruch zu nehmen.

Unternehmen, die personenbezogene Daten in der Public Cloud nicht ordnungsgemäß und damit ausreichend schützen, spielen mit dem Feuer und riskieren hohe Bußgelder gemäß DSGVO. Die Kosten für die Beseitigung von Sicherheitsvorfällen und Datenverlusten, ganz zu schweigen von den möglichen Strafen, machen Investitionen in effektive Cloud-Sicherheitsmaßnahmen zu einer vernünftigen Entscheidung.

Vorbereitung auf die Migration

Um eine DSGVO-konforme Migration in die Cloud vorzubereiten, sollten Sie eine Reihe von Schritten durchlaufen:

  1. Entwicklung oder Bewertung Ihrer Datenschutzrichtlinien nach der DSGVO: Prüfen Sie Ihre aktuellen Datenschutzrichtlinien und passen Sie sie an die Anforderungen der DSGVO an. Dies könnte beinhalten, wie Sie Daten erheben, verarbeiten und speichern, sowie Ihre Verfahren für Datensicherheit und Datenschutzverletzungen.
  2. Bewertung der Datensicherheit Ihrer Organisation: Beurteilen Sie Ihre aktuellen Sicherheitsmaßnahmen und ermitteln Sie, ob sie den Anforderungen der DSGVO entsprechen. Dies könnte eine Überprüfung der Verschlüsselung, der Zugriffskontrolle und anderer Sicherheitsmaßnahmen beinhalten.
  3. Bestimmung des Datenverantwortlichen: Identifizieren Sie, wer in Ihrer Organisation als Datenverantwortlicher fungiert. Dies ist die Person oder Einrichtung, die die Zwecke und Mittel der Datenverarbeitung bestimmt.
  4. Datensicherheitsprozesse: Überlegen Sie, welche Datensicherheitsprozesse Sie möglicherweise durchführen müssen. Dies könnte beinhalten, Anfragen von betroffenen Personen zu bearbeiten, Datenschutzverletzungen zu melden und Datenschutz-Folgenabschätzungen durchzuführen.
  5. Einhaltung von Anfragen betroffener Personen: Die DSGVO verlangt, dass Sie in der Lage sein müssen, betroffenen Personen eine Kopie ihrer personenbezogenen Daten zur Verfügung zu stellen, ihnen zu helfen, ungenaue personenbezogene Daten zu korrigieren, Daten zu löschen oder deren Verarbeitung einzuschränken, ihre Daten in einem lesbaren Format zu erhalten und, wo zutreffend, eine Anfrage zur Übertragung ihrer Daten an einen anderen Datenverantwortlichen zu erfüllen.
  6. Durchführung von Datenschutz-Folgenabschätzungen (DPIA): Die DSGVO verlangt von Ihnen als Datenverantwortlichen, DPIAs durchzuführen, bevor Sie mit der Datenverarbeitung beginnen, die wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten von Einzelpersonen darstellt. Dies kann insbesondere bei der Verwendung neuer Technologien der Fall sein.
  7. Beratung mit Ihrer Datenschutzbehörde (DPA): Vor Beginn einer Verarbeitung, bei der Sie keine ausreichenden Prozesse zur Minimierung hoher Risiken für betroffene Personen identifizieren können, müssen Sie Ihre DPA konsultieren

DSGVO-konforme Migrationsstrategien

In der heutigen digitalen Welt ist die Datenspeicherung ein zentraler Aspekt für jedes Unternehmen. Die Cloud bietet eine flexible und kostengünstige Lösung für dieses Problem, aber der Prozess der Datenmigration kann komplex sein. Hierbei sind nicht nur technische, sondern auch datenschutzrechtliche Aspekte zu berücksichtigen. Im Folgenden wird ein umfassender Leitfaden für eine sichere und DSGVO-konforme Migration von Unternehmensdaten in die Cloud vorgestellt.

Erkennen, Kategorisieren und Ordnen von Daten

Der erste Schritt in diesem Prozess ist die Erstellung eines umfassenden Plans, der sich zunächst auf die Identifizierung und Klassifizierung aller Geschäftsdaten konzentriert. Betriebsdaten sollten in verschiedene Klassen unterteilt werden, zum Beispiel:

  • Daten sind (streng) geheim
  • Daten sind extern zugänglich
  • Daten sollen nur noch lesbar und ohne Schreibzugriff verfügbar sein
  • Daten sind aktiv in Gebrauch
  • Daten können in ein (Online-) Archiv ausgelagert werden

Mit entsprechend klassifizierten Daten lässt sich eine Struktur aus Ordnern und Ebenen entwickeln, die für die Speicherung in der Cloud entscheidend ist.

Auswahl der Daten für die Cloud-Speicherung

Im nächsten Schritt wird festgelegt, welche Daten in die Cloud migriert und welche auf den eigenen Servern behalten werden sollen. Daten, die nicht mehr benötigt werden, können in lokalen Verzeichnissen oder auf einem lokal erstellten Backup verbleiben, um die Speicherkosten für Daten in der Cloud zu minimieren. Nur die aktiv genutzten Daten werden in die Cloud migriert. Es ist jedoch wichtig zu prüfen, ob es rechtlich zulässig ist, alle Daten auszulagern.

Datenmigration und DSGVO: Wichtige Aspekte 

Die Datenschutz-Grundverordnung (DSGVO) gilt für alle personenbezogenen Daten. Sie erlaubt die Speicherung personenbezogener Daten nur auf Servern innerhalb der Europäischen Union (EU). Daten können theoretisch auch außerhalb der EU gespeichert werden, sofern die Server gemäß EU-Datenschutzrecht betrieben werden. Es ist jedoch einfacher, wenn ein Anbieter gewählt wird, der eine Europa-Cloud oder eine Deutschland-Cloud anbietet, da dies rechtliche Sicherheit hinsichtlich der Speicherung personenbezogener Daten bietet.

Datenverschlüsselung beachten 

Vertrauenswürdige Anbieter verschlüsseln die Daten während der Übertragung in die Cloud. Diese Ende-zu-Ende-Verschlüsselung gewährleistet, dass die Daten vor der Übertragung verschlüsselt werden und auch auf den Servern in verschlüsselter Form bleiben. Nur mit den Zugangsdaten des Unternehmens können sie wieder entschlüsselt und weiterverarbeitet werden. Aufgrund des Verschlüsselungsalgorithmus würde eine unbefugte Entschlüsselung viele Jahre dauern, sodass die Daten auch während der Übertragung sicher sind.

Verwenden Sie sichere Passwörter

Ein wesentlicher Aspekt des Datenschutzes und der Datensicherheit ist die Verwendung sicherer Passwörter. Stellen Sie sicher, dass alle Benutzer starke, einzigartige Passwörter verwenden, die nicht einfach zu erraten sind. Zwei-Faktor-Authentifizierung (2FA) kann ebenfalls verwendet werden, um die Sicherheit zu erhöhen. Die meisten Cloud-Dienste bieten diese Option an.

Planung der Datenmigration

Bevor die eigentliche Datenmigration beginnt, muss ein detaillierter Plan erstellt werden. Dieser Plan sollte Folgendes beinhalten:

  • Zeitplan: Wann und wie werden die Daten migriert?
  • Rollback-Strategie: Was passiert, wenn etwas schiefgeht? Es sollte einen Plan B geben.
  • Überprüfung: Es muss ein Verfahren zur Überprüfung der korrekten Datenmigration eingerichtet werden.

Durchführung der Datenmigration

Nach sorgfältiger Vorbereitung und Planung kann die Datenmigration durchgeführt werden. Es ist wichtig, dass die Migration störungsfrei abläuft und die Datenintegrität während des gesamten Prozesses gewährleistet bleibt. Eventuell ist es sinnvoll, die Migration außerhalb der Geschäftszeiten oder am Wochenende durchzuführen, um die Auswirkungen auf die normalen Geschäftsvorgänge zu minimieren.

Nach der Datenmigration

Nach Abschluss der Datenmigration sollten Sie die Daten sorgfältig überprüfen, um sicherzustellen, dass alle Daten korrekt und vollständig migriert wurden. Weiterhin sollten Sie regelmäßige Sicherheitsüberprüfungen und -updates durchführen, um die Integrität und Sicherheit der Daten in der Cloud zu gewährleisten.

Eine gut durchdachte und sorgfältig geplante Datenmigration in die Cloud kann viele Vorteile für ein Unternehmen mit sich bringen. Es ist jedoch wichtig, dass dieses Projekt sorgfältig geplant und ausgeführt wird, um potenzielle Störungen zu minimieren und die Datensicherheit zu gewährleisten.

Nach der Migration: Aufrechterhaltung der DSGVO-Konformität

Um die Einhaltung der DSGVO nach der Migration zu gewährleisten, sind folgende Punkte zu beachten:

  • Regelmäßige Bewertung der DSGVO-Konformität: Stellen Sie sicher, dass Sie regelmäßige Bewertungen und Audits Ihrer DSGVO-konformen Aktivitäten durchführen. Dies sollte auch eine Überprüfung Ihrer Datenschutzrichtlinien und -verfahren umfassen. Es ist wichtig, dass Sie alle Aktivitäten dokumentieren, die personenbezogene Daten betreffen, um die Einhaltung der DSGVO in Ihrem Unternehmen zu unterstützen.
  • Betrachtung der DSGVO bei der Entwicklung neuer Systeme: Bei der Planung und Implementierung neuer Systeme oder Änderungen an bestehenden Systemen sollte der Datenschutz von Anfang an berücksichtigt werden („Privacy by Design“). Dies umfasst auch die Durchführung von Datenschutz-Folgenabschätzungen (DSFA) vor Beginn eines neuen Projekts oder Änderungen an bestehenden Systemen, die die Verarbeitung personenbezogener Daten beeinflussen könnten.
  • Schulung und Sensibilisierung der Mitarbeiter: Um eine unternehmensweite Unterstützung für die DSGVO zu gewährleisten, sollten die Mitarbeiter über die Vorschriften informiert und geschult werden, damit sie ihre Verantwortlichkeiten kennen.
  • Berücksichtigung der DSGVO bei der Auswahl von Cloud-Anbietern: Wenn Sie Daten in der Cloud speichern, sollten Sie sicherstellen, dass Ihr Cloud-Anbieter DSGVO-konform ist. Die meisten großen Cloud-Anbieter sind DSGVO-konform, da sie wahrscheinlich Kunden in EU-Mitgliedstaaten haben. Sie sollten den Anbieter jedoch nach Nachweisen für die DSGVO-Konformität fragen. Ferner sollte der Anbieter alle Daten verschlüsseln.

    Schlussfolgerung

    Die Migration von Daten in die Cloud ist ein entscheidender Schritt für Unternehmen, um von den vielfältigen Vorteilen der Cloud-Technologie zu profitieren. Es ist jedoch von entscheidender Bedeutung, dass dieser Übergang auf eine Art und Weise durchgeführt wird, die die Einhaltung der DSGVO gewährleistet. 

    Die Einhaltung der DSGVO ist mehr als nur eine gesetzliche Anforderung. Sie ist ein Ausdruck von Verantwortungsbewusstsein und Respekt gegenüber den Daten, die den Kunden und dem Unternehmen selbst gehören. Bei Nichtbeachtung können hohe Geldstrafen und ein möglicher Vertrauensverlust drohen.

    Eine sachkundige Beratung und gezielte Unterstützung während dieses Prozesses kann dazu beitragen, die Herausforderungen zu bewältigen und sicherzustellen, dass die Migration DSGVO-konform ist. Pexon Consulting bietet genau solche spezialisierten Dienstleistungen an. Mit einem fundierten Verständnis der Anforderungen der DSGVO und umfangreicher Erfahrung in Cloud-Migrationen kann Pexon Consulting dazu beitragen, dass die Migration so reibungslos und sicher wie möglich abläuft.

    Mit Pexon Consulting an Ihrer Seite können Sie sicher sein, dass Ihre Migration nicht nur den technischen Anforderungen entspricht, sondern auch den Datenschutzbestimmungen der DSGVO. Durch die Zusammenarbeit mit Pexon Consulting können Unternehmen sicher sein, dass sie die Vorteile der Cloud-Technologie voll ausschöpfen können, ohne Kompromisse beim Datenschutz eingehen zu müssen. 

    Letztlich ist die Sicherheit und der Schutz von Daten in der heutigen digitalen Welt von größter Bedeutung. Mit den richtigen Strategien, Tools und Partnern können Unternehmen die Cloud-Technologie nutzen, um ihr Geschäft voranzutreiben, während sie gleichzeitig ein hohes Maß an Datenschutz gewährleisten.

    Sie suchen einen Partner für Ihr Projekt?

    Wir geben unser Bestes, um Sie zufrieden zu stellen.

    Kostenloses Handbuch: ESG Reporting

    Grundlagen bis zum automatisierten Report – Alles, was Sie wissen müssen.

    Whitepaper: Enterprise ChatGPT in der Praxis

    3 Anwendungsfälle mit OpenAI – datenschutzkonform mit Referenzarchitektur