- Die DSGVO ist eine Reifeprüfung für den Cloud-Markt.
- Wenn bewiesen werden kann, dass Datenschutz und Cloud zusammenpassen, eröffnen sich der Cloud auch weitere Marktsegmente darüber hinaus.
- Könnten Kunden mit der Umsetzung gefordert sein, ergibt sich für Managed Cloud Service Provider eine Chance auf weitere Etablierung im Markt neben den Providern.
Die Datenschutz-Anforderungen sind keine leichte Pflichtübung
Während des Rundgangs auf der itsa in Nürnberg wurde deutlich, dass DSGVO zwar als Schlagwort quasi omnipräsent ist, aber konkrete Antworten und Lösungen hierzu derzeit noch Mangelware sind. Zwar werden einzelne punktuelle Lösungen angeboten, aber zur Erfüllung der DSGVO sollten sich Firmen wohl eher auf eine längere Reise einstellen als auf einen schnellen Sprint.
Firmen aller Größenklassen sind von der EU Datenschutz-Grundverordnung (DSGVO) bzw. General Data Protection Regulation (GDPR) betroffen und müssen rechtzeitig vor dem Wirksamwerden im Mai 2018 die Anforderungen erfüllen. Aufgrund der drastisch erhöhten Bußgelder von bis zu 20 Mio. €, oder 4% des Umsatzes, hat das Thema entsprechend Aufmerksamkeit auf Managementebene erlangt. Für Cloud-Provider und -Nutzer ist das gleichzeitig Herausforderung und Chance auf eine breitere Akzeptanz.
Die Abneigung des Datenschutzes gegen die Cloud
Cloud wird seit Anfangszeiten mit dem Makel in Verbindung gebracht, dass die Sicherheit der Daten zweifelhaft sei und demzufolge aus Datenschutzgründen für personenrelevante Daten nicht geeignet sei. Durch große Fortschritte in Zuverlässigkeit und Sicherheit hat sich Cloud zwar in vielen Bereichen als Standard etablieren können, wird aber gerade in Bezug auf Datenschutz immer noch mehrheitlich mit Bedenken gesehen. Indem die Vorbehalte seitens der Nutzer meistens als Stimmungsbild geäußert werden, werden konkrete Argumente seitens der Cloud-Provider nicht ernst genommen. Die Fortschritte in Sachen Cloud, sowie die zahlreich bekannt gewordenen Sicherheitsvorfälle in non-Cloud-Umgebungen würden jedenfalls eine auf Fakten basierende Neubewertung inzwischen anraten lassen.
DSGVO ist die Chance sich zu beweisen
Eine einmalige Gelegenheit zur Neubewertung ergibt sich jetzt mit der DSGVO. Die Chance liegt darin, dass viele Cloud-Provider mit einer guten Vorbereitung und Dokumentation darstellen können, wie sie Compliance mit der DSGVO für sich selbst erreichen und für ihre Kunden erleichtern. Wenn die Cloud-Nutzer auf dieser Basis ebenfalls erfolgreich die Compliance darstellen können, wäre der Beweis erbracht, dass Cloud und Datenschutz zusammenpassen und damit das langjährige Hauptproblem von Cloud erfolgreich gelöst wäre. Ich würde sogar erwarten, dass Anwendern aufgrund der guten Vorarbeit der Provider der Nachweis für Cloud-Anwendungen leichter fallen könnte als in ihren non-Cloud-Applikationen, für die alle Nachweise selbst erbracht werden müssen. In der Außenwirkung wäre das ein überzeugendes Signal für andere Anwendungsfälle und könnte somit Cloud bei weiteren Kunden hoffähig machen.
Anforderungen der DSGVO
Durch die DSGVO liegen erstmalig europaweit einheitlich dieselben konkreten Anforderungen vor. Die Beurteilung von Cloud und Datenschutz kann jetzt konkreter geführt werden, und wird wegen der höheren Bußgelder auch ernsthaft erfolgen müssen. Indem für non-Cloud-Systeme die gleiche Messlatte gilt, werden Firmen den direkten Vergleich haben.
Awareness der DSGVO
Mit der drastischen Erhöhung der Bußgelder auf 10 Mio., oder 2% des Umsatzes (bzw. 20 Mio/4%) möchte der Gesetzgeber EU die Einhaltung der Datenschutzvorschriften offensichtlich ernsthafter durchsetzen. Viele Firmen haben vormals anscheinend das Risiko eines bislang geringen Bußgelds in Kauf genommen, weil ihnen Datenschutz entweder zu aufwändig erschien oder ihr Geschäftsmodell beeinträchtigt hätte. Die erhöhten Bußgelder treiben wesentlich die Awareness an.
Implementierung DSGVO
Natürlich gilt die DSGVO für Firmen aller Größen, aber Inhalt, Zeit und Aufwand der Implementierungsprojekte können sich nach Firmengröße deutlich unterscheiden. Indem Konzerne aus einer Vielzahl von Firmen unterschiedlicher Größenklassen bestehen, gilt das analoge für die Organisationseinheiten innerhalb der Firmen, die mit personenrelevanten Daten arbeiten, und das tun vermutlich fast alle.
Typischerweise haben größere Firmen mehr automatisierte Prozesse und Programme, die aufwändig angepasst werden müssen, haben längere Governance-Zeiten und müssen daher früher starten. Kleinere Firmen bzw. Einheiten können schneller umsetzen, benötigen weniger Vorbereitungszeit, aber müssen sich u.U. Fachwissen auf einem enger werdenden Markt zukaufen.
Aufgrund der Komplexität lässt sich derzeit kaum vorhersagen, ob Firmen ihre Implementierung für DSGVO rechtzeitig fertig haben werden, und die Unsicherheit besteht auf jeder Organisationsebene, bis die Umsetzung abgeschlossen ist.
Aufgaben der Cloud-Nutzer
Cloud-Nutzer müssen das Verhältnis mit ihrem Provider im Sinne der Auftragsdatenverarbeitung klären und die Einhaltung der Regeln durch den Provider überwachen. Im Gegenzug können Cloud-Nutzer bei der Erfüllung Ihrer eigenen Nachweispflichten wiederum von ihren Providern profitieren. Es wird ihnen allerdings schwer fallen, die technisch-organisatorischen Maßnahmen entsprechend DSGVO zu implementieren, wenn Cloud für sie eine neue Umgebung darstellt, in der ihre Mannschaft noch nicht genügend Know-How ansammeln konnte.
Herausforderung für Hyperscale-Provider
Gerade die großen internationalen Provider könnten die Herausforderung unterschätzen, wenn sie Datenschutz nur als technische Aufgabe sehen und ansonsten DSGVO nur als Marketing-Instrument einsetzen. Datenschutz benötigt auch organisatorische Maßnahmen, und das Zusammenspiel auf technisch-organisatorischer Ebene und dem Provider-Nutzer muss nachhaltig organisiert werden. Das könnte die Mannschaften, oder Partner-Netzwerke der großen Provider vor Probleme stellen, die in den Konzern-Zentralen häufig noch nicht ernst genommen werden.
Marketing von deutschen Providern
In Deutschland ansässige Provider werben häufig mit dem „Datenstandort Deutschland“ in Bezug auf das Bundesdatenschutzgesetzes (BDSG). Indem die DSGVO in Europa im Wesentlichen gleichermaßen gilt, gilt das Argument in Zukunft für alle Provider in der EU und verliert seine Unterscheidungskraft. Zudem haben inzwischen auch die großen internationalen Provider Rechenzentren in Deutschland, was in den meisten rechtlichen Aspekten des Datenschutzes identisch zu bewerten ist.
Indem der Standort D nicht mehr selbstverständlich als Vorteil gilt, wird sich das Marketing der Provider neu ausrichten müssen. Eine Möglichkeit ist die Sicherheit der Cloud-Systeme durch Zertifizierungen nach der ISO 27000-Reihe, oder Audits nach SOC, oder spezielle Datenschutz-Audits nachzuweisen. Das könnte kleinere Provider so stark beschäftigen, dass keine Beratungskapazität mehr für deren Kunden bei der Implementierung übrig ist.
Entwicklung von Managed Security Services
Sollten sich die Provider, ob Hyperscale oder im lokalen Kundenkontakt, mit der Unterstützung ihrer Kunden zur DSGVO schwer tun, stehen mit Managed Cloud Service Providern schon spezialisierte Dienstleister bereit. Diese können dem Kunden viele gleichartige oder wiederkehrende Pflichten aus der DSGVO abnehmen, während die Verantwortung nach Gesetz beim nutzenden Unternehmen verbleibt. Managed Cloud Service Provider (MCSP) kennen zum einen die operativen Gegebenheiten der Cloud, weil sie für ihre Kunden Cloud-Umgebungen bei den großen Providern betreiben. Zum anderen haben sie genügend qualifiziertes Personal, das die Erfordernisse der DSGVO im Cloud-Kontext verstehen und umsetzen kann.
Das Geschäft der MCSPs könnte am meisten von der DSGVO profitieren und diese vom Randphänomen zu Mainstream werden lassen. In der Tat hat die Studie zum Einsatz von Hybrid- und Multi-Cloud gezeigt, dass das Budget für Eigenbetrieb in Zukunft zurückgehen soll, während die Ausgaben für alle anderen Betriebsformen (Outsourcing, Public Cloud Self-Service, Managed Service Private Cloud, Managed Service Public Cloud) steigen werden. Im Detail zeigt sich, dass Managed Service Provider als Ansprechpartner und mit 31% an erster Stelle stehen, wenn es um das Management der Workloads geht, und damit auch um das Sicherheitsmanagement. Die Cloud-Provider würden mit 11,7% nur an vierter Stelle gefragt werden.
Das Worst Case Szenario
Wenn Cloud-Kunden keine nachhaltig gangbaren Konzepte zur Erfüllung der Datenschutzanforderungen in die Hand bekommen und sich alleine gelassen fühlen, könnten sie die Schuld nicht nur bei sich, sondern auch beim Provider suchen. Sich nachträglich mit einem „hab ich’s doch immer gewusst“ aus der Affäre zu ziehen, wäre dann eine menschlich verständliche Reaktion, die aber dann weit in die Zukunft das Cloud-Wachstum drosseln würde. Provider sollten strategisches Feingefühl beweisen und die Unterstützung ihrer Kunden sicherstellen, welche Maßnahmen auch immer praktikabel sein würden. In vielen Fällen könnte das auch heißen, dass Provider das eigene Partner-Netzwerk enabeln und in die Lage versetzen diese heikle Aufgaben für sie zu erledigen.