So lässt sich Cloud Transformation mit DSGVO und Datenschutz vereinbaren

Viele Unternehmen befürchten, dass die Transformation von IT-Services in eine Cloud-Infrastruktur an Hürden beim Datenschutz scheitern könnte. Insbesondere die Datenschutzgrundverordnung (DSGVO) wird oftmals als Showstopper gesehen. Zu Unrecht – denn die Cloud lässt sich mit Datensicherheit und Datenschutz in Einklang bringen.

Die Cloud Transformation, also die Verlegung von IT-Infrastruktur aus dem klassischen On Premises Rechenzentrum in die Cloud, ist für immer mehr Unternehmen eine der chancenreichsten Möglichkeiten, um das eigene Geschäft flexibel und skalierbar zu machen und auf neue zukunftsorientierte Geschäftsmodelle auszurichten. Zugleich sehen viele Unternehmen aber auch die Risiken und Herausforderungen im Zusammenhang mit Datenschutz und Datensicherheit. Doch auch wenn die Datenschutzgrundverordnung (in Deutschland DSGVO, international auch GDPR genannt) strenge und genaue Regelungen vorgibt, muss dies kein Schaden sein. Doch die seit Mai 2018 EU-weit geltende Verordnung, die jedem Bürger jederzeit die volle Kontrolle über seine persönlichen Daten garantiert, hat in vielerlei Hinsicht auch Rechtsunsicherheit für Unternehmen geschaffen.

Cloud Transformation und Datenschutz – das regelt die DSGVO

Grundsätzlich gilt Cloud Computing im Sinne des Datenschutzrechts und der DSGVO als Auftragsverarbeitung. Unternehmen, die Daten in die Cloud hochladen und diese dort speichern und verarbeiten, müssen daher überprüfen, ob der Cloud-Provider die geltenden Datenschutzbestimmungen im Sinne der DSGVO einhält. Besonders umsichtig müssen dabei dem Gesetz nach Unternehmen sein, die mit Kundendaten oder Mitarbeiterdaten arbeiten – und das trifft in dieser allgemeinen Auslegung wohl auf ziemlich jedes Unternehmen zu.

Die Datenschutzgrundverordnung (DSGVO) regelt dabei die Ansprüche alle Tools betreffend, die Daten verarbeiten. Unternehmen, die solche relevanten Kundendaten in die Cloud übertragen, müssen zunächst einen rechtsgültigen Vertrag mit dem Cloud-Anbieter geschlossen haben und sich aktiv vergewissert haben, dass der Provider die geltenden Datenschutzbestimmungen, insbesondere die DSGVO, einhält. Dies kann durch entsprechende Zertifizierungen oder unabhängige Testate nachgewiesen werden.

Serverstandort als Hindernis für eine DSGVO-konforme Cloud

Relevant ist aber vor allem der Serverstandort: Vergleichsweise unkritisch ist die Datenverarbeitung auf einem Server innerhalb der Europäischen Union. Schwieriger wird die Beurteilung von Datenschutz und Datensicherheit, wenn der Serverstandort außerhalb der EU liegt. Dann muss ein „angemessenes Schutzniveau im Sinne der „Adequacy Decisions der EU“ vorliegen. Liegt so ein Angemessenheitsbeschluss nicht vor sollte vor der Einsatz mit IT-juristischem Hintergrund und entsprechendem Datenschutz-Know-how geprüft werden.

Komplexer ist die Lage immer dann, wenn US-Unternehmen involviert sind, die dem US-Cloud-Act verpflichtet sind. Diese können nämlich dazu verpflichtet werden, im Rahmen von polizeilichen oder geheimdienstlichen Ermittlungen den US-Behörden Daten zugänglich zu machen, die aus Sicht des Unternehmens im Ausland gespeichert sind – also beispielsweise auch auf einem Server, den ein amerikanisches Unternehmen in Deutschland betreibt. Deutsche und europäische Unternehmen setzen dennoch wackeliger Rechtsgrundlage massenhaft Daten auf Server von US-Tech-Konzernen – und riskieren damit millionenschwere Strafen. Das gilt insbesondere, wenn sie sich auf Hyperscaler wie die Google Cloud, AWS oder Microsoft Azure verlassen.

Dieses DSGVO-Dilemma betrifft sämtliche Unternehmen, die Teile ihrer IT-Infrastruktur in die Cloud migrieren wollen. Sie sollten sich daher nicht nur auf den Serverstandort in der Europäischen Union verlassen, sondern auch prüfen, in wieweit der Cloud-Provider US-amerikanischem Recht unterliegt. Sinnvoll ist darüber hinaus, wenn Unternehmen auf eine möglichst weitreichende Verschlüsselung der Daten bei Übertragung und Speicherung setzen und zudem auf einsehbare Protokolle im Rahmen des Monitoring achten.

Datenschutz als Wettbewerbsvorteil

Neben dieser juristischen Perspektive geht es bei den Herausforderungen in Sachen Datenschutz und Cloud aber auch um das Vertrauen der Endkunden. Unternehmen sollten daher die Zweifel und Nachfragen der Verbraucher ernst nehmen und sich mit deren Bedenken befassen. Gewinnen sie auf diese Weise das nachhaltige Vertrauen ihrer Kunden, profitieren sie langfristig davon – denn Datenschutz kann auch ein Wettbewerbsvorteil werden, etwa wenn ein Unternehmen mit einer europäischen Cloud-Infrastruktur wie dem Gaia-X-Projekt werben kann. Dabei handelt es sich um eine Initiative europäischer Cloud-Anbieter, die eine leistungsfähige und vertrauenswürdige Dateninfrastruktur sicherstellen soll.

Cloud Transformation und Datenschutz gehen gut zusammen

Wichtig ist, dass Unternehmen verstehen, dass eine digitale Transformation in die Cloud nicht an Datenschutz und den Hürden der DSGVO scheitern muss. Denn die Vorteile einer Cloud-Infrastruktur sind zu wertvoll als dass Unternehmen auf diesen geschäftskritischen Mehrwert verzichten sollten. Denn zum einen eröffnet die Cloud Transformation ein Mehr an Agilität und Flexibilität, erlaubt Skalierbarkeit des Geschäfts und sorgt für eine ressourcenschonende IT. Das betrifft sowohl die Kostenstrukturen als auch den damit verbundenen CO2-Fußabdruck und die Ökobilanz – ein Thema, das für Unternehmen im Rahmen des Klimawandels in den kommenden Jahren an Relevanz gewinnen wird.

Zum anderen wird Cloud Computing zur Grundlage für neue Geschäftsmodelle, zusätzlichen Umsatz und moderne Technologien, denen das On Premises Rechenzentrum nicht mehr gerecht wird. Das trifft übrigens auf die unterschiedlichen Ausprägungen der Cloud gleichermaßen zu: als Public, Hybrid oder Private Cloud, als Infrastruktur für einzelne Ressourcen und Services, nicht zuletzt oftmals auch als Teil einer modernen Multi Cloud Infrastruktur mit verschiedenen Cloud-Providern in Kombination. Hier kann es im Rahmen der Sicherheitsstrategie auch sinnvoll sein, wenn Unternehmen das Datenschutz- und Security-Thema an einen Cloud-Anbieter auslagern, der hier über mehr spezifisches Know-how verfügt als manches mittelständische Unternehmen leisten kann.

Generell führt für immer mehr Unternehmen kein Weg mehr an der Cloud vorbei. Das gilt auch für stark reglementierte Branchen mit strenger Branchenaufsicht und harten Compliance-Anforderungen, in denen man sich noch vor einigen Jahren keine Cloud-Lösung vorstellen konnte. Laut dem Cloud Monitor 2021 der Unternehmensberatung KPMG setzen 82 Prozent der Unternehmen Cloud-Lösungen ein – 6 Prozent mehr als im Vorjahr. Und die Corona-Pandemie hat die Rolle der Cloud als wichtiger Treiber der Digitalisierung nochmals erhöht, sodass 88 Prozent der Unternehmen der Cloud große Bedeutung bei der Digitalisierung interner Prozesse und der Automatisierung von Arbeitsabläufen beimessen.

Und egal für welche Digitalisierungsstrategie und Cloud-Lösung Du dich entscheidest: DEFACTO unterstützt Unternehmen aus unterschiedlichen Branchen bei der Digitalisierung des Kunden-, Daten- und Prozess-Managements – mit langjähriger Expertise in der Cloud Transformation.