Sichere Lieferkette
Datenschutz beim Sub-Cloud-Provider
Zugegeben sind solche Regelungen in der Praxis nicht immer ganz leicht durchzusetzen. Schon die Effektivität der Kontrolle des Hauptauftragnehmers ist häufig fragwürdig; die Bereitschaft (und auch die faktische Möglichkeit), eigene Untersuchungen oder gar Vor-Ort-Kontrollen vorzunehmen, kaum gegeben.
- Die wichtigsten Cloud-Zertifikate
Cloud-Zertifikate sollen den wild wuchernden Markt der Cloud-Dienstleister durchsichtiger machen und bei der Suche nach einem zuverlässigen Provider Unterstützung bieten. - EuroCloud SaaS Star Audit
EuroCloud ist ein Zusammenschluss europäischer Cloud-Anbieter und richtet sich mit seinem Zertifikat ausschließlich an Software-as-a-Service Anbieter. Der deutsche Ableger zertifiziert Unternehmen nach dem Standard "Euro Cloud SaaS Star Audit". - Cloud EcoSystem "Trust in Cloud"
Das SaaS-EcoSystem richtet sich vor allem an mittelständisch geprägte Unternehmen, das "Trust in Cloud"-Zertifikat soll sich als ein Qualitäts-Zertifikat für SaaS und Cloud-Lösungen etablieren. Auf Basis des Zertifikats sollen Nutzer die Möglichkeit erhalten Cloud-Lösungen objektiv vergleichen zu können. - TÜV Rheinland "Certified Cloud Service"
Der TÜV nimmt sich mit dem "Certified Cloud Service"neuerdings auch der Cloud an und hat dazu ein mächtiges Werkzeug für die Prüfung von Cloud-Services entwickelt. Beginnend mit einem "Cloud-Readiness Check" werden zunächst Sicherheit, Interoperabilität, Compliance und Datenschutz auf ihre Cloud-Tauglichkeit überprüft. - SAS 70 von AICPA
Eher in den USA als in Europa wird SAS 70 von AICPA verwendet. Die Zertifizierung SAS 70 testiert die Kontrolle über die unternehmenseigenen Steuerungsprozesse nach den Vorgaben des American Institute of Certified Public Accountants (AICPA). Die SAS-70-Zertifizierung kann auf zwei Arten erfolgen. Während die Typ-1-Zertifizierung nur eine Beschreibung der Kontrollmechanismen verlangt, werden bei Typ 2 auch die tatsächliche Umsetzung und die Effizienz der Maßnahmen im Unternehmen kontrolliert. - Safe Harbour
Safe Harbour ist eine Datenschutzvereinbarung zwischen der EU und den Vereinigten Staaten, die es europäischen Unternehmen ermöglicht, personenbezogene Daten legal in die USA zu übermitteln. Europäische Rechtsstandards werden von Unternehmen, die sich nach der Safe-Harbour-Regelung zertifizieren, voll akzeptiert und respektiert. - Cloud Experte
Der Verband Cloud Ecosystem versucht Cloud-Anbieter, -Vermittler und -Nutzer zusammen zu bringen. - Trust in Cloud
Der Verband Cloud Ecosystem versucht Cloud-Anbieter, -Vermittler und -Nutzer zusammen zu bringen. - German Cloud
Der Verband Cloud Ecosystem versucht Cloud-Anbieter, -Vermittler und -Nutzer zusammen zu bringen.
Umso wichtiger ist es deshalb für den Kunden, überhaupt Kontrollinstrumente in der Hand zu haben. Eine denkbare Alternative wäre es auch, dem Kunden Prüfberichte von externen Stellen auch in Bezug auf die Unterauftragnehmer vorzulegen. Diese müssen natürlich auch aussagekräftig im Hinblick auf die Einhaltung datenschutz- und datensicherheitsrechtlicher Vorgaben sein (beispielsweise eine Zertifizierung nach dem neuen ISO-Standard 27018 für Datenschutz in der Cloud).
Sonderregeln für Nicht-EU-Datentransfers
Sofern Sub-Cloud-Provider außerhalb der EU beziehungsweise des Europäischen Wirtschaftsraums (EWR) eingesetzt werden, kommt eine weitere Komponente hinzu: Sofern der Anbieter nicht in einem anerkannten "sicheren Drittstaat" ansässig ist, braucht der Datenempfänger für ein angemessenes Schutzniveau zusätzlicher Vorkehrungen. Hierfür kommen entweder die so genannten EU-Standardvertragsklauseln zum Einsatz - bei US-Unternehmen sind das die Safe-Harbour-Grundsätze. Beide Regelungsinstrumentarien enthalten auch Vorgaben dazu, unter welchen Voraussetzungen Unterauftragnehmer in die Datenverarbeitung eingeschaltet werden dürfen.
Fazit
Geht es nach den EU-Standardvertragsklauseln, ist der Kunde selbst verpflichtet, ein jährliches, aktuelles Verzeichnis der mit "Unterauftragsverarbeitern" geschlossenen Vereinbarungen zu führen. Dazu braucht er die angesprochenen Unteraufträge vom Cloud Provider. Das Vertragsverhältnis zwischen Cloud- und Sub-Cloud-Provider muss mit den rechtlichen Gegebenheiten des Landes vereinbar sein, in dem der Kunde niedergelassen ist. Bei einer Gewährleistung des Datenschutzniveaus mithilfe des Safe-Harbour-Regimes ist besondere Vorsicht geboten: Das Safe Harbour-Framework gestattet die Weitergabe von Daten an andere Unternehmen als so genannte "onward transfers" unter vermeintlich einfach zu erfüllenden Anforderungen.
Gerade bei der "Lieferung" durch Sub-Cloud-Providern außerhalb der USA (und damit dem Geltungsbereich des Safe Harbour-Regimes) sind zusätzliche Absicherungen ratsam, etwa durch Verwendung der EU-Standardvertragsklauseln. Fest steht: Nicht alle aufgeführten Regelungen werden gegenüber den Cloud-Providern durchsetzbar sein. Die zunehmende Nutzung und Akzeptanz von Cloud-Services zeigt auch eine zunehmende Aufgeschlossenheit gegenüber dem Thema Datenschutz-Compliance in Cloud-Umgebungen. Vor allem müssen anwendende Unternehmen vorausschauend damit umgehen, wenn sie Datenschutz und Datensicherheit in ihrer Cloud-Lieferkette geregelt haben wollen.