Das neue Datenschutzgesetz (nDSG) in der Schweiz ist seit vergangener Woche in Kraft. In einigen Punkten hat es sich der europäischen Datenschutzgesetzgebung angenähert. Diese ist insgesamt noch strikter – und für viele Schweizer KMU, deren grösster Markt die EU ist, ohnehin bereits seit längerem relevant. Nichtsdestotrotz lohnt es sich angesichts der Zunahme datenkritischer Vorfälle, dem Thema Data Privacy Protection immer wieder Sichtbarkeit zu geben.
Im Hinblick auf die Cloudnutzung müssen in der neuen Schweizer Datenschutzgesetzgebung nun auch Datensicherheit, Server-Standort und Souveränität des Cloud-Anbieters in weit stärkerem Masse hinterfragt werden als bis anhin. Wo befinden sich die Daten bzw. wo stehen die Server, auf denen sie liegen? Falls im Ausland, wie ist es um das Datenschutzniveau dort bestellt? Letzter Punkt betrifft vor allem US-Cloudanbieter bzw. deren hiesige Tochtergesellschaften, die einen Grossteil des Public-Cloud-Marktes beherrschen. Noch fehlen Erfahrungen mit dem in Juli in Kraft getretenen EU-U.S. Data Privacy Framework, welches das Datenschutzniveau für zertifizierte Unternehmen in den USA für EU-angemessen erklärt.
Bewährte Zertifizierungen für Datenschutz und -sicherheit
Zertifizierungen seitens unabhängiger Institutionen oder Experten sind ein probates Mittel, Vertrauen herzustellen. Dazu muss ein Cloud-Anbieter nicht unbedingt nach EU-U.S. Data Privacy Framework auditiert sein. Gängige europäische Zertifikate wie ISO 9001 (Qualitätsmanagementsystem) und vor allem ISO 27001, der Sicherheitsstandard für Informationsmanagement-Systeme, geben eine objektive Orientierung, um beim Datenschutz im wörtlichen Sinn auf der sicheren Seite zu sein.
Weitere relevante Zertifizierungen, die es sich bei der Auswahl eines zuverlässigen Public-Cloud-Anbieters zu prüfen lohnt, sind SOC 1 und SOC 2, die «System and Organization Controls», mit denen von unabhängiger Seite die Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und der Schutz von Kundendaten geprüft und bewertet werden. Auch eine ESARIS-Zertifizierung – die Abkürzung steht für Enterprise Security Architecture for Reliable ICT Services und beinhaltet eine Sammlung von Methoden, Standards und Arbeitshilfen für die angemessene Absicherung von IT-Services – sowie Zero Outage, womit die IT-Produktionsqualität nachgewiesen wird, sind gute Referenzen für einen hohen Sicherheitsstandard.
Offene Standards und Architekturen
Es ist zudem von Vorteil, wenn die hochskalierbare Cloud-Infrastruktur, die so viel mehr Pluspunkte bezüglich Flexibilität, Effizienz und Kosten bringt als klassische IT-Infrastrukturen, und auf offenen Architekturen und Standards basiert. So lässt sich ein Vendor Lock-in vermeiden: Ein Unternehmen ist nicht in proprietären Ökosystemen von Cloud-Providern gefangen, und muss beim Wechsel zu einem anderen Anbieter keine grossen Hürden überwinden, wie etwa die Migration der Cloud-Landschaft über mehrere Monate.
Darüber hinaus entwickelt eine breite Community – bestehend aus IT-Anbietern, Kunden und Entwicklern – die Open-Source-Lösungen kontinuierlich weiter. Da quelloffene Software per se für jeden einsehbar ist, lässt sich nachvollziehen, wie sich der Code verändert. Wichtiges Anliegen aller Beteiligten: gemeinsam die Lösungen für jedermann stets rechtssicher zu gestalten.
Betriebsmodelle prüfen
Auch wenn eine Public Cloud nach allen Parametern zertifiziert ist, sie auf offenen Standards beruht und datenschutzrechtlich unbedenklich ist – es wird immer Workloads geben, für die sich die eine oder andere Cloudumgebung besser eignet oder für die es schlichtweg noch keine cloudbasierte Anwendung gibt. Es empfiehlt sich in den so entstehenden hybriden Cloudmodellen darauf zu achten, welcher Grad an Komplexität noch handhabbar bleibt. Im Zweifelsfall sollte ein Unternehmen besser auf einen hiesigen Managed Service Provider zurückgreifen, der die jeweilige Cloud passend konfigurieren und betreiben kann. Beherrscht dieser Anbieter zudem noch Multicloud-Orchestrierung und verfügt über eigene auf die Schweiz zugeschnittene Private- und Public-Cloud-Angebote, so ist dem Datenschutz und der Sicherheit – mit höchster Sicherheit – genüge getan.
Autor: Thomas Reitze*, Managing Director T-Systems Schweiz AG
