Ist ihr Unternehmen schon cloud-compliant?

Generell gilt: alle IT-Compliance-Anforderungen gelten gleichermaßen in der Cloud. Wie schon beim klassischen Outsourcing müssen auch hier Vorkehrungen getroffen werden, um “compliant” zu sein. Gesetze mit zum Teil empfindlichen Sanktionen für Unternehmen wie Führungskräften machen auch vor der Datenwolke nicht Halt.

Werden personenbezogene Daten verarbeitet, gelten die Vorschriften des Bundesdatenschutzgesetzes, des Telekommunikationsgesetzes und des Telemediengesetzes genauso im Cloud-Betrieb. Für die IT-gestützte Finanzberichterstattung sind das Handelsgesetzbuch und die Abgabenordnung zu beachten, die neben dem Schutz vor Verfälschung und einer Fehlerkontrolle auch die Sicherheit und Verfügbarkeit der eingesetzten IT-Systeme fordern. Darüber hinaus gibt es besondere Anforderungen für den Finanz- und den Gesundheitssektor sowie die Vorschriften der Exportkontrolle.

Das Phänomen Cloud Computing hat diese Anforderungen nicht grundlegend verändert, manche Compliance-Aspekte gewinnen jedoch in der Cloud an Bedeutung. Beispiel: Organisationspflichten der Unternehmensführung. Diese beinhalten, dass geschäftskritische Anwendungen ausfallsicher betrieben werden. Zum Ausfallrisiko gehört in der Cloud die Verbindung zum Anbieter. Das Unternehmen macht sich von der Verfügbarkeit und der Übertragungsgeschwindigkeit von Datenleitungen abhängig. Aber allein die Verfügbarkeit eines Dienstes beim Anbieter reicht nicht aus. Der Nutzer muss auch in der Lage sein, auf den Dienst zuzugreifen.

Häufig ist Kontrolle die Voraussetzung dafür, Compliance-Anforderungen erfüllen zu können. Werden beispielsweise personenbezogene Daten von einem externen Dienstleister bearbeitet oder gespeichert, ist dies im Zuge der Auftragsdatenverarbeitung nur zulässig, wenn der Auftraggeber jederzeit Kontrolle über die Daten hat. Das erfordert technische und organisatorische Maßnahmen, deren Einhaltung der Auftraggeber regelmäßig überprüfen muss. Soll beispielsweise die Finanzbuchführung im Ausland stattfinden, muss nicht nur der Zugriff auf die Finanzdaten sichergestellt sein, sondern auch der Standort des Datenverarbeitungssystems sowie der Name des Dienstleisters der Finanzbehörde gemeldet werden.

Da diese Kontrollanforderungen aber dem Modell der grenzenlosen Datenverarbeitung zu widersprechen scheinen, sollte man sich überlegen, ob diese Art der Datenverarbeitung überhaupt zielführend ist. Denn nicht jeder IT-Service mit der Bezeichnung “Cloud Computing” ist grenzenlos. Cloud ist nicht gleich Cloud. Das machen sich viele Unternehmen bisher noch nicht bewusst und assoziieren den Begriff noch überwiegend mit einem klassischen Outsourcing-Modell. Wirklich wichtig ist, die eigene Cloud-Infrastruktur zu verstehen, entsprechenden Bedarf daraus ableiten zu können und auf dieser Basis ein Angebot zu wählen, welches den Compliance-Anforderungen auch entsprechen kann.

Dabei können verschiedene Cloud-Modelle zu einer Hybrid-Cloud kombiniert werden. Die rechtlichen Rahmenbedingungen des Datenschutzes legen zum Beispiel nahe, dass Applikationen, mit denen personenbezogene Daten verarbeitet werden, nur innerhalb der EU beziehungsweise des Europäischen Wirtschaftsraums betrieben werden. Test- und Entwicklungssysteme können hingegen durchaus auch außerhalb Europas stehen. Umgekehrt kann mit dem Cloud-Provider vereinbart werden, dass geschäftskritische Anwendungen, insbesondere die Finanzbuchhaltung, ausschließlich in Deutschland betrieben werden. Für ein hohes Sicherheitsniveau kann auch der Betrieb auf dedizierter Hardware verlangt werden. Richtig ausgewählt und strukturiert können Cloud-Dienste daher durchaus mit Compliance-Anforderungen in Einklang gebracht werden.

Silicon-Redaktion

Recent Posts

IT 2025: IT-Führungskräfte erwarten massiven KI-Ruck

Einsatz von KI-Lösungen wirbelt auch in deutschen Unternehmen die Liste der Top-Technologieanbieter durcheinander.

15 Stunden ago

Sofortzahlungen im Wandel: Sicherheit und KI als treibende Kräfte

Echtzeitüberweisungen erfüllen die Erwartungen der Nutzer an Geschwindigkeit, sind jedoch anfällig für spezifische Sicherheits- und…

18 Stunden ago

Blockaden und Risiken bei APM-Projekten vermeiden

Application Portfolio Management (APM) verspricht Transparenz, mehr IT-Leistung und Effizienz – theoretisch.

3 Tagen ago

BSI-Bericht: Sicherheitslage im Cyberraum bleibt angespannt

Im Berichtszeitraum Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt.

3 Tagen ago

KI-Hype in der Cybersicherheit – oder besser doch nicht?

KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist…

4 Tagen ago

Netzwerksegementierung schützt vor Angriffen über die OT

Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…

4 Tagen ago