Varonis debuts trailblazing features for securing Salesforce. Learn More

Wir stellen vor: Die Least Privilege Automation für Microsoft 365, Google Drive und Box

Mehr erfahren

Cloud-Datenschutz in der EU: Der Weg aus der Knechtschaft

Vor einiger Zeit schrieb ich über die einflussreiche EU-Datenschutzrichtlinie von 1995 sowie die aktualisierten Verbraucherschutzbestimmungen, die in Kürze in Kraft treten werden. Im Sommer veröffentlichte die Arbeitsgruppe „Artikel 29“, ein Beraterausschuss...
Michael Buckbee
2 minute gelesen
Veröffentlicht 26. Dezember 2012
Letzte aktualisierung 29. Oktober 2021

Vor einiger Zeit schrieb ich über die einflussreiche EU-Datenschutzrichtlinie von 1995 sowie die aktualisierten Verbraucherschutzbestimmungen, die in Kürze in Kraft treten werden. Im Sommer veröffentlichte die Arbeitsgruppe „Artikel 29“, ein Beraterausschuss der DSR, ein Regelwerk, das die Regulierungsstruktur für Cloud-Anbieter definiert. Während die USA weiterhin an ihren Online-Verbraucherschutzbestimmungen feilen, setzen die vorgeschlagenen Regeln einen hohen Maßstab für den Schutz von Verbraucherdaten: Europäische Unternehmen können fundamentale Datenschutzrechte nicht länger ausklammern, indem personenbezogene Daten ihrer Kunden in der Cloud gespeichert werden.

Im DSR-Jargon bezeichnet die Arbeitsgruppe Cloud-Anbieter als „Datenverarbeiter“. Nachdem dieser Terminus vereinbart wurde, kam alles Weitere des vorhandenen DSR-Rahmenwerks automatisch zusammen. Somit bleiben die DSR-Verpflichtungen in Verbindung mit Sicherheitsanforderungen, Genauigkeit und Grenzen zur Datenspeicherung unverändert bestehen.

Ein Unternehmen (d. h. ein Datenkontrolleur laut DSR), das nach einem Cloud-Anbieter sucht, ist nur dann berechtigt, einen Vertrag abzuschließen, wenn der Anbieter „Konformität mit der [EU] Datenschutzrichtlinie garantiert.“

Da EU-Unternehmen die oberste Verantwortung für den Schutz von Verbraucherdaten haben (und auch den Großteil oder die komplette Haftung übernehmen), sind sie auch dafür verantwortlich, entsprechende Vertragsbedingungen mit ihren Anbietern zu vereinbaren. Ich habe ein paar dieser wesentlichen Vertragsklauseln aus dem Dokument der Arbeitsgruppe zusammengestellt:

  • SLAs: „objektiv und messbar“, sie sollten „vorgesehene Strafen (finanzieller oder anderer Art, einschließlich der Möglichkeit den [Cloud-] Anbieter bei Nichteinhaltung zu verklagen)“ enthalten
  • Autorisierung: „Der Verarbeiter [Cloud-Anbieter] muss die Anweisungen des Kontrolleurs befolgen“
  • Datenzugriff: „nur autorisierte Personen[Cloud-Anbieter] sollten Zugriff auf die Daten haben“
  • Zugriffsrechte der Verbraucher: Cloud-Anbieter sollten „es den Klienten vereinfachen, die Zugriffsrechte der durch die Daten betroffenen Personen [Verbraucher] auszuüben und deren Daten löschen oder korrigieren“
  • Protokollierung und Auditing: „Klienten sollten die Protokollierung von Datenverarbeitungsvorgängen anfordern, die vom Anbieter durchgeführt werden“ und der Klient „sollte in der Lage sein, derartige Datenverarbeitungsvorgänge zu überwachen“
  • Technische Maßnahmen: eine Reihe technischer Anforderungen, darunter vor allem solche, die sich auf die Verfügbarkeit, Datenintegrität, Vertraulichkeit (z. B. Verschlüsselung) und Übertragbarkeit beziehen

Dieser Standard für Verträge ist besonders wichtig, da der physische Standort von Cloud-Unternehmen praktisch überall sein kann, d. h. auch außerhalb der EU. In Europa ansässige Unternehmen, die Verbraucherdaten von EU-Bürgern sammeln, können diese Daten nicht in Länder mit einem schwächeren Verbraucherschutz exportieren und dort verarbeiten. Der Cloud-Outsourcer muss den Datenschutzbestimmungen der DSR entsprechen.

Sollten Sie sich nun fragen, ob die DSR auch amerikanische Cloud-Anbieter reguliert – wie zum Beispiel Amazon oder Google – lautet die Antwort Ja, bis die Arbeitsgruppe dieses Regelwerk erstellte.  Amerikanische Datenverarbeiter verfügten über eine einzigartige Freistellungsbeziehung mit der EU. Wenn sie mit einem EU-Unternehmen zusammenarbeiten, ist ihnen eine Selbst-Zertifizierung hinsichtlich der sieben Grundsätze gestattet, die die DSR-Richtlinien für Datenverarbeiter mit Sitz in der EU widerspiegeln.

Die neuen Regeln der Arbeitsgruppe geben jedoch vor, dass EU-Unternehmen direkten Nachweis der amerikanischen Anbieter einholen müssen, um „die Existenz [Betonung hinzugefügt] der Selbst-Zertifizierung der Freistellung nachzuweisen und Nachweis anzufordern, um zu demonstrieren, dass die Grundsätze eingehalten werden.“

Amazon, Google, GoDaddy und andere amerikanische Cloud-Anbieter: Sie wurden gewarnt!

Wo wir gerade von Cloud-Anbietern mit Sitz in den USA sprechen, Rob hat einen interessanten Post darüber geschrieben, wie die Bequemlichkeit von Cloud-Computing sowohl Verbraucher als auch Unternehmen in eine einseitige Beziehung gelockt hat. Und ein bekannter Security Analyst hat diese Beziehung als eine Endbenutzer-Lizenzvereinbarung zwischen Leibeigenen und Grundherren beschrieben. Kleiner Tipp: die Cloud-Anbieter sind die Grundherren.

EU-Länder haben einen großen Schritt dahin gemacht, die Machtverhältnisse im digitalen Zeitalter zwischen Cloud-Anbietern und Unternehmen auszugleichen. Als Konsequenz müssen amerikanische Cloud-Anbieter ihre Datenschutzbestimmungen ändern; zumindest dann, wenn sie auch weiterhin mit der EU zusammenarbeiten wollen.

Obwohl Nordamerika nicht mit feudalen Verhältnissen vertraut ist, sollte ich vielleicht hinzufügen, dass einige der Vorschläge der DSR auch gute Geschäftspraktiken für inneramerikanische Transaktionen sein könnten.

The post Cloud-Datenschutz in der EU: Der Weg aus der Knechtschaft appeared first on Varonis Deutsch.

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Testen Sie Varonis gratis.
Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen
Keep reading
hinter-dem-varonis-rebranding
Hinter dem Varonis-Rebranding
Entdecken Sie die Strategie, die hinter dem Rebranding von Varonis steht – mit einem Übergang zu einem Heldenarchetyp und der Einführung von Protector 22814.
cybersecurity-trends-2024:-was-sie-wissen-müssen
Cybersecurity-Trends 2024: Was Sie wissen müssen
Erfahren Sie mehr über Datensicherheitsmanagement, KI-Sicherheitsrisiken, Änderungen bei der Compliance und mehr, um Ihre Cybersecurity-Strategie für 2024 vorzubereiten.
das-war-2023 – so-wird-2024
Das war 2023 – so wird 2024
Im Kielwasser der massiven Verbreitung von WannaCry im letzten Monat sorgt gerade eine neue Variante von Ransomware für massive Störungen, dieses Mal unter der Bezeichnung „NotPetya“. Fast den gesamten Morgen...
podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
Podcast-Empfehlung: Alles, was Sie zu Data Security Posture Management
Im Gespräch mit Oliver Schonschek, News-Analyst bei Insider Research, hatte ich die Möglichkeit, das Konzept Data Security Posture Management zu erklären und zu zeigen, wie es sich in der Praxis umsetzen lässt. Dabei stand zunächst die Frage im Raum, ob und inwieweit wir unsere bisherigen Security-Konzepte neu denken müssen. Werden durch DSPM bewährte Praktiken wie Endpoint-Sicherheit, Firewalls und ähnliches gar obsolet?