blauer Hintergrund mit Wolke

Cloud: C5 und DSGVO zugleich beachten

Cloud: C5 und DSGVO zugleich beachten

Cloud: C5 und DSGVO zugleich beachten

Elvira Niedermeier | Senior Manager,

Keyfacts

  • Cloud-Dienste sollten Datenschutz gemäß DSGVO und den BSI C5-Kriterienkatalog für Informationssicherheit gleichermaßen beachten.

  • Eine Embedded Cloud Compliance integriert beides in ein prüfbares Kontrollsystem und überführt es effizient in das Unternehmen.

  • Damit schafft es Transparenz für den Kunden und kann einen Unternehmensvorteil darstellen.

Spätestens mit der Corona-Krise ist der Wert der Cloud deutlich geworden. Cloud-Dienste ermöglichen flexibles, orts-, und zeitunabhängiges Arbeiten. Im Rahmen ihrer Digitalisierungsstrategien nutzen Unternehmen die Cloud-Auslagerungen zur Konzentration auf ihre Kernkompetenzen und zur Verbesserung ihrer Dienstleistungen.

Die Umstellung in die Cloud muss allerdings den Sicherheitsanforderungen der Kunden, Auftraggeber und Aufsichtsbehörden entsprechen. Hierbei geht es um Informationssicherheit und Datenschutz. Maßgebend sind dabei der Kriterienkatalog Cloud Computing (C5) des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und die EU-Datenschutz-Grundverordnung (DSGVO). Mit einer Embedded Cloud Compliance halten Sie beide Bestimmungen ein.

Datenschutz und Informationssicherheit zugleich bedenken

Der Informationssicherheitsstandard C5 wird von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) bei der Nutzung von Cloud-Dienstleistungen im Finanzsektor empfohlen. Im öffentlichen Sektor ist der C5 zwingend einzuhalten. Im Frühjahr 2020 veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Überarbeitung des C5-Kriterienkatalogs, an dessen Kommentierung wir mitgearbeitet haben.

Während der C5 in erster Linie die Sicherheit der Unternehmensdaten der Cloud-Kunden abdeckt, sind die personenbezogenen Daten nicht im Blick. Bei der Auslagerung von personenbezogenen Daten müssen aber auch die Anforderungen des Datenschutzes gemäß DSGVO beachten werden. 

Für Kunden, Behörden und andere Stakeholder ist es wichtig, dass Cloud-Nutzer sowohl C5 als auch die DSGVO einhalten. Die Cloud-Nutzer haben allerdings bislang Schwierigkeiten, dies nachzuweisen. Die am Markt etablierten Frameworks zu IT-Prozessen und IT-Kontrollen (z.B. ISO / IEC 27001, COBIT) decken die C5-Anforderungen nicht vollumfänglich ab. Eine Zertifizierung der DSGVO wiederum sei, so wird vielfach argumentiert, momentan aufgrund der noch fehlenden Vorgaben bislang nicht möglich.

Embedded Cloud Compliance verbindet C5 und EU-DSGVO

In Bezug auf die DSGVO hilft jedoch der Prüfungshinweis des Instituts der Wirtschaftsprüfer (IDW): Prüfung der Grundsätze, Verfahren und Maßnahmen nach der EU-Datenschutz-Grundverordnung und dem Bundesdatenschutzgesetz (IDW PH 9.860.1). Und bei der C5-Einhaltung gilt es Lücken in den bisherigen Frameworks zu schließen.

Die Embedded Cloud Compliance verbindet beides. Sie integriert C5 und IDW PH 9.860.1 in ein prüfbares Kontrollsystem und deckt damit Informationssicherheit und Datenschutz von Cloud-Lösungen ab.

Vor allem Startups und Fintechs befürchten ihre Effizienz und Kostenvorteile durch Compliance zu verlieren. Doch übersehen sie dabei fünf wesentliche Vorteile:

1. Embedded Cloud Compliance schafft einen Unique Selling Point und ermöglicht die Erschließung neuer Märkte

Embedded Cloud Compliance deckt die Cloud-spezifischen Anforderungen an Informationssicherheit und den Datenschutz vollständig ab und kann als Wettbewerbsvorteil herangezogen werden. Die Embedded Cloud Compliance schafft Transparenz hinsichtlich Informationssicherheit und Datenschutzes eines Cloud-Dienstes, welche durch den (potenziellen) Kunden im Rahmen seines Risikomanagements sowie bei der Auswahl, Steuerung und Überwachung seines Cloud-Anbieters berücksichtigt werden kann.

2. Attestierung der Embedded Cloud Compliance durch einen ISAE-3000-Bericht dient als Nachweis für ein wirksames internes Kontrollsystem (IKS) im Bereich Datenschutz und Informationssicherheit

Der ISAE-3000-Bericht kann als Nachweis für ein wirksames Datenschutz IKS hinsichtlich der EU-DSGVO-Konformität verwendet werden. Das BSI wiederum hat sich bewusst für die Überprüfung des C5 durch einen Wirtschaftsprüfer entschieden, da aufgrund der Methodik zur Wirksamkeitsprüfung von einer hohen Verlässlichkeit auszugehen ist. Zertifizierungen z.B. nach ISO / IEC 27001 können diese Aussage nicht treffen, da hierbei im Rahmen der Wirksamkeitsprüfung im Normalfall keine Stichproben verwendet werden. Ein Wirksamkeitsnachweis basierend auf Stichprobenschafft Transparenz für Kunden, Cloud-Anbieter und Aufsichtsbehörden und sonstige Stakeholder.

3. Integrierter Ansatz ist effizient 

C5 & DSGVO ergänzen sich optimal: Der integrierte Ansatz schafft wesentliche Synergieeffekte, da Prozesse gemeinsam genutzt werden können. Die Cloud-Dienstleistungen bergen mit der Internet- oder Netzverbindung und einem gemeinsam genutzten Pool an Rechenressourcen neue Risiken für den Datenschutz. Hierbei stellen IT-Prozesse eine mögliche Grundlage für den Datenschutz dar. So kann das Risikomanagement im Rahmen der Informationssicherheit als Grundlage für das Risikomanagement im Bereich Datenschutz dienen oder das Management von Sicherheitsvorfällen als Basis für das Management von Datenschutzverletzungen. 

4. Embedded Cloud Compliance lässt sich auch im agilen Umfeld implementieren

Cloud Compliance lässt sich effizient und nachhaltig umsetzen, wenn die Cloud-Technologie mit agilen Methoden in Einklang gebracht wird. Die Anforderungen müssen in die automatisierten Prozesse der Fintechs und Insuretechs wie DevOps, Continuous Integration, Continuous Delivery und Infrastructure as Code integriert werden. Dadurch entsteht ein gelebtes und wirksames IKS. Diese sollte dann skaliert werden, um die Anforderungen der Cloud-Umgebung zu meistern.

Die Embedded Cloud Compliance kann dabei sowohl auf bestehende Kontrollsysteme als auch bei neu aufzusetzenden IKS angewendet und umgesetzt werden. Selbstverständlich sollten bei der Optimierung des IKS bestehende Prozesse, Kontrollen und Richtlinien berücksichtigt werden. Der Aufbau und die Implementierung von Prozessen und Kontrollen sollte unter Einbeziehung von Experten durchgeführt werden. Dafür sollte spezifische Know-how aufgebaut werden. 

Erfahren Sie hier mehr zum Thema „Embedded Cloud-Compliance: C5 & DSGVO in einem internen Kontrollsystem vereint“.