Um das flexible und ortsunabhängige Arbeiten zu ermöglichen, bietet sich die Nutzung von Cloud-Diensten an. Diese birgt jedoch viele Fragen zu IT-Sicherheit und Datenschutz.
Für die Nutzer ist es oftmals eine Herausforderung die Compliance eines Cloud-Anbieters einzuschätzen. Um hier eine Hilfestellung zu bieten, hat das Bundesamt für Sicherheit in Informationstechnik (BSI) den Kriterienkatalog Cloud Computing (C5) herausgegeben.
Eine C5-Prüfung kann als Nachweis für die Einhaltung der Informationssicherheit herangezogen werden. Datenschutz ist damit noch nicht abgedeckt. Mit der Anwendung des Prüfungshinweis des Instituts der Wirtschaftsprüfer (IDW): Prüfung der Grundsätze, Verfahren und Maßnahmen nach der EU-Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (IDW PH 9.860.1) wird der Datenschutz in prüfbarer Form mit der Informationssicherheit zusammengeführt und ergibt das Embedded Compliance Framework.
Dieser integrierte Ansatz schafft wesentliche Synergieeffekte und Verknüpfungen zwischen IT-Sicherheits- und Datenschutzprozessen (z.B. Risikomanagement, Dienstleister-/Auftragsverarbeiter-Management, Mitarbeiterschulungen, Management von Sicherheitsvorfällen/Datenschutzverletzungen). Durch die Verzahnung der technisch-organisatorischen Maßnahmen mit C5 ist eine umfangreiche und effiziente Umsetzung gewährleistet, die dem Stand der Technik entspricht.
© 2021 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.