Die DSGVO wirkt sich immer stärker auf die Datenstrategien der Unternehmen aus. Selbst große US-amerikanische Konzerne sind vor ihr nicht gefeit. Dies geht mittlerweile so weit, dass die USA bereits über eine eigene landesweite Datenschutzverordnung diskutieren. Doch warum ist das so? Hauptgrund dafür, dass Datenschutzbeauftragte heutzutage von Personalern allerorten gesucht werden, ist sicherlich, dass Unternehmen nach DSGVO stets und umfassend darüber Bescheid wissen müssen, wo genau sich ihre Daten befinden. Dies stellt gerade im Zeitalter der Cloud eine nicht unerhebliche Hürde dar.
Unterschiedliche Präferenzen
Nicht zuletzt wegen der EU-DSGVO oder landesspezifischer Regelungen wie in der Schweiz ist daher die Datenspeicherung im eigenen Rechtsraum unumgänglich. So verwundert es nicht, dass immer mehr internationale Anbieter die Datenspeicherung wahlweise in verschiedenen Ländern anbieten.
Je nachdem, wie hoch die Sicherheitsanforderungen im jeweiligen Unternehmen beziehungsweise die Sensibilität der gespeicherten Daten sind, haben Unternehmen unterschiedliche Präferenzen.
Out: Datenspeicherung in der globalen Cloud
Consumer-Cloud-Storage-Dienste wie Dropbox, die den Speicherort nicht spezifizieren, sind bei sensiblen oder personenbezogenen Unternehmensdaten natürlich keine Option, auch wenn in vielen Firmen nach wie vor eine sogenannte „Schatten-IT“ existiert, in deren Rahmen solche nichtgenehmigten Cloudlösungen genutzt werden. Doch aufgrund der durch die DSGVO geschärften Richtlinien achten immer mehr IT-Abteilungen darauf, dem einen Riegel vorzuschieben. Denn ansonsten laufen Unternehmen leicht Gefahr, dass Daten auf diesem Weg die kontrollierte Umgebung der Firmennetze verlassen und sie dadurch gegen geltendes Recht verstoßen könnten.
In: Datenspeicherung im eigenen Land – oder der EU
Seit die DSGVO Anwendung findet, bietet die EU mit ihren Mitgliedsstaaten das weltweit schärfste Datenschutzgesetz – auch wenn einzelne Ausnahmetatbestände natürlich noch von Land zu Land möglich sind. Ob Unternehmen also die Speicherung innerhalb der EU oder im eigenen Land präferieren, ist von Unternehmen zu Unternehmen unterschiedlich. Je sensibler die Daten, desto eher wird nach wie vor die Speicherung im eigenen Land bevorzugt.
Sichere Prozesse
Um den Vorgaben für ein sicheres und nachvollziehbares IT-Management zu entsprechen, sollten deshalb auf Cloud-Anbieter setzen, die über relevante Zertifizierungen verfügen. Dazu zählen beispielsweise die ISO 27001 inkl. 27018 (Erweiterung zum Datenschutz) speziell auf den Datenschutz ausgelegte Zertifizierungen wie das Trusted Cloud Datenschutzprofil Version 1.0.
In der ISAE 3402 wiederum werden Anforderungen definiert, die auch für Finanzdienstleiter Gradmesser ihrer technischen und organisatorischen Maßnahmen sind. Mittels dieser Zertifizierungen wird die Compliance mit allen notwendigen Anforderungen sichergestellt. Dazu zählen auch länderspezifische Anforderungen, wie sie beispielsweise die Schweizer Finanzmarktaufsicht FINMA formuliert.
Brainloop: Datenspeicherung in sechs Ländern
Brainloop kennt den Bedarf von Unternehmen schon lange, vertrauliche Daten im eigenen Land oder im eigenen Rechenzentrum zu speichern. Unser Angebot bedient diese Anforderung und sucht seinesgleichen. Mit der großen Anzahl lokaler Cloud-Installationen unterscheiden wir uns deutlich von jedem anderen Anbieter. Dafür sprechen separate Plattformen in Deutschland, Österreich, Schweiz, UK, Frankreich und Luxemburg.
Die Datenspeicherung erfolgt in hochsicheren Rechenzentren, ergänzt um ein zweites Rechenzentrum im selben Land für Fallback-Szenarien. Auch hier hat Brainloop die Nase vorne, denn im Disaster-Recovery-Fall verlassen die Daten bei manchen Anbietern systemarchitekturbedingt tatsächlich das Land.
Vertragliche Vereinbarungen
Vertragliche Vereinbarungen sind wichtig, um auch juristisch jederzeit Kontrolle über den Speicherort von Unternehmensdaten zu haben. Unsere Verträge inkl. AV-Vereinbarung zum Datenschutz regeln die Datenspeicherung eindeutig. Das heißt, eine Verlagerung von Daten an andere Speicherorte – auch innerhalb desselben Landes – ist ohne Zustimmung unserer Kunden nicht möglich.
Fazit: Gut beraten ist, wer seine Daten technisch und juristisch im eigenen Land weiß.
Geschrieben von Karolina Wintermann
Brainloop, Compliance, Informationssicherheit