Compliance in der Microsoft Enterprise Cloud – geht das?
Dem Weg in die Public Cloud stehen seit vielen Jahren IT-Entscheider regulierter Unternehmen skeptisch gegenüber. Dieses Gefühl hat sich seit dem EuGH-Urteil zum Privacy Shield im Juli vergangenen Jahres noch verstärkt: Denn mit dem Urteil wurde der Beschluss 2016/1250 zum EU-US-Datenschutzschild für nichtig erklärt.
In unserem Beitrag vom März 2022 haben wir bereits darüber berichtet und aufgezeigt, warum das Urteil nicht das Ende der Public Cloud für Finanzunternehmen bedeutet. Im Dezember 2020 hatte Microsoft hierzu Stellung genommen und in seinem Cloud Compendium Antworten zum Thema „Compliance in der Microsoft Enterprise Cloud“ gegeben.
In Folge der Urteilssprechung hat Microsoft Anpassungen an seinem Data Protection Addendum (kurz: DPA) vorgenommen, welcher Bestandteil der Microsoft Lizenzverträge ist. Die neuen Microsoft Schutzmaßnahmen, die unter dem Schlagwort „Defending Your Data“ zusammengefasst werden, enthalten beispielsweise die Verpflichtung seitens Microsoft, jegliche Anfragen staatlicher Stellen nach Daten von Kunden anzufechten. Weiter ist zwar das EU-US Privacy Shield immer noch fester Bestandteil der DPA von Microsoft, jedoch stellt es nicht länger die alleinige Rechtsgrundlage für die Übermittlung von Daten an Drittstaaten dar.
Zum Kompendium: Compliance in der Microsoft Enterprise Cloud
Der Weg in Cloud – von der Idee zur Strategie
Anforderungen – Cloud-Strategie – Datensicherheit
Viele regulierte Unternehmen stehen vor der Frage, welche Anforderungen bereits im Vorfeld umgesetzt werden müssen, um einen aufsichtskonformen Cloud-Einsatz zu ermöglichen. Das Whitepaper unterstützt Sie bei der Herstellung der Cloud Readiness und zeigt Ihnen schrittweise auf, wie Sie zu einer umfassenden Cloud-Strategie gelangen. Zudem erfahren Sie, was Sie nach der Inbetriebnahme berücksichtigen sollten, um die Sicherheit Ihrer Daten zu gewährleisten.
Einsatz von Cloud-Lösungen wie Microsoft 365 auch für regulierte Unternehmen möglich
Wir stufen das Cloud Compendium von Microsoft als Bestätigung unserer vergangenen Einschätzungen ein. Der Einsatz von Cloud Lösungen, wie Sie mit der Produktpalette Microsoft 365 am Markt vorherrschen, bleibt auch weiterhin datenschutz- und aufsichtskonform möglich. Kern dessen ist, dass Banken, Versicherungen und Finanzdienstleister – wie jedes andere Unternehmen auch – den Weg in die Cloud sorgfältig vorbereiten müssen. Wichtige Eckpfeiler sind dabei beispielsweise eine detaillierte Anforderungsanalyse, damit der passende Service für das eigenen Unternehmen gefunden werden kann.
Diskrepanz zwischen Patriot Act und DSGVO durch Risikomanagement auflösen
Patriot Act und DSGVO werden nie vollständig harmonieren, weshalb die Diskrepanz über das Risikomanagement aufgelöst werden muss. Ist die Verarbeitung von vertraulichen Daten in der Cloud durch möglichen Zugriff von Geheimdiensten erstmal ein erhebliches Risiko, wird dieses durch mitigierende Maßnahmen wie Transport- und Ablageverschlüsselung, eigenes Schlüsselmanagement und die vertraglichen Zusicherungen von Microsoft zur Verteidigung der Kundendaten zu einem sehr kleinen Risiko. Dieses Restrisiko muss dann von der obersten Leitung akzeptiert werden, was aber kein Problem ist, weil Daten auch in eigenen Rechenzentren nie zu 100 % vor solchen Zugriffen geschützt werden können.
Jeder IT-Fremdbezug, egal ob On-Prem oder aus der Cloud, ist mit Risiken verbunden – das ist vollkommen normal und nichts, was von Aufsichtsbehörden wie der BaFin sanktioniert wird. Als Maßgabe gilt auch weiterhin, dass IT-Verantwortliche ihren Bereich transparent, nachvollziehbar und gut dokumentiert führen sollten. Dann ist auch der Einsatz von Microsoft Cloud-Lösungen möglich.
» Durch aktiven und durchdachten Umgang mit den Restrisiken ist die Verarbeitung von Daten in der Cloud auch nach dem EuGH-Urteil völlig legitim. «
Jürgen Brombacher
Head of Cloud Consulting bei matrix technology GmbH