Befeuert wird dieser Trend durch den Druck der Digitalisierung, aber auch dem Wunsch, kollaborativ zusammenarbeiten zu können, unabhängig davon, ob man an einem Standort zusammenarbeitet oder Kilometer voneinander entfernt am Schreibtisch sitzt. Nicht zuletzt wird dies getriggert durch die pandemische Situation und dem damit einhergehenden Zwang zum Arbeiten von zu Hause. Die Vorteile der Arbeit „in der Cloud“ sind eindeutig. Wenn man einen der großen Cloud-Anbieter wählt, bekommt man ein hohes Maß an Informationssicherheit, nachgewiesen durch unzählige Zertifizierungen und muss sich nicht um die kostspielige Wartung und Instandhaltung der eigenen Server und Systeme kümmern. Zusätzlich bieten Cloud-Anwendungen die Möglichkeit, effektiver zusammenzuarbeiten.
Was gibt es zu beachten?
Auch wenn sich die Anwendungen in der Cloud befinden, müssen diese administriert werden. Die Verantwortlichen von Unternehmen unterschätzen häufig, wie aufwendig die Administration von Cloud-Diensten ist und stellen bzw. planen nicht genügend Ressourcen hierfür ein.
Zur Administration und Gestaltung der eigenen Informationssicherheit gehören beispielsweise folgende Maßnahmen:
- Erstellung von Sicherheitskonzepten
- Erstellung von Rechte- und Rollenkonzepten
- Implementierung eines funktionierenden On- und Offboardingprozesses
- Einstellung von Archivierungs- und Löschfristen
- Erstellung von Passwortrichtlinien
- Einführung einer Multifaktor-Authentifizierung
- Schulung und Sensibilisierung von Mitarbeitenden
- ggf. Einführung eines Mobil-Device-Managements
Bei den großen Cloud-Dienstleister handelt es sich häufig um US-amerikanische Unternehmen. Die Rechtslage bezüglich der Verarbeitung von personenbezogenen Daten von amerikanischen Unternehmen ist aktuell nicht abschließend geklärt.
Zusätzlich bieten einige Anbieter weitreichende Funktionen zur Auswertung von Aktivitäten und Daten. Es ist dementsprechend möglich, Aktivitäten von Mitarbeitenden zu analysieren und zu bewerten. Unter Berücksichtigung der geltenden Datenschutzgesetze und Gesetze, die dem Schutz der Arbeitnehmerinnen und Arbeitnehmer dienen, sollten auch solche Aspekte berücksichtigt werden.
Bei der Prüfung und Auswahl von möglichen Anbietern sollte zwingend die Beurteilung der oder des Datenschutzbeauftragten berücksichtigt werden.
Ein nicht unwesentlicher Faktor bei der Entscheidung ist die zukünftige Abhängigkeit von dem Dienstleister. Wenn man erst einmal mit seiner ganzen Daten- und Dateistruktur in eine Cloud gewechselt ist, fällt ein erneuter Umzug schwer.
Was ist zu tun?
- Frühzeitige Projektplanung und Bildung eines Projektteams:
Eine unstrukturierte Einführung von Cloud-Anwendungen sollte durch eine frühzeitige Projektplanung vermieden werden. Hierzu sollte ein Projektteam gebildet werden, das aus verschiedenen Bereichen des Unternehmens zusammengesetzt sein sollte. Zwingend erforderlich sind Personen aus den Bereichen IT, Datenschutz, Informationssicherheit.
Zusätzlich sollte die Personalvertretung über das Projekt informiert werden. - Intensive Prüfung der Anbieter:
Eine intensive Prüfung der Anbieter und Anwendungen ist zwingend erforderlich. Der Datenschutz sollte die Auftragsverarbeitungsverträge prüfen und datenschutzrechtlichen Aspekte (ggf. Durchführung einer Datenschutz-Folgenabschätzung). Die IT und die Informationssicherheit sollten die Möglichkeit des Einsatzes und der Einbindung in die aktuellen Strukturen prüfen. - Auswahl der Anwendungen:
Es sollten nur benötigte Anwendungen ausgewählt werden. Es sollten eher die Prinzipien der Datensparsamkeit und Datenminimierung als das „Nice-to-have-Prinzip“ berücksichtigt werden. - Anfertigung von Dokumentationen:
Der Auswahl- und Einführungsprozess sollte zur Erfüllung der Nachweispflichten (Datenschutz und Informationssicherheit) zwingend dokumentiert werden. Hierzu gehört auch die Dokumentation der umgesetzten Maßnahmen. - Einstellungen in den Anwendungen:
Vor dem „Ausrollen“ sollten datenschutzfreundliche Voreinstellungen getroffenen werden, zum Schutz der Anwender und zur Erfüllung von Compliance-Vorschriften.
Fazit
Der Umzug in eine Cloud-Infrastruktur bietet einige Potenziale, um die Prozesse in Unternehmen effektiver und produktiver zu gestalten. Nicht außer Acht lassen sollte man jedoch, dass ein solcher Wechsel auch mit erheblichen Risiken einhergeht, die es zu analysieren und durch die Ergreifung von geeigneten Maßnahmen zu schmälern gilt.
Wir begleiten Sie gerne bei Ihrem Vorhaben!