Das Schreckgespenst DSGVO zog im Mai 2018 über Deutschland hinweg. Es hinterließ bis heute Unsicherheit und Fragen und verursachte teilweise blinden Aktionismus. Als Cloud-Anbieter spüren wir dies durch die Anforderungen an uns in Bezug auf die Speicherung und Verwendung personenbezogener Daten. Es erreichen uns immer wieder Fragen zum Schutz der Unternehmensdaten in der Cloud.
Das liegt mit Sicherheit auch daran, dass generell eine Cloud nicht greifbar bzw. sichtbar ist. Sie scheint unsicherer und riskanter als ein eigener Server, der in einer Ecke in einem (ungesicherten) Büroraum oder Keller steht. Zudem setzt der Einsatz einer Cloud mit unternehmenssensiblen Daten etwas wichtiges voraus: Vertrauen in den Cloud-Anbieter.
Wie schön, dass wir als HKN dies seit vielen Jahren wissen und entsprechend handeln. D.h. nicht nur in der technischen Umsetzung der DSGVO, sondern ebenso in der offenen und transparenten Zusammenarbeit mit unseren Kunden.
DIN ISO 27001
Alle HKN Rechenzentrumsstandorte sind nach dem BSI-Sicherheitsstandard (Bundesamt für Sicherheit in der Informationstechnik) nach ISO 27001 (Informationssicherheit) zertifiziert, um die Anforderungen der DSGVO zu erfüllen. Die ISO 27001 ist der internationale Standard für ein Informationssicherheitsmanagement (ISMS). Es beinhaltet eine Liste von Anforderungen, die erfüllt bzw. behandelt werden müssen. Diesen Anforderungen liegen die Ziele Vertraulichkeit, Verfügbarkeit und Integrietät von Informationen zugrunde. Ein nach ISO 27001 zertifiziertes Managementsyystem gilt für alle unseren deutschen Rechenzentrumsstandorte.
Drei wesentliche Faktoren für eine DSGVO-konforme Datencloud
1. Serverstandort Deutschland
Um die DSGVO einhalten zu können, ist der Serverstandort entscheidend. Die Speicherung und Verarbeitung personenbezogener Daten ist nur innerhalb der EU problemlos gem. der DSGVO möglich. Ist das Rechenzentrum Ihres Cloud Anbieter in einem Drittstaat außerhalb der EU, müsste dieser das Datenschutzniveau auf das Niveau der EU anheben. Aufwändig, kompliziert, unnötig.
Besser ist es, bei der Wahl des Cloud Anbieters auf den Serverstandort zu achten. Bei der HKN GmbH setzen wir von Anfang an auf Serverstandorte in Deutschland. Unser primärer Standort ist das Hochleistungs-Rechenzentrum von Interxion in Düsseldorf. Des Weiteren betreiben wir de:stack Standorte in Hamburg und Berlin. Damit grenzen wir uns klar von den US-amerikanischen Anbietern mit Standorten in Drittländern ab. Unsere Cloud unterliegt den strengen, deutschen Datenschutzgesetzen.
2. Verschlüsselung
Bei der Wahl des Cloud Anbieters achten Sie darauf, dass sensible Firmendaten (personenbezogene Daten, aber auch vertrauliche Dokumente, Ideen und Patente) mit dem höchsten Verschlüsselungsstandard geschützt werden können. Dies ist zur Zeit die Ende-zu-Ende-Verschlüsselung, d.h. die Daten werden über alle Übertragungsstationen bis zum Empfänger, also von einem Ende zum anderen, verschlüsselt. Dabei findet die Ver- und Entschlüsselung mit einem geheimen Schlüssel nur am Anfangs- und Endpunkt statt. Im schlimmsten Fall, dem Fall des Datenverlustes, ist gewährleistet, dass Dritte nichts mit den Daten anfangen können. Ihre Daten können von niemandem und zu keinem Zeitpunkt eingesehen werden. Sie sind somit auch nicht über einen Browser einzusehen, eine Suche ist nicht möglich und die an Gateways getroffenen Virenschutzmaßnahmen sind wirkungslos, da sie die verschlüsselten Mails nicht erfassen können.
Wir plädieren daher für eine sorgsame Abwägung und Unterteilung der Daten in vertraulich (weniger sensibel) und streng vertrauliche (hochsensible) Daten. Streng vertrauliche Daten werden über die Nextcloud Ende-zu-Ende verschlüsselt. Weniger sensible Daten werden auf dem Transportweg verschlüsselt (SSL/TSL Verschlüsselung), d.h. die Verbindung zwischen zwei Servern wird verschlüsselt.
3. Zugriffsberechtigung
Die HKN Cloudlösung stellt mit durchdachter Netzwerk-Architektur die Vertraulichkeit Ihrer Daten sicher. Sie verfügt über ein intelligentes Benutzer- und Rechtemanagement um individuell Zugriffsrechte an interne und externe Personen zu vergeben.
Nur von Ihnen autorisierten Personen erhalten Zugang zu Ihren Daten, wie gewünscht mit unterschiedlichen Rechten. Ausgewählte Personen können z.B. ausschließlich Leserechte besitzen, andere Personen dürfen Daten bearbeiten und löschen. Alle Ebenen in Ihrer Unternehmenshierarchie mit ihren jeweiligen Zugriffsberechtigungen werden abgebildet. Bei Bedarf können Sie geschlossene Datenräume für einzelne Benutzer oder Teams einrichten, um z.B. die Arbeit mit hochsensiblen Daten zu ermöglichen.
Die Datenhoheit bleibt jederzeit im Unternehmen und wird nicht von extern gesteuert. Sie kontrollieren, wer Zugriff auf Unternehmensdaten hat. Aktivitäten werden dokumentiert und interne Sicherheitsrichtlinien umgesetzt.
Eindeutiges Fazit
Cloud und DSGVO passen bei der HKN GmbH sehr gut zusammen.
Informieren Sie sich hier über unser Mail-Security-Lösung bei Business-Mail oder/und sprechen Sie uns bei Interesse an.