Bereit für die GDPR – auch in der Cloud

In vier Schritten zur GDPR-Compliance

Der wesentliche Unterschied der neuen EU-Datenschutz-Grundverordnung (deutsch: DSGVO / englisch: General Data Protection Regulation, GDPR) gegenüber dem noch geltenden deutschen Datenschutzrecht besteht darin, dass personenbezogene Daten nun noch restriktiver gehandhabt werden müssen. 
In der praktischen Umsetzung betrifft das vor allem die Dokumentation. Anwenderfirmen müssen zunächst genau festhalten, wo sie überall personenbezogene Daten gespeichert haben. Auch muss stets dokumentiert sein, wie, wann und durch welche Personen persönliche Daten verarbeitet wurden und wie genau die Daten geschützt sind. Anfragen der Nutzer über Herkunft und Nutzung ihrer Daten sind umgehend zu beantworten, sicherheitsrelevante Vorfälle binnen 72 Stunden mit voller Dokumentation den Behörden zu melden.

„Ermitteln, Verwalten, Schützen, Berichten“ – so erreicht Microsoft GDPC-Compliance in der Cloud.

GDPR-Garantie für die Cloud

Microsoft hat die behördlichen Maßgaben als Blaupause genutzt, um den eigenen Ansatz zur GDPR-Konformität festzulegen: „Ermitteln, Verwalten, Schützen, Berichten“. Unter diesen vier Disziplinen sind nun für jede Anwendung die sicherheitsrelevanten Tools gruppiert, die die Einhaltung der GDPR gewährleisten sollen (siehe Grafik). Dies gilt insbesondere auch für Microsofts Cloud-Plattformen. Der Hersteller hat sich seinen Kunden gegenüber dazu verpflichtet, ab dem 25. Mai 2018 die GDPR-Konformität für alle seine Cloud-Dienste sicherzustellen.

Auch hier gilt der Ansatz „Ermitteln, Verwalten, Schützen, Berichten“. Zur Ermittlung der Speicherorte personenbezogener Daten steht bei der Cloud-Plattform Azure beispielsweise der Azure Data Catalog zur Verfügung; für deren Verwaltung das Azure Active Directory und die Role-Based Access Control; zu deren Schutz der Azure Key Vault, das Security Center und die Storage Services Encryption; und schließlich für die Berichterstattung unter anderem das Trust Portal und der Azure Monitor.