Open Telekom Cloud für Geschäftskunden

Webcast-Video: Der Countdown zur europäischen Datenschutz-Grundverordnung läuft

von Redaktion

Am 25. Mai 2018 wird die neue Datenschutz-Grundverordnung der EU (DSGVO) rechtsverbindlich. Doch laut IT-Branchenverband Bitkom haben sich bislang nur 13 Prozent der deutschen Unternehmen darauf vorbereitet, ein Drittel hat sich noch gar nicht mit der DSGVO beschäftigt. Da die Zeit drängt, setzen Unternehmen vermehrt auf Public-Cloud-Lösungen. Diese entlassen die Verantwortlichen zwar nicht aus ihrer Pflicht, die DSGVO in allen Teilen umzusetzen. Doch können solche Cloud-Lösungen in Fragen des Datenschutzes merklich unterstützen.

In diesem Beitrag lesen Sie mehr zu den folgenden Themen:

  • Neue Wege bei Datenspeicherung und -verarbeitung
  • Privacy by Design
  • Webcast und FAQ zur DSGVO
  • Fragen und Antworten zur DSGVO
Open Telekom Cloud Bitkom Umfrage
Eine Bitkom-Umfrage zeigt, dass die meisten deutschen Unternehmen noch nicht ausreichend auf die Umsetzung der DSGVO vorbereitet sind.

In gut einem halben Jahr ist es so weit: Die neue EU-Datenschutz-Grundverordnung (DSGVO) löst das bestehende Bundesdatenschutzgesetz ab. Betroffen sind alle Abteilungen im Unternehmen, die mit personenbezogenen Daten arbeiten, zum Beispiel die IT, das Personalwesen, der Vertrieb oder die Rechtsabteilung. Ignorieren lässt sich das neue Gesetz nicht, zumal Verstöße teuer werden können. Waren bisher Strafen von 50.000 bis 300.000 Euro vorgesehen, werden mit der DSGVO – je nach Schwere des Vergehens – zwei oder vier Prozent des weltweiten Gesamtumsatzes fällig, mindestens jedoch zehn Millionen Euro.

Neue Wege bei Datenspeicherung und -verarbeitung

Eine Musterlösung für die Umsetzung der DSGVO-Anforderungen gibt es nicht, doch gilt grundsätzlich: Je mehr Prozesse online ablaufen, umso aufwändiger gestaltet sich die Umsetzung der Datenschutzanforderungen. Für zahlreiche Unternehmen bedeutet die DSGVO, dass sie sich nach einer neuen Speicher- und Verarbeitungsstrategie für ihre Daten umschauen müssen, weil ihre bestehenden Datenverarbeitungsprozesse die neuen Anforderungen nicht mehr erfüllen. Bei der Suche nach Alternativen geht der Trend – nicht nur aus Datenschutzgründen – eindeutig in Richtung Public Cloud-Lösungen, welche die DSGVO zumindest vonseiten der Infrastruktur und den Prozessen der Datenverarbeitung her erfüllen. So können sich die Unternehmen auf die organisatorischen und rechtlichen Aspekte konzentrieren, welche die DSGVO ebenfalls umfasst.

Doch wer ist im Unternehmen überhaupt für die Umsetzung der DSGVO zuständig und verantwortlich? Selbst solche fundamentalen Fragen haben die meisten Unternehmen noch nicht beantwortet. Auch deshalb hat die Deutsche Telekom ihre „Binding Interpretations“ für die DSGVO veröffentlicht. Sie fußen auf den Telekom eigenen Erfahrungen und Best Practices zum Thema und bieten insofern eine gute Hilfestellung für Unternehmen, die sich mit dem Thema DSGVO beschäftigen.

Privacy by Design

Public Cloud-Lösungen können Unternehmen zwar nicht von ihren weit gefassten Verantwortlichkeiten bezüglich der DSGVO entbinden, aber bei deren Erfüllung wesentlich entlasten. So folgt die Geschäftskundenlösung Open Telekom Cloud bereits von Beginn an dem von der DSGVO geforderten Prinzip ‚Privacy by Design‘. Das heißt, dass bei der Open Telekom Cloud die Prinzipien der DSGVO von Anfang an und damit schon in der Planungsphase von Services und Funktionen mitberücksichtigt werden. Vonseiten der Security beinhaltet die Open Telekom Cloud zudem für alle angebotenen Services ein Identity und Access Management, durch das ein eindeutig rollenbasierter Zugriff auf die jeweiligen Daten klar definiert ist.

Server-Standort ist nicht alles

Nicht zuletzt erfolgen das Vorhalten und die Verarbeitung der Daten im Rahmen der Open Telekom Cloud ausschließlich auf Servern in Deutschland und der EU. Das bieten zwar mittlerweile auch einige US-amerikanische Cloud-Anbieter, die auf dem europäischen Markt agieren. Allerdings ist nach DSGVO auch der Zugriff auf die Daten entscheidend. Schließlich kann auf einen Server in Deutschland auch von Kalifornien aus zugegriffen werden. Die Telekom garantiert deshalb zu 100 Prozent einen Zugriff ausschließlich aus dem Rechtsraum der EU. All dies hat dazu geführt, dass die Deutsche Telekom heute in Deutschland das mit Abstand größte Vertrauen genießt, wenn es um das Speichern und Verarbeiten personenbezogener Daten geht.

TCDP-Zertifikat bestätigt Erfüllung der Anforderungen

Schon im August 2017 erhielt die Open Telekom Cloud das vom Bundesministerium für Wirtschaft und Energie legitimierte Zertifikat TCDP 1.0. Dieses Zertifikat bescheinigt der Open Telekom Cloud, aktuell als eines der wenigen Cloud-Angebote am Markt eine rechtskonforme Datenschutz-Zertifizierung für definierte Cloud-Dienste zu haben.

Webcast und FAQ zur DSGVO

Zahlreiche weitere Informationen zur DSGVO und zur Open Telekom Cloud bietet der Webcast „Gerüstet für die DSGVO“ des Heise-Verlags mit den Experten Frank Wagner (VP Business, Services & Infrastructure, Group Privacy, Deutsche Telekom AG) und Max Guhl (Produktmanager Open Telekom Cloud, T-Systems International GmbH). Die Aufzeichnung des Webcasts finden Sie unter diesem Absatz; direkt darunter die Fragen, die während des Webcasts an die Experten gestellt wurden, und die entsprechenden Antworten.

Aufzeichnung des Webcasts „Gerüstet für die DSGVO – Die Open Telekom Cloud als deutsche Alternative zu US-Clouds“

 

Fragen und Antworten zur DSGVO

Ist es DSGVO-konform, wenn US-Unternehmen ihr Cloud-Angebot innerhalb der EU zugänglich machen und sich der Serverstandort ebenfalls in der EU befindet?

Dies ist möglich, selbst wenn sich der Serverstandort nicht innerhalb der EU befindet. Entscheidend ist vielmehr die Erfüllung der datenschutzrechtlichen Anforderungen – etwa in Form von Vertragsabschlüssen, welche die von der EU bereitgestellten Standardvertragsklauseln oder die Richtlinien des EU-US Privacy Shields beinhalten. Wichtig bei der Bewertung der Gesamtsituation ist es, potenzielle Zugriffsrechte von US-Behörden zu berücksichtigen.

Wird der EU-US Privacy Shield nicht ebenso bald Vergangenheit sein wie das Safe-Harbor-Abkommen, da in den USA im Zweifel der „USA PATRIOT Act“ greift?

Dies ist durchaus möglich. Zunächst gilt es, die Entscheidung des Europäischen Gerichtshofes zu den EU-Standard-Vertragsklauseln abzuwarten.

Wie ist sichergestellt, dass staatliche Behörden wie zum Beispiel der Bundesnachrichtendienst BND oder der Verfassungsschutz zumindest nicht ohne konkrete Verdachtssituation und unbemerkt auf die Daten der Open Telekom Cloud zugreifen?

Es gibt keine Schnittstellen für Behördenzugriffe. Staatliche Dienste müssen jedes Auskunftsersuchen über definierte Wege an die Deutsche Telekom richten. Jedes Auskunftsersuchen wird zunächst von Telekom Experten im Hinblick auf eine entsprechende Rechtsgrundlage geprüft (i.d.R. ist hierzu ein richterlicher Beschluss erforderlich). Erst wenn diese Prüfung positiv durchlaufen ist, können die erforderlichen Auskünfte erteilt werden.

Mit Blick auf die Rolle der Deutschen Telekom als Treuhänder für Microsoft: Gibt es tatsächlich keinerlei technische Zugriffsmöglichkeit für Microsoft bzw. amerikanische staatliche Stellen auf Daten in der TelekomCloud?

Die technischen Zugriffsmöglichkeiten sind inhaltlich auf Wartungszugriffe beschränkt. Diese werden fallbezogen an einzelne, definierte Mitarbeiter vergeben, sind zeitlich limitiert und werden überwacht. Die Lösung verfügt über keine Schnittstellen für staatliche Stellen.

Wann wird es Microsoft Office365 in der Deutschland-Cloud geben?

Da T-Systems auch in den USA aktiv ist: Wie kann man sicher sein, dass Datenzugriffe nicht über diesen Weg erfolgen?

Die Deutsche Telekom geht davon aus, dass das Unternehmen über diesen Weg nicht zur Herausgabe von Daten verpflichtet werden kann, weil die in Frage kommenden Kunden keinen Vertrag mit der T-Systems North America, Inc. haben und der Mutterkonzern seinen Sitz in Deutschland hat. Somit müssen entsprechende Auskunftsersuchen sich gegen die Gesellschaften in Deutschland richten und dementsprechend die Anforderungen nach deutschem Recht erfüllen.

Wie unterbindet die Deutsche Telekom die Installation bzw. den Betrieb von ursprünglich unsicher entwickelten Webanwendungen oder Websites? Wäre es z.B. möglich, dass eine Website über die Open Telekom Cloud Adressdaten einer Registrierung unverschlüsselt speichert?

Die Sicherheit ihrer Applikationen und Services stellt die Deutsche Telekom über Privacy und Security Assessments sicher. Kundenapplikationen müssen so gestaltet sein, dass sie die Sicherheit der Systeme nicht gefährden. So würde zum Beispiel zwingend verhindert, dass Adressdaten aus einer Registrierung unverschlüsselt übertragen und ggf. auch gespeichert werden können. Dies liegt in der Verantwortung des Kunden. Sollte die Telekom als Provider davon Kenntnis erlangen, würde sie den Kunden darauf hinweisen.

In der Regel verfügt die Deutsche Telekom über keine direkte Beziehung zu den Endkunden ihrer Kunden, sondern der jeweilige Cloud-Kunde. Wie unterstützt die Telekom solche Cloud-Nutzer, zum Beispiel bei der Löschung oder bei der Auskunft zu Endkundendaten?

Falls die Telekom an der Entwicklung beteiligt ist, bringt sie ihre Expertise zur Gestaltung entsprechender Lösungen mit ein. Die letztendliche Verantwortung trägt jedoch der Cloud-Kunde. Allerdings hilft die Telekom dem Cloud-Nutzer indirekt, indem sie Plattformen bereitstellt, die adäquate Löschfunktionen bieten und ihre Kunden zu den erforderlichen Funktionen wie etwa der Erteilung von Auskünften berät.

Da wirksam verschlüsselte Daten immer sicher sind: Ist es dann nicht egal, wo die Cloud Operations angesiedelt sind?

Absolut richtig. Wenn Zugriffe auf Kundendaten durch das Operating nicht völlig ausgeschlossen werden können, dann ist eine qualitativ hochwertige Verschlüsselung mit einem verantwortungsvoll aufgesetzten Key-Management die erste Wahl. Allerdings resultieren aus einem solchen Ansatz möglicherweise Einschränkungen in der Funktionalität der Lösungen, weil Berechnungen mit verschlüsselten Daten (noch) nicht funktionieren. Zukünftige Lösungsansätze können im Bereich der homomorphen Verschlüsselung liegen.

Ist man beim Einsatz einer Oracle-Datenbank in der Open Telekom Cloud auf dedizierte Hardware angewiesen oder gibt es Alternativen? Wie sieht das Lizenzmodell diesbezüglich aus?

In diesem Fall ist es ratsam, dass der Kunde auf Oracle zugeht, um eine Nutzung in einer Shared-Cloud-Umgebung zu lizensieren. Die Telekom hat bereits zwei Kunden auf diesem Weg erfolgreich beraten und mit den Services der Open Telekom Cloud unterstützen können. Besonders die Nutzung von dedizierten Servern (BareMetal) kann die Verhandlung drastisch vereinfachen.

Gibt es die Möglichkeit, auch in der Open Telekom Cloud dedizierte Cryptoserver (Beispiel Ultimaco) einzusetzen?

Auf Software-/Applikations-Ebene kann von Telekom Kunden alles eingebracht werden, solange es die vertraglichen Vereinbarungen nicht verletzt. Physikalische Module, Server und ähnliches können hingegen nicht eingebracht werden. Die Telekom arbeitet aktuell daran, die Konnektivität soweit auszubauen, dass von Kundenseite auch Housing-Server verbunden werden können.

Kann die Open Telekom Cloud in Verbindung mit einer On-Premises-Lösung in einem Hybrid-Cloud-Ansatz eingesetzt werden?

Die Deutsche Telekom arbeitet derzeit daran, ein Open Telekom Cloud-Hybrid-Produkt zu entwerfen. Ziel soll es dabei sein, eine On-Premises-Umgebung in einem Kunden-Rechenzentrum aufzubauen. Es wird modular ausbaubar sein und dem „Look & Feel“ der Open Telekom Cloud entsprechen. Die On-Premises- und Public-Komponenten werden gemeinsam nutzbar sein, sodass bei Ressourcenengpässen auf der On-Premises-Seite nahtlos auf die Open Telekom Cloud erweitert werden kann.


Downloads und Veranstaltungsreihe zur DSGVO

Unterlagen aus dem Webcast:

Weitere Informationen zum Thema „Cloud Computing & Datenschutz“ gibt es darüber hinaus von T-Systems Experten im Rahmen der Veranstaltungsreihe „Cloud Computing & Datenschutz von T-Systems“.


Jetzt direkt buchen und 250 € Startguthaben sichern

 

Haben Sie Fragen?

Wir beantworten Ihre Fragen zu Testmöglichkeit, Buchung und Nutzung – kostenfrei und individuell. Probieren Sie es aus! Hotline: 24 Stunden am Tag, 7 Tage die Woche
0800 3304477 aus Deutschland / 00800 33044770 aus dem Ausland

  • Communities

    Die Open Telekom Cloud Community

    Hier treffen sich Nutzer, Entwickler und Product Owner um sich zu helfen, auszutauschen und zu diskutieren.

    Jetzt entdecken 

  • Telefon

    Kostenfreie Experten-Hotline

    Unsere zertifizierten Cloud-Experten stehen Ihnen mit persönlichem Service zur Seite.

     0800 3304477 (aus Deutschland)

     
    +800 33044770 (aus dem Ausland)

     
    24 Stunden am Tag, 7 Tage die Woche

  • E-Mail

    Unser Kunden-Service steht Ihnen per E-Mail-Support kostenlos zur Verfügung.

    E-Mail schreiben