So passen Cloud und Datenschutz zusammen

Unternehmen, die ihr Filialnetz oder das WLAN am jeweiligen Unternehmensstandort mithilfe einer Cloud-Lösung verwalten, profitieren von deutlich mehr Effizienz, Agilität und Kontrolle. Nahezu in Echtzeit lassen sich Unregelmässigkeiten aus der Distanz erkennen und beheben. Neue Zweigstellen sind mit wenigen Klicks ans Unternehmensnetz angebunden, Dienste in kürzester Zeit verfügbar.

Neue Rechtslage

Seit dem 16. Juli 2020 haben sich die Rahmenbedingungen für den Einsatz von Cloud-Lösungen jedoch grundlegend geändert. Im Fokus: personenbezogene Daten, die in der Cloud, und damit ausserhalb des Unternehmens, von Cloud-Anbietern verarbeitet werden. Im Fall von Unternehmensnetzen können dies – je nach Art der Netze – Mitarbeiter-, aber auch Kunden-, Gäste-, Schüler- oder Patientendaten sein. Mit dem Schrems-II-Entscheid hat der Europäische Gerichtshof (EuGH) dem Austausch solcher Daten auf Basis des Privacy-Shield-Abkommens eine Absage erteilt. EU-Bürgerinnen und -Bürger seien nicht ausreichend vor dem Zugriff der US-Behörden auf ihre Daten geschützt, so die Richter. Dabei spielt es keine Rolle, ob die Datenverarbeitung in einem Rechenzentrum auf europäischem Boden stattfindet. Entscheidend ist, welcher Rechtsprechung das beauftragte Unternehmen unterliegt.

Obwohl die EuGH-Entscheidung für die Schweiz nicht bindend ist, empfiehlt der EDÖB in seiner "Stellungnahme zur Übermittlung von Personendaten in die USA und weitere Staaten ohne angemessenes Datenschutzniveau" vom 8. September 2020 Schweizer Unternehmen, auf den Transfer personenbezogener Daten in datenschutzrechtlich bedenkliche Staaten zu verzichten, sofern nicht mit technischen Massnahmen ein adäquates Schutzniveau herzustellen ist.

Kryptografische Verfahren oder die Pseudo- und Anonymisierung von Nutzerdaten scheiden bei cloud-gemanagten Netzen jedoch aus. Die Verarbeitung der Produktivdaten ist erforderlich, um das Netz am Laufen zu halten und kontinuierlich teils bis auf die Endgeräteebene zu optimieren.

CEOs haften persönlich

Hinzu kommt, dass mit dem vom Parlament Ende September auf den Weg gebrachten revidierten Datenschutzgesetz (revDSG), Verstösse in der Schweiz künftig noch schärfer sanktioniert werden. Dabei geht das revDSG sogar noch über die europäische ­DSGVO hinaus, indem es nicht nur Unternehmen, sondern auch Verantwortliche wie CEOs und CIOs mit Bussen von bis zu 250 000 Franken persönlich haftbar macht.

Drei Optionen für einen datenschutzkonformen Betrieb

Die gute Nachricht vorweg: Netzwerkmanagement aus der Cloud ist im Einklang mit geltendem Datenschutzrecht möglich! Um Compliance-Risiken zu vermeiden, bieten sich Unternehmen drei Optionen:

1. Sie entscheiden sich für eine europäische Managementlösung, die – unabhängig von der Art der Bereitstellung als Public-, Private Cloud oder On Premise – den strengen EU-Datenschutzvorgaben unterliegt.

2. Sie betreiben US-Clouds und Lösungen aus anderen datenschutzrechtlich unsicheren Drittstaaten als Private Cloud über ein Schweizer oder europäisches Systemhaus oder

3. sie hosten diese On Premise im firmeneigenen Rechenzentrum. Entscheidend dabei ist, dass das Rechenzentrum, in dem die Datenverarbeitung stattfindet, über keinerlei Schnittstellen zum Anbieter verfügt.

Unternehmen sollten Compliance- und datenschutzrechtliche Fragen bereits bei der Planung ihrer cloudbasierten Netzwerkin­frastruktur mitberücksichtigen. Dann profitieren sie nicht nur von einem Unternehmensnetz, das flexibel auf neue Geschäftsanforderungen reagiert und leicht zu managen ist, sondern bleiben auch beim Thema Datenschutz auf der sicheren Seite.

----------

Ohne Netz geht bei uns fast nichts mehr

Insgesamt 54 Zimmer und Suiten bietet das «CERVO Mountain Resort» in Zermatt. Das 5-Sterne-Hotel hat so gut wie alle Prozesse digitalisiert, wie IT-Manager Stephan Jungo erzählt. Im Interview sagt er, was das neue Datenschutz­gesetz für seine Abteilung bedeutet und welchen Rat er anderen Unternehmen auf den Weg gibt. Interview: René Jaun

Sie verwalten Ihre Netzwerke über die Cloud. Wann und warum haben Sie sich für dieses Vorgehen entschieden?

Stephan Jungo: Die Entscheidung, auf cloudbasiertes Netzwerkmanagement umzustellen, fiel vor gut drei Jahren. Wir standen damals vor der Wahl, unsere Server zu erneuern oder im Sinne einer Infrastructure-as-a-Service-Strategie outzusourcen und aus der Cloud zu betreiben. Viele Argumente sprachen dafür: Zum einen konnten wir so die Investitionskosten für neue Server sparen und, ganz praktisch gedacht, auch den Platz bei uns im Haus. Hinzu kommt, dass die Cloud den Zugang zu Netzwerk und Anwendungen erheblich vereinfacht. Mit der Insysta haben wir einen erfahrenen Partner, der unsere Netzwerke 24/7 managt und überwacht. Dank der Lancom Management Cloud kann das Team Unregelmässigkeiten im Netzbetrieb sofort erkennen und aus der Distanz beheben. Das spart uns viel Zeit und garantiert schnellen Support.

Welche Anwendungen laufen über das Netzwerk?

Im Grunde genommen hängt unser komplettes operatives Business am Netz. Ressourcenschonendes Wirtschaften ist Teil unserer Unternehmensphilosophie. Deshalb vermeiden wir Papierverbrauch, wo immer es geht, und haben die meisten Prozesse bei uns im Haus digitalisiert. Das bedeutet aber auch, dass ohne Netz fast nichts mehr geht. Angefangen beim CRM über Kassensysteme, Tischreservierung oder Gäste-WLAN. Auch die Steuerung unserer Soundsysteme und Heizungsanlagen erfolgt digital. Ein stabiles Netzwerk ist für uns absolut geschäftskritisch.

Die baldige Einführung des neuen Schweizer Datenschutz­gesetzes schafft neue Herausforderungen für aus der Cloud gemanagte Netzwerke. Wie passen Sie Ihre Infrastruktur der neuen Gesetzeslage an?

Als wir damals auf Cloud-Betrieb umgestellt haben, kündigten sich mit dem Inkrafttreten der DSGVO im Mai 2018 bereits grundlegende Änderungen im EU-Datenschutz an. Rechtlich gesehen, waren die Vorgaben für uns in der Schweiz nicht bindend. Aber mit Rücksicht auf unsere internationalen Gäste war es uns wichtig, unsere Infrastruktur von Beginn an DSGVO-konform aufzusetzen. Mit Lancom haben wir uns damals bewusst für einen europäischen Anbieter entschieden, der seine Cloud in Deutschland entwickelt und hostet. Das neue Schweizer Datenschutzgesetz orientiert sich in weiten Teilen an der DSGVO, sodass wir hier bereits gut aufgestellt sind. Aktuell führen wir eine Bestandsaufnahme sämtlicher Prozesse durch, um zu prüfen, wo nach den neuen Bestimmungen noch Handlungsbedarf besteht, um die Massnahmen zu priorisieren.

Welche Kriterien waren bei der Wahl der IT-Infrastruktur ­ausserdem wichtig?

Die Lösung muss natürlich zuallererst die eigenen Erwartungen erfüllen und abdecken können, was man damit vorhat. Für uns war neben den technischen Anforderungen aber auch wichtig, dass die eingesetzten Produkte für einen verantwortungsvollen Umgang mit Ressourcen stehen. Das «CERVO» hat in allen Bereichen die Lieferketten regional organisiert. Wo dies nicht möglich ist, arbeiten wir mit nachhaltigen Unternehmen zusammen. Mit Lancom haben wir einen Partner, der grossen Wert auf Langlebigkeit und eine nachhaltige Produktentwicklung legt.

Welchen Rat geben Sie Unternehmen für eine datenschutzkonforme Infrastruktur?

Mut zur Cloud! Cloud-Lösungen haben den Vorteil, dass Systeme und Hardware automatisiert mit Updates versorgt werden. Das reduziert das Risiko von Sicherheitslücken und schützt Daten vor unerlaubtem Zugriff. Die Lösung sollte jedoch nach Möglichkeit von einem Schweizer oder europäischen Anbieter stammen.