Zum Inhalt

Kapitel 17
Regulatorische Anforderungen

Compliance-Webseiten großer internationaler Cloud-Provider

Compliance Reportings großer internationaler und europäischer Cloud-Provider im Vergleich. Die Aufstellung basiert auf den fünf größten internationalen und der fünf größten europäischen Cloud-Anbietern (gemessen am Umsatz).

Provider Land Anmerkungen
AWS USA Internationaler Fokus, weltweit regionenbezogene Datenschutzstandards
Azure USA Internationaler Fokus, weltweit länderbezogene Datenschutzstandards
Google Cloud USA Internationaler Fokus, weltweit länderbezogene Datenschutzstandards
IBM Cloud USA Fokus auf Nordamerika, EU, Australien und Singapur
Alibaba Cloud China Das Compliance Reporting hat sich zum Zeitpunkt des Redaktionsschlusses des Buches nennenswert verbessert und ist mittlerweile vergleichbar zu den US-Hyperscalern.
OVHCloud FRA Primär europäischer Fokus auf Datenschutzstandards
SAP Cloud DEU Es werden über 300 Treffer in der Compliance-Datenbank angegeben. Internationaler Fokus.
Telekom/T-Systems DEU Primär europäischer Fokus bei Datenschutzstandards. T-Systems tritt ferner als Cloud Broker auf und reicht damit die Compliances anderer Provider weiter.
Orange FRA Provider bietet keine eigene Compliance Ãœbersicht an. Orange tritt auch als Cloud Broker auf und reicht damit die Compliances anderer Provider weiter.
Vodafone UK Provider bietet keine eigene Compliance Ãœbersicht an. Orange tritt auch als Cloud Broker auf und reicht damit die Compliances anderer Provider weiter.

Anmerkungen sowie Ergänzungsvorschläge werden gerne über folgenden Kanal angenommen und berücksichtigt.

Oft genannte Zertifizierungen von Providern

Die Analyse basiert auf den fünf größten internationalen und der fünf größten europäischen Cloud-Anbietern (gemessen am Umsatz).

Norm Rechtsraum Anmerkungen
ISO 9001 International Internationale Norm für Qualitätsmanagementsysteme (QMS). Nicht Cloud-spezifisch.
BSI IT-Grundschutz DEU / EUR Es handelt sich um eine Sammlung von Sicherheitsstandards, Methoden und Best Practices des Bundesamts für Sicherheit in der Informationstechnik (BSI) Deutschland, die Unternehmen und Organisationen bei der Einführung und Umsetzung von Informationssicherheitsmaßnahmen unterstützen.
BSI C5 DEU / EUR Der BSI-C5-Kriterienkatalog ist ein von dem Bundesamt für Sicherheit in der Informationstechnik (BSI) in Deutschland entwickelter Katalog von Sicherheitsanforderungen für Cloud-Dienste.
ISO 27001 + 27017/18 International Internationale Norm für Informationssicherheits-Managementsysteme (ISMS)
CSA STAR International Rahmenwerk zur Bewertung der Sicherheit von Cloud-Anbietern und zur Offenlegung ihrer Sicherheitspraktiken
CISPE CoC Europa Der CISPE Code of Conduct (Verhaltenskodex) wurde entwickelt, um den Schutz personenbezogener Daten in der Cloud zu gewährleisten und die Einhaltung der europäischen Datenschutzgesetze, insbesondere der Datenschutz-Grundverordnung (DSGVO), sicherzustellen
EUCoC Europa Der EU Cloud Code of Conduct ist ein Verhaltenskodex und wurde von einer Gruppe von Cloud-Anbietern und -Nutzern in Zusammenarbeit mit der Europäischen Kommission entwickelt, um Vertrauen, Transparenz und den Schutz personenbezogener Daten in der Cloud zu fördern.
SOC USA SOC (Service Organization Control) ist ein Prüfungsstandard, der vom American Institute of Certified Public Accountants (AICPA) entwickelt wurde. Es handelt sich um eine Prüfungsnorm für Serviceorganisationen, die Dienstleistungen anbieten, bei denen Informationen eine wesentliche Rolle spielen.
FedRAMP USA Das Federal Risk and Authorization Management Program (FedRAMP) ist ein Programm der US-Regierung zur Standardisierung des Sicherheits- und Compliance-Prozesses für Cloud-Anbieter.
HIPAA USA Der Health Insurance Portability and Accountability Act (HIPAA) ist ein Bundesgesetz der USA mit dem Ziel, die Privatsphäre und Sicherheit von Gesundheitsdaten zu schützen und die Übertragbarkeit von Krankenversicherungen zu gewährleisten.
Cloud Act USA Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) ist ein US-amerikanisches Gesetz, um den Zugang von US-Strafverfolgungsbehörden zu elektronischen Daten zu regeln.
PCI DSS Kreditkarten Es handelt sich um einen Sicherheitsstandard, der vom Payment Card Industry Security Standards Council (PCI SSC) entwickelt wurde. Der PCI DSS wurde eingeführt, um die Sicherheit von Zahlungskarteninformationen zu gewährleisten.

Anmerkungen sowie Ergänzungsvorschläge werden gerne über folgenden Kanal angenommen und berücksichtigt.

Die DGSVO (bzw. international GDPR) enthält spezifische Bestimmungen und Anforderungen für die Übermittlung personenbezogener Daten in Drittländer außerhalb der Europäischen Union (EU) und des Europäischen Wirtschaftsraums (EWR). Dabei legt die DSGVO besonderen Wert auf den Schutz personenbezogener Daten, unabhängig davon, ob sie innerhalb der EU oder in Drittländern verarbeitet werden. Sie zielt darauf ab, einen angemessenen Datenschutz und die Rechte der betroffenen Personen zu gewährleisten, auch bei grenzüberschreitenden Datenübermittlungen. Unternehmen sollten die Bestimmungen und Anforderungen der DSGVO in Bezug auf Datenübermittlungen in Drittländer daher geeignet berücksichtigen und umsetzen, um den Datenschutz zu gewährleisten.

Die DSGVO ermöglicht die Übermittlung personenbezogener Daten in Drittländer, für die die Europäische Kommission einen sogenannten Angemessenheitsbeschluss erlassen hat. Ein solcher Beschluss besagt, dass das Datenschutzniveau in dem betreffenden Drittland als angemessen gilt und ein ausreichender Schutz für personenbezogene Daten gewährleistet ist. In diesem Fall können Daten ohne weitere Maßnahmen übertragen werden.

Wenn ein Drittland keinen Angemessenheitsbeschluss hat (bspw. die USA), kann die Datenübermittlung auf Grundlage geeigneter Garantien erfolgen. Hierzu gehören beispielsweise die Verwendung von Standardvertragsklauseln (SCCs) oder Binding Corporate Rules (BCR), die zwischen dem Datenexporteur und dem Datenimporteur vereinbart werden.

Entsprechende Links auf die relevanten Dokumente finden Sie hier:

Anmerkungen sowie Ergänzungsvorschläge werden gerne über folgenden Kanal angenommen und berücksichtigt.