Kapitel 17
Regulatorische Anforderungen
Compliance-Webseiten großer internationaler Cloud-Provider
Compliance Reportings großer internationaler und europäischer Cloud-Provider im Vergleich. Die Aufstellung basiert auf den fünf größten internationalen und der fünf größten europäischen Cloud-Anbietern (gemessen am Umsatz).
| Provider | Land | Anmerkungen |
|---|---|---|
| AWS | USA | Internationaler Fokus, weltweit regionenbezogene Datenschutzstandards |
| Azure | USA | Internationaler Fokus, weltweit länderbezogene Datenschutzstandards |
| Google Cloud | USA | Internationaler Fokus, weltweit länderbezogene Datenschutzstandards |
| IBM Cloud | USA | Fokus auf Nordamerika, EU, Australien und Singapur |
| Alibaba Cloud | China | Das Compliance Reporting hat sich zum Zeitpunkt des Redaktionsschlusses des Buches nennenswert verbessert und ist mittlerweile vergleichbar zu den US-Hyperscalern. |
| OVHCloud | FRA | Primär europäischer Fokus auf Datenschutzstandards |
| SAP Cloud | DEU | Es werden über 300 Treffer in der Compliance-Datenbank angegeben. Internationaler Fokus. |
| Telekom/T-Systems | DEU | Primär europäischer Fokus bei Datenschutzstandards. T-Systems tritt ferner als Cloud Broker auf und reicht damit die Compliances anderer Provider weiter. |
| Orange | FRA | Provider bietet keine eigene Compliance Übersicht an. Orange tritt auch als Cloud Broker auf und reicht damit die Compliances anderer Provider weiter. |
| Vodafone | UK | Provider bietet keine eigene Compliance Übersicht an. Orange tritt auch als Cloud Broker auf und reicht damit die Compliances anderer Provider weiter. |
Anmerkungen sowie Ergänzungsvorschläge werden gerne über folgenden Kanal angenommen und berücksichtigt.
Oft genannte Zertifizierungen von Providern
Die Analyse basiert auf den fünf größten internationalen und der fünf größten europäischen Cloud-Anbietern (gemessen am Umsatz).
| Norm | Rechtsraum | Anmerkungen |
|---|---|---|
| ISO 9001 | International | Internationale Norm für Qualitätsmanagementsysteme (QMS). Nicht Cloud-spezifisch. |
| BSI IT-Grundschutz | DEU / EUR | Es handelt sich um eine Sammlung von Sicherheitsstandards, Methoden und Best Practices des Bundesamts für Sicherheit in der Informationstechnik (BSI) Deutschland, die Unternehmen und Organisationen bei der Einführung und Umsetzung von Informationssicherheitsmaßnahmen unterstützen. |
| BSI C5 | DEU / EUR | Der BSI-C5-Kriterienkatalog ist ein von dem Bundesamt für Sicherheit in der Informationstechnik (BSI) in Deutschland entwickelter Katalog von Sicherheitsanforderungen für Cloud-Dienste. |
| ISO 27001 + 27017/18 | International | Internationale Norm für Informationssicherheits-Managementsysteme (ISMS) |
| CSA STAR | International | Rahmenwerk zur Bewertung der Sicherheit von Cloud-Anbietern und zur Offenlegung ihrer Sicherheitspraktiken |
| CISPE CoC | Europa | Der CISPE Code of Conduct (Verhaltenskodex) wurde entwickelt, um den Schutz personenbezogener Daten in der Cloud zu gewährleisten und die Einhaltung der europäischen Datenschutzgesetze, insbesondere der Datenschutz-Grundverordnung (DSGVO), sicherzustellen |
| EUCoC | Europa | Der EU Cloud Code of Conduct ist ein Verhaltenskodex und wurde von einer Gruppe von Cloud-Anbietern und -Nutzern in Zusammenarbeit mit der Europäischen Kommission entwickelt, um Vertrauen, Transparenz und den Schutz personenbezogener Daten in der Cloud zu fördern. |
| SOC | USA | SOC (Service Organization Control) ist ein Prüfungsstandard, der vom American Institute of Certified Public Accountants (AICPA) entwickelt wurde. Es handelt sich um eine Prüfungsnorm für Serviceorganisationen, die Dienstleistungen anbieten, bei denen Informationen eine wesentliche Rolle spielen. |
| FedRAMP | USA | Das Federal Risk and Authorization Management Program (FedRAMP) ist ein Programm der US-Regierung zur Standardisierung des Sicherheits- und Compliance-Prozesses für Cloud-Anbieter. |
| HIPAA | USA | Der Health Insurance Portability and Accountability Act (HIPAA) ist ein Bundesgesetz der USA mit dem Ziel, die Privatsphäre und Sicherheit von Gesundheitsdaten zu schützen und die Übertragbarkeit von Krankenversicherungen zu gewährleisten. |
| Cloud Act | USA | Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) ist ein US-amerikanisches Gesetz, um den Zugang von US-Strafverfolgungsbehörden zu elektronischen Daten zu regeln. |
| PCI DSS | Kreditkarten | Es handelt sich um einen Sicherheitsstandard, der vom Payment Card Industry Security Standards Council (PCI SSC) entwickelt wurde. Der PCI DSS wurde eingeführt, um die Sicherheit von Zahlungskarteninformationen zu gewährleisten. |
Anmerkungen sowie Ergänzungsvorschläge werden gerne über folgenden Kanal angenommen und berücksichtigt.
Links zur DSGVO / GDPR
Die DGSVO (bzw. international GDPR) enthält spezifische Bestimmungen und Anforderungen für die Übermittlung personenbezogener Daten in Drittländer außerhalb der Europäischen Union (EU) und des Europäischen Wirtschaftsraums (EWR). Dabei legt die DSGVO besonderen Wert auf den Schutz personenbezogener Daten, unabhängig davon, ob sie innerhalb der EU oder in Drittländern verarbeitet werden. Sie zielt darauf ab, einen angemessenen Datenschutz und die Rechte der betroffenen Personen zu gewährleisten, auch bei grenzüberschreitenden Datenübermittlungen. Unternehmen sollten die Bestimmungen und Anforderungen der DSGVO in Bezug auf Datenübermittlungen in Drittländer daher geeignet berücksichtigen und umsetzen, um den Datenschutz zu gewährleisten.
Die DSGVO ermöglicht die Übermittlung personenbezogener Daten in Drittländer, für die die Europäische Kommission einen sogenannten Angemessenheitsbeschluss erlassen hat. Ein solcher Beschluss besagt, dass das Datenschutzniveau in dem betreffenden Drittland als angemessen gilt und ein ausreichender Schutz für personenbezogene Daten gewährleistet ist. In diesem Fall können Daten ohne weitere Maßnahmen übertragen werden.
Wenn ein Drittland keinen Angemessenheitsbeschluss hat (bspw. die USA), kann die Datenübermittlung auf Grundlage geeigneter Garantien erfolgen. Hierzu gehören beispielsweise die Verwendung von Standardvertragsklauseln (SCCs) oder Binding Corporate Rules (BCR), die zwischen dem Datenexporteur und dem Datenimporteur vereinbart werden.
Entsprechende Links auf die relevanten Dokumente finden Sie hier:
- Datenschutz Grundverordnung (DSGVO/GDPR)
- Angemessenheitsbeschlüsse der Europäischen Kommission
- EN: Standard contractual clauses for data transfers between EU and non-EU countries
- DE: Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer (SCC)
Anmerkungen sowie Ergänzungsvorschläge werden gerne über folgenden Kanal angenommen und berücksichtigt.