Wenn Eigentümer, Geschäftsführer, IT-Leiter, oder Administratoren von KMU überlegen, ihre IT-Infrastruktur und Anwendungslandschaft weiter zu entwickeln, spielt Cloud Computing mittlerweile eine zentrale Rolle. Doch leider gibt es kein Patentrezept für eine ideale KMU-IT-Architektur. Dafür sind die unternehmerischen Anforderungen an die IT viel zu unterschiedlich. Bei der Entscheidung für oder gegen den Einsatz einer Cloud sind vor allem die Fragen relevant, welche Rolle den Daten und Informationen zukommt, die das Unternehmen verarbeitet oder welche Prozesse für das Kerngeschäft und den Erfolg massgeblich sind.

Das Kürzel DSGVO ist seit Anfang 2018 in aller Munde. Oft und nicht selten populistisch wurde über die EU-Datenschutz-Grundverordnung und ihre möglichen Auswirkungen berichtet. Mit Spannung erwartete man nach dem Stichtag, dem 25. Mai 2018, eine Abmahnwelle oder hohe Strafen gegen Internetkonzerne, für die der Datenschutz bis dato kaum eine Rolle zu spielen schien. Passiert ist seinerzeit nichts, erst zum Jahresende kam auf Seiten der Aufsichtsbehörden Bewegung in die Sache. Im Oktober aktualisierte die Datenschutzkonferenz die Liste der Verarbeitungstätigkeiten, für die eine Datenschutzfolgenabschätzung durchzuführen ist. Die Datenschutzaufsichtsbehörden verhängten die ersten Sanktionen. Wir haben übrigens schon einige Blogbeiträge zur DSGVO verfasst – schau einfach mal rein.

Schon wieder ein Datenvorfall: Mehrere Millionen Patientendaten waren ungeschützt via Internet erreichbar. Das fanden der Bayerische Rundfunk und das US-Rechercheportal ProPublica heraus. Den Tipp gab ein IT-Sicherheitsspezialist. Ihm gelang es mühelos, Adressen und Röntgenbilder von Patienten, in Deutschland mehr als 13.000, anzusehen. Sinngemäss meinte der Security-Fachmann, dass er die Bilder wohl im Internet früher als die Ärzte gesehen habe.

Der US-Amerikanische Cloud Act steht im Widerspruch zur DSGVO. In meinem letzten Post «US Cloud Act vs. europäische DSGVO: grenzenlose Cloud-Nutzung stößt an nationale Gesetze» habe ich ausgeführt, welche Schwierigkeiten das für Unternehmen mit sich bringt. Heute möchte ich darauf eingehen, warum die Wahl eines Cloud-Providers aus der EU keine dauerhafte Lösung sein dürfte, und wie Bring You Own Key einen Ausweg aus dem Dilemma bietet.