Video: Was macht ihr mit meinen Daten? | ‘Frag doch Google’ #5 (November 2024)
Angesichts der zunehmenden Verbreitung von Clouds ist es für Unternehmen wichtiger denn je, die Vorschriften und zivilrechtlichen Verpflichtungen im Zusammenhang mit der Speicherung von Daten und Anwendungen in der Cloud zu verstehen. Laut Umfrageergebnissen von Right Scale, einem Cloud-Management-Unternehmen, nutzen mehr als 93 Prozent der Unternehmen die Cloud auf irgendeine Weise. Unternehmen, die Daten in öffentlichen und hybriden Clouds speichern, sind jedoch besonders anfällig für Vorschriften und Strafen, wenn ein Datenverstoß auftritt oder wenn es zu erheblichen Ausfallzeiten der Cloud kommt.
Die meisten Unternehmen, insbesondere kleine bis mittelständische Unternehmen (SMBs), unterzeichnen Standard-Service-Level-Agreements (SLAs) mit Cloud-Anbietern. Diese SLAs kommen in der Regel eher dem Anbieter als dem Kunden zugute und begrenzen infolgedessen den Schaden, den Cloud-Anbieter im Katastrophenfall zahlen müssen.
Damit Sie verstehen, was Sie wissen müssen, um besser auf die rechtlichen Folgen eines Wechsels in die Cloud vorbereitet zu sein, und um herauszufinden, ob Sie geschützt sind, falls ein Verstoß gegen Ihre öffentliche oder hybride Cloud vorliegt, haben wir diese Liste zusammengestellt Dinge, die man beachten muss.
1. Wer haftet für Kundeninformationen nach Datenverletzungen?
Angenommen, Sie speichern alle Kundendaten in der Cloud eines Drittanbieters. Wenn ein Hacker in der Lage ist, diese Cloud zu durchbrechen, Ihre Daten zu stehlen und damit Ihren Kunden Schaden zuzufügen, wird jemand zivilrechtliche Strafen zahlen. Abhängig von der Formulierung Ihres SLA wird Ihr Cloud-Anbieter seine Schäden wahrscheinlich auf "tatsächliche Schäden" beschränken, im Gegensatz zu den "Folgeschäden", für die Ihr Unternehmen wahrscheinlich verantwortlich ist.
"Normalerweise schreibt ein Verkäufer seine Vereinbarung so, dass seine Haftung für einfache Fahrlässigkeit ziemlich gering ist, normalerweise auf den tatsächlichen Schaden begrenzt und häufig auf den Höchstbetrag begrenzt, den der Kunde dem Verkäufer in den letzten sechs oder zwölf Monaten gezahlt hat ", sagte Steven Ayr, Business Counsel bei Fort Point Legal, einer auf die Vertretung von Unternehmern und Kleinunternehmen spezialisierten Kanzlei. "Tatsächlicher Schaden wird als das Geld bezeichnet, das der Kunde für die nicht erbrachte Dienstleistung gezahlt hat. Durch die Beschränkung des Schadens auf" tatsächlichen Schaden "wird die Möglichkeit beseitigt, dass der Verkäufer für" Folgeschäden "und andere Arten von Schäden haftet Schäden wie Strafschadenersatz. "
Ayr beschreibt Folgeschäden als finanzielle Verluste, die einen Schritt von der Sicherheitsverletzung oder den Cloud-Ausfallzeiten entfernt sind. Wenn Ihr Kunde beispielsweise über Ihre Online-Kollaborationsplattform ein großes Verkaufsgespräch führen sollte, dies jedoch nicht konnte, weil die Cloud ausgefallen ist, sind Sie für die Folgeschäden dieser Ausfallzeit verantwortlich.
Gleiches gilt für Datenschutzverletzungen oder reine Unfälle. Die meisten SLAs begrenzen den Schaden, den Cloud-Anbieter zahlen müssen, wenn Elite-Hacker moderne Systeme durchbrechen oder wenn ein Dritter die Glasfaserverbindung außerhalb des Rechenzentrums unterbricht. Nur wenn Ihr Anwalt "grobe Fahrlässigkeit" nachweisen kann, haftet der Anbieter in erster Linie für die finanziellen Verbindlichkeiten einer Cloud-Katastrophe. Grobe Fahrlässigkeit tritt typischerweise bei mangelhafter Sicherheit oder vorsätzlichen rücksichtslosen Handlungen des Verkäufers auf.
2. Wer ist für die Übermittlung von Daten an Regierungsbehörden verantwortlich?
Auch wenn Sie mit dem sichersten Cloud-Anbieter der Welt zusammenarbeiten, bedeutet dies nicht, dass auf Ihre Daten nicht ohne Ihre Zustimmung und ohne Rechtsbehelf zugegriffen werden kann. Da Sie Ihre Daten an einen Cloud-Anbieter weitergeben, erteilen Sie dem Anbieter im Wesentlichen die Erlaubnis, behördlichen Garantien zuzustimmen. Die meisten SLAs geben dies sehr deutlich an, und es ist unwahrscheinlich, dass große Cloud-Anbieter wie Amazon Web Services (AWS) oder Microsoft Azure bereit sind, ihre Standard-SLA für ein Unternehmen zu ändern, das kein White-Wale-Konto ist.
Wenn Sie extreme Vorbehalte gegen Eingriffe der Regierung haben, ist es wahrscheinlich besser, eine eigene private Cloud zu erstellen oder Ihre Daten lokal zu speichern. Unter diesen Umständen können Sie den Haftbefehl bekämpfen und Ihre Kundendaten schützen. Wenn Sie sich jedoch für eine öffentliche oder hybride Cloud entscheiden, sollten Sie hoffen, dass Ihr Anbieter Ihre Intoleranz gegenüber Big Brother teilt.
3. Was sind die spezifischen Cloud-Bestimmungen nach Geografie?
Es ist schwierig genug, Ihre Rechte bezüglich der Verwaltung Ihrer Daten in den USA im Auge zu behalten. Leider unterscheiden sich die globalen Vorschriften für jedes Land und in einigen Fällen für jede Gerichtsbarkeit in jedem Land. Wenn Sie ein multinationales Unternehmen mit Cloud-Service-Providern in verschiedenen Regionen sind, werden Sie große Schwierigkeiten haben, die damit verbundenen Vorschriften und Verpflichtungen zu verstehen und zu verwalten.
Laut Ayr ist es von entscheidender Bedeutung, dass Unternehmen, die Daten weltweit speichern, mit Anwälten zusammenarbeiten, um die Art der von ihnen gespeicherten Daten, die Regionen, in denen sie die Daten speichern, und die spezifischen Gesetze in diesen Gerichtsbarkeiten zu ermitteln.
"Das kann jedoch eine langsame und kostspielige Arbeit sein", sagte Ayr, "weil Sie entweder jemanden dafür bezahlen, die Zeit für die Erforschung der Gesetze mehrerer Gerichtsbarkeiten zu verwenden, mit denen sie nicht vertraut sind, oder in jeder Gerichtsbarkeit einen Anwalt einstellen, der bereits arbeitet." kennt diese Gesetze, oder stellt einen sehr teuren Sachverständigen ein, der die Einzelheiten jeder Gerichtsbarkeit bereits kennt."
Unglücklicherweise besteht die einfachste und kostengünstigste Möglichkeit, die Konformität innerhalb der einzelnen Gerichtsbarkeiten sicherzustellen, darin, Ihren Diensteanbieter zu beauftragen. Da globale Dienstleister ihr Geschäft bereits ausgeweitet und die erforderlichen Schritte unternommen haben, um zu bestimmen, wie Daten global verarbeitet werden sollen, verfügen sie mit größerer Wahrscheinlichkeit über Informationen und bewährte Vorgehensweisen.
"Es ist immerhin viel billiger, einen Anwalt zu beauftragen, um die Servicebedingungen eines Anbieters auf Einhaltung zu überprüfen, als einen Anwalt zu beauftragen, um konforme Bedingungen zu erstellen und diese dann mit einem Anbieter zu verhandeln", sagte Ayr. Dies bedeutet jedoch auch, dass Sie sich auf SLAs verlassen, und wir haben bereits untersucht, wie eine SLA zugunsten des Anbieters funktionieren kann.
4. Warum sollten Sie sich beim Speichern von Daten in der Cloud wohlfühlen?
In den USA sind die meisten Unternehmen durch Datenschutzgesetze geschützt, die den Umgang mit personenbezogenen Daten (PII) regeln. Nach diesen Gesetzen müssen Anbieter schriftliche Richtlinien erstellen, in denen ihre Datenschutzstrategien dargelegt sind, und sie dazu zwingen, zumindest eine gewisse Haftung für Verstöße und Ausfallzeiten zu übernehmen. Im Falle eines Verstoßes ist es nach diesen Gesetzen auch obligatorisch, ihn dem Generalstaatsanwalt zu melden. In Massachusetts heißt dieses Gesetz beispielsweise 201 CMR 17.00. In Kalifornien heißt das Gesetz SB 1386. Bis heute haben 47 US-Bundesstaaten ähnliche Gesetze in den Büchern.
Wenn die Gesetze nicht ausreichen, um Sie zu beruhigen (und sollten es auch nicht sein), gibt es Cloud-Anbieter, die sich selbst als Verfechter von Datenschutz und Sicherheit vermarkten. Unternehmen wie der Disaster Recovery (DR) -Dienstleister Spider Oak sind als wissensfreie Cloud-Dienste bekannt. Sie verschlüsseln Daten auf den Geräten ihrer Kunden, bevor sie sie in die Cloud hochladen. Keine Kenntnis bedeutet, dass Spider Oak und seine Konkurrenten niemals mit entschlüsselten Daten umgehen. Diese Vorgehensweise hilft ihnen, potenzielle Risiken zu begrenzen und sich niemals in die Lage zu versetzen, Daten an staatliche Stellen weiterzugeben.
"Es gibt eine Reihe von Risiken, die Unternehmen bei der Migration von Systemen und Diensten in die Cloud häufig ignorieren", sagte Mike McCamon, President und CMO von Spider Oak. "Wir fassen die vier wichtigsten Punkte wie Sicherheit, Datenschutz, Kontinuität und Kontrolle zusammen."
"Wir haben zu keinem Zeitpunkt ein Passwort oder eine Version der entschlüsselten Daten", fügte McCamon hinzu. "Selbst unsere eigenen Systemadministratoren können nicht mehr über einen Kunden wissen als über das Datenvolumen, das in unserem System gespeichert ist. Die einzigen Daten, die wir über Benutzer sammeln, sind eine E-Mail-Adresse und Rechnungsinformationen, wenn sie einen Serviceplan benötigen."
Unabhängig davon, ob Unternehmen mit großen Anbietern wie Amazon und Microsoft oder kleinen, wissensfreien Anbietern wie Spider Oak zusammenarbeiten oder nicht, sie werden die Cloud weiterhin nutzen, behauptet Ayr.
"Bei meiner Arbeit mit Start-ups sehe ich im Allgemeinen keine Unternehmen, die besonders nervös sind, wenn sie die Cloud verwenden", sagte Ayr. "Wenn überhaupt, sehen neue Unternehmen die Cloud genauso sicher und unauffällig wie das Ablegen von Dokumenten in einem Aktenschrank."
