Unternehmensnetze in der Cloud managen: Augen auf beim Datenschutz!
Ob ein Unternehmen erfolgreich ist, hängt nicht zuletzt davon ab, wie gut seine IT-Infrastruktur mit neuen Geschäftsanforderungen schritthält. Für mehr Flexibilität und Übersicht verwalten immer mehr Organisationen ihre Netzwerke aus der Cloud. Was es in puncto Datenschutz zu beachten gilt.
Unternehmen, die ihr Filialnetz oder das WLAN in ihren Niederlassungen mithilfe einer Cloud-Lösung verwalten, profitieren von deutlich mehr Effizienz, Agilität und Kontrolle. Unregelmässigkeiten im Netzbetrieb lassen sich über ein zentrales Dashboard schnell erkennen und aus der Distanz beheben, noch bevor ein Problem auftritt. Mit wenigen Klicks werden neue Standorte ans Firmennetz angebunden, geschäftskritische Dienste sind in kürzester Zeit verfügbar.
Das revDSG schafft neue Gesetzeslage
Mit Inkrafttreten des revidierten Datenschutzgesetzes (revDSG) im September 2023 gelten für in der Cloud gemanagte Netzwerke jedoch neue Rahmenbedingungen. Im Fokus dabei: personenbezogene Daten. Im Fall von IT-Netzwerken können dies je nach Art der Netze Mitarbeiter-, Kunden-, Gäste-, Schüler- oder – besonders sensibel – Patientendaten sein. Darunter etwa MAC- und IP-Adressen, Anmelde- und Standortinformationen, Angaben zur Nutzung von Diensten sowie Namen und E-Mail-Adressen der Nutzerinnen und Nutzer. Beim Netzwerkmanagement aus der Cloud verlassen diese Daten das unternehmenseigene Netz und damit – je nach Sitz des Cloud-Anbieters – potenziell auch den heimischen Rechtsraum. Daten von Schweizer Bürgerinnen und Bürgern können auf diese Weise in den Einflussbereich derjenigen Rechtsordnung gelangen, die für den Cloud-Provider aufgrund seiner Herkunft bindend ist. Und zwar auch dann, wenn die Datenverarbeitung in einem Rechenzentrum auf Schweizer Boden erfolgt.
CEOs haften persönlich
Für Unternehmen, die ihr Netzwerk mit einer Cloud-Lösung aus einem datenschutzrechtlich unsicheren Drittland verwalten, drohen ab September empfindliche Strafen. Dabei geht das revDSG noch über die europäische Datenschutzgrundverordnung (EU-DSGVO) hinaus, indem es nicht nur Unternehmen, sondern auch natürliche Personen, etwa Verantwortliche wie CEOs und CIOs, mit Bussen von bis zu 250 000 Franken persönlich haftbar macht (Art. 60 ff. revDSG).
Um nicht in die Datenschutzfalle zu tappen, sollten Unternehmen Compliance- und datenschutzrechtliche Fragen bereits bei der Planung ihrer cloudbasierten Netzwerkinfrastruktur berücksichtigen und priorisieren. Wer sein Firmennetz aus der Cloud verwalten will, muss sich fragen: Welche Daten verlassen das Unternehmensnetz? Welcher Gesetzgebung unterliegt der Lösungsanbieter? Liegt für das Herkunftsland des Providers ein Angemessenheitsbeschluss vor, der ein der Schweiz vergleichbares Datenschutzniveau gewährleistet und personenbezogene Daten von Schweizer Bürgerinnen und Bürgern zuverlässig vor dem Zugriff Dritter, zum Beispiel ausländischer Sicherheitsbehörden, schützt?
Auf der sicheren Seite
Eine umsichtige und kritische Prüfung der zur Auswahl stehenden Cloud-Anbieter hilft, mögliche Compliance-Risiken und damit einhergehende Sanktionen von Beginn an zu vermeiden. Europäische Netzwerkmanagementlösungen unterliegen den strengen Vorgaben von revDSG und EU-DSGVO und geben Verantwortlichen Rechtssicherheit. Auf diese Weise profitieren Unternehmen nicht nur von einer Netzwerkinfrastruktur, die dank der Cloud dynamisch auf neue Geschäftsanforderungen reagiert und leicht und kostengünstig zu managen ist, sondern bleiben auch beim Thema Datenschutz auf der sicheren Seite.