Cloud Compliance

Echter Mehrwert für eure IT

Datenschutz, Informationssicherheit oder Notfallmanagement – Cloud Compliance ist komplex und vielfältig. Alle Anforderungen müssen vor, während und nach Ende der Nutzung von Cloud-Diensten eingehalten werden.

Wir zeigen euch, wie mit einem kontinuierlich wirkenden Cloud-Compliance-Management nichts außer Kontrolle gerät – und ihr echten Mehrwert stiftet!

Mehr erfahren

Cloud Compliance verlangt
Aufmerksamkeit, Kompetenz und Sorgfalt

Bleibe mit uns auf dem neuesten Stand der Cloud Compliance, wie aktuell mit DORA, NIS-2 oder der neuen BaFin-Aufsichtsmitteilung zu Auslagerungen an Cloud-Anbieter.

Cloud Compliance ist kein lastenschwerer Rucksack, der dich am Abheben hindert. Ganz im Gegenteil: Mit der sicheren und vorschriftsmäßigen Nutzung cloudbasierter Dienste machen wir eure IT zum Aushängeschild im Unternehmen:

Aufsichtsrecht und Regulatorik verstehen und anwenden

Unterstützung bei der Umsetzung der Anforderungen aus Aufsichtsrecht (DORA, EBA-, EIOPA- und ESMA-Guidelines, KWG, VAG etc.), Regulatorik (BAIT, KAIT, VAIT, ZAIT etc.) und der neuen Aufsichtsmitteilung der BaFin zu Auslagerungen an Cloud-Anbieter

Testate und Zertifikate kennen und verwenden

Know-how-Transfer zur Anwendung und Belastbarkeit von Testaten und Zertifikaten einschließlich ihrer Prüfberichte zur Absicherung des Cloud-Betriebs sowie damit verbundene toolgestützte Überprüfung der Anforderungsumsetzung (BSI C5, FIPS 140, ISO 10016, ISO 2700X etc.)

Daten klassifizieren und Schutzbedarfe festlegen

Mitwirkung bei Datenklassifikationen, Datenschutzfolgeabschätzungen und Schutzbedarfsanalysen zur Beschreibung, Bewertung und Mitigation möglicher Risiken aus der Verarbeitung personenbezogener Daten in der Cloud sowie Ableitung geeigneter technisch-organisatorischer Maßnahmen (TOM) je Datenklasse und Schutzbedarf

Risiken erkennen und mitigieren

Toolgestützte Begleitung (regulatorisch vorgegebener) Risikoanalysen bei Nutzung von Private- und Public-Cloud-Diensten inkl. Prüfung der Cloud-Anbieter-Standards (Abgrenzung sonstiger Fremdbezug vs. Auslagerung/Ausgliederung, Brutto- vs. Netto-Analysen, Wesentlichkeits- bzw. Wichtigkeitsanalysen, Szenario-Analysen etc.)

Strecke machen und sicher bleiben
Steuerung und Kontrolle wirksam umsetzen

Überwachung von Qualität, Vorfällen und Risiken während des laufenden Cloud-Betriebs, Identitäts- und Rechtemanagement, Verschlüsselung und Schlüsselverwaltung, Sicherstellung von Prüf- und Informationsrechten sowie Steuerung des Cloud-Anbieters und seiner Subdienstleister (Weiterverlagerungen)

Ausstieg planvoll gestalten

Unterstützung bei der Entwicklung von Cloud-Ausstiegs-Strategien (Exit Management), wie sie bei beaufsichtigten Unternehmen regulatorisch vorgeschrieben ist

Direkt loslegen mit deinem Cloud-Compliance-Management?

Dann mache den ersten Schritt und nimm Kontakt zu uns auf!

Icon Cloud Compliance

So schützt ihr euch!

Cloud Compliance richtig ein- und umgesetzt

Anforderungen der Cloud Compliance

Lass dich unterstützen bei der Übersetzung der Anforderungen der Cloud Compliance auf euer Unternehmen

Icon Paragraph/Vertrag - Cloud Compliance

Vertrag

Anbieter-AGB
Anwend­bares Recht


Mehr erfahren

Icon Checkliste/Compliance

Aufsicht & Regulatorik

EU & Deutsch­land
Risiko­management
(Sonder-) Prüfungen

Mehr erfahren

Icon Compliance-Siegel

Datenschutz

Daten­klassi­fikation
Daten­schutz­folge-Ab­schät­zung
Auftrags­ver­ar­bei­tung

Mehr erfahren

Icon Vertrag - Cloud Compliance

Testate & Zertifikate

Auswahl
Belast­barkeit
Inter­natio­nalität

Mehr erfahren

Icon Schloss - Cloud Compliance

Informationssicherheit

Audits
Cyber-Abwehr
Schutzbedarfsanalyse

Mehr erfahren

Cloud Compliance erfordert Transformation der Abläufe

Auch wenn wir die Anforderungen aus dem traditionellen IT-Outsourcing kennen – Cloud Compliance erfordert eine Transformation der Abläufe.

Unser Team für Datenschutz, Informationssicherheit, IT-Recht und -Regulatorik hilft dir, dich in Cloud-Umgebungen (M365, AWS, Azure, GCP etc.) zurecht zu finden und die Compliance sicherzustellen.

So enablen wir dich rund um die Cloud Compliance

Definition und Einhaltung von Nachhaltigkeits-KPIs

Toolgestütztes Compliance Management

Umsetzung von Finanzregulatorik

  • ESG-Kriterien - Cloud Compliance

    Definition und Einhaltung von Nachhaltigkeits-KPIs

    Nachhaltigkeit wird auch bei Auswahl von Cloud-Lösungen immer relevanter.
    Gerne unterstützen wir dich bei der Definition und Einhaltung von Nachhaltigkeits-KPIs (ESG-Kriterien, Lieferkettengesetz etc.).

  • Toolgestütztes Compliance Management

    Cloud ist nicht weiter eine Herausforderung für dein Compliance Management.
    Teste unser Tool CloudGate oder informiere dich über unsere Cloud Use Cases.

  • Umsetzung von Finanzregulatorik

    Anhand eines Periodensystems der Finanzregulatorik identifizieren wir mit dir die Gesetzesgrundlagen, die für deine Organisation relevant sind.

    Daran werden anschließend die Cloud-Leitplanken ausgerichtet.

Auch interessant für dich

Weitere Infos, Seminare und Tools zur Cloud Compliance

Wissensaufbau zu Cloud Compliance

Für grundlegende Überlegungen und Expertenwissen bieten wir dir Seminare und Webinare zu topaktuellen Cloud-Compliance-Themen an. Hier informieren!

CloudGate - Compliance & Risks

Mit unserem SaaS-Tool CloudGate gelangst du noch schneller und sicherer in die Cloud. Hier erfährst du alles Wissenswerte.

Aufsichtsmitteilung Cloud-Auslagerungen

Lies nach, welche Neuerungen es gibt und wie du heute schon starten kannst mit der Umsetzung der BaFin-Neuregelungen. Infos hier!

Dein Experte für
Compliance

Thorsten Reuter
Enabler und Principal Consultant

Du hast Fragen zu IT-Verträgen, Datenschutz und Regulatorik? Thorsten Reuter hat die Antworten und freut sich über deine Kontaktaufnahme.
Tel +49 6172 177 630

Kontakt    Profil ansehen

×

Allgemeines Recht

Cloud ist – im besten Sinne der Formulierung gemeint – ein Massen­geschäft. Infolg­edessen stellen die Cloud Service Provider ihren Kunden standar­disierte Service- und Produkt­beschreibungen eins­chließlich der damit verbundenen allgemeinen Geschäfts­bedingungen (AGB) zur Verfügung. In der Regel werden diese Verträge einseitig vom Anbieter und unter­jährig mehrfach online geändert. Branchen­spezifische Infor­mations-, Kontroll- und Prüf­rechte,wie wir sie etwa im Umfeld der Finanz­unternehmen kennen, sind ebenfalls Gegenstand vorge­fertigter Vertrags­anlagen ("financial addendum"). Das lässt im Ergebnis keinen Spielraum für individuelle Verhandlungen, wie es für tradi­tionelle Managed IT-Services heute noch gängige Praxis ist.

Umso wichtiger ist es, die mitunter komplexen und wenig über­sichtlichen Vertrags­architekturen und Dokumenten­hierarchien der Cloud-Abieter und -Hyperscaler zu durchdringen.
Wir helfen dir, dich in diesem Konstrukt zurecht zu finden und zeigen dir markt­übliche Regelungen auf.

Verein­barungen zu General-Sub­unter­nehmer-Konstella­tionen, zu geltendem Recht oder zum Gerichts­stand können sich neben denkbaren Leistungseinbußen schnell zu potenziellen Vertrags­risiken potenzieren, die es zu erkennen und zu beherrschen gilt. Unsere selbst entwickelte GRC-Lösung "CloudGate"  hilft dir übrigens, die Cloud-Verträge zu verwalten und Vertrags­risiken zu überwachen und hält für dich zudem digitale Check- und Prüflisten bereit, mit deren Hilfe du die unterschiedlichsten und typischsten Vertrags­themen wie Auftrags­verarbeitung, Datenschutz oder Informations­sicherheit im Detail gegen Normen und Standards prüfen kannst.

Daneben verfügen wir als Enabler über die erfor­derliche Expertise, welches Lizenzmodell welche vertraglichen Rechte abbildet und unter­stützen dich so in deiner Ent­scheidungs­findung.

×

Aufsicht & Regulatorik

Finanzunternehmen wie z.B. Banken, Einrichtungen der betrieb­lichen Alters­vorsorge, Versicherungen, Wertpapier­handels­gesell­schaften, Zahlungs­dienst­leister unterliegen in ihren geschäft­lichen Aktivitäten den jeweiligen Fach­aufsichten, und zwar auf euro­päischer Ebene (EBA, EIOPA, ESMA) und auf nationaler (BaFin in Deutsch­land oder FMA in Österreich).
Von der Strategie über das Risiko­management bis zur Dienst­leister­überwachung – die aufsicht­lichen und regula­torischen Anfor­derungen wirken sich in den Unternehmen stark auf die IT aus.

Wir unterstützen dich bei der Über­setzung dieser abstrakten Regel­werke in konkrete Lösungen für dein Unter­nehmen, wie aktuell bei der Umsetzung des Digital Operational Resilience Act (DORA) oder der Anwendung der neuen BaFin-Aufsichtsmitteilung für Cloud-Auslagerungen.

Das gilt selbst­verständlich auch für alle anderen Compliance-Vorgaben wie etwa

  • den europäischen Guidelines von EBA, EIOPA und ESMA,
  • den nationalen Aufsichtsgesetzen KWG, KAGB, VAG, WpHG oder ZAG in Deutschland oder BWG, VAG und WAG in Österreich,
  • den XAIT der deutschen BaFin (BAIT, KAIT, VAIT und ZAIT) oder
  • den IT-Leitfäden der österreichischen FMA.


Der Fokus liegt dabei auf Fremd­bezügen, Aus­lagerungen und Aus­gliederungen, Informations­sicherheit und Risiko­management. Dabei profitierst du von unserer lang­jährigen, branchen­spezifischen Erfahrung und unserem Anspruch, Lösungen mit "Augenmaß" zu entwickeln, also Risiko­orientierung und Verhältnismäßigkeit auszubalancieren.

Die Entwicklung bzw. Optimierung von IKT-Risiko-Strategien und IKT-Risiko­management-Rahmen sowie die Beglei­tung von IKT-Risiko­analysen unter cloud­spezifischen Aspekten gehören zu unseren fachlichen Schwer­punkten. Zur Erfassung und für das Tracking der Risiko­analysen steht dir darüber hinaus unsere selbst entwickelte SaaS-Lösung CloudGate zur Verfügung, die noch viele weitere GRC-Funktionen für dich bereithält.

Aus Prüfungs­ergebnissen lernen 

Regelmäßig begleiten wir unsere Kunden auch in anlass­bezogenen wie anlass­unabhängigen IT-Prüfungen, ein­schließlich in Sonder­prüfungen wie beispiels­weise nach § 44 KWG oder § 294 VAG. Damit sind wir sehr nahe an Belast­barkeit, Nach­voll­ziehbarkeit und Wirk­samkeit der in Umsetzung von Anfor­derungen der Cloud Compliance getroffenen Maßnahmen und lassen dieses Wissen in unsere Beratung für dich und dein Team einfließen. Das umfasst auch die im regula­torischen Kontext zuge­lassenen Sammel­prüfungen ("pooled audits"). 

Markt­weite Konzentrations­risiken berück­sichtigen 

Finanz­unternehmen, die cloud­basierte Lösungen nutzen, müssen in diesem Zusammen­hang besonderes Augen­merk auf die damit gegebenenfalls verbundenen Konzentrationsrisiken haben – eine zentrale Anforderung, die sich etwa aus dem Digital Operational Resilience Act (DORA) und der BaFin-Aufsichtsmitteilung für Cloud-Auslagerungen ableitet. Dabei erweitert sich der Fokus der Betrachtung von unternehmen­sinternen auch auf mark­tweite Risiken. Mit unserer Expertise für cloud­orientierte Risiko­analysen unterstützen wir dich.

×

Datenschutz

Werden personen­bezogene Daten von cloud­basierten Lösungen oder auf Platt­formen verar­beitet und gespei­chert, greifen die Anfor­de­rungen aus der euro­päischen Daten­schutz-Grund­verordnung (DSGVO) und auf nationaler Ebene nach dem Bundes­daten­schutz­gesetz (BSDG). Personen­bezogene Daten sind im Sinne von Art. 4 Nr. 1 der DSGVO Infor­mationen, die sich auf eine identi­fizierte oder identi­fizier­bare Person beziehen. Die Nutzung von Cloud-Diensten wird dabei regelmäßig als Auftrags­verarbeitung nach Art. 4 Nr. 8 DSGVO quali­fiziert, so dass die damit ver­bundenen Anfor­derungen an Daten­schutz und -Sicherheit umzu­setzen und vertrag­lich abzu­sichern sind.

Unsere Enabler helfen dir

  • die standardisierten Anbieterbeschreibungen zur Auftragsverarbeitung einzuordnen,
  • unterstützen dich bei der Datenklassifikation und Datenschutzfolgeabschätzungen,
  • erarbeiten Arbeitsanweisungen und Richtlinien zur Sicherstellung des Schutzes von Mitarbeiter- und Kundendaten mit euch und
  • definieren Prozesse zur Überwachung der Umsetzung der datenschutzrechtlichen Vorgaben in der Cloud-Umgebung

Geopolitische Veränderungen im Fokus

Vor dem Hinter­grund der markt­beherrschenden Situation US-amerikanischer Cloud-Anbieter wie Amazon Web Services, Microsoft und Google Cloud steht die Beobach­tung recht­licher und (geo-) poli­ti­scher Ent­wicklungen ebenso im Fokus wie die (unzureichende) Verein­barkeit einzel­ner US-Rechts­akte mit den Grund­sätzen der DSGVO wie beispiels­weise

  • dem CLOUD Act (Clarifying Lawful Overseas Use of Data Act),
  • dem FISA Act (Foreign Intelligence Surveillance Act) und
  • dem USA-PATRIOT Act (Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act)

Von wesent­licher Bedeu­tung sind im daten­schutz­rechtlichen Gesamt­zusammen­hang zudem der Ort der Daten­spei­cherung und -verar­beitung sowie der Unter­nehmens­sitz des Cloud-Service-Providers.

×

Testate & Zertifikate

Cloud-Service-Provider bieten in der Regel eine Fülle unter­schiedlichs­ter Nach­weise zur Qualität ihres Ange­bots und den von ihnen ange­wendeten Standards. Dies umfasst vor allem die Bereiche Archi­tektur, Dienst­ebereit­stellung, Infor­mations­sicherheit, Mit­arbeiter­quali­fikation und Zuver­lässigkeit. Solche inter­nationalen wie nationalen Nach­weise gibt es für alle Formen der Cloud (IaaS, PaaS und SaaS), die Anbieter "werben" damit auf ihrer Website. Zu den bekann­testen und am häu­figsten ver­brei­teten zählen Prüf­berichte, Testate und Zerti­fikate zu

  • BSI C5 (Cloud Computing Compliance Criteria Catalogue)
  • CSA CCM (Cloud Controls Matrix by Cloud Security Alliance)
  • IDW PS 951 (Prüfung des internen Kontrollsystems bei Dienstleistungsunternehmen)
  • ISO/IEC 27001 (Informationssicherheits-Managementsystem)
  • ISO/IEC 27017 (Informationssicherheit von Cloud-Diensten)
  • ISO/IEC 27018 (Datenschutz bei Cloud-Diensten)
  • SOC-2-Typ-II-Report nach ISAE 3402 (Internes Kontrollsystem für ausgelagerte Prozesse).

Unterschiede in der Belastbarkeit kennen

Bei solchen Nachweisen zur Cloud-Compliance unter­scheiden wir zwischen

  • Self-Assessments der Cloud-Service-Provider sowie
  • Testaten und
  • Zertifikaten.

Im Vergleich zu den Selbst­überprüfungen der Provider werden Testate und Zertifikate von hierzu beauf­tragten Dritten wie beispiels­weise unab­hängigen und akkredi­tierten Auditoren, TÜV-Organi­sationen oder Wirt­schafts­prüfungs­gesell­schaften ausgestellt. Damit ist die Anbieter- und Hersteller­unabhängigkeit gewahrt, wobei du dir bei solchen Nach­weisen immer bewusst sein solltest, dass es sich "nur" um Rück­betrachtungen handelt, deren Belast­barkeit im zeit­lichen Verlauf verfallen kann. Wir unter­stützen dich bei der Bewertung dieser Nach­weise hinsicht­lich ihrer Aussage­kraft und Vergleich­barkeit.

Prüfungsberichte analysieren und verstehen

Finanzunternehmen sind in diesem Zusammenhang zudem verpflichtet, die mit den Nachweisen verbundenen Prüfungsberichte zu analysieren, so stellt es die BaFin-Aufsichtsmitteilung zu Cloud-Auslagerungen klar (Stand: Januar 2024). Regel­mäßig unter­stützen wir bei der Analyse solcher Prüfungs­berichte Cloud-Architekten, die Beauf­tragten für Daten­schutz und Informations­sicherheit oder den IT-Security-Officer bei seiner Bewertung und Ab­leitung von Maß­nahmen. Ein kontinu­ierliches Tracking der Nach­weise ermög­licht dir funktional auch unsere GRC-Lösung CloudGate.

×

Informationssicherheit

Bei der Aus­wahl und Nutzung von Cloud-Diensten stehen die Anfor­de­rungen der Infor­mations­sicherheit und hieraus abge­leitet der IT-Sicher­heit im Vorder­grund. Neben der Schutz­bedarfs­analyse unter­stützen wir dich und dein Team bei der Bewertung des seitens des Cloud-Service-Providers bzw. Hyper­scalers ergriffenen tech­nischen und orga­nisa­torischen Maß­nahmen (TOM). In Abhängigkeit der Kriti­kalität der Applikationen, Daten und Workloads, die in der Cloud-Umgebung genutzt werden sollen, ist es uns wichtig, sich nicht nur auf Nach­weise wie Testate und Zerti­fikate zu ver­lassen.

Ebenso beglei­ten wir dich bei der fachlich-technischen Analyse der damit einher­gehenden Prüf­berichte, wie es beispiels­weise für Finanz­unternehmen nach der Aufsichtsmitteilung der BaFin zu Cloud-Auslagerungen  auch verpflichtend ist.

Dabei behalten wir auch für dich auch im Blick, wie weitreichend die vom Cloud-Provider implementierten Maß­nahmen reichen und wo sich die Verant­wor­tung ganz im Sinne der "shared responsibility" aufteilt.