Datenschutz und Datensicherheit beim Cloud Computing

Fachbeitrag

Unternehmen lagern ihre Daten aus wirtschaftlichen und praktischen Gründen zunehmend in die Cloud aus. Gleichzeitig häufen sich negative Meldungen über Cyberattacken, Datenlecks oder Zugriffe durch Geheimdienste. In diesem Beitrag zeigen wir Risiken auf und geben Empfehlungen zu Datenschutz und Datensicherheit.

Was ist Cloud Computing?

Beim Cloud Computing werden verschiedene IT-Dienstleistungen, wie z.B. Speicherplatz und Anwendungssoftware, vom Cloud Anbieter im Internet angeboten. Unternehmen müssen für die Vorhaltung ihrer Daten kein eigenes Rechenzentrum mehr betreiben, sondern können je nach Bedarf Kapazitäten und Dienstleistungen in Anspruch nehmen und auch entsprechend abrechnen.

Bekannte (Public) Cloud Anbieter sind beispielsweise Microsoft Azure, Amazon Web Service (AWS) oder Salesforce. Hier haben wir detaillierte Informationen zum Begriff und zu den Arten des Cloud Computings zusammengestellt.

Risiken beim Cloud Computing

In den Medien werden zahlreiche Debatten zum Thema Datenschutz und Datensicherheit in der Cloud geführt, da auch professionelle Anbieter in die Schlagzeilen geraten. Beispielsweise ist der Anbieter Dropbox durch den Verlust von Passwörtern aufgefallen und bei der Telekom-Cloud waren private Daten anderer Kunden einzusehen.

Vor der Inanspruchnahme eines Cloud Dienstes sollten Sie sich daher ein Überblick über die möglichen Risiken machen. Diese sind im speziellen:

  • Datenverlust und Datenmanipulation
  • Zugriff auf die Daten seitens des Cloud Anbieters, Dritter oder Geheimdienste
  • Identitätsdiebstahl und Missbrauch von Accounts
  • Cloud Dienst ist vorübergehend nicht verfügbar

Hier sollte genau geprüft werden, mit welchen Maßnahmen der Cloud Anbieter diese Risiken absichert. Eine schöne Hilfestellung dazu bietet die Broschüre „Sichere Nutzung von Cloud Diensten“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Datenschutzrechtliche Anforderungen an den Cloud Anbieter

Neben den technischen Vorkehrungen müssen auch einige rechtliche Aspekte geprüft werden. Aus datenschutzrechtlicher Sicht sollten Sie auf folgende Punkte achten:

Auftragsdatenverarbeitung

Beim Cloud Computing bleibt der Cloud Anwender verantwortliche Stelle nach dem Bundesdatenschutzgesetz (§ 3 Abs. 7 BDSG). Er ist daher weiterhin im Außenverhältnis für die Sicherheit der Daten verantwortlich. Außerdem muss mit dem Cloud Anbieter ein Vertrag zur Auftragsdatenverarbeitung (ADV) nach § 11 BDSG geschlossen werden. Dabei ist nach den Aufsichtsbehörden (Orientierungshilfe Cloud Computing, Version 2.0/2014) neben den allgemeinen Bedingungen des § 11 BDSG auf folgende Punkte speziell einzugehen:

  • Beauftragung von Subunternehmern:
    Der Anbieter muss grundsätzlich die beauftragten Subunternehmer abschließend benennen. Hinsichtlich der Beauftragung künftiger Subunternehmer muss sich der Anwender ein Widerspruchsrecht einräumen lassen. Er muss die Möglichkeit haben, sich in diesen Fällen vom Vertrag zu lösen. Außerdem muss der Anwender einsehen können, ob der Anbieter den Subauftragnehmer ebenso entsprechend § 11 Abs. 2 BDSG verpflichtet.
  • Kontrollrechte:
    Der Anwender muss seine Kontrollrechte wahrnehmen können. Da eine Vor-Ort Kontrolle oftmals nicht möglich ist, kann das Kontrollrecht auch durch den Nachweis von Zertifikaten erbracht werden. Die Kontrollpflicht des Anwenders erschöpft sich jedoch nicht dadurch, dass er sich Protokolle vorlegen lässt. Vielmehr muss im Einzelfall geprüft und anschließend dokumentiert werden, ob der konkrete Cloud Dienst auch in den Anwendungsbereich des Zertifikates fällt.
  • Möglichkeit eines Anbieterwechsels und Datenportabilität
  • Löschung der Daten nach Auftragsbeendigung
  • Eigentum an den Daten

Datenübermittlung ins Ausland

Ein Großteil der Cloud Anbieter speichert die Daten außerhalb des EU/ EWR Raumes. Das führt dazu, dass der Abschluss eines ADV-Vertrages alleine nicht mehr ausreichend ist. Für die Datenübermittlung bedarf es einer Rechtsgrundlage. Außerdem muss das adäquate Datenschutzniveau hergestellt werden. Die Anbieter müssen also entweder nach dem Privacy Shield zertifiziert sein oder EU-Standardvertragsklauseln abschließen. Von den Aufsichtsbehörden wird in diesen Fällen überwiegend zusätzlich noch der Abschluss einer ADV-Vereinbarung für erforderlich gehalten.

Das stellt die Cloud Anwender vor einige praktische Probleme. Nach dem Safe-Harbor Urteil wird bestehen Zweifel dahingehend, ob Privacy Shield und EU-Standardvertragsklausel weiterhin Bestand haben werden. Ein zusätzlicher ADV-Vertrag ist nicht mit jedem Anbieter verhandelbar. Was bleibt ist die Möglichkeit, Cloud Anbieter mit Rechenzentren in der EU/ EWR zu wählen.

Fazit

Cloud-Lösungen bieten Unternehmen viele Vorteile und sind mittlerweile fester Bestandteil der IT-Infrastruktur. Besonders Unternehmen, die aufgrund ihrer Größe nicht ausreichend Kapazitäten für das Betreiben und Absichern eigener Server haben, können Cloud-Dienste eine gute Lösung sein. Durch Risiko-Analysen und datenschutzrechtlichen Prüfungen im Vorfeld der Beauftragung eines Anbieters lassen sich Risiken minimieren.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Auswahl eines Cloud Anbieters nach Aspekten des Datenschutzes
  • Einhaltung gesetzlicher Anforderungen bei Beauftragung internationaler Cloud Anbieter
  • Datenschutzvereinbarungen und Zertifizierungen für Cloud Anbieter

Informieren Sie sich hier über unser Leistungsspektrum: Outsourcing mit Cloud-Diensten

2 Kommentare zu diesem Beitrag

  1. Deutsche MS Cloud für Office 365 ist schon da bzw. Soll im ersten Quartal vollständig verfügbar sein. Für mich die Frage als direkter MS Kunde, werden meine Daten automatisch nach Deutschland verschoben und wie kann ich das kontrollieren bzw. Einsehen wo die Daten liegen.

    Von MS gab es dazu leider keine Antwort. Bei Vertragsabschluss nach Stichtag X mit der Telekom, sollen die Daten dann automatisch in Magdeburg und Frankfurt lagern.

  2. Ich persönlich habe keinen einzigen Vorteil erkannt, weshalb meine Office Software ständig mit dem Internet verbunden sein möchte. Kein Fremder Anbieter kann mir den Schutz meiner Kundendaten garantieren. Heute nicht, morgen nicht und auch nicht in naher Zukunft. Zum anderem kann jeder Anbieter, seine Bedingungen jederzeit ändern oder mir den Zugriff auf meine Daten erschweren.
    Wie will ich denn überhaupt kontrollieren, das der Anbieter meine Daten wirklich gelöscht hat ?
    Denn selbst nach dem löschen, existieren meine Daten auf dem System beim Anbieter, nähmlich in den vielen Backups und welchem Anbieter will man diesen Aufwand zumuten ?
    Für mich steht Risikominimierung an vorderster Stelle und das bedeutet es bleibt alles beim alten und eine Datenwolke kann man auch auf seinen eigenen Systemen verwalten.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.