Symbolbild für Datenschutz bei Cloud-Anbietern

Datenschutz und Sicherheit bei Cloud-Anbietern

Das Auslagern von Daten in einen Cloud-Dienst ist mittlerweile zur Normalität geworden. Dabei spielt Datenschutz eine sehr wichtige Rolle. Wir gehen darauf ein, was Cloud-Anbieter bezogen auf die DSGVO beachten müssen und geben Ihnen praktische Tipps für die richtige Wahl eines Cloud-Anbieters. 

  1. Home
  2. Wissenswertes
  3. Datenschutz Blog

2022-02-08

Logo
  • Author: Team datenschutzexperte.de
    Unser Team, bestehend aus zahlreichen Expert*innen im Bereich Datenschutz, weiß, was KMUs im Datenschutz bewegt. Unsere Beiträge sollen helfen, das Thema Datenschutz verständlich zu machen.

Datenschutz und Sicherheit bei Cloud-Anbietern

Cloud-Computing ist die Auslagerung und Bereitstellung von IT-Ressourcen über das Internet. Damit ist ein Zugriff auf Anwendungen, Server und Datenbanken aus der Ferne möglich (englisch: remote access). Werden Cloud-Anwendungen in Anspruch genommen, müssen datenschutzrechtliche Aspekte beachtet werden, welche die DSGVO regelt. Cloud-Anbieter müssen sich an die Regelungen halten, um Datenschutz und Sicherheit zu gewährleisten.

Was versteht man unter Cloud-Anbietern?

Damit IT-Ressourcen in eine Cloud ausgelagert werden können, wird ein Cloud-Anbieter benötigt, der externen Speicherplatz zur Verfügung stellt. Dabei geht es in den meisten Fällen um  eine öffentliche Cloud, da die Datenspeicherung im Gegensatz zur privaten Cloud keinen internen Serverplatz benötigt. Im privaten Bereich sind vor allem Dropbox, Google und Amazon Drive sehr beliebt. Aber auch Unternehmen beziehen teilweise ihre komplette Rechenleistung über Cloud-Anbieter. Die bekanntesten Dienste sind, Amazon Web Services (AWS), Google Cloud Platform (GCP), IBM Cloud und Microsoft Azure. Zudem gibt es unterschiedliche Arten von Cloud-Computing, welche die Anbieter zur Verfügung stellen:

  • Infrastructure-as-a-Service (IaaS): Bei dieser Form wird die zur Umsetzung bestimmter Anwendungen notwendige Hardware angeboten. Diese muss eigenständig gewartet werden. Computer-Cluster können dabei individuell virtuell gestaltet werden.  
  • Plattform-as-a-Service (PaaS): hier werden Software-Anwendungen selbst entwickelt und ausgeführt. Es ist für den Entwickler jedoch nur der Zugriff auf selbst erstellte Programme möglich.  
  • Software-as-a-Service (SaaS): Die Software sowie die IT-Infrastruktur wird bei einem externen Dienstleister betrieben. Es ist jedoch ein Zugriff auf die Software von jedem Internetbrowser möglich.

Cloud-Dienste bieten Unternehmen die Möglichkeit, flexibel auf neue Geschäftsprozesse zu reagieren. Zudem müssen keine hohen Investitionen in eine eigene IT-Infrastruktur getätigt werden. Dennoch sollten Cloud-Anwendungen nicht unbedacht genutzt werden, da einige datenschutzrechtliche Aspekte beachtet werden müssen.  

Datenschutz und Datensicherheit – daran müssen sich Cloud-Anbieter halten

Werden Cloud-Anwendungen in Anspruch genommen, müssen datenschutzrechtliche Aspekte beachtet werden, die grundsätzliche durch die DSGVO geregelt werden. Dazu gehören Folgende:

Auftragsdatenverarbeitung: Es muss zwischen der „verantwortlichen Stelle“ und dem „Auftragsverarbeiter“ unterschieden werden. Laut DSGVO ist der Cloud-Anbieter der Auftragsverarbeiter (Art. 4. Nr. 8 DSGVO) und der Cloud-Anwender der Verantwortliche (Art. 4 Nr. 7 DSGVO). Die in Inanspruchnahme eines Cloud-Dienstes bedarf eines Auftragsverarbeitungsvertrags (Art. 28 Abs. 3 Satz 1 DSGVO). Unter anderem hat der Anbieter die Pflicht, Subunternehmen anzugeben und muss dem Anwender Kontrollrechte (Art. 28 Abs. 3 Satz 2 lit. h) DSGVO) über ihn selbst ermöglichen. Nach Beendigung der Auftragsverarbeitung muss der Cloud-Anbieter zudem personenbezogene Daten löschen oder herausgeben.

Datentransfer in ein Drittland: Besonders zu beachten ist auch, dass die meisten Cloud-Anbieter ihre Infrastruktur im Ausland (oftmals in den USA) haben. Das bedeutet, dass Daten, die in der Cloud landen, in Drittländer transferiert werden. Seitdem das Privacy Shield  vom EuGH gekippt wurde, kann sich auch darauf nicht mehr berufen werden. Dennoch sollten zumindest die EU-Standardvertragsklauseln unterzeichnet werden. Es gibt in den USA jedoch verschiedene Gesetze, die einen Zugriff auf Daten durch die US-Sicherheitsbehörden ermöglichen. Das bedeutet, es kann im Zweifel sein, dass in bestimmten Fällen Daten den US-amerikanischen Sicherheitsbehörden vorgelegt werden müssen.

So überprüfen Sie die Sicherheit von Cloud-Anbietern

Da selten sofort ersichtlich ist, wie sicher Cloud-Anbieter oder spezielle Cloud-Anwendungen sind, sollten Sie die Sicherheit vor einer möglichen Nutzung gründlich überprüfen. Das geht beispielsweise folgendermaßen: 

  • Cloud-Computing-Zertifikat: Lassen Sie sich vom Anbieter einen Nachweis erbringen, dass Datenschutz- und Datensicherheitsbestimmungen eingehalten werden. Zu beachten ist hierbei, dass es viele verschiedene Zertifikate gibt. Das Bundesministerium für Wirtschaft und Energie hat zusammen mit der Stiftung Datenschutz das Zertifikat „Trusted Cloud“ erschaffen. Es wird dabei überprüft, ob gesetzliche Vorgaben eingehalten werden.
  • Verschlüsselungs- und Anonymisierungsoptionen buchen.
  • Auf einsehbare Protokolle zum Monitoring achten.
  • Möglichst einen Serverstandort in Europa wählen, um Datentransfers in Drittländer zu meiden.
  • Backup-Optionen des Cloud-Anbieters prüfen.

Cloud Computing bringt für Unternehmen einige Vorteile mit sich. Dennoch muss bei der Auswahl eines Cloud-Anbieters beachtet werden, ob Datenschutz und Sicherheit gewährleistet wird. Helfen können hier verschiedene Arten der Überprüfung.
Sollten Sie weitere Fragen zu Cloud-Diensten haben, helfen wir Ihnen selbstverständlich gerne weiter. Kontaktieren Sie uns für eine Beratung.  

 

Autor: Team datenschutzexperte.de
Artikel veröffentlicht am 08.02.2022

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr