Magazin
Datenschutz und Sicherheit bei Cloud-Anbietern

Datenschutz und Sicherheit bei Cloud-Anbietern

Letztes Update:
07
.
09
.
2022
Lesezeit:
0
Min
Das Auslagern von Daten in einen Cloud-Dienst ist mittlerweile zur Normalität geworden. Dabei spielt Datenschutz eine sehr wichtige Rolle. Wir gehen darauf ein, was Cloud-Anbieter bezogen auf die DSGVO beachten müssen und geben Ihnen praktische Tipps für die richtige Wahl eines Cloud-Anbieters. 
Datenschutz und Sicherheit bei Cloud-Anbietern
Die wichtigsten Erkenntnisse
  • GDPR: Cloud-Anbieter müssen DSGVO einhalten, inklusive Auftragsverarbeitungsvertrag.
  • Datentransfer: Achtung bei US-Cloud-Anbietern wegen Zugriff durch US-Behörden.
  • Sicherheit prüfen: Zertifikate, Verschlüsselung, europäische Serverstandorte bevorzugen.
  • Cloud-Typen: IaaS, PaaS und SaaS bieten unterschiedliche Dienstleistungen und Verantwortlichkeiten.
  • Vorteile: Flexibilität, Kostenersparnis; Datenschutz und Sicherheit müssen gewährleistet sein.

Cloud-Computing ist die Auslagerung und Bereitstellung von IT-Ressourcen über das Internet. Damit ist ein Zugriff auf Anwendungen, Server und Datenbanken aus der Ferne möglich (englisch: remote access). Werden Cloud-Anwendungen in Anspruch genommen, müssen datenschutzrechtliche Aspekte beachtet werden, welche die DSGVO regelt. Cloud-Anbieter müssen sich an die Regelungen halten, um Datenschutz und Sicherheit zu gewährleisten.

Was versteht man unter Cloud-Anbietern?

Damit IT-Ressourcen in eine Cloud ausgelagert werden können, wird ein Cloud-Anbieter benötigt, der externen Speicherplatz zur Verfügung stellt. Dabei geht es in den meisten Fällen um  eine öffentliche Cloud, da die Datenspeicherung im Gegensatz zur privaten Cloud keinen internen Serverplatz benötigt. Im privaten Bereich sind vor allem Dropbox, Google und Amazon Drive sehr beliebt. Aber auch Unternehmen beziehen teilweise ihre komplette Rechenleistung über Cloud-Anbieter. Die bekanntesten Dienste sind, Amazon Web Services (AWS), Google Cloud Platform (GCP), IBM Cloud und Microsoft Azure. Zudem gibt es unterschiedliche Arten von Cloud-Computing, welche die Anbieter zur Verfügung stellen:

  • Infrastructure-as-a-Service (IaaS): Bei dieser Form wird die zur Umsetzung bestimmter Anwendungen notwendige Hardware angeboten. Diese muss eigenständig gewartet werden. Computer-Cluster können dabei individuell virtuell gestaltet werden.  
  • Plattform-as-a-Service (PaaS): hier werden Software-Anwendungen selbst entwickelt und ausgeführt. Es ist für den Entwickler jedoch nur der Zugriff auf selbst erstellte Programme möglich.  
  • Software-as-a-Service (SaaS): Die Software sowie die IT-Infrastruktur wird bei einem externen Dienstleister betrieben. Es ist jedoch ein Zugriff auf die Software von jedem Internetbrowser möglich.

Cloud-Dienste bieten Unternehmen die Möglichkeit, flexibel auf neue Geschäftsprozesse zu reagieren. Zudem müssen keine hohen Investitionen in eine eigene IT-Infrastruktur getätigt werden. Dennoch sollten Cloud-Anwendungen nicht unbedacht genutzt werden, da einige datenschutzrechtliche Aspekte beachtet werden müssen.  

Datenschutz und Datensicherheit – daran müssen sich Cloud-Anbieter halten

Werden Cloud-Anwendungen in Anspruch genommen, müssen datenschutzrechtliche Aspekte beachtet werden, die grundsätzliche durch die DSGVO geregelt werden. Dazu gehören Folgende:

Auftragsdatenverarbeitung: Es muss zwischen der „verantwortlichen Stelle“ und dem „Auftragsverarbeiter“ unterschieden werden. Laut DSGVO ist der Cloud-Anbieter der Auftragsverarbeiter (Art. 4. Nr. 8 DSGVO) und der Cloud-Anwender der Verantwortliche (Art. 4 Nr. 7 DSGVO). Die in Inanspruchnahme eines Cloud-Dienstes bedarf eines Auftragsverarbeitungsvertrags (Art. 28 Abs. 3 Satz 1 DSGVO). Unter anderem hat der Anbieter die Pflicht, Subunternehmen anzugeben und muss dem Anwender Kontrollrechte (Art. 28 Abs. 3 Satz 2 lit. h) DSGVO) über ihn selbst ermöglichen. Nach Beendigung der Auftragsverarbeitung muss der Cloud-Anbieter zudem personenbezogene Daten löschen oder herausgeben.

Datentransfer in ein Drittland: Besonders zu beachten ist auch, dass die meisten Cloud-Anbieter ihre Infrastruktur im Ausland (oftmals in den USA) haben. Das bedeutet, dass Daten, die in der Cloud landen, in Drittländer transferiert werden. Seitdem das Privacy Shield  vom EuGH gekippt wurde, kann sich auch darauf nicht mehr berufen werden. Dennoch sollten zumindest die EU-Standardvertragsklauseln unterzeichnet werden. Es gibt in den USA jedoch verschiedene Gesetze, die einen Zugriff auf Daten durch die US-Sicherheitsbehörden ermöglichen. Das bedeutet, es kann im Zweifel sein, dass in bestimmten Fällen Daten den US-amerikanischen Sicherheitsbehörden vorgelegt werden müssen.

So überprüfen Sie die Sicherheit von Cloud-Anbietern

Da selten sofort ersichtlich ist, wie sicher Cloud-Anbieter oder spezielle Cloud-Anwendungen sind, sollten Sie die Sicherheit vor einer möglichen Nutzung gründlich überprüfen. Das geht beispielsweise folgendermaßen: 

  • Cloud-Computing-Zertifikat: Lassen Sie sich vom Anbieter einen Nachweis erbringen, dass Datenschutz- und Datensicherheitsbestimmungen eingehalten werden. Zu beachten ist hierbei, dass es viele verschiedene Zertifikate gibt. Das Bundesministerium für Wirtschaft und Energie hat zusammen mit der Stiftung Datenschutz das Zertifikat „Trusted Cloud“ erschaffen. Es wird dabei überprüft, ob gesetzliche Vorgaben eingehalten werden.
  • Verschlüsselungs- und Anonymisierungsoptionen buchen.
  • Auf einsehbare Protokolle zum Monitoring achten.
  • Möglichst einen Serverstandort in Europa wählen, um Datentransfers in Drittländer zu meiden.
  • Backup-Optionen des Cloud-Anbieters prüfen.

Cloud Computing bringt für Unternehmen einige Vorteile mit sich. Dennoch muss bei der Auswahl eines Cloud-Anbieters beachtet werden, ob Datenschutz und Sicherheit gewährleistet wird. Helfen können hier verschiedene Arten der Überprüfung.
Sollten Sie weitere Fragen zu Cloud-Diensten haben, helfen wir Ihnen selbstverständlich gerne weiter. Kontaktieren Sie uns für eine Beratung.  

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Cloud
Datensicherheit
Datenschutz im Unternehmen
Technisch organisatorische Maßnahmen
DSGVO
Redaktion
Alexander Ingelheim
Co-Founder & CEO
-
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
In diesem Beitrag
Example Link H2
Example Link H3
Example Link H4
Example Link H5
Example Link H6
Beitrag teilen
Sie haben noch Fragen? Wir sind gerne für Sie da.
Unverbindliche Beratung
Verwandte Artikel

Ähnliche Themen, die Sie auch interessieren könnten

Was droht, wenn noch kein Datenschutzbeauftragter benannt wurde?
21
.
11
.
2022
Was droht, wenn noch kein Datenschutzbeauftragter benannt wurde?
Wann wird ein Datenschutzbeauftragter benötigt und wer darf Datenschutzbeauftragter werden? Wie läuft die Benennung des Datenschutzbeauftragten bei der Behörde? Und was passiert, wenn noch nicht der passende Datenschutzbeauftragte für das eigene Unternehmen gefunden wurde?
Apple & Datenschutz – Wie sicher sind unsere Daten bei iPhone, Mac und Co.?
14
.
02
.
2023
Apple & Datenschutz – Wie sicher sind unsere Daten bei iPhone, Mac und Co.?
„Wir nehmen den Schutz deiner Daten ernst.“ Mit diesem Satz bezieht Apple in seinen Datenschutz-Informationen Stellung. Doch was ist dran an dem Versprechen? Und inwiefern müssen Nutzer:innen selbst Verantwortung für ihre Daten übernehmen?
DSGVO: Verhaltensregeln für Auftragsverarbeiter
10
.
01
.
2023
DSGVO: Verhaltensregeln für Auftragsverarbeiter
Die Datenschutz Zertifizierungsgesellschaft mbH (DSZ) hat einen Katalog von Verhaltensregeln für Auftragsverarbeiter entwickelt, der die Umsetzung des Datenschutzes vereinfachen soll. Wie dies aussehen kann und was Sie über die Pflichten von Auftragsverarbeitern wissen müssen, zeigen wir Ihnen in diesem Artikel.
Aufbewahrungsfristen & Löschfristen nach DSGVO
14
.
10
.
2024
Aufbewahrungsfristen & Löschfristen nach DSGVO
Unternehmen verarbeiten oftmals eine Menge personenbezogener Daten. Für diese Datenverarbeitung und -Speicherung benötigen sie eine entsprechende Rechtsgrundlage. Sollte der Grund oder die Rechtsgrundlage hierfür entfallen, sind Unternehmen grundsätzlich verpflichtet, die Daten zu löschen. Hierzu gibt es die sogenannten Aufbewahrungsfristen. Gesetzliche Aufbewahrungsfristen geben vor, wie lange gewisse Unterlagen aufbewahrt werden müssen und schieben die datenschutzrechtlichen Löschfristen nach hinten. Diese Fristen müssen beachtet werden, da sonst Bußgelder die Folge sein können.
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Datenschutzaudit: Der Fragenkatalog für die Zertifizierung
30
.
10
.
2024
Datenschutzaudit: Der Fragenkatalog für die Zertifizierung
Der Datenschutzaudit nach DSGVO bietet für Unternehmen die Möglichkeit, die eigene Datenschutzkonformität freiwillig prüfen zu lassen und nach außen hin durch ein Zertifikat unter Beweis zu stellen.
Datenschutz im Gesundheitswesen: Ein Blick auf Gesundheitsdaten und die DSGVO
30
.
10
.
2024
Datenschutz im Gesundheitswesen: Ein Blick auf Gesundheitsdaten und die DSGVO
Egal, ob in der Arztpraxis, in der Pflege oder im Krankenhaus – Datenschutz im Gesundheitswesen ist von großer Bedeutung. Wir werfen einen Blick darauf, welche Regeln gemäß der DSGVO für medizinische Daten gelten und geben praktische Tipps, um den Herausforderungen erfolgreich zu begegnen.
Ab wann ist ein Datenschutzbeauftragter Pflicht?
14
.
10
.
2024
Ab wann ist ein Datenschutzbeauftragter Pflicht?
Die Datenschutzgrundverordnung (DSGVO) weitet den Verantwortungsbereich des Datenschutzbeauftragten aus und droht daneben mit erheblichen Sanktionen bei Nichtbeachtung der datenschutzrechtlichen Vorschriften. Sich mit der Pflicht zur Bestellung eines Datenschutzbeauftragten auseinanderzusetzen, ist für Unternehmen daher unabdingbar.
Aufbewahrungsfristen & Löschfristen nach DSGVO
14
.
10
.
2024
Aufbewahrungsfristen & Löschfristen nach DSGVO
Unternehmen verarbeiten oftmals eine Menge personenbezogener Daten. Für diese Datenverarbeitung und -Speicherung benötigen sie eine entsprechende Rechtsgrundlage. Sollte der Grund oder die Rechtsgrundlage hierfür entfallen, sind Unternehmen grundsätzlich verpflichtet, die Daten zu löschen. Hierzu gibt es die sogenannten Aufbewahrungsfristen. Gesetzliche Aufbewahrungsfristen geben vor, wie lange gewisse Unterlagen aufbewahrt werden müssen und schieben die datenschutzrechtlichen Löschfristen nach hinten. Diese Fristen müssen beachtet werden, da sonst Bußgelder die Folge sein können.
datenschutz-Muster

Kostenlose Materialien zum Thema

Bestellung eines Datenschutz­beauftragten nach DSGVO
Berufen Sie jetzt einfach und schnell einen Datenschutzexperten mit unserer Bestellurkunde.
Verarbeitungsverzeichnis (VVT)
Nutzen Sie unser kostenloses VVT Datenschutz Muster und setzen Sie die DSGVO sicher um.
Datenschutzerklärung für Kunden
Als Unternehmen haben Sie verschiedene Informationspflichten nach DSGVO einzuhalten. Dazu zählt auch die Datenschutzinformationspflicht gegenüber Ihren Interessenten und Kunden. Dabei können Sie eine PDF-Datei der Bestätigungs-E-Mail anhängen oder online auf eine zur Verfügung gestellte Information verweisen. Mithilfe unserer DSGVO-konformen Vorlage zur Datenschutzbelehrung können Sie der Datenschutzinformationspflicht für Kunden jetzt ganz einfach nachgehen.
Auftrags­verarbeitungsvertrag (AV-Vertrag)
Erstellen Sie mit unserem kostenlosen Muster einen DSGVO-konformen Auftragsverarbeitungsvertrag.
Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!