Datenschutz und Sicherheit bei Cloud-Anbietern

Letztes Update:
07
.
09
.
2022
Lesezeit:
0
Min
Das Auslagern von Daten in einen Cloud-Dienst ist mittlerweile zur Normalität geworden. Dabei spielt Datenschutz eine sehr wichtige Rolle. Wir gehen darauf ein, was Cloud-Anbieter bezogen auf die DSGVO beachten müssen und geben Ihnen praktische Tipps für die richtige Wahl eines Cloud-Anbieters. 
Datenschutz und Sicherheit bei Cloud-Anbietern
Die wichtigsten Erkenntnisse
  • GDPR: Cloud-Anbieter müssen DSGVO einhalten, inklusive Auftragsverarbeitungsvertrag.
  • Datentransfer: Achtung bei US-Cloud-Anbietern wegen Zugriff durch US-Behörden.
  • Sicherheit prüfen: Zertifikate, Verschlüsselung, europäische Serverstandorte bevorzugen.
  • Cloud-Typen: IaaS, PaaS und SaaS bieten unterschiedliche Dienstleistungen und Verantwortlichkeiten.
  • Vorteile: Flexibilität, Kostenersparnis; Datenschutz und Sicherheit müssen gewährleistet sein.

Cloud-Computing ist die Auslagerung und Bereitstellung von IT-Ressourcen über das Internet. Damit ist ein Zugriff auf Anwendungen, Server und Datenbanken aus der Ferne möglich (englisch: remote access). Werden Cloud-Anwendungen in Anspruch genommen, müssen datenschutzrechtliche Aspekte beachtet werden, welche die DSGVO regelt. Cloud-Anbieter müssen sich an die Regelungen halten, um Datenschutz und Sicherheit zu gewährleisten.

Was versteht man unter Cloud-Anbietern?

Damit IT-Ressourcen in eine Cloud ausgelagert werden können, wird ein Cloud-Anbieter benötigt, der externen Speicherplatz zur Verfügung stellt. Dabei geht es in den meisten Fällen um  eine öffentliche Cloud, da die Datenspeicherung im Gegensatz zur privaten Cloud keinen internen Serverplatz benötigt. Im privaten Bereich sind vor allem Dropbox, Google und Amazon Drive sehr beliebt. Aber auch Unternehmen beziehen teilweise ihre komplette Rechenleistung über Cloud-Anbieter. Die bekanntesten Dienste sind, Amazon Web Services (AWS), Google Cloud Platform (GCP), IBM Cloud und Microsoft Azure. Zudem gibt es unterschiedliche Arten von Cloud-Computing, welche die Anbieter zur Verfügung stellen:

  • Infrastructure-as-a-Service (IaaS): Bei dieser Form wird die zur Umsetzung bestimmter Anwendungen notwendige Hardware angeboten. Diese muss eigenständig gewartet werden. Computer-Cluster können dabei individuell virtuell gestaltet werden.  
  • Plattform-as-a-Service (PaaS): hier werden Software-Anwendungen selbst entwickelt und ausgeführt. Es ist für den Entwickler jedoch nur der Zugriff auf selbst erstellte Programme möglich.  
  • Software-as-a-Service (SaaS): Die Software sowie die IT-Infrastruktur wird bei einem externen Dienstleister betrieben. Es ist jedoch ein Zugriff auf die Software von jedem Internetbrowser möglich.

Cloud-Dienste bieten Unternehmen die Möglichkeit, flexibel auf neue Geschäftsprozesse zu reagieren. Zudem müssen keine hohen Investitionen in eine eigene IT-Infrastruktur getätigt werden. Dennoch sollten Cloud-Anwendungen nicht unbedacht genutzt werden, da einige datenschutzrechtliche Aspekte beachtet werden müssen.  

Datenschutz und Datensicherheit – daran müssen sich Cloud-Anbieter halten

Werden Cloud-Anwendungen in Anspruch genommen, müssen datenschutzrechtliche Aspekte beachtet werden, die grundsätzliche durch die DSGVO geregelt werden. Dazu gehören Folgende:

Auftragsdatenverarbeitung: Es muss zwischen der „verantwortlichen Stelle“ und dem „Auftragsverarbeiter“ unterschieden werden. Laut DSGVO ist der Cloud-Anbieter der Auftragsverarbeiter (Art. 4. Nr. 8 DSGVO) und der Cloud-Anwender der Verantwortliche (Art. 4 Nr. 7 DSGVO). Die in Inanspruchnahme eines Cloud-Dienstes bedarf eines Auftragsverarbeitungsvertrags (Art. 28 Abs. 3 Satz 1 DSGVO). Unter anderem hat der Anbieter die Pflicht, Subunternehmen anzugeben und muss dem Anwender Kontrollrechte (Art. 28 Abs. 3 Satz 2 lit. h) DSGVO) über ihn selbst ermöglichen. Nach Beendigung der Auftragsverarbeitung muss der Cloud-Anbieter zudem personenbezogene Daten löschen oder herausgeben.

Datentransfer in ein Drittland: Besonders zu beachten ist auch, dass die meisten Cloud-Anbieter ihre Infrastruktur im Ausland (oftmals in den USA) haben. Das bedeutet, dass Daten, die in der Cloud landen, in Drittländer transferiert werden. Seitdem das Privacy Shield  vom EuGH gekippt wurde, kann sich auch darauf nicht mehr berufen werden. Dennoch sollten zumindest die EU-Standardvertragsklauseln unterzeichnet werden. Es gibt in den USA jedoch verschiedene Gesetze, die einen Zugriff auf Daten durch die US-Sicherheitsbehörden ermöglichen. Das bedeutet, es kann im Zweifel sein, dass in bestimmten Fällen Daten den US-amerikanischen Sicherheitsbehörden vorgelegt werden müssen.

So überprüfen Sie die Sicherheit von Cloud-Anbietern

Da selten sofort ersichtlich ist, wie sicher Cloud-Anbieter oder spezielle Cloud-Anwendungen sind, sollten Sie die Sicherheit vor einer möglichen Nutzung gründlich überprüfen. Das geht beispielsweise folgendermaßen: 

  • Cloud-Computing-Zertifikat: Lassen Sie sich vom Anbieter einen Nachweis erbringen, dass Datenschutz- und Datensicherheitsbestimmungen eingehalten werden. Zu beachten ist hierbei, dass es viele verschiedene Zertifikate gibt. Das Bundesministerium für Wirtschaft und Energie hat zusammen mit der Stiftung Datenschutz das Zertifikat „Trusted Cloud“ erschaffen. Es wird dabei überprüft, ob gesetzliche Vorgaben eingehalten werden.
  • Verschlüsselungs- und Anonymisierungsoptionen buchen.
  • Auf einsehbare Protokolle zum Monitoring achten.
  • Möglichst einen Serverstandort in Europa wählen, um Datentransfers in Drittländer zu meiden.
  • Backup-Optionen des Cloud-Anbieters prüfen.

Cloud Computing bringt für Unternehmen einige Vorteile mit sich. Dennoch muss bei der Auswahl eines Cloud-Anbieters beachtet werden, ob Datenschutz und Sicherheit gewährleistet wird. Helfen können hier verschiedene Arten der Überprüfung.
Sollten Sie weitere Fragen zu Cloud-Diensten haben, helfen wir Ihnen selbstverständlich gerne weiter. Kontaktieren Sie uns für eine Beratung.  

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Redaktion
Alexander Ingelheim
Co-Founder & CEO
Alexander Ingelheim ist Co-Gründer und CEO von Proliance. Sein Antrieb von Anfang an: Unternehmen bei den Hürden und Herausforderungen des Themas Datenschutz und der DSGVO zu unterstützen. Er bringt umfassende Erfahrungen aus seiner Tätigkeit in der internationalen Beratung mit, darunter Positionen bei Bregal Unternehmerkapital GmbH und McKinsey & Company. Darüber hinaus ist er zertifizierter Datenschutzbeauftragter (TÜV & DEKRA).
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!