Cloud Computing Datenschutz

Datenschutz beim Cloud Computing

Die Anforderungen an den Datenschutz sollten berücksichtigt werden. Die Datensicherheit und der Datenschutz in der Cloud. Von IT-Services bis hin zur Auftragsdatenverarbeitung, die im Cloud Computing regelmäßig eingesetzt wird.

Datensicherung und Datenschutz im Cloud Computing

Aus ökonomischen und praxisrelevanten Gesichtspunkten verlagern Firmen ihre Informationen immer häufiger in die Cloud. Zugleich sammeln sich Negativmeldungen über Cyberangriffe, Datenlecks oder den Zugriff von Geheimdiensten an. Im vorliegenden Artikel werden die Gefahren aufgezeigt und Vorschläge zum Datenschutz und zur Datenschutzsicherheit gemacht. Das ist Cloud Computing? Im Cloud Computing werden vom Cloud-Anbieter unterschiedliche IT-Services wie z. B. Storage Space und Applikationssoftware im Netz bereitgestellt.

Damit müssen die Firmen nicht mehr ein eigenes Datenzentrum zur Speicherung ihrer Datensätze unterhalten, sondern können die benötigten Ressourcen und Services nutzen und auswerten. Zu den bekannten (öffentlichen) Cloud-Anbietern gehören Microsoft Azure, Amazon Web Service (AWS) und der Vertrieb. Wir haben hier ausführliche Angaben zu Konzept und Formen des Cloud Computing zusammengetragen.

Über Datenschutz und -sicherheit in der Cloud wird in den Massenmedien viel diskutiert, da auch die professionellen Provider in die Nachrichten kommen. So machte z. B. der Provider Drobo durch den Wegfall von Kennwörtern auf sich aufmerksam und die privaten Angaben anderer Nutzer konnten in der Telekom-Cloud eingesehen werden. Bevor Sie einen Cloud-Service nutzen, sollten Sie sich daher einen Gesamtüberblick über die mögl. vorhandenen Gefahren verschaffen.

Dabei sollte exakt überprüft werden, mit welchen Kennzahlen sich der Cloud-Anbieter gegen diese auswirkt. Die vom Bundesamt für Sicherheit in der Informationstechnologie (BSI) herausgegebene Publikation "Sichere Benutzung von Cloud-Services" ist ein nützlicher Leitfaden. Unter Datenschutzgesichtspunkten sollten Sie die folgenden Aspekte beachten: Im Cloud Computing ist der Cloud-Benutzer nach dem BDSG Träger im Sinne des Bundesdatenschutzgesetzes (§ 3 Abs. 7 BDSG).

Damit ist er nach wie vor für die externe Datensicherheit zuständig. Darüber hinaus muss mit dem Cloud-Anbieter ein Auftrag zur Bestelldatenverarbeitung (ADV) gemäß § 11 BDSG abgeschlossen werden. Nach Angaben der Aufsichtsbehörde (Cloud Computing Orientierungsleitfaden, Stand 2. 0/2014) sind neben den allgemeinen Bestimmungen des 11 BDSG die folgenden Aspekte besonders zu beachten:

Die vom Lieferanten eingesetzten Nachunternehmer hat der Lieferant prinzipiell endgültig zu nennen. Für die Beauftragung zukünftiger Unterauftragnehmer muss dem Nutzer ein Einspruchsrecht eingeräumt werden. In diesen FÃ?llen muss er die Möglichkeit haben, vom Vertrage zurÃ?ckzutreten. Darüber hinaus muss der Nutzer nachvollziehen können, ob der Dienstleister auch den Nachunternehmer gemäß 11 Abs. 2 BDSG bindet.

Steuerrechte: Der Benutzer muss in der Lage sein, seine Steuerrechte auszuüben. Stattdessen muss von Fall zu Fall überprüft und danach festgehalten werden, ob auch der spezifische Cloud-Service in den Geltungsbereich des Zertifikats gehört. Die Mehrheit der Cloud-Anbieter speichern ihre Informationen außerhalb des EU/EWR-Raums. Die Übermittlung von Informationen erfordert eine rechtliche Grundlage. Darüber hinaus muss ein angemessenes Schutzniveau für den Datenschutz festgelegt werden.

Daher müssen die Dienstleister entweder nach dem Datenschutzschild zertifizieren lassen oder EU-Standard-Vertragbedingungen aushandeln. Für die Cloud-Anwender ergeben sich daraus einige Praxisprobleme. Nicht mit jedem Provider ist ein weiterer ADV-Vertrag übertragbar. Geblieben ist die Wahlmöglichkeit für Cloud-Anbieter mit Datenzentren in der EU/EWR. Die Cloud-Lösungen bringen für jedes Unternehmens viele Vorzüge und sind heute ein integraler Teil der IT-Infrastruktur.

Cloud Services können eine besonders gute Alternative für Firmen sein, die aufgrund ihrer Grösse nicht über ausreichende Kapazität verfügen, um ihre eigenen Systeme zu bedienen und zu sichern. Mit Risikoanalysen und Datenschutzprüfungen vor der Inbetriebnahme eines Providers können diese minimiert werden. Mit unseren Schwerpunkten Datenschutz, IT-Sicherheit und IT-Forensik betreuen wir bundesweit agierende Firmen.

Mehr zum Thema