Cloud Datenschutz

Datenschutz in der Cloud

zur Datensicherheit und zum Datenschutz bei Cloud Service Providern. Zahlreiche Projekte und Anbieter versuchen, eine Cloud "made in EU" zu schaffen, um den EU-Datenschutz zu gewährleisten.

Welchen Stellenwert hat die DSGVO für die Cloud-Auswahl?

Der Datenschutz hat bei der Auswahl der Cloud-Lösung eine entscheidende Vorbildfunktion. Die Datenschutz-Grundverordnung (DSGVO / GDPR) bringt neue und intensivierte Vorgaben mit sich. Auf was sollten Cloud-Benutzer besonders achten? Der Stellenwert von Cloud Computing ist unbestritten: Sie ist die Basis-Technologie der digitalen Verarbeitung und verheißt viele ökonomische Vorzüge. Nichtsdestotrotz sind die deutschen Firmen zurückhaltend, wenn es um die Auswahl von Cloud Computing geht.

Hauptgrund dafür ist, dass diese Firmen nicht wissen, wie sie Datenschutz und Privatsphäre in der Cloud gewährleisten sollen. Laut der Öko-Studie IT Security 2017 (PDF) schätzen mehr als die Haelfte (57 Prozent) der befragten Firmen die Bedrohung, dass sich ihre IT-Sicherheit durch den Einsatz von Cloud Services veraendern koennte.

In der Tat belegt die selbe Untersuchung jedoch, dass die Cloud nicht zwangsläufig unsichere Strukturen aufweist als die eigenbetriebene Unternehmens-IT; im Gegenteil, die Cloud-Sicherheit kann die innere IT-Sicherheit übertrumpfen, sofern sie bereits bei der Suche nach der passenden Cloud-Lösung auf Datensicherheit und IT-Sicherheit bedacht ist. Irrtümer bei der Cloud-Auswahl sollten und können nicht toleriert werden.

Führt dies zu Unzulänglichkeiten im Datenschutz, sind Geldbußen, Strafen und Strafen sowie Imageverlust der Verbraucher bereits heute bedrohlich. Diese Situation wird sich mit der Datenschutz-Grundverordnung (DSGVO), die ab dem kommenden Tag direkt angewendet werden soll, noch verschärfen: Nicht nur die eventuellen Geldbußen für Datenschutzverstöße werden deutlich zunehmen, auch die Anforderungen an den Cloud-Datenschutz werden zunehmen.

Was die DSGVO für sie konkret ist und wie sie Compliance erzielen können, ist der überwiegenden Zahl der in Deutschland ansässigen Firmen noch nicht bekannt. Dies muss sich nun abändern, wenn die digitale Verwertung datenschutzgerecht voranschreiten soll. Cloud-Anwender sollten daher wissen Cloud Computing ist im Sinne des Datenschutzes das so genannte Order Processing, d.h. die Bearbeitung persönlicher Informationen durch den Cloud-Provider im Namen des Cloud-Anwenders.

Nach DSGVO (Artikel 28) ist der Cloud-Benutzer verpflichtet, nur mit Cloud-Anbietern zusammenzuarbeiten, "die hinreichende Gewähr dafür geben, dass angemessene fachliche und organisatorische Vorkehrungen getroffen werden, so dass die Datenverarbeitung in Übereinstimmung mit den Vorgaben der DSGVO geschieht und der schutzwürdige Umgang mit den Rechten der betroffene Person gewahrt ist". Für den Cloud-Anwender lautet hier die Frage: Was kann als korrespondierende Gewährleistung aufgefasst werden?

Welche Aspekte sind bei der Auswahl einer Cloud zu beachten, um den Vorgaben der DSGVO gerecht zu werden? Zur Gewährleistung sagt die DSGVO: "Die Konformität eines Verarbeiters mit anerkannten Verhaltenskodizes (Artikel 40) oder einem zugelassenen Zertifizierungsverfahren (Artikel 42) kann als Indikator für den Nachweis ausreichender Sicherheiten dienen. "Das heißt ganz klar, dass Cloud-Anwender bei der Auswahl ihrer Cloud-Lösung darauf achten sollten, ob der Cloud-Anbieter für sein Cloud-Angebot eine DSGVO-Datenschutzzertifizierung hat.

So wird beispielsweise die Zertifizierungen nach dem "Trusted Cloud Data Protection Profile for Cloud Services (TCDP)" derzeit an die DSGVO angepaßt und soll dann in der neuen DSGVO 2.0 als Garant für eine Datenschutzkonformität der Cloud verwendet werden können. Entscheidend für die Legalität der Auftragsabwicklung und damit der Nutzung der Cloud ist, dass ein ausreichender Schutz der Cloud-Daten beim Cloud-Betreiber vor Ort sichergestellt ist.

Liegt der Cloud-Standort außerhalb der EU, so gilt ein ausreichendes Sicherheitsniveau nur, wenn das betreffende Drittstaat über ein gleichwertiges Sicherheitsniveau verfügt, wie es die DSGVO auf der Grundlage ihrer nationalen Gesetzgebung und ihrer Umsetzung, des Bestehens und der effektiven Funktionsfähigkeit einer oder mehrerer unabhängigen Kontrollstellen sowie ihrer nationalen Verpflichungen bietet.

Bei einer Cloud-Site in den USA sind die länderübergreifenden Pflichten zur Gewährleistung des Datenschutzes in den Abkommen über den so genannten Datenschutz zu entnehmen. Cloud-Verträge auf der Grundlage der EU-Standardklauseln stellen eine echte Ergänzung zu Datenschutz dar. Derzeit steht jedoch eine entsprechende Rechtsprechung des EuGH an, ob die vorhandenen Standardvertragsklauseln der EU tatsächlich dazu in der Lage sind, das erforderliche Schutzniveau zu gewährleisten.

Ein Urteil des EuGH, dass dies nicht der Fall ist, kann sich auch auf Privacy Shield auswirken, da in beiden FÃ?llen Ã?hnliche Vorgehensweisen zur Sicherstellung der Ã?bereinstimmung mit dem Datenschutzniveau vorgesehen sind. Durch die Wahl einer Cloud-Lösung, deren Anbieter direkt der grundlegenden Datenschutzverordnung unterstellt ist, können diese Rechtsunsicherheit vermieden werden. Allerdings erlaubt nicht jede innerhalb der EU betriebene Cloud dem Cloud-Benutzer die Erfüllung der Pflichten aus der DSGVO selbst.

Wenn beispielsweise ein US-amerikanischer Cloud-Provider eine Cloud innerhalb der EU betreiben wird, muss es möglich sein, die Möglichkeit auszuschließen, dass US-Behörden auf Cloud-Daten zugreifen, die das erforderliche Maß an Datenschutz untergraben. Datenschutzzertifizierungen nach DSGVO und TCDP werden dies berücksichtigen und werden auch in den kommenden Jahren eine wichtige Orientierungshilfe für Cloud-Anwender bei der Auswahl von Clouds sein.

Zertifiziert werden nur diejenigen Cloud-Anbieter, die das erforderliche Maß an Datenschutz bieten. Ein Cloud-Standort in der EU allein genügt nicht für die Zertifizierungen und sollte nicht der einzige Massstab für die Cloud-Auswahl sein.

Auch interessant

Mehr zum Thema