Sie erfreut sich der zunehmenden Beliebtheit. Doch die Cloud ist leider nicht nur bei Unternehmen, sondern vor allem bei Cyberkriminellen beliebt. Im Folgenden möchte ich aufzeigen, welche datenschutzrechtlichen Voraussetzungen für die Verwendung einer Cloud bestehen. Letztendlich möchte ich dem Leser aufzeigen, wie er den Datenschutz in der Cloud gewährleisten kann.
Was ist eine Cloud?
Der Begriff „Cloud“ suggeriert, dass unsere Daten irgendwo im Internet herumschwirren. Ähnlich einer Wolke sind diese Daten also irgendwie nicht richtig greifbar bzw. schweben in einer Art Vakuum. Doch der geneigte Leser dürfte heute eine weitaus präzisere Vorstellung von dem haben, was das Internet eigentlich ausmacht. Die Zeiten, in denen das Internet als eine Art überbordende Macht gesehen wird, sind vorbei. Denn „Internet“ bedeutet schließlich lediglich die Vernetzung von autonomen Systemen, also von Rechnern. Und das weltweit.
Eine Cloud ist schließlich auch nur ein externer Speicherplatz für Daten. Dabei handelt es sich häufig um Rechenzentren großer Unternehmen. Das Cloud-Computing bedeutet also die Zurverfügungstellung von IT-Infrastruktur über Schnittstellen und Protokollen z.B. mittels eines Webbrowsers. Der große Vorteil dabei ist, dass die Daten nicht mehr lokal gespeichert werden müssen. Dies wiederum kann erhebliche Kosten einsparen. Durch die Auslagerung der Dienste werden Aufwand und Investitionskosten für Hard- und Software gespart.
Datenschutz in der Cloud
Ungeachtet der vielen Vorteile, bürgt der Einsatz einer Cloud jedoch auch zusätzliche Risiken. Deshalb bedarf es auch besonderer datenschutzrechtlicher Anforderungen.
Doch welche Risiken bürgt die Nutzung einer Cloud? Da die Daten auf gemeinsam genutzten IT-Komponenten des Cloudanbieters außerhalb des eigenen Unternehmens gespeichert werden, entstehen zahlreiche Gefährdungen. Denn der Zugriff kann prinzipiell von überall erfolgen. Dabei ist lediglich Voraussetzung, dass Internetzugang sowie die Zugangskennung (wie ein Passwort) vorhanden sind. Daher erhöht sich theoretisch das Risiko, dass auch Dritte bzw. Hacker auf unsere Daten zugreifen können.
Des Weiteren können zusätzlich Sicherheitslücken oder Sicherheitsschwachstellen den Datenzugriff durch Unbefugte ermöglichen. Da die Hardware des Cloud-Anbieters von mehreren Kunden genutzt wird, kann eine zuverlässige Trennung von Zugriffrechten nicht gänzlich ausgeschlossen werden. Dadurch entstehen folgende Risiken für den Datenschutz in der Cloud:
- Es können Daten verlustig gehen.
- Zudem können Daten manipuliert, d.h. verändert werden.
- Durch Phishing können Zugriffserkennungen gestohlen und missbraucht werden.
- Des Weiteren können Cloud-Anbieter, staatliche Institutionen oder sonstige Dritte unberechtigterweise auf Daten zugreifen.
Technische Sicherheit für den Datenschutz in der Cloud
Um den Datenschutz in der Cloud zu gewährleisten, ist es wichtig die technischen Voraussetzungen zu erfüllen. Der Cloud-Anbieter ist im Sinne des Art. 28 ein Auftragsverarbeiter. Für diesen bedarf es nicht nur eines Auftragsdatenverarbeitungsvertrages. Denn der Auftragsverarbeiter muss „geeignete technische und organisatorische Maßnahmen“ so durchführen, „dass die Verarbeitung im Einklang mit den Anforderungen“ der DSGVO „erfolgt“. Zudem muss „der Schutz der Rechte der betroffenen Person gewährleistet“ sein. Dafür muss sich der Auftraggeber ggü. dem Auftragsverarbeiter versichern, dass der Datenschutz in der Cloud erfüllt ist. Und die Datensicherheit wird durch die vom Cloud-Anbieter verwendete Soft- sowie Hardware bestimmt. So sollten die Daten verschlüsselt werden.
Genauso verhält es sich mit den Zugängen über einen VPN-Tunnel. Zudem sind bestimmte Authentifizierungsmethoden hilfreich. Auch sollte ein kontinuierliches Monitoring sowie ein IDS oder gar IPS implementiert sein. Zu guter Letzt sind solche Rechenzentren mit Firewallkomponenten versehen, um den Datenschutz in der Cloud zu gewährleisten.
Worauf muss ich achten bei der Auswahl des Cloudanbieters?
Die o.g. technischen Anforderungen sollten grundsätzlich vom Cloud-Anbieter gewährleistet sein. Innerhalb der Deutschlands und der EU kann damit gerechnet werden, dass dies erfüllt ist. Die DSGVO sowie das Bundesdatenschutzgesetz fordern neben anderen Vorschriften eine erhebliche Gewährleistung von Sicherheit. Dadurch wird auch der Cloud-Nutzer zum Verantwortlichen. Nutzen Sie also eine Cloud, tragen Sie auch die Verantwortung für die Datensicherheit. D.h. Sie müssen sich gut informieren, wo der Anbieter sein Rechenzentrum unterhält und ob dieser die technischen und organisatorischen Maßnahmen trifft. Er muss also den Datenschutz in der Cloud gewährleisten können.
Wie erkenne ich einen guten Cloud-Anbieter?
Wie soeben bereits gesagt, hat der Anwender eine Kontrollpflicht und kann sich die Einhaltung des Datenschutzes zusichern lassen. Dies erfolgt in der Regel über Zertifikate. Denn laut Art. 42 DSGVOkönnen Zertifizierungsverfahren als Nachweis des Datenschutzes herangezogen werden. Dazu gibt das Kompetenznetzwerk Trusted Cloud e.V. ein Gütesiegel für Cloud-Anbieter heraus. Dieses Trusted Cloud Zertifikat ist ein vertrauliches Gütesiegel. Dadurch können Sie davon ausgehen, dass der Datenschutz in der Cloud Ihres Anbieters auch gewährleistet ist. Der Verein ist eine Initiative des Bundesministeriums für Wirtschaft und Energie (BMWi) und kann damit als maßgeblich betrachtet werden.
Besondere Regelung USA
Es gibt auch viele Anbieter für Clouddienste in den USA. Doch hier ist Vorsicht geboten. Da in den Vereinigten Staaten von Amerika der sog. Patriot Act besteht, müssen auch personenbezogene Daten an die Behörden weitergereicht werden. Das ist jedoch nach der EU-Datenschutzgrundverordnung nicht zulässig. Ein einfacher Auftragsverarbeitungsvertrag reiht hier also nicht mehr aus. Dazu bedarf es einer zusätzlichen Vereinbarung. Diese muss die Anforderungen des 2016 beschlossenen EU-US Privacy Shield erfüllen. Dabei handelt es sich um eine Absprache zwischen der EU und den USA zum Datenschutz und der Informationssicherheit.
Datenschutz in der Cloud: Sichern Sie sich ab
Zusammengefasst empfehle ich Ihnen folgende Tipps bei der Auswahl eines Cloud-Anbieters wahrzunehmen:
- Suchen Sie sich am besten einen Anbieter mit dem Serverstandort Europa.
- Überprüfen Sie, ob der Anbieter ein entsprechendes und aussagekräftiges Zertifikat besitzt.
- Des Weiteren lassen Sie Daten verschlüsseln sowie anonymisieren auf der Cloud.
- Genauso sollten Sie die Optionen hinsichtlich eines Backups beim Anbieter prüfen.
- Zuletzt achten Sie bitte auf einsehbare Protokolle zum Monitoring.
Grundsätzlich gilt der Cloud-Anbieter im Sinne des Art. 4 Abs. 8 als „Auftragsverarbeiter“. Das heißt Sie müssen mit Ihrem Cloud-Anbieter einen Auftragsverarbeitungsvertrag abschließen. Dies ist ebenfalls Bestandteil des einfachen Datenschutzmanagement. Ich habe dazu bereits hier einen kleinen Leitfaden für meine Leser verfasst.
Schon gerüstet für die DSGVO? Haben Sie schon ein Datenschutzkonzept oder betreiben ein Datenschutzmanagement? Nein, dann laden wir Sie gerne ein uns zu kontaktieren. Vereinbaren Sie mit uns ein kostenloses und unverbindliches erstes Beratungsgespräch.
Hier geht es zum Originalartikel auf dem Blog von Pierre Dornbrach.
