datenschutz

Datenschutz in der Cloud – das gilt es zu beachten

Aus Sicht des Datenschutzes ist die Anwendung von Cloud-Services mit gewissen Risiken behaftet. Das Speichern von Daten auf internetbasierten Speichermedien bei einem externen Dienstleister setzt die Einhaltung spezieller datenschutzkonformer Bedingungen voraus. Beim Cloud Computing speichern Unternehmen ihre Anwendungen und Daten nicht mehr im eigenen Rechenzentrum, sondern bei einem beauftragten Provider, auf dessen Services über das öffentliche Internet zugegriffen werden kann. Dadurch sparen sich die Unternehmen die Anschaffung und die Administration eigener Hard- und Software, es müssen keine eigenen IT-Infrastrukturen mehr betrieben werden. Dadurch lassen sich Kosten einsparen, es entstehen aber Risiken in Sachen Datenschutz und Datensicherheit. Diese sind dadurch gegeben, dass die gemeinsam genutzten IT-Komponenten in der Cloud prinzipiell von Jedermann über das Internet erreichbar sind und lediglich durch eine Zugangsprozedur (Nutzername und Passwort sowie Verschlüsselungstechniken) geschützt sind.
Darüber hinaus können Sicherheitslücken einen unbefugten Zugang auf die Datenbestände des Unternehmens ermöglichen. All diese Schwachstellen können u. U. zu nachfolgenden Problemen führen:

  • Unzulässiger Zugriff auf die Daten durch den Cloud-Dienstleister selbst, durch Ermittlungsbehörden und Geheimdienste sowie unbefugte Dritte
  • Manipulation oder Verlust von Daten
  • Identitätsdiebstahl durch Missbrauch von Zugangskennungen

Technische Datensicherheit

Bei der Nutzung von Cloud-Diensten sind mehrere Parteien vertraglich miteinander verbunden, die jeweils Einfluss auf datenschutzrelevante Aspekte haben. Dadurch entstehen Beziehungen nicht nur zwischen dem Cloud-Anbieter und dem Cloud-Anwender, sondern auch zwischen dem Cloud-Anwender und seinen Geschäftspartnern sowie Kunden, deren Datenschutzrechte ebenfalls berührt werden.
Prinzipiell lassen sich datenschutzrechtliche Anforderungen nur erfüllen, wenn der Cloud-Provider ein vorgegebenes Maß an technischer Datensicherheit anbieten kann. Dies wird bestimmt durch die Hard- und Software des Dienstleisters. So kommen Verschlüsselungstechnologien für Daten und Zugänge, Authentifizierungsmethoden und auch Firewallkomponenten zum Einsatz. Darüber hinaus regelt die organisatorische Sicherheit die Absicherung des physikalischen Zugriffs auf die IT-Komponenten des Cloud-Anbieters.

Anforderungen an den Cloud-Provider

Neben der Bereitstellung der technischen Voraussetzungen zur Datensicherheit gilt es für Cloudanbieter, die rechtlichen Datenschutzbedingungen einzuhalten. Diese sind EU-weit durch die DSGVO geregelt. Wichtig ist hierbei der juristische Fakt, dass beim Cloud-Computing der Cloud-Anwender als Unternehmen im Verhältnis zu seinen Kunden für die Datensicherheit verantwortlich ist. Details zwischen dem Cloud-Provider und dem Cloud-User werden in einem Vertrag zur Auftragsdatenverarbeitung geregelt. Der Cloud-Anwender sollte sich die Einhaltung vertraglich zugesicherter Anforderungen beispielsweise durch eine Datenschutz-Zertifizierung garantieren lassen. Der Cloud-Kunde bleibt Eigentümer seiner Daten, was bei manchen Cloud-Services durchaus keine Selbstverständlichkeit ist.

Besonderheiten bei Cloud-Anbietern im Ausland

Wenn ein Unternehmen die Daten seiner Kunden bei einem Cloud-Anbieter z. B. in den USA speichert, können datenschutzrechtliche Bestimmungen verletzt werden. US-amerikanische Cloud-Provider sind gesetzlich dazu verpflichtet, Kundendaten an amerikanische Behörden auf Anforderung auszuliefern. In diesen Fällen greift die EU-DSGVO nicht mehr und es müssen ergänzende Vereinbarungen mit dem Anbieter getroffen werden. So müssen Cloud-Anbieter in den Vereinigten Staaten sicherstellen, dass sie die Vorgaben des EU-US-Privacy-Shields erfüllen. In dieser Datenschutz-Compliance sichert die US-Regierung zu, im Datenaustausch mit Europa das hiesige Datenschutzniveau einzuhalten. Ob dadurch die Weitergabe von Daten an US-Behörden verhindert wird, mag bezweifelt werden. Daher ist es in jedem Falle ratsam, auf europäische Cloud-Provider zurückzugreifen, die ihre Rechenzentren innerhalb der EU betreiben.

Datenschutz