Datenschutz in der Cloud: Vorgaben, Risiken, Beratung

Vorteile des Cloud Computing nutzen

Immer mehr Unternehmen entscheiden sich für die Auslagerung ihrer Infrastruktur, Anwendungen oder Software auf Rechenzentren von Cloudanbietern, die ihnen den Zugriff über das Internet ermöglichen. Durch

können sich Unternehmen die Kosten für den Aufbau und die Wartung einer eigenen Rechenzentrumsinfrastruktur oder für die Lizenzierung von Software sparen.

Aufgrund nutzungsabhängiger Tarifmodelle werden nur die Kosten für Unternehmen fällig, die durch die tatsächliche Verwendung der Infrastruktur, Anwendung oder Software entstehen.

Zahlreiche Datenschutzrisiken bei Clouddiensten

Allerdings dürfen die datenschutzrechtlichen Risiken beim Rückgriff auf die Dienste der Cloudanbieter nicht unbeachtet bleiben, ansonsten könnten sich die Kostenvorteile unvermittelt zur Kosten- und Haftungsfalle entwickeln. Die Risiken beim Cloud Computing sind oftmals strukturbedingt und liegen in der Speicherung von Daten auf Servern, die sich außerhalb des Unternehmens befinden und von einem externen Dienstleister unterhalten werden.

Entscheiden sich Unternehmen für die dezentrale Datenverarbeitung beim Cloudanbieter, sind sie gesetzlich dazu verpflichtet, dafür zu sorgen, dass

  • dieser geeignete technische und organisatorische Maßnahmen zum Schutz der ausgelagerten Daten implementiert hat,
  • die Verarbeitung im Einklang mit den Vorschriften der DSGVO stattfindet und
  • die Rechte der Betroffenen weiterhin gewährleistet werden können. 


Datenschutz und Cyber-Sicherheit in Deutschland 2019

(Kapitel aus dem Fachbuch der Reihe Law Review)

Unsere Experten steuerten für das Handbuch The Privacy, Data Protection and Cybersecurity Law Review ein eigenes Kapitel bei. Hier kostenlos lesen.

Das müssen Unternehmen bei Cloudanwendungen beachten

Die Einhaltung dieser Pflichten gestaltet sich für Unternehmen in der Praxis oftmals schwierig, wie sich aus den folgenden Anwendungsbeispielen ergibt:

  • Vertraulichkeit und Integrität
    Beim Cloud Computing werden die vom Anbieter bereitgestellten Rechenressourcen oftmals durch den Einsatz von Virtualisierung gemeinsam genutzt, sodass keine physische Trennung der Daten zwischen den unterschiedlichen Nutzern erfolgt. Dadurch steigt das Risiko unberechtigter Zugriffe auf die Daten, die beim Cloudanbieter gespeichert werden.
    Daher ist insbesondere bei der Speicherung von sensiblen Daten in der Cloud zu berücksichtigen, welche technischen und organisatorischen Maßnahmen der Cloudanbieter zur Trennung von Kundendaten garantiert. Aber auch bei nicht sensiblen Daten trifft den Auftraggeber die Pflicht, die Datensicherheitsmaßnahmen vor Beauftragung einer sorgfältigen Prüfung zu unterziehen. Bei umfangreichen Auslagerungen von Betroffenendaten dürfte sogar eine Vor-Ort-Kontrolle am Ort der Datenverarbeitung in Einzelfällen erforderlich sein.
  • Betroffenenrechte
    Nach Beendigung des Auftragsverarbeitungsvertrags hat das Unternehmen sämtliche ausgelagerten Daten in der Cloud zu löschen. Zudem haben Betroffene unter bestimmten Umständen ein Recht auf Löschung, dem das Unternehmen unverzüglich nachkommen muss. Hingegen speichern Cloudanbieter die Daten zumeist auf verschiedene Plattformen und Datenbanken, sodass sich deren Lokalisierung und endgültige Löschung als äußerst schwierig gestalten kann.
    Folglich haben Unternehmen darauf zu achten, dass sie vom Cloudanbieter in die Lage versetzt werden, die gespeicherten Daten jederzeit final und unverzüglich löschen zu können. Kann der Dienstleister die Datenlöschung nicht restlos sicherstellen, haftet das auftraggebende Unternehmen gegenüber dem Betroffenen und muss sich auch vor der Aufsichtsbehörde verantworten.
  • Übermittlung in Drittstaaten
    Unternehmen dürfen Datenübermittlungen in Drittstaaten nur vornehmen, wenn sichergestellt wurde, dass dort ein angemessenes Datenschutzniveau herrscht. Oft werden die in der Cloud gespeicherten Daten vom Cloudanbieter je nach freien Rechenkapazitäten auf unterschiedliche Server rund um die Welt übertragen.
    Für Unternehmen sind die Datenflüsse des Cloudanbieters nicht immer von vornherein bekannt, sodass kaum gewährleistet werden kann, dass die Daten nur in Drittstaaten übermittelt werden, die ein angemessenes Datenschutzniveau aufweisen. Daher ist die Auswahl eines Cloudanbieters, der transparent die Zielländer der Datenübermittlungen von vornherein darlegt, unabdinglich.

Werden von Unternehmen Cloudanbieter beauftragt, die nicht in der Lage sind, die Vorgaben der DSGVO umzusetzen, drohen dem auslagernden Unternehmen erhebliche Geldbußen. Daher ist die Auswahl eines Cloudanbieters, der die Vorgaben der DSGVO einhält, von erheblicher Bedeutung. 

Unsere Referenzen im Datenschutzrecht (Auszug)

VOK DAMS Events GmbH

PRO ASYL e.V.

Mein Grundeinkommen e.V.

Bitwala GmbH

Technische Hochschule Lübeck

Deutsche Herzstiftung e.V.

Unsere Beratungsleistungen beim Cloud Computing

Unsere Datenschutzexperten unterstützen Sie gerne bereits in der Planung von cloud-basierten Datenverarbeitungen oder Datenmigrationen von lokalen Servern zu Clouddiensten:

  • Beratung bei der Auswahl datenschutzkonformer Cloudanbieter
  • Erstellung und Überprüfung von Binding Corporate Rules und EU-Standardvertragsklauseln für die Datenübermittlung in Drittstaaten
  • Erstellung und Überprüfung von Auftragsverarbeitungsverträgen, speziell für den Bereich des Cloud Computing
  • Einführung von Prozessen zur Gewährleistung von Betroffenenrechten
  • Erstellung oder Anpassung eines Reaktionsplans für den Fall einer vom Cloudanbieter verursachten Datenpanne
  • Schulung von Mitarbeitern und Führungskräften beim richtigen Umgang mit Daten und Datenpannen

Ihr Anwalt für Datenschutz und Cloudanwendungen

Ihre Ansprechpartnerinnen zu Fragen rund um den Datenschutz bei der Nutzung von Cloudangeboten sind Rechtsanwältin Olga Stepanova und Rechtsanwältin Patricia Jechel​​​​​​​. Sie erreichen uns am einfachsten per E-Mail (info@winheller.com) oder gerne auch telefonisch (069 / 76 75 77 80). Zögern Sie nicht, mit Ihren Fragen auf uns zuzukommen.

"Datenschutz": Die neusten Beiträge in unserem Blog

Digitale Zeugnisse und Blockchain – eine datenschutzrechtliche Herausforderung

- Olga Stepanova

Digitale Zeugnisse und Blockchain – eine datenschutzrechtliche Herausforderung

Neue ePrivacy-Verordnung – werden Cookie-Banner bald überflüssig?

- Olga Stepanova

Neue ePrivacy-Verordnung – werden Cookie-Banner bald überflüssig?

EU-Kommission beschließt neue DSGVO-Standardvertragsklausel

- Olga Stepanova

EU-Kommission beschließt neue DSGVO-Standardvertragsklausel

Aktuelles

1627201249 > 1633384800

WINHELLER ist mit gleich drei Anwälten im Best Lawyers Ranking 2021 vertreten.

Mehr

1627201249 > 1628114400

Als eine von 405 Wirtschaftskanzleien haben wir es erneut in die Bestenliste 2021 im Bereich Steuerrecht geschafft. 

Mehr

Veranstaltungen

1627201249 > 1627423200

Mehrwöchiges Online-Event mit Rechtsanwalt Philipp Hornung und Rechtsanwältin Olga Stepanova

Mehr

1627201249 > 1634421600

Rechtsanwältin Olga Stepanova sticht mit allen Blockchain-Interessierten in See - oder zumindest in den Rhein.

Mehr

Kontakt

Kontakt

Auszeichnungen

Juve AwardLegal 500 Deutschland 2019 – Top 2 im Nonprofit-Sektor
azur100: Top-Arbeitgeber für Juristen 2021