Datenschutz in der Cloud: Vorgaben, Risiken, Beratung
Vorteile des Cloud Computing nutzen
Immer mehr Unternehmen entscheiden sich für die Auslagerung ihrer Infrastruktur, Anwendungen oder Software auf Rechenzentren von Cloudanbietern, die ihnen den Zugriff über das Internet ermöglichen. Durch
- „Infrastructure as a Service“,
- „Platform as a Service“ oder
- „Software as a Service“
können sich Unternehmen die Kosten für den Aufbau und die Wartung einer eigenen Rechenzentrumsinfrastruktur oder für die Lizenzierung von Software sparen.
Aufgrund nutzungsabhängiger Tarifmodelle werden nur die Kosten für Unternehmen fällig, die durch die tatsächliche Verwendung der Infrastruktur, Anwendung oder Software entstehen.
Zahlreiche Datenschutzrisiken bei Clouddiensten
Allerdings dürfen die datenschutzrechtlichen Risiken beim Rückgriff auf die Dienste der Cloudanbieter nicht unbeachtet bleiben, ansonsten könnten sich die Kostenvorteile unvermittelt zur Kosten- und Haftungsfalle entwickeln. Die Risiken beim Cloud Computing sind oftmals strukturbedingt und liegen in der Speicherung von Daten auf Servern, die sich außerhalb des Unternehmens befinden und von einem externen Dienstleister unterhalten werden.
Entscheiden sich Unternehmen für die dezentrale Datenverarbeitung beim Cloudanbieter, sind sie gesetzlich dazu verpflichtet, dafür zu sorgen, dass
- dieser geeignete technische und organisatorische Maßnahmen zum Schutz der ausgelagerten Daten implementiert hat,
- die Verarbeitung im Einklang mit den Vorschriften der DSGVO stattfindet und
- die Rechte der Betroffenen weiterhin gewährleistet werden können.
Datenschutz und Cyber-Sicherheit in Deutschland 2018
(Kapitel aus dem Fachbuch der Reihe Law Review)
Unsere Experten steuerten für das Handbuch The Privacy, Data Protection and Cybersecurity Law Review ein eigenes Kapitel bei. Hier kostenlos lesen.
Das müssen Unternehmen bei Cloudanwendungen beachten
Die Einhaltung dieser Pflichten gestaltet sich für Unternehmen in der Praxis oftmals schwierig, wie sich aus den folgenden Anwendungsbeispielen ergibt:
- Vertraulichkeit und Integrität
Beim Cloud Computing werden die vom Anbieter bereitgestellten Rechenressourcen oftmals durch den Einsatz von Virtualisierung gemeinsam genutzt, sodass keine physische Trennung der Daten zwischen den unterschiedlichen Nutzern erfolgt. Dadurch steigt das Risiko unberechtigter Zugriffe auf die Daten, die beim Cloudanbieter gespeichert werden.
Daher ist insbesondere bei der Speicherung von sensiblen Daten in der Cloud zu berücksichtigen, welche technischen und organisatorischen Maßnahmen der Cloudanbieter zur Trennung von Kundendaten garantiert. Aber auch bei nicht sensiblen Daten trifft den Auftraggeber die Pflicht, die Datensicherheitsmaßnahmen vor Beauftragung einer sorgfältigen Prüfung zu unterziehen. Bei umfangreichen Auslagerungen von Betroffenendaten dürfte sogar eine Vor-Ort-Kontrolle am Ort der Datenverarbeitung in Einzelfällen erforderlich sein. - Betroffenenrechte
Nach Beendigung des Auftragsverarbeitungsvertrags hat das Unternehmen sämtliche ausgelagerten Daten in der Cloud zu löschen. Zudem haben Betroffene unter bestimmten Umständen ein Recht auf Löschung, dem das Unternehmen unverzüglich nachkommen muss. Hingegen speichern Cloudanbieter die Daten zumeist auf verschiedene Plattformen und Datenbanken, sodass sich deren Lokalisierung und endgültige Löschung als äußerst schwierig gestalten kann.
Folglich haben Unternehmen darauf zu achten, dass sie vom Cloudanbieter in die Lage versetzt werden, die gespeicherten Daten jederzeit final und unverzüglich löschen zu können. Kann der Dienstleister die Datenlöschung nicht restlos sicherstellen, haftet das auftraggebende Unternehmen gegenüber dem Betroffenen und muss sich auch vor der Aufsichtsbehörde verantworten. - Übermittlung in Drittstaaten
Unternehmen dürfen Datenübermittlungen in Drittstaaten nur vornehmen, wenn sichergestellt wurde, dass dort ein angemessenes Datenschutzniveau herrscht. Oft werden die in der Cloud gespeicherten Daten vom Cloudanbieter je nach freien Rechenkapazitäten auf unterschiedliche Server rund um die Welt übertragen.
Für Unternehmen sind die Datenflüsse des Cloudanbieters nicht immer von vornherein bekannt, sodass kaum gewährleistet werden kann, dass die Daten nur in Drittstaaten übermittelt werden, die ein angemessenes Datenschutzniveau aufweisen. Daher ist die Auswahl eines Cloudanbieters, der transparent die Zielländer der Datenübermittlungen von vornherein darlegt, unabdinglich.
Werden von Unternehmen Cloudanbieter beauftragt, die nicht in der Lage sind, die Vorgaben der DSGVO umzusetzen, drohen dem auslagernden Unternehmen erhebliche Geldbußen. Daher ist die Auswahl eines Cloudanbieters, der die Vorgaben der DSGVO einhält, von erheblicher Bedeutung.
Unsere Beratungsleistungen beim Cloud Computing
Unsere Datenschutzexperten unterstützen Sie gerne bereits in der Planung von cloud-basierten Datenverarbeitungen oder Datenmigrationen von lokalen Servern zu Clouddiensten:
- Beratung bei der Auswahl datenschutzkonformer Cloudanbieter
- Erstellung und Überprüfung von Binding Corporate Rules und EU-Standardvertragsklauseln für die Datenübermittlung in Drittstaaten
- Erstellung und Überprüfung von Auftragsverarbeitungsverträgen, speziell für den Bereich des Cloud Computing
- Einführung von Prozessen zur Gewährleistung von Betroffenenrechten
- Erstellung oder Anpassung eines Reaktionsplans für den Fall einer vom Cloudanbieter verursachten Datenpanne
- Schulung von Mitarbeitern und Führungskräften beim richtigen Umgang mit Daten und Datenpannen
Ihr Anwalt für Datenschutz und Cloudanwendungen
Ihre Ansprechpartnerin zu Fragen rund um den Datenschutz bei der Nutzung von Cloudangeboten ist Rechtsanwältin Olga Stepanova. Sie erreichen uns am einfachsten per E-Mail (info@winheller.com) oder gerne auch telefonisch (069 / 76 75 77 80). Zögern Sie nicht, mit Ihren Fragen auf uns zuzukommen.
