Datenschutz in der Cloud: Vorgaben, Risiken, Beratung

Immer mehr Unternehmen entscheiden sich für die Auslagerung ihrer Infrastruktur, Anwendungen oder Software auf Rechenzentren von Cloudanbietern, die ihnen den Zugriff über das Internet ermöglichen. Durch

• „Infrastructure as a Service“,
• „Platform as a Service“ oder
• „Software as a Service“

können sich Unternehmen die Kosten für den Aufbau und die Wartung einer eigenen Rechenzentrumsinfrastruktur oder für die Lizenzierung von Software sparen.

Aufgrund nutzungsabhängiger Tarifmodelle werden nur die Kosten für Unternehmen fällig, die durch die tatsächliche Verwendung der Infrastruktur, Anwendung oder Software entstehen.

Allerdings dürfen die datenschutzrechtlichen Risiken beim Rückgriff auf die Dienste der Cloudanbieter nicht unbeachtet bleiben, ansonsten könnten sich die Kostenvorteile unvermittelt zur Kosten- und Haftungsfalle entwickeln. Die Risiken beim Cloud Computing sind oftmals strukturbedingt und liegen in der Speicherung von Daten auf Servern, die sich außerhalb des Unternehmens befinden und von einem externen Dienstleister unterhalten werden.

Die Einhaltung dieser Pflichten gestaltet sich für Unternehmen in der Praxis oftmals schwierig, wie sich aus den folgenden Anwendungsbeispielen ergibt:

• Vertraulichkeit und Integrität
  Beim Cloud Computing werden die vom Anbieter bereitgestellten Rechenressourcen oftmals durch den Einsatz von Virtualisierung gemeinsam genutzt, sodass keine physische Trennung der Daten zwischen den unterschiedlichen Nutzern erfolgt. Dadurch steigt das Risiko unberechtigter Zugriffe auf die Daten, die beim Cloudanbieter gespeichert werden.
  Daher ist insbesondere bei der Speicherung von sensiblen Daten in der Cloud zu berücksichtigen, welche technischen und organisatorischen Maßnahmen der Cloudanbieter zur Trennung von Kundendaten garantiert. Aber auch bei nicht sensiblen Daten trifft den Auftraggeber die Pflicht, die Datensicherheitsmaßnahmen vor Beauftragung einer sorgfältigen Prüfung zu unterziehen. Bei umfangreichen Auslagerungen von Betroffenendaten dürfte sogar eine Vor-Ort-Kontrolle am Ort der Datenverarbeitung in Einzelfällen erforderlich sein.

• Betroffenenrechte
  Nach Beendigung des Auftragsverarbeitungsvertrags hat das Unternehmen sämtliche ausgelagerten Daten in der Cloud zu löschen. Zudem haben Betroffene unter bestimmten Umständen ein Recht auf Löschung, dem das Unternehmen unverzüglich nachkommen muss. Hingegen speichern Cloudanbieter die Daten zumeist auf verschiedene Plattformen und Datenbanken, sodass sich deren Lokalisierung und endgültige Löschung als äußerst schwierig gestalten kann.
  Folglich haben Unternehmen darauf zu achten, dass sie vom Cloudanbieter in die Lage versetzt werden, die gespeicherten Daten jederzeit final und unverzüglich löschen zu können. Kann der Dienstleister die Datenlöschung nicht restlos sicherstellen, haftet das auftraggebende Unternehmen gegenüber dem Betroffenen und muss sich auch vor der Aufsichtsbehörde verantworten.

Unsere Datenschutzexperten unterstützen Sie gerne bereits in der Planung von cloud-basierten Datenverarbeitungen oder Datenmigrationen von lokalen Servern zu Clouddiensten:

• Beratung bei der Auswahl datenschutzkonformer Cloudanbieter
• Erstellung und Überprüfung von Binding Corporate Rules und EU-Standardvertragsklauseln für die Datenübermittlung in Drittstaaten
• Erstellung und Überprüfung von Auftragsverarbeitungsverträgen, speziell für den Bereich des Cloud Computing