winheller.com

Datenschutz in der Cloud: Vorgaben, Risiken, Beratung

Vorteile des Cloud Computing nutzen

Datenschutz und Cloud-Computing

Immer mehr Unternehmen entscheiden sich für die Auslagerung ihrer Infrastruktur, Anwendungen oder Software auf Rechenzentren von Cloudanbietern, die ihnen den Zugriff über das Internet ermöglichen. Durch

können sich Unternehmen die Kosten für den Aufbau und die Wartung einer eigenen Rechenzentrumsinfrastruktur oder für die Lizenzierung von Software sparen.

Aufgrund nutzungsabhängiger Tarifmodelle werden nur die Kosten für Unternehmen fällig, die durch die tatsächliche Verwendung der Infrastruktur, Anwendung oder Software entstehen.

Zahlreiche Datenschutzrisiken bei Clouddiensten

Allerdings dürfen die datenschutzrechtlichen Risiken beim Rückgriff auf die Dienste der Cloudanbieter nicht unbeachtet bleiben, ansonsten könnten sich die Kostenvorteile unvermittelt zur Kosten- und Haftungsfalle entwickeln. Die Risiken beim Cloud Computing sind oftmals strukturbedingt und liegen in der Speicherung von Daten auf Servern, die sich außerhalb des Unternehmens befinden und von einem externen Dienstleister unterhalten werden.

Entscheiden sich Unternehmen für die dezentrale Datenverarbeitung beim Cloudanbieter, sind sie gesetzlich dazu verpflichtet, dafür zu sorgen, dass

  • dieser geeignete technische und organisatorische Maßnahmen zum Schutz der ausgelagerten Daten implementiert hat,
  • die Verarbeitung im Einklang mit den Vorschriften der DSGVO stattfindet und
  • die Rechte der Betroffenen weiterhin gewährleistet werden können. 
WINHELLER im Handbuch zum Datenschutz


Datenschutz und Cyber-Sicherheit in Deutschland 2018

(Kapitel aus dem Fachbuch der Reihe Law Review)

Unsere Experten steuerten für das Handbuch The Privacy, Data Protection and Cybersecurity Law Review ein eigenes Kapitel bei. Hier kostenlos lesen.

Das müssen Unternehmen bei Cloudanwendungen beachten

Die Einhaltung dieser Pflichten gestaltet sich für Unternehmen in der Praxis oftmals schwierig, wie sich aus den folgenden Anwendungsbeispielen ergibt:

  • Vertraulichkeit und Integrität
    Beim Cloud Computing werden die vom Anbieter bereitgestellten Rechenressourcen oftmals durch den Einsatz von Virtualisierung gemeinsam genutzt, sodass keine physische Trennung der Daten zwischen den unterschiedlichen Nutzern erfolgt. Dadurch steigt das Risiko unberechtigter Zugriffe auf die Daten, die beim Cloudanbieter gespeichert werden.
    Daher ist insbesondere bei der Speicherung von sensiblen Daten in der Cloud zu berücksichtigen, welche technischen und organisatorischen Maßnahmen der Cloudanbieter zur Trennung von Kundendaten garantiert. Aber auch bei nicht sensiblen Daten trifft den Auftraggeber die Pflicht, die Datensicherheitsmaßnahmen vor Beauftragung einer sorgfältigen Prüfung zu unterziehen. Bei umfangreichen Auslagerungen von Betroffenendaten dürfte sogar eine Vor-Ort-Kontrolle am Ort der Datenverarbeitung in Einzelfällen erforderlich sein.
  • Betroffenenrechte
    Nach Beendigung des Auftragsverarbeitungsvertrags hat das Unternehmen sämtliche ausgelagerten Daten in der Cloud zu löschen. Zudem haben Betroffene unter bestimmten Umständen ein Recht auf Löschung, dem das Unternehmen unverzüglich nachkommen muss. Hingegen speichern Cloudanbieter die Daten zumeist auf verschiedene Plattformen und Datenbanken, sodass sich deren Lokalisierung und endgültige Löschung als äußerst schwierig gestalten kann.
    Folglich haben Unternehmen darauf zu achten, dass sie vom Cloudanbieter in die Lage versetzt werden, die gespeicherten Daten jederzeit final und unverzüglich löschen zu können. Kann der Dienstleister die Datenlöschung nicht restlos sicherstellen, haftet das auftraggebende Unternehmen gegenüber dem Betroffenen und muss sich auch vor der Aufsichtsbehörde verantworten.
  • Übermittlung in Drittstaaten
    Unternehmen dürfen Datenübermittlungen in Drittstaaten nur vornehmen, wenn sichergestellt wurde, dass dort ein angemessenes Datenschutzniveau herrscht. Oft werden die in der Cloud gespeicherten Daten vom Cloudanbieter je nach freien Rechenkapazitäten auf unterschiedliche Server rund um die Welt übertragen.
    Für Unternehmen sind die Datenflüsse des Cloudanbieters nicht immer von vornherein bekannt, sodass kaum gewährleistet werden kann, dass die Daten nur in Drittstaaten übermittelt werden, die ein angemessenes Datenschutzniveau aufweisen. Daher ist die Auswahl eines Cloudanbieters, der transparent die Zielländer der Datenübermittlungen von vornherein darlegt, unabdinglich.

Werden von Unternehmen Cloudanbieter beauftragt, die nicht in der Lage sind, die Vorgaben der DSGVO umzusetzen, drohen dem auslagernden Unternehmen erhebliche Geldbußen. Daher ist die Auswahl eines Cloudanbieters, der die Vorgaben der DSGVO einhält, von erheblicher Bedeutung. 

Unsere Beratungsleistungen beim Cloud Computing

Unsere Datenschutzexperten unterstützen Sie gerne bereits in der Planung von cloud-basierten Datenverarbeitungen oder Datenmigrationen von lokalen Servern zu Clouddiensten:

  • Beratung bei der Auswahl datenschutzkonformer Cloudanbieter
  • Erstellung und Überprüfung von Binding Corporate Rules und EU-Standardvertragsklauseln für die Datenübermittlung in Drittstaaten
  • Erstellung und Überprüfung von Auftragsverarbeitungsverträgen, speziell für den Bereich des Cloud Computing
  • Einführung von Prozessen zur Gewährleistung von Betroffenenrechten
  • Erstellung oder Anpassung eines Reaktionsplans für den Fall einer vom Cloudanbieter verursachten Datenpanne
  • Schulung von Mitarbeitern und Führungskräften beim richtigen Umgang mit Daten und Datenpannen

Ihr Anwalt für Datenschutz und Cloudanwendungen

Datenschutz in der Cloud: Beratung bundesweit

Ihre Ansprechpartner zu Fragen rund um den Datenschutz bei der Nutzung von Cloudangeboten sind

Sie erreichen uns am einfachsten per E-Mail (info@winheller.com) oder gerne auch telefonisch (069 / 76 75 77 80). Zögern Sie nicht, mit Ihren Fragen auf uns zuzukommen.

Aktuelles

1542691535 > 1548457200

Rechtsanwältin Olga Stepanova steuert ein Kapitel zum deutschen Datenschutzrecht bei.

Mehr

Referenzen

1542691535 >

Rechtssichere Gestaltung der AGB und der Datenschutzerklärung eines Onlineunter- nehmens. Erfolgreiche Verteidigung gegen unberechtigte Klage eines Konkurrenten.

1542691535 >

Rechtssichere Gestaltung der AGB und der Datenschutzerklärung eines Onlineunter- nehmens. Erfolgreiche Verteidigung gegen unberechtigte Klage eines Konkurrenten.

1542691535 >

Beratung eines mittelständischen Metallbauunternehmens zur rechtssicheren Gestaltung der Unternehmenswebsite.

1542691535 >

Beratung eines mittelständischen Metallbauunternehmens zur rechtssicheren Gestaltung der Unternehmenswebsite.

1542691535 >

Beratung mehrerer erfolgreicher Internetplattformen zum Vertrieb von Computerspielen und anderen Trägermedien.

1542691535 >

Beratung mehrerer erfolgreicher Internetplattformen zum Vertrieb von Computerspielen und anderen Trägermedien.

1542691535 >

Rechtliche Beratung und Vertretung eines erfolgreichen deutschen Autoleasing-Portals.

1542691535 >

Rechtliche Beratung und Vertretung eines erfolgreichen deutschen Autoleasing-Portals.

Veranstaltungen

Kontakt

Kontakt

Auszeichnungen

Juve Award Legal 500 Deutschland 2017 - Top 2 im Nonprofit-Sektor azur100: Top-Arbeitgeber für Juristen 2018
Focus-Spezial: Deutschlands Top-Anwälte