Adacor - Cloud

Datenschutz und Cloud – Probleme und Anforderungen meistern

24. Januar 2022 von Milan Naybzadeh

Sie wollen Produkte oder Dienste in der Cloud nutzen oder anbieten, aber Sie sind sich wegen des Datenschutzes unsicher? Dann lesen Sie in diesem Artikel, welche datenschutzrechtlichen Probleme bei der Nutzung von Cloud-Lösungen bestehen und wie Sie diese lösen können.

Kennen Sie das? Sie haben eine großartige Business-Idee und möchten Ihr Geschäftsmodell digitalisieren. Doch selbst haben Sie keine oder wenig Ressourcen und Kapazitäten im Unternehmen, um die benötigte Infrastruktur zu betreiben. Im Internet werden Ihnen viele Produkte und Lösungen angeboten – von performativen Infrastrukturen bis hin zu modernen Anwendungen zur Vereinfachung und Beschleunigung Ihrer Prozesse ist alles dabei. Unabhängig davon, ob es sich um CRM- oder Personalverwaltungssoftware oder um Kommunikationsanbieter handelt.

Die Vorgaben der DSGVO sind wichtig für den Datenschutz von Cloud-Lösungen.Sämtliche Produkte werden nicht in Ihrem Unternehmen betrieben, sondern beim Anbieter. Das heißt, Sie wissen nicht, wie das Produkt technisch funktioniert. In der Cloud sorgt das Zusammenspiel verschiedener Server dafür, dass Aufgaben wie Datenspeicherung oder Softwareprozesse funktionieren. Wie viele Server in der Cloud agieren, erfahren Sie als Nutzer ebenfalls nicht. Diese Unklarheit erscheint wie eine Wolke. Deshalb spricht man von Produkten, die auf Cloud Computing basieren – kurz Cloud-Produkte.

Wenn Sie dann Ihre Idee im Unternehmen vorstellen, werden möglicherweise Bedenken hinsichtlich des Datenschutzes bei der Cloud-Nutzung geäußert. War es das nun? Kann wegen des Datenschutzes keine Cloud-Lösung mehr genutzt werden? Nein, lautet die Antwort auf diese Fragen. Allerdings gibt es ein paar Punkte zu beachten. Dabei können Sie sich Unterstützung von außen an Bord holen, zum Beispiel mit den Angeboten von Adacor.

Managed Security - Sicherheit auf höchstem Niveau

Gemanagte Sicherheitslösungen von Adacor schützen Ihre Daten und Systeme optimal. Dabei setzen wir alle regulatorischen Anforderungen, Compliance-Vorgaben und Sicherheitsrichtlinien um.

Erfahren Sie mehr über unsere Managed-Security-Services DDos Protection, Vulnerability Scan, Web Application Firewall und VPN Gateway.

Was ist eine Cloud-Lösung überhaupt?

Bei einer Cloud-Lösung handelt es sich um einen Sammelbegriff für verschiedene Anwendungszwecke. Lesen Sie hierzu unseren Artikel „Wie Unternehmen die passende Cloud-Lösung finden“.

Grob zusammengefasst lässt sich die „Cloud“ als das Auslagerungsszenario beschreiben, in dem die Daten nicht auf den eigenen Servern im Serverraum des Unternehmens gespeichert und verarbeitet werden, sondern es werden Speicherplatz, Prozessorleistung oder passende Softwarelösungen von einem anderen Unternehmen genutzt. Beispiele für Anwendungsszenarien sind:

  • eine sichere Infrastruktur für eigenentwickelte Lösungen
  • Kommunikationsdienste, wie Videokonferenzen
  • Collaboration Tools zur zeitgleichen Arbeit über das Internet
  • Dienste zur Verwaltung von Daten wie Kontakten oder Dokumenten
  • und viele weitere …

Wichtig ist, dass die Verarbeitung der Daten stets ganz oder teilweise in einem durch ein anderes Unternehmen betriebenes System durchgeführt wird. Die Nutzer selbst brauchen dazu meist nur ihren eigenen Arbeitsrechner.

Das ganze Cloud-Konstrukt ist oft kostengünstiger als selbst die technische Infrastruktur zu betreiben. Auch bedarf es bei einer reinen Nutzung von Cloud-Lösungen weniger Wissens zur Erstellung sowie für den Betrieb. Diese Aufgaben übernimmt der Cloud-Anbieter.

Die Vorgaben der DSGVO sind wichtig für den Datenschutz in der Cloud.

Anforderungen an eine DSGVO-konforme Cloud

Wenn es um die Abnahme neuer Systeme geht, stellen Datenschützer oft die Frage nach der Konformität mit der DSGVO. Was sind ihre üblichen Bedenken – insbesondere im Hinblick auf Cloud-Produkte?

Ein wichtiges Prinzip des Datenschutzes ist das Thema Verantwortung. Das heißt, diejenigen, die personenbezogene Daten verarbeiten, tragen die Verantwortung, dass den Betroffenen, deren Daten sie verarbeiten, aus der Verarbeitung keine Nachteile entstehen. Dazu gehört speziell die Sicherstellung der Vertraulichkeit, Verfügbarkeit und Integrität der Daten sowie die Pflicht zu Transparenz und Rechenschaft über eine ordentliche Verarbeitung durch die Verantwortlichen. Die Betroffenen sollen ausreichend nachvollziehen können, was mit ihren Daten passiert und dass diese ausreichend geschützt sind.

Dadurch, dass bei Cloud-Lösungen die Daten oft in einem fremden Rechenzentrum liegen und die Cloud-Anbieter die Administration übernehmen, haben die Verantwortlichen aus einem Unternehmen keinen unmittelbaren Zugriff mehr auf die Systeme oder Daten. Doch das entbindet sie nicht von ihren Pflichten gegenüber den Betroffenen. Wer weiß, was die Lieferanten mit den Daten machen, die sie durch die Beauftragung erhalten haben?

Bei Anbietern aus Drittländern außerhalb der Europäischen Union (EU) kommt erschwerend hinzu, dass die Rechtsmittel gegenüber den Anbietern nicht überall die gleichen Einflussmöglichkeiten erlauben. Zudem werden den Behörden in vielen Ländern sehr starke Zugriffsrechte auf Daten in ihrem Hoheitsgebiet zugesprochen. Gerade bei US-amerikanischen Anbietern wird oft eingewendet, dass sie aufgrund mehrerer Gesetze wie FISA (Foreign Intelligence Surveillance Act) oder dem Cloud Act als Reaktion auf mögliche Terrorgefahren zur weitgehenden Zusammenarbeit mit den Behörden verpflichtet sind. Einige Lösungsvorschläge wie Safe Harbour oder Privacy Shield sind am Ende daran gescheitert, dass die Rechtslage die Wahrnehmung der Rechte der Betroffenen stark einschränkt.

Zu beachten ist, dass einige Cloud-Anbieter selbst zwar als direkter Ansprechpartner auftreten, ihre Leistungen aber wieder auf anderen Unterauftragnehmern basieren. Womit die Risikobewertung wieder von vorne beginnen muss. Nochmal schwieriger wird die Aufgabe, die Transparenz- und Rechenschaftsanforderungen gegenüber den Betroffenen zu erfüllen.

Wie wird eine Cloud-Lösung datenschutzkonform?

Gemäß Art. 28 Abs. 1 DSGVO hat der Auftraggeber die Pflicht eine Verarbeitung durch Dritte im Auftrag nur dann zu ermöglichen, wenn diese hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet wird.

Oft stellt man sich die Frage, welche Cloud die sicherste ist. Eindeutig ist das nie beweisbar, aber hilfreiche Hinweise für ein hohes Sicherheitsniveau liegen vor, wenn der Cloud-Anbieter einschlägige Zertifizierungen und Zertifikate vorlegen kann.

Adacor Private Cloud

Die Frage lautet nicht wie in die Cloud, sondern mit wem?

So sicher und individuell wie im eigenen Rechenzentrum. So wirtschaftlich und flexibel wie nie zuvor: Adacor Cloud.

IT zukünftsfähig machen

Es sollte deshalb genau geprüft werden, welche Maßnahmen der Cloud-Anbieter gegen etwaige Risiken zusichert und wie transparent dies geschieht. Am besten eignet sich hierfür eine Vereinbarung zur Auftragsdatenverarbeitung. Lesen Sie dazu unseren Artikel „Auftragsdatenverarbeitung und Datenschutzgrundverordnung“.

Ein alter Spruch besagt „Vertrauen ist gut, Kontrolle ist besser“. Die zugesicherten Maßnahmen sollten daher auf tatsächliche Einhaltung hin überprüft werden. Doch je weiter weg die Cloud-Anbieter sitzen, desto aufwendiger und teurer könnte das werden.

Was sollte der passende Cloud-Anbieter können?

Bei der Wahl des richtigen Cloud-Anbieters sind verschiedene Kriterien zu prüfen, um final einen verlässlichen und ansprechbaren Partner zu finden. Bei Adacor sind wir beispielsweise immer für den Kunden erreichbar, wir betreiben Büros in Essen sowie Offenbach am Main und die Räumlichkeiten, in denen wir die Server betreiben, liegen in Frankfurt am Main.

Zum Schutz vertrauenswürdiger Daten, wozu personenbezogene gehören, betreiben wir ein nach ISO 27001 zertifiziertes Informationssicherheitsmanagementsystem (ISMS). Neben dem Zertifikat können unsere Kunden die Prüfberichte zu unserem Internen Kontrollsystem und der Internen Revision einsehen oder sich vor Ort von den getroffenen Sicherheitsmaßnahmen überzeugen.

Sofern es nicht explizit beauftragt wurde, setzen wir keine Subdienstleister zum Betrieb der IT-Infrastruktur ein. Wir übermitteln keine Daten an andere Unternehmen oder Drittländer. Nur unsere Mitarbeitenden sowie unsere Kunden können auf die Systeme und Daten zugreifen. Die Zugriffe unterliegen hohen Sicherheitsanforderungen bei der Übertragung sowie der Authentifizierung an die Systeme.

Auf vertraglicher Ebene bieten wir eine Vorlage der Vereinbarung zur Auftragsdatenverarbeitung an, sind aber auch bereit, auf Ihre Vorschläge einzugehen.

Mit diesen Punkten bieten wir den höchstmöglichen Security Level und qualifizieren uns als Top-Anbieter für die Cloud-Integration von Business-Anwendungen.

Fazit: Cloud-Anbieter bieten den besten Datenschutz in der Cloud

Es geht bei Cloud-Lösungen und Datenschutz nicht um ein grundlegendes Verbot der damit verbundenen Angebote und Lösungen. Wichtig bleibt, dass die Verantwortlichen für die Datenverarbeitung weiterhin ihre Pflicht gegenüber den Betroffenen einhalten. Je weniger Einfluss jedoch auf die Verarbeitung möglich ist, desto schwieriger wird das.

Bei der Nutzung von Cloud-Lösungen sollte der Partner mit Bedacht gewählt werden. Durch entsprechende Verträge und Kontrollmaßnahmen lässt sich viel Vertrauen aufbauen. Die Rechtslage muss dies allerdings erlauben.

Wenn Sie Interesse oder Fragen an unseren Maßnahmen zur Sicherstellung des Datenschutzes bei unseren Cloud-Lösungen haben, dann kontaktieren Sie gerne unsere Experten unter datenschutz@adacor.com.

Verwandte Artikel