Datenschutzkonforme Cloud-Speicher: Worauf kommt es an?

Das Wichtigste in Kürze

  • Durch das Schrems II-Urteil des Europäischen Gerichtshofs (EuGH) wurde das Privacy Shield als Datenschutzgrundlage für die Speicherung von personenbezogenen Daten in den USA und anderen Drittstaaten für ungültig erklärt.
  • Die Nutzung von Cloud-Speichern außerhalb der EU und des europäischen Wirtschaftsraums ist dadurch gegebenenfalls nicht mehr DS-GVO-konform.
  • Unternehmen sollten bei Nutzung von Cloud-Diensten daher genau prüfen, wo die Server desr Anbieter stehen und wie diese mit personenbezogenen Daten umgehen.
  • Wer auf Nummer sicher gehen will, findet in Deutschland und Europa viele gute Alternativen.
  • Noch mehr Sicherheit und erhöhte Kontrolle über Daten im eigenen Unternehmen erlangt man mit dem Einführen einer privaten Cloud.
  • DataGuard berät rund um das Thema Datenschutz bei Cloud-Speichern.

In diesem Beitrag

Welche Herausforderung lösen Cloud-Speicher und was macht sie so beliebt?

Für die heutige Gesellschaft ist ständige Datenverfügbarkeit enorm wichtig. Wir arbeiten längst nicht mehr an immer demselben Schreibtisch und an ein und demselben Rechner. Stattdessen nutzen wir viele verschiedene Endgeräte und teilen diverse Daten in Echtzeit mit Dritten. Cloud-Speicher machen es möglich. Sie sorgen dafür, dass wir mit verschiedenen Geräten immer und überall Zugriff auf unsere Daten haben. Das ist ein riesiger Vorteil. Und wer seine Daten auf konventionellen Datenspeichern lokal ablegt, hat ein höheres Datenverlustrisiko. Denn analoge Datenspeicher vor Ort können jederzeit ausfallen, was speziell im geschäftlichen Umfeld schwerwiegende Folgen haben kann. Deshalb sind Cloud-Speicher heutzutage so beliebt.

Schrems II und die Cloud – diese Auswirkungen hat das Urteil auf die Nutzung von Cloud-Speichern

Der Europäische Gerichtshof (EuGH) veränderte mit dem Schrems II-Urteil die Rechtsgrundlagen für den Austausch personenbezogener Daten mit den USA. Bis 16. Juli 2020 galt zwischen der EU und den USA das sogenannte Privacy Shield. Dabei handelte es sich um eine Übereinkunft zwischen der EU und den USA, auf deren Grundlage die EU-Kommission einen Angemessenheitsbeschluss gefasst hatte. Dieser besagte, dass die USA für personenbezogene Daten ein angemessenes Schutzniveau gewährleisten.

Mit dem Schrems II-Urteil im Juli 2020 hat der EuGH das Abkommen für ungültig erklärt – mit sofortiger Wirkung.

Das bedeutet: Personenbezogene Daten dürfen nicht mehr ohne Weiteres in die USA übermittelt werden. Eine Datenübermittlung ist nur mit sogenannten „geeigneten Garantien“ möglich. Zu diesen gehören Standardvertragsklauseln (SCC) in Kombination mit starken Datenschutzmaßnahmen und Corporate Binding Rules.

In den Vereinigten Staaten von Amerika ist es den Geheimdiensten auf Grundlage von verschiedenen gesetzlichen Vorschriften (z. B. dem Cloud Act) gestattet, einen Großteil ausländischer Daten zu verarbeiten. Ein Datentransfer in den USA steht somit auf wackligen Beinen, auch wenn alternative Instrumente wie Standardvertragsklauseln oder Binding Corporate Rules verwendet werden können.

Das Urteil wird sicherlich zu Marktverschiebungen führen, denn viele Cloud-Anbieter haben ihren Sitz und ihre Server in den USA. Mit dem Wegfall des Privacy Shields werden amerikanische Unternehmen vor große Herausforderungen gestellt. Wer auf Nummer sicher gehen will, entscheidet sich besser für einen Cloud-Anbieter, der seinen Sitz und seine Server ausschließlich in Europa hat.

Mehr zum Schrems II Urteil erfahren Sie in unserem Whitepaper „Ende des Privacy Shields: Empfehlungen zum internationalen Datenaustausch“.

Jetzt Schrems II Whitepaper anfordern

Hintergrundwissen: Was ist eigentlich eine Cloud?

Cloud ist das englische Wort für Wolke. Es wird in der IT seit langem als Bezeichnung für Netzwerke genutzt. Beim Cloud Computing tauschen verschiedene Endgeräte laufend Daten mit Servern in Rechenzentren aus. In den Rechenzentren stehen viele miteinander verbundene Server. Dieses Netzwerk bildet eine Cloud und stellt seine Rechenleistung und Speicherkapazität den Anwendern an den Endgeräten zur Verfügung. Die für einen Kunden in der Cloud gespeicherten Daten kann dieser dann überall und stets aktuell auf verschiedenen Endgeräten nutzen.

Was sind die am häufigsten genutzten Cloud-Speicher?

Im Markt für Cloud-Speicher stehen große US-amerikanische Anbieter an der Spitze, die ihre Speicherangebote im Rahmen weit verbreiteter Dienste und Softwarelösungen vermarkten. Software und Speicherkapazität sind daher optimal aufeinander abgestimmt, was für die Kunden komfortabel und praktisch ist. Zu den weltweit größten Anbietern gehören Amazon mit Amazon Drive, Apple mit iCloud, Google mit Google Drive, Microsoft mit OneDrive und Dropbox.

Welche Risiken bestehen bei Cloud-Speichern hinsichtlich personenbezogener Daten

Alle kommerziellen Anbieter verarbeiten personenbezogene Daten der Cloud-Nutzer – manche mehr, manche weniger. Wichtig zu wissen ist: Wer die Cloud eines Dienstleisters nutzt, gibt die Hoheit über seine Daten ein Stück weit aus der Hand. Dessen sollten sich alle Nutzer bewusst sein. Datensparsamkeit hinsichtlich der Verarbeitung der Daten sollte daher von Privatnutzer mit einem kritischen Auge betrachtet werden. Insbesondere Unternehmen, die personenbezogene Daten ihrer Mitarbeiter und Kunden in Cloud-Speichern verwalten, sollten sich bei der Wahl eines Anbieters sehr detailliert auf dem Markt umsehen.

Woran erkenne ich, ob meine Cloud DS-GVO-konform ist?

Cloud-Speicher von Anbietern mit einem Firmensitz und Serverstandorten in Deutschland oder einem Staat der EU bzw. des Europäischen Wirtschaftsraums (EWR) erfüllen sehr wahrscheinlich die Vorgaben der DS-GVO.

Schwieriger wird es beispielsweise bei US-Anbietern, die in Deutschland aus Gründen der DS-GVO-Konformität ihre Dienste über eine europäische Tochtergesellschaft anbieten und Server-Standorte in Europa betreiben. In diesen Fällen kann eine DS-GVO-Konformität zwar prinzipiell gegeben sein. Um sicher zu gehen, sollten die Datenschutzbeauftragen von Unternehmen aber sehr genau hinsehen und die Cloud-Speicher auf ihre Datenschutzkonformität überprüfen.

Ein paar Kriterien, auf die dabei zu achten ist:

  • Verschlüsselte Datenübertragung und Speicherung. Wichtig: Der Schlüssel darf nur dem Nutzer bekannt sein. Es bringt nichts, wenn auch der Anbieter die Daten entschlüsseln und auswerten kann oder wenn dieser, wie in den USA, sogar gesetzlich dazu verpflichtet ist, Daten auf Anordnung zu dechiffrieren und an die Behörden weiterzugeben.
  • Prüfsiegel und Zertifikate. Verschiedene Cloud-Anbieter wurden nach international anerkanntem Standard zertifiziert, wie beispielweise durch die ISO/IEC 27001 – oder das C5-Testat des BSI (Bundesamt für Informationssicherheit).
  • Serverstandort. Hier sollten Sie beachten, dass immer die datenschutzrechtlichen Bestimmungen des Landes, in dem sich der Server befindet.
  • Back-up. Stellen Sie sicher, dass Sie auch alternative Speicher neben der Cloud verwenden. Auch bei sehr sicheren Anbietern verbleibt immer ein Restrisiko, dass Daten verloren gehen, bzw. Nicht verfügbar sind. Ein solches Szenario führt nicht nur zu datenschutzrechtlichen Konsequenzen in Form von Bußgeldern und Schadenersatzforderungen, sondern auch zu möglichen materiellen und nicht materiellen Schäden. Dazu zählen Reputationsschäden und der Verlust von sensiblen Daten wie beispielsweise Geschäftsgeheimnisse oder Kundendaten.

Welche Konsequenzen drohen bei einer nicht DS-GVO-konformen Nutzung von Cloud-Speichern?

Wer personenbezogene Daten von Dritten verarbeitet – dies können Kunden, Interessenten oder Mitarbeiter sein –, muss dies DS-GVO-konform tun. Andernfalls drohen Sanktionen in Form von hohen Bußgeldern. Beinahe noch kritischer als diese ist für Unternehmen die Tatsache, dass die Aufsichtsbehörden bei Verstößen eine sofortige Einstellung der widerrechtlichen Datenverarbeitung verfügen können. Je nach Unternehmen kann dies für die aktuelle Geschäftstätigkeit das Ende bedeuten.

Welches sind die fünf besten Cloud-Speicher für Unternehmen in Deutschland?

Die perfekte Cloud gibt es nicht, zumindest nicht von der Stange. Jedes Unternehmen hat spezifische Anforderungen: beispielsweise im Hinblick auf die Synchronisation der Daten, Design und Usability, gemeinsames Arbeiten, Anzahl der Nutzer, Verschlüsselung und Datenschutzniveau sowie die Kosten im Verhältnis zur Speicherkapazität. Die gute Nachricht: Es gibt in Deutschland viele gute Alternativen zu den großen US-Anbietern. Folgende Anbieter haben ihre Server-Standorte in Deutschland und verfügen über eine Zertifizierung nach ISO/IEC 27001:

Cloud-Speicher selbst einrichten: ist das eine Alternative für Unternehmen?

Für viele Unternehmen dürfte eine eigene Firmen-Cloud die beste Alternative sein. Auch wenn Aufbau und Umsetzung einigen Aufwand erfordern und das Unternehmen in eine geeignete IT-Infrastruktur, ein Backupkonzept, Datenschutzlösungen und regelmäßige Wartungsarbeiten investieren muss. Der Aufwand lohnt sich, denn wer eine eigene Firmen-Cloud hat, profitiert von den Vorteilen, ohne die Nachteile einer Fremdlösung in Kauf nehmen zu müssen. Das Unternehmen behält mit der eigenen Cloud die Hoheit über sämtliche Daten. Zudem lassen sich Speichervolumen, Berechtigungsmanagement, Funktionalität und Usability präzise auf die individuellen Anforderungen abstimmen. Auch Datenschutz und Datensicherheit bleiben in eigener Hand und unter Kontrolle.

Fazit

Wer als Unternehmen einen Cloud-Speicher nutzen möchte, sollte bei der Auswahl des Anbieters und der Lösung sehr genau auf den Datenschutz schauen. Denn insbesondere bei Anbietern aus Drittstaaten ist eine DS-GVO-konforme Verarbeitung personenbezogener Daten regelmäßig nicht gewährleistet. Die entscheidenden Kriterien für eine Überprüfung: Wo befinden sich die Server-Standorte des Anbieters? Wie wird gemäß Datenschutzerklärung mit personenbezogenen Daten, insbesondere sensiblen umgegangen?

Tipp: Wer die vollständige Kontrolle über seine Daten und eine passgenaue Lösung haben möchte, sollte eine eigene Firmen-Cloud einrichten! Wir bei DataGuard unterstützen unsere Kunden dabei von der Planung und Konzeption bis zur Umsetzung und sorgen als externe Datenschutzbeauftragte für DS-GVO-konforme Prozesse.

Fragen Sie uns einfach und profitieren Sie von umfassender Datenschutzberatung rund um das Thema Cloud-Speicher:Kostenlose Erstberatung vereinbaren

 

Über den Autor

Patrick Agostini Patrick Agostini
Patrick Agostini

Patrick Agostini ist Diplomjurist (in Österreich und Italien) und internationaler Wirtschaftsjurist (LL. M.) mit Schwerpunkten im Wirtschaftsrecht und im Europarecht. Davor war er in Brüssel als Assistent eines europäischen Abgeordneten tätig, wo er verschiedene Fragestellungen zum Thema Datenschutz bearbeitete. Weitere Kenntnisse im Bereich der Compliance konnte er während seiner Arbeit beim internationalen Konzern Philips in Amsterdam erlangen, wo er für die datenschutzgerechte Abwicklung eines globalen Projektes verantwortlich war. Bei DataGuard war er als Privacy Consultant vornehmend für kleine und mittelständige Kunden verantwortlich und hat seine Expertise nicht nur in der professionellen Beratung, sondern auch in zahlreichen Webinaren und Blog-Artikeln weitergegeben.

Mehr Artikel ansehen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren