Dropbox, AWS und Co.: Cloud-Lösungen und Datenschutz

Die Datenschutz-Grundverordnung (DSGVO) stellt nahezu alle Unternehmen vor Herausforderungen. Ganz egal, ob mittelständisches Unternehmen in Oberfranken oder Tech-Riese im Silicon Valley: Von den Datenschutzbestimmungen wird niemand verschont. Diejenigen US-Firmen, die auch im deutschen Markt aktiv sind, müssen sich der DSGVO anpassen. Dazu zählen auch Cloud-Anbieter.

Cloud als fester Bestandteil im Arbeitsalltag

Seit der DSGVO ist die Speicherung und Weiterverarbeitung
von personenbezogenen Daten in der Cloud nur nach vorheriger Information der
betroffenen Person möglich. Zudem muss die Löschung bei Beendigung des
Geschäftsverhältnisses gewährleistet sein. Personenbezogene Daten müssen verschlüsselt
in der Cloud liegen, damit sie sicher gegen Betrug sind. Und dies sind nur
einige der zahlreichen Anforderungen.

KMUs in Deutschland greifen meist auf Dienstleister aus
einem Pool von circa 20 – 30 gängigen Anbietern zurück, darunter Mailchimp,
Salesforce, Dropbox, Microsoft Office 365 und AWS. Wieso nutzen so viele
Unternehmen überhaupt US-amerikanische, cloudbasierte Lösungen?

Anwendungen wie Dropbox oder Microsoft Office 365 sind allgemein bekannt und leicht verständlich. Die generelle Akzeptanz zur breiten Nutzung ist in den letzten Jahren erheblich gestiegen, Cloud-Anwendungen sind mittlerweile fester Bestandteil im Arbeitsalltag. Fakt ist jedoch auch: Kleine und mittlere Unternehmen haben bei der Entscheidung für einen Anbieter oftmals nicht das notwendige technische Know-how, um die verfügbaren Lösungen im Hinblick auf den Datenschutz unter die Lupe zu nehmen. Und wird eine solche Lösung erst einmal genutzt, stehen Unternehmen einem Wechsel eher kritisch gegenüber.

Auch der Anbieter haftet

Allgemein gilt: Cloud-Lösungen sind nicht verboten, per se
auch nicht zwingend riskant was die datenschutzrechtlichen Vorgaben anbelangt.
Allerdings ist es riskanter, einen Anbieter aus einem Drittland zu nutzen, da
die Gefahr groß ist, dabei zum Teil erhebliche datenschutzrechtliche Fehler zu
begehen.

Cloud-Anbieter müssen belegen, dass eine Verarbeitung von personenbezogenen Daten den Vorschriften der DSGVO entspricht. Auch bei Gesetzesverstößen haften fortan sowohl Nutzer wie auch der Anbieter.

Serverstandorte werden zunehmend transparenter

Bei der Auswahl eines Cloud-Anbieters sind heutzutage Fragen nach Häufigkeit der Backups, sicherer Standort des Serverschranks, Belüftung oder auch Notstromgenerator wenig relevant. Möchte ein Unternehmen eine Lösung einsetzen, ist die Kernfrage, in welchem Land sich die Server befinden. Die US-Anbieter mussten hier bereits in einigen Aspekten nachbessern, um den Anforderungen der DSGVO gerecht zu werden. Der Kunde erhält heute einen zunehmend besseren Einblick, in welchem Land genau die Daten gespeichert sind. Dennoch halten die größten Anbieter es weiterhin gerne ungenau und argumentieren, dass sie eine gewisse Flexibilität benötigen, um ein erhöhtes Datenvolumen nach Bedarf verschieben zu können.

Anforderungen an Cloud-Dienste

Empfehlenswert ist die Wahl eines nach Trusted-Cloud-Datenschutzprofil (TCDP) zertifizierten Anbieter. Dies garantiert, dass der Cloud-Dienst den datenschutzrechtlichen Anforderungen des Bundesdatenschutzgesetzes (BDSG) an Cloud Computing entspricht. Zu den nach TCDP 1.0 zertifizierten Anbietern gehört beispielsweise die Open Telekom Cloud.

Als Nutzer sind Unternehmen für die Datenverarbeitung verantwortlich und haften somit auch für die Datenverarbeitung innerhalb der Cloud. Um die Haftung des Unternehmens bei DSGVO-Verstößen des Cloud-Anbieters zu beschränken, sollten Unternehmen diesen zur Unterzeichnung eines Auftragsverarbeitungsvertrages verpflichten. Diese Verträge spezifizieren weitreichende technische und organisatorische Maßnahmen, denen der Cloud-Anbieter zum Schutz Ihrer Daten nachkommen muss. Bei der Erstellung dieser Auftragsverarbeitungsverträge, bei der datenschutzrechtlichen Dokumentation sowie bei etwaigen Behörden- oder Betroffenenanfragen sollte ein qualifizierter Datenschutzbeauftragter unterstützen.

Eigener Server: Nicht immer die bessere Alternative

Macht eine eigene Serverlösung für besseren Datenschutz also mehr Sinn?

Leider nicht immer. Dies muss im Einzelfall entschieden werden und hängt von den Kerntätigkeiten sowie den Datenverarbeitungsprozessen des Unternehmens ab. Ein eigener Server lohnt sich für Unternehmen, die eine eigene Plattform anbieten, viel Serverleistung benötigen und über einen langen Zeitraum hinweg konstante Anforderungen haben - oder aber, wenn sehr sensible Daten verarbeitet werden. Steuerberater und Ärzte zum Beispiel verfügen über eine planbare Datenbasis sowie durchaus sensible Datensätze. Allerdings mangelt es in vielen Fällen am technischen Wissen, so dass oftmals dennoch Cloud-Lösungen großer Anbieter bevorzugt werden. Zumindest im medizinischen Bereich gibt es durchaus auch spezialisierte Clouds, die an die Erfordernisse der Branche angepasst sind.

Deutlich wird auf jeden Fall: Einige amerikanische Cloud-Anbieter wirken zunehmend auf die DSGVO-Konformität hin - aber es lassen sich auch Alternativen finden, die datenschutzkonform und somit rechtlich unbedenklich sind. Mittlerweile gibt es etliche Tools, die den Schutz der Nutzerdaten sehr ernst nehmen.

Über den Autor

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren