Dropbox, AWS und Co.: Cloud-Lösungen und Datenschutz

Datenschutz in der Cloud stellt eine besondere Herausforderung dar. Insbesondere, wenn man auf US-amerikanische Anbieter zurückgreift.

Die Datenschutz-Grundverordnung (DSGVO) stellt nahezu alle Unternehmen vor Herausforderungen. Ganz egal, ob mittelständisches Unternehmen in Oberfranken oder Tech-Riese im Silicon Valley: Von den Datenschutzbestimmungen wird niemand verschont. Diejenigen US-Firmen, die auch im deutschen Markt aktiv sind, müssen sich der DSGVO anpassen. Dazu zählen auch Cloud-Anbieter.

Cloud als fester Bestandteil im Arbeitsalltag

Seit der DSGVO ist die Speicherung und Weiterverarbeitung von personenbezogenen Daten in der Cloud nur nach vorheriger Information der betroffenen Person möglich. Zudem muss die Löschung bei Beendigung des Geschäftsverhältnisses gewährleistet sein. Personenbezogene Daten müssen verschlüsselt in der Cloud liegen, damit sie sicher gegen Betrug sind. Und dies sind nur einige der zahlreichen Anforderungen.

KMUs in Deutschland greifen meist auf Dienstleister aus einem Pool von circa 20 – 30 gängigen Anbietern zurück, darunter Mailchimp, Salesforce, Dropbox, Microsoft Office 365 und AWS. Wieso nutzen so viele Unternehmen überhaupt US-amerikanische, cloudbasierte Lösungen?

Anwendungen wie Dropbox oder Microsoft Office 365 sind allgemein bekannt und leicht verständlich. Die generelle Akzeptanz zur breiten Nutzung ist in den letzten Jahren erheblich gestiegen, Cloud-Anwendungen sind mittlerweile fester Bestandteil im Arbeitsalltag. Fakt ist jedoch auch: Kleine und mittlere Unternehmen haben bei der Entscheidung für einen Anbieter oftmals nicht das notwendige technische Know-how, um die verfügbaren Lösungen im Hinblick auf den Datenschutz unter die Lupe zu nehmen. Und wird eine solche Lösung erst einmal genutzt, stehen Unternehmen einem Wechsel eher kritisch gegenüber.

Auch der Anbieter haftet

Allgemein gilt: Cloud-Lösungen sind nicht verboten, per se auch nicht zwingend riskant was die datenschutzrechtlichen Vorgaben anbelangt. Allerdings ist es riskanter, einen Anbieter aus einem Drittland zu nutzen, da die Gefahr groß ist, dabei zum Teil erhebliche datenschutzrechtliche Fehler zu begehen.

Cloud-Anbieter müssen belegen, dass eine Verarbeitung von personenbezogenen Daten den Vorschriften der DSGVO entspricht. Auch bei Gesetzesverstößen haften fortan sowohl Nutzer wie auch der Anbieter.

Serverstandorte werden zunehmend transparenter

Bei der Auswahl eines Cloud-Anbieters sind heutzutage Fragen nach Häufigkeit der Backups, sicherer Standort des Serverschranks, Belüftung oder auch Notstromgenerator wenig relevant. Möchte ein Unternehmen eine Lösung einsetzen, ist die Kernfrage, in welchem Land sich die Server befinden. Die US-Anbieter mussten hier bereits in einigen Aspekten nachbessern, um den Anforderungen der DSGVO gerecht zu werden. Der Kunde erhält heute einen zunehmend besseren Einblick, in welchem Land genau die Daten gespeichert sind. Dennoch halten die größten Anbieter es weiterhin gerne ungenau und argumentieren, dass sie eine gewisse Flexibilität benötigen, um ein erhöhtes Datenvolumen nach Bedarf verschieben zu können.

Anforderungen an Cloud-Dienste

Empfehlenswert ist die Wahl eines nach Trusted-Cloud-Datenschutzprofil (TCDP) zertifizierten Anbieter. Dies garantiert, dass der Cloud-Dienst den datenschutzrechtlichen Anforderungen des Bundesdatenschutzgesetzes (BDSG) an Cloud Computing entspricht. Zu den nach TCDP 1.0 zertifizierten Anbietern gehört beispielsweise die Open Telekom Cloud.

Als Nutzer sind Unternehmen für die Datenverarbeitung verantwortlich und haften somit auch für die Datenverarbeitung innerhalb der Cloud. Um die Haftung des Unternehmens bei DSGVO-Verstößen des Cloud-Anbieters zu beschränken, sollten Unternehmen diesen zur Unterzeichnung eines Auftragsverarbeitungsvertrages verpflichten. Diese Verträge spezifizieren weitreichende technische und organisatorische Maßnahmen, denen der Cloud-Anbieter zum Schutz Ihrer Daten nachkommen muss. Bei der Erstellung dieser Auftragsverarbeitungsverträge, bei der datenschutzrechtlichen Dokumentation sowie bei etwaigen Behörden- oder Betroffenenanfragen sollte ein qualifizierter Datenschutzbeauftragter unterstützen.

Eigener Server: Nicht immer die bessere Alternative

Macht eine eigene Serverlösung für besseren Datenschutz also mehr Sinn?

Leider nicht immer. Dies muss im Einzelfall entschieden werden und hängt von den Kerntätigkeiten sowie den Datenverarbeitungsprozessen des Unternehmens ab. Ein eigener Server lohnt sich für Unternehmen, die eine eigene Plattform anbieten, viel Serverleistung benötigen und über einen langen Zeitraum hinweg konstante Anforderungen haben – oder aber, wenn sehr sensible Daten verarbeitet werden. Steuerberater und Ärzte zum Beispiel verfügen über eine planbare Datenbasis sowie durchaus sensible Datensätze. Allerdings mangelt es in vielen Fällen am technischen Wissen, so dass oftmals dennoch Cloud-Lösungen großer Anbieter bevorzugt werden. Zumindest im medizinischen Bereich gibt es durchaus auch spezialisierte Clouds, die an die Erfordernisse der Branche angepasst sind.

Deutlich wird auf jeden Fall: Einige amerikanische Cloud-Anbieter wirken zunehmend auf die DSGVO-Konformität hin – aber es lassen sich auch Alternativen finden, die datenschutzkonform und somit rechtlich unbedenklich sind. Mittlerweile gibt es etliche Tools, die den Schutz der Nutzerdaten sehr ernst nehmen.

Kategorien
Tags
  • DSGVO
  • Datenschutz
  • Cloud
  • Dropbox
Über den Autor

DataGuard Redaktion

DataGuard

Hier schreibt für Sie die DataGuard Redaktion, bestehend aus einem Team von Journalisten und Datenschutz-Spezialisten. Alles dreht sich um den Datenschutz im Unternehmensumfeld. Sie finden uns ebenfalls bei Twitter und LinkedIn.

Unsere Empfehlung

Angebot erhalten
089 442 550 - 62649