X

Neuste Trends, Tipps, Strategien &
Events rund um das Thema Cloud

Kniffliger Cocktail: Datenschutz im Cloud-Computing

DSGVO und Co – da könnte man den Eindruck gewinnen, jetzt sei langsam die Ruhe nachdem Sturm, also nach Einführung der Datenschutzgrundverordnung eingekehrt. Denn die öffentlichen Debatten z. B. um Cloud und Datenschutz, Datensicherheit und Compliance scheinen abgeflaut zu sein. Doch in vielen deutschen Unternehmen, wenn auch etwas hinter den Kulissen, ist dieser Bereich nach wie vor eins der Top-Themen. Dabei herrscht verbreitet eine gewisse Unsicherheit. Denn die Rechtslage ist in mehrfacher Hinsicht immer noch unklar. Eine der Konsequenzen in der IT-Praxis: Zwar gibt es einen ungebrochenen Trend, unternehmenseigene Rechenzentren mitsamt ihren Daten in die Cloud zu verlagern; eher konservativ geprägte Unternehmensführungen schwören aber weiterhin auf eine lokale Informations- und Datenhaltung. Haben sie recht damit?

 

 

Datenschutz und die leidigen personenbezogenen Daten in der Cloud

Die juristische Herausforderung bei der Nutzung von Cloud-Services fängt schon an, wenn unternehmenseigene Daten auf die Server des Cloud-Anbieters wandern sollen. Denn in aller Regel sind dabei auch personenbezogene Daten im Spiel, und sofort ist man mitten im Dschungel der geltenden Datenschutzgesetze und -verordnungen, wohlgemerkt: in der jeweils gerade geltenden Fassung und in einem Hagel teils widersprüchlicher Rechtsprechung dazu!

Jedenfalls, ohne ausdrückliche gesetzliche Ermächtigungsgrundlage dürfen personenbezogene Daten schon mal gar nicht auf Server externer Anbieter übertragen und dort verarbeitet werden. Das ließe sich zwar durch Anonymisierung oder Verschlüsselung der Daten umgehen; dieser Weg ist aber wenig alltagstauglich. Daher hat sich in der Praxis der externen Datenverarbeitung die so genannte Auftragsdatenverarbeitung etabliert, die aus § 62 Bundesdatenschutzgesetz (Neufassung 2018) hervorgeht.

 

Rechtskonforme Auftragsdatenverarbeitung: Was Pflicht ist

Wenn insbesondere größere Unternehmen ihr Cloud-Computing datenschutzrechtlich wasserdicht gestalten wollen, sollte die Geschäftsführung darauf achten, dass ihr Cloud-Provider folgende Anforderungen erfüllt:

  1. Der externe Cloud-Anbieter muss in seinen Rechenzentren geeignete organisatorische und technische Maßnahmen zum Cloud-Datenschutz und zur Datensicherheit treffen – und diese natürlich auch jederzeit anwenden. Das sollte unbedingt ausdrücklich in den vertraglichen Regelungen festgehalten werden. Hier geht es in erster Linie um Zutritts- bzw. Zugangskontrollen sowie Verschlüsselungstechnologien.
  2. Für den gesamten Cloud-Service sollen detaillierte vertragliche Regelungen im Sinne des § 62 Bundesdatenschutzgesetz getroffen werden, und zwar in Form einer schriftlich vereinbarten Cloud-Datenschutzerklärung.

Die ISO-27001-Zertifizierung der jeweiligen Rechenzentren ist bei der Auswahl eines geeigneten Cloud-Providers ein entscheidendes Qualitätsmerkmal. Damit gewährleistet der Cloud-Anbieter selbst durch regelmäßige Audits einer unabhängigen Dritt-Instanz, dass die datenschutzrelevanten Sicherheitsmaßnahmen stets auf aktuellem Stand sind. Zugleich übernimmt er so die gesetzlichen Prüfpflichten des nutzenden Unternehmens als Kunden. Die entsprechenden Nachweise werden auch von den zuständigen Aufsichtsbehörden anerkannt.

 

Cloud-Server im Ausland – heikle Unterschiede?

Was immer man von der DSGVO hält – seit ihrem Inkrafttreten gelten EU-weit einheitliche Standards in Sachen Datenschutz und Datensicherheit. So können deutsche Unternehmen, die personenbezogene Daten verarbeiten, ihre Datenbestände problemlos einem Cloud-Anbieter in Straßburg, Madrid, Frankfurt oder Riga anvertrauen. Wie ist das aber nun bei Providern mit Rechenzentren (auch) z. B. in den USA oder Fernost? Das aktuell geltende EU-US Privacy Shield etwa wird ja schon seit langer Zeit von den hiesigen Aufsichtsbehörden kritisch gesehen. Und das im Jahr 2000 beschlossene Safe-Harbor-Abkommen zwischen der EU und den USA wurde 2015 vom Europäischen Gerichtshof sogar komplett außer Kraft gesetzt. IT-Unternehmen in den USA werden ja von dortigen staatlichen Stellen zunehmend verpflichtet, "Hintertüren" offenzuhalten und Daten herauszugeben, meist mit dem Totschlag-Argument der Terrorabwehr.

Datenschutz im Cloud-Computing - Cloud-Server im Ausland

Der gute Rat für heimische Unternehmen lautet daher, in die Verträge mit dem Cloud-Anbieter des Vertrauens die EU-Standardvertragsklauseln aufzunehmen. Diese von der EU-Kommission erarbeiteten Datenschutzklauseln gewährleisten ein angemessenes Datenschutzniveau, das auch den Anforderungen der Aufsichtsbehörden standhält. Wenn ein Cloud-Anbieter diese Klauseln in seinen Vertragswerken vorweisen kann und diese einhält, sind auch Cloud-Server außerhalb Europas unbedenklich.

 

Datenschutz in der Cloud muss Teil der Unternehmenskultur werden

Der Einsatz von Filesharing gehört in vielen Unternehmen zum Alltag. Denn schneller Datenaustausch, sowohl unternehmensintern als auch mit Kunden und Lieferanten, beschleunigt Geschäftsprozesse. Doch gerade hier gilt es aufzupassen, um keine Vorschriften der DSGVO zu verletzen. Ohne Vorgabe datenschutzkonformer Filesharing-Lösungen seitens des Managements entsteht schnell eine fatale und schwer bis gar nicht überschaubare Schatten-IT: private Cloud-Services (Dropbox, Google Drive usw.), eigene Speichermedien für das Speichern und Austauschen personenbezogener Unternehmensdaten und und und.

Ein Teufelskreis setzt ein: Neben der betrieblich vorgegebenen IT-Infrastruktur sind plötzlich Anwendungen im Umlauf, von denen die IT-Fachabteilungen oft nicht einmal eine Ahnung haben, die also weder strategisch noch technisch in das IT-Management eingebunden sind. In der Folge verliert das Unternehmen die Kontrolle über seine eigenen Daten; niemand weiß mehr, wo genau personenbezogene und somit sensible Daten kursieren – bis hin zu unbemerkten Datenabflüssen.

Gravierende Folgen kann das etwa dann haben, wenn ein Mitarbeiter ausscheidet und – beabsichtigt oder nicht – Unternehmensdaten in seiner privaten Cloud gespeichert hat, auf die dann niemand mehr zugreifen kann. Ein No-go ist so etwas selbstverständlich auch hinsichtlich der strengen Regeln der DSGVO. Die unvermeidliche Haftung des Unternehmens bei einem Daten-Missbrauch kann zu einer kostspieligen Angelegenheit werden. Allein schon deswegen sollten Unternehmen ihre Mitarbeiter unbedingt für alle Aspekte der Datensicherheit sensibilisieren. Eine große Hilfe beim Unterbinden des geschilderten Datenaustausch-Wildwuchses ist es jedenfalls, eine datenschutzkonforme Filesharing-Lösung auf Basis einer verschlüsselten Cloud-Technologie einzuführen.

Die Nutzung privat eingeführter Software sollte von der Geschäftsführung rigoros unterbunden werden. Besonders Freeware für den kostenlosen privaten Gebrauch kann bedenkliche Sicherheitslücken aufweisen und damit zu unvorhersehbaren Datenschutzverstößen führen. Hinzu kommt, dass solche Software in der Regel gar nicht für den Einsatz in Unternehmen lizenziert ist. Das kann Schadensersatzansprüche des Softwareentwicklers und sogar eine strafrechtliche Verfolgung nach sich ziehen, für die unter Umständen das Unternehmen haftbar ist.

Seit Inkrafttreten der DSGVO 2018 müssen Unternehmen jederzeit Auskunft geben können, welche personenbezogenen Daten zu welchem Zweck an welchem Ort gespeichert sind. Hier die Kontrolle zu behalten, ist keine triviale Aufgabe – besonders wenn jeder Mitarbeiter z. B. Kundendaten hier in einem E-Mail-Anhang, da auf einer externen Festplatte und dort in einem privaten Cloud-Laufwerk abgelegt hat. Spätestens wenn ein Kunde verlangt, dass seine persönlichen Daten gelöscht werden (was sein gutes Recht ist) und darüber Nachweise erbracht werden sollen, dann zeigt sich, was eine kontrollierte Datenhaltung wert ist. Sind dagegen die Wege des Datenaustauschs und die Speicherorte nicht klar definiert sind, führt dies mit großer Wahrscheinlichkeit zu kaum mehr lösbaren Problemen.

 

Nach der DSGVO ist vor der E-Privacy-Verordnung – Was bringt die Zukunft?

Die E-Privacy-Verordnung ist nach der DSGVO der nächste Elefant im Raum, und viele habe ja bis heute nicht alles implementiert, was seit Mai 2018 eigentlich hätte fertig sein müssen. Sehr viel mehr, als dass diese Verordnung die Sache mit dem Datenschutz auch nicht einfacher machen wird, kann bisher niemand mit Bestimmtheit sagen. Allein schon Cloud-Computing, Privacy Shield und Datenübermittlungen in die USA bleiben jedenfalls Themen, die besonders international agierenden Unternehmen noch ein bisschen Arbeit machen werden.

Damit nicht genug: Neben rechtlichen Rahmenbedingungen werden auch technologische Entwicklungen die Datensicherheit künftig verändern und beeinflussen. Aber hier ist die gute Nachricht: Technik schafft ja nicht etwa bloß neue Datenrisiken. Vielmehr hilft sie – notwendigerweise! – in vielen Bereichen auch bei der Umsetzung des Datenschutzes. Daher hat auch die DSGVO dem Bereich "Datenschutz durch Technikgestaltung" einen eigenen Artikel gewidmet.

Datenschutz im Cloud-Computing - Nach der DSGVO ist vor der E-Privacy-Verordnung

Privacy by Design und Privacy by Default sind zentrale Anforderungen in diesem Zusammenhang: In Cloud-Anwendungen sollten Datenschutz und Sicherheit voreingestellt aktiviert sein. Das entlastet zugleich die Anwender. Account-Voreinstellungen, wie man sie aus Anwendungen von Google und Facebook kannte, wo Datenschutz-Funktionen erst einmal deaktiviert sind, sollte es zukünftig kaum noch geben.

Künstliche Intelligenz (KI) ist eine der Technologien mit dem Potenzial, die Durchsetzung des Datenschutzes künftig zu erleichtern und den Nutzer in Datenschutzfragen gezielt zu beraten. Auch juristische Texte wie AGB, Datenschutzerklärungen usw. können so automatisiert ausgewertet und Nutzer auf inhaltliche Lücken hingewiesen werden.

Merken Sie sich schließlich auch noch das Stichwort „Consent Management“. Hier geht es um das Einholen, die Verwaltung und das Verarbeiten von Einwilligungen in elektronischer Form. Rechtskonforme Einwilligungen sind die unbedingt erforderliche Voraussetzung für die Verarbeitung personenbezogener Daten. Diese Einverständniserklärungen gemäß DSGVO müssen zukünftig nicht mehr in herkömmlicher schriftlicher Form erfolgen – technische Lösungen werden die Einwilligungen entgegennehmen und dokumentieren.

 

Fazit

Es geht beim Datenschutz mitnichten nur um langweilige juristische Pflichten. Die Sache hat auch in Zukunft durchaus spannende Seiten. Mit neuen Vorgaben und Anforderungen kommen neue Datenschutz-Technologien, die eine bessere Unterstützung bieten. Und Unternehmen geben dem Datenschutz nicht nur deshalb Priorität, weil anderenfalls hohe Bußgelder drohen, sondern weil auch für Kunden dieses Thema – und zwar besonders beim Einsatz von Cloud-Technologien – immer wichtiger wird. Hier entwickelt sich Datenschutz sogar zum Marketing-Argument.

Datenschutz hat also nicht bloß einfach Zukunft. Wir gehen sogar soweit zu prognostizieren: Die Digitalisierung in der Zukunft gelingt nur durch gelebten Datenschutz!

 

Kontakt:

Wenn Sie noch mehr darüber wissen möchten, dann sind wir gerne für Sie da, per LinkedIn, Facebook oder Twitter.

Kommentieren

Kommentare ( 0 )
Please enter your name.Please provide a valid email address.Please enter a comment.CAPTCHA challenge response provided was incorrect. Please try again.