Zum Hauptinhalt springen Skip to page footer
Sprache, Language
TelemaxX Telekommunikation GmbH TelemaxX Telekommunikation GmbH
Telefon / Phone
E-Mail
Sprache / Language

DSGVO & Cloud: So gewährleisten Unternehmen Datensicherheit in der Cloud

Cloud und Datensicherheit sind für Unternehmen heute untrennbar miteinander verbunden. Cloud-Systeme sind zu einem festen Bestandteil vieler IT-Infrastrukturen geworden. Unternehmen setzen verstärkt auf ein breites Spektrum an Cloud-Diensten. Skepsis gibt es hingegen immer wieder im Bereich der Cloud Datensicherheit. Der Datenschutz hat aus verschiedenen Gründen absolute Priorität und Entscheidungsträger zögern deshalb, sensible Daten in Cloud-Anwendungen zu nutzen. Warum diese Angst oft unbegründet ist und wie sich eine sichere Cloud-Umgebung erkennen lässt, erfahren Sie bei TelemaxX.

 

⇒ DSGVO-konforme Cloud-Lösungen

Cloud-Services und ihre Datensicherheit

Die Bandbreite der Cloud-Dienstleistungen hat sich in den letzten Jahren enorm vergrößert. Von den anfänglich in der Funktion sehr eingeschränkten Cloud-Speichern hat sich das Cloud Computing zu einem universellen Werkzeug entwickelt, das lokale Infrastrukturen komplett ersetzen kann.

So lässt sich die Cloud als Datenspeicher, als Quelle für Ressourcen sowie auch als vollständige Infrastruktur für die komplette Auslagerung der IT einsetzen. 

Die wichtigsten Service-Modelle sind Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) und Software-as-a-Service (SaaS).

Bei IaaS erhalten Unternehmen grundlegende IT-Infrastruktur, während PaaS eine Entwicklungsplattform bereitstellt. SaaS hingegen bietet vollständige Software-Anwendungen über die Cloud.

Diese Cloud-Dienste unterscheiden sich in der Art der Bereitstellung. Bei der Public Cloud sind dies standardisierte Dienste, die von Betreibern bereitgestellt und in der Regel entsprechend der Nutzung abgerechnet werden. Die Alternative ist eine Private Cloud. Hier sind die Dienste entsprechend den Anforderungen der Nutzer erstellt und oftmals einzigartig. Ebenfalls ist es möglich, eine solche Infrastruktur auf eigenen Servern in einem Rechenzentrum zu betreiben oder diese Server zu mieten. Bei allen Service-Modellen spielt die Cloud Datensicherheit eine zentrale Rolle. Sowohl Public als auch Private Cloud können einen hohen Datenschutz gewährleisten. Besonders wichtig ist dabei die Wahl des richtigen Anbieters und die Beachtung datenschutzrechtlicher Aspekte.

Datenschutzrechtliche Herausforderungen

Die Nutzung von Cloud-Services bringt verschiedene datenschutzrechtliche Herausforderungen mit sich. Nach der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz gilt grundsätzlich: Wer Cloud-Anwendungen nutzt, geht eine Auftragsverarbeitung ein. Dies bedeutet, dass der Cloud-Anbieter personenbezogene Daten im Auftrag des Unternehmens verarbeitet.

Für eine rechtskonforme Auftragsverarbeitung ist ein Vertrag erforderlich, der alle wesentlichen Aspekte der Datenverarbeitung regelt. Dieser Auftragsverarbeitungsvertrag muss verschiedene Pflichten und Kontrollrechte des Auftraggebers festlegen. Besonders kritisch wird es, wenn Daten in Drittländern außerhalb der EU verarbeitet werden, beispielsweise in den USA.

Wichtige Regelungen umfassen:

  • Definition der Art und des Zwecks der Datenverarbeitung
  • Kategorien der verarbeiteten personenbezogenen Daten
  • Technische und organisatorische Maßnahmen zur Datensicherheit
  • Regelungen zum Einsatz von Subunternehmern
  • Bestimmungen zum Datentransfer in Drittländer

Der Serverstandort spielt eine entscheidende Rolle für die Cloud Datensicherheit. Bei der Verarbeitung in Drittländern sind zusätzliche Schutzmaßnahmen wie Standardvertragsklauseln erforderlich. Die EU-Kommission hat eine Orientierungshilfe für den sicheren Datentransfer veröffentlicht, die Unternehmen bei der Bewertung von Cloud-Anbietern unterstützt.

TelemaxX OpenCloud TelemaxX OpenCloud

Risiken und Sicherheitsmaßnahmen in der Cloud

Cloud-Services bringen sowohl Chancen als auch Risiken mit sich. Zu den häufigsten Risiken zählen Datenverlust, unbefugte Zugriffe und Ausfälle der Cloud. Gleichzeitig bieten professionelle Cloud-Anbieter höhere Sicherheitsstandards als lokale IT-Infrastrukturen.

Zentrale Risiken beim Cloud Computing:

  • Datenverlust durch technische Ausfälle oder menschliches Versagen
  • Unbefugte Zugriffe durch Schwachstellen in der Software
  • Abhängigkeit von der Verfügbarkeit des Cloud-Anbieters
  • Rechtliche Unsicherheiten bei internationalen Datentransfers
  • Vendor Lock-in und mangelnde Datenportabilität

Professionelle Cloud-Anbieter implementieren umfassende Sicherheitsmaßnahmen. Dazu gehören Verschlüsselung der Daten sowohl bei der Übertragung als auch bei der Speicherung, regelmäßige Sicherheitsupdates der verwendeten Software und strikte Zugriffskontrollen. Zusätzlich sorgen Backup-Systeme und Redundanzen für hohe Ausfallsicherheit.

Die verschiedenen Cloud-Services und ihre Datensicherheit

Cloud-Services bieten trotz aller Herausforderungen eine Reihe von überzeugenden Vorteilen. In erster Linie ist dies die Flexibilität beim Computing. Cloud-Dienstleistungen sind fast unbegrenzt skalierbar. Dies betrifft sowohl SaaS-Anwendungen als auch IaaS-Ressourcen und PaaS-Entwicklungsumgebungen. Speicherplatz und Rechenleistung lassen sich exakt so anpassen, wie dies benötigt wird.

Dies ist gleichzeitig ohne große Investitionen möglich. Der Ausbau der eigenen IT erfordert immer die Beschaffung neuer, teurer Systeme. Cloud-Services hingegen lassen sich einfach anpassen. Dies ist flexibel innerhalb kurzer Zeit oder sogar direkt möglich. Lediglich die monatlichen Kosten erhöhen sich, wobei die Kosten von Cloud-Leistungen linear skalieren.

Darüber hinaus passen Cloud-Anwendungen optimal zu den veränderten Arbeitsbedingungen. Mit Homeoffice, reduzierten IT-Infrastrukturen und Mobile Work benötigen Nutzer Lösungen, die von jedem Ort aus Zugriff auf alle Daten ermöglichen. Cloud Computing ermöglicht exakt dies.

Seriöse Cloud-Anbieter erkennen - Kriterien für Cloud Datensicherheit

Wer eine sichere Unterbringung seiner Informationen gewährleisten will, der sollte bei der Auswahl des Anbieters auf verschiedene Aspekte achten. Ein erster, wichtiger Anhaltspunkt ist der Serverstandort des Rechenzentrums. Dies ist auch im Hinblick auf die DSGVO wichtig. Die Verordnung besagt, dass das Unternehmen für die Sicherheit von personenbezogenen Daten haftet. Dies gilt auch, wenn sich die Dateien in Cloud-Anwendungen eines externen Anbieters befinden.

Da die DSGVO und weitere Vorschriften bezüglich der Datenverarbeitung ebenfalls für europäische Unternehmen gelten, die Cloud-Services betreiben, ist es sinnvoll, auf einen EU-Serverstandort zu achten. Deutsche Rechenzentren bieten zusätzliche Sicherheit, da hier auch die strengen Regelungen des Bundesdatenschutzgesetzes gelten.

 

Wichtige Zertifikate und Nachweise:

 Ein weiterer Anhaltspunkt sind vorhandene Zertifikate. Hier gilt es, vor allem auf die unabhängigen und anerkannten Standards zu achten. In erster Linie ist hier ISO 27001 zu nennen. Per Audit wird geprüft, dass die Vorgaben und Normen zur Cloud Datensicherheit umgesetzt sind. ISO 27001 weist nach, dass ein wirksames Informationssicherheits-Managementsystem vorhanden ist.

Weitere wichtige Zertifikate mit Aussagekraft sind:

  • TÜV Trust IT für Cloud Computing
  • CSA Star für Cloud-Security
  • SOC 2 für Sicherheitskontrollen
  • TÜVIT EN50600 für Rechenzentren

Auftragsverarbeitung und Vertragsgestaltung

Bei der Nutzung von Cloud-Services ist die ordnungsgemäße Gestaltung des Auftragsverarbeitungsvertrags essenziell für die Cloud Datensicherheit. Dieser Vertrag regelt die Rechte und Pflichten beider Parteien bei der Verarbeitung personenbezogener Daten.

Wesentliche Inhalte eines Auftragsverarbeitungsvertrags:

  • Gegenstand und Dauer der Auftragsverarbeitung
  • Art und Zweck der Datenverarbeitung in Cloud-Anwendungen
  • Kategorien betroffener Personen und personenbezogener Daten
  • Technische und organisatorische Maßnahmen nach Art. 32 DSGVO
  • Regelungen zu Subunternehmern und deren Kontrolle
  • Bestimmungen zu Datentransfers in Drittländer wie die USA
  • Kontrollrechte und Auditierungsmöglichkeiten

Programme zur Compliance-Überwachung helfen Unternehmen dabei, die Einhaltung aller datenschutzrechtlichen Bestimmungen sicherzustellen. Regelmäßige Überprüfungen der implementierten Maßnahmen sind dabei unerlässlich.

Praktische Maßnahmen für sichere Cloud-Nutzung

Um die Cloud Datensicherheit in der Praxis zu gewährleisten, sollten Unternehmen verschiedene Maßnahmen implementieren. Diese umfassen sowohl technische als auch organisatorische Aspekte.

Technische Schutzmaßnahmen:

  • Ende-zu-Ende-Verschlüsselung für alle Datenübertragungen
  • Sichere Authentifizierung und Multi-Faktor-Autorisierung
  • Regelmäßige Sicherheitsupdates der verwendeten Software
  • Monitoring und Logging aller Zugriffe auf Cloud-Anwendungen
  • Backup-Strategien zur Vermeidung von Datenverlust

Organisatorische Maßnahmen:

  • Schulung der Mitarbeiter zu sicherem Umgang mit Cloud-Services
  • Regelmäßige Überprüfung der Verträge und Compliance
  • Incident-Response-Pläne für Sicherheitsvorfälle
  • Dokumentation aller Datenverarbeitungsprozesse
  • Regelmäßige Audits der Cloud-Anbieter

Was genau ist die DSGVO?

DSGVO ist die Abkürzung für Europäische Datenschutzgrundverordnung. Diese gilt seit Ende Mai 2018 in Deutschland sowie europaweit und legt Regeln für die Verarbeitung und Speicherung von Daten fest. Im Fokus stehen hier vor allem personenbezogene Daten und der Schutz dieser. Unternehmen stehen in der Pflicht, diese personenbezogenen Daten sicher zu speichern und die Rechte der Dateninhaber zu wahren. Dazu gehört es auch, sicherzustellen, dass die Informationen nicht ohne Einwilligung der Inhaber an Dritte weitergegeben werden. Dementsprechend sind auch Daten in der Cloud betroffen.

Was sind personenbezogene Daten nach der Datenschutzgrundverordnung?

Die DSGVO definiert in Artikel 4, welche Informationen als personenbezogen gelten und somit besonders geschützt werden müssen. So sagt die Verordnung, dass Informationen, die das Identifizieren natürlicher Personen erlauben, zu den personenbezogenen Daten gehören. Dies sind beispielsweise eine Kombination aus Name und Geburtsdatum oder Rentenversicherungsnummer, die Anschrift sowie Informationen über die Familie. Auch biometrische Informationen, Angaben über das Beschäftigungsverhältnis oder Krankenakten fallen in diese Kategorie. Alle solche Daten dürfen ohne Einwilligung des Informationsinhabers nicht weitergegeben oder ohne Einwilligung für das Computing genutzt werden.

Der Datenschutz in der Cloud

Wer Daten in der Cloud speichern möchte, muss sicherstellen, dass der Anbieter den Datenschutz, der durch die DSGVO festgelegt wird, gewährleistet. Dies geht nur durch eine individuelle Überprüfung des jeweiligen Angebots sowie des Cloud-Anbieters. Seriöse Cloud-Anbieter gehen offen mit diesem Thema um und stellen alle notwendigen Informationen bezüglich des Datenschutzes bereit.

TelemaxX OpenCloud TelemaxX OpenCloud

Das sind die Kriterien für einen DSGVO-konformen Cloud-Speicher

Es sind im Wesentlichen drei Punkte, die bei der Speicherung von Daten in der Cloud zu berücksichtigen sind. Diese Faktoren sind der Serverstandort, die Zugriffsrechte sowie die Verschlüsselung.

1. Serverstandort:

Der erste Punkt bezieht sich auf den Ort, wo die Daten gespeichert und verarbeitet werden. Die DSGVO schreibt vor, dass die Server die Datensicherheit der Europäischen Union einhalten müssen. Gewährleistet ist dies, wenn der Anbieter seine Server in Deutschland oder einem anderen Land der EU betreibt. Viele große US-Unternehmen, wie etwa Microsoft, Google oder Amazon, haben aus diesem Grund Rechenzentren in Europa aufgebaut und ermöglichen den Kunden die Speicherung der Daten in der EU. Wenn Unternehmen personenbezogene Daten auf Servern außerhalb der EU speichern, sind diese selbst in der Verantwortung, für den Datenschutz zu sorgen, der alle europäischen Vorgaben erfüllt. Ansonsten liegt eine Verletzung der Datenschutzrichtlinien vor.

2. Zugriffsrechte:

Der zweite wichtige Punkt bezieht sich auf die Datensicherheit. Es muss gewährleistet sein, dass keine unbefugte Person Zugriff auf die Daten erhält. Das mindeste ist also, dass der Zugang durch ein Passwort geschützt ist. Mehr Sicherheit bietet ein System mit MFA, der Multi-Faktor-Authentifizierung.

3. Verschlüsselung:

Direkt damit in Verbindung steht weiterhin die Verschlüsselung der Daten. Damit ist in erster Linie die Übertragung der Daten in die Cloud gemeint. Die meisten Anbieter von Cloud Computing setzen standardmäßig eine Ende-zu-Ende-Verschlüsselung ein. Somit sind die Daten auf dem kompletten Weg zwischen Absender und Empfänger, also zwischen Unternehmen und Cloud, sicher verschlüsselt.

Zusätzlich gibt es Cloud-Anbieter, die auch eine Verschlüsselung der Daten auf dem Cloud-Speicher anbieten. Alternativ sind Tools vorhanden, mit denen sich die Daten in der Cloud verschlüsseln lassen. Hierfür eignen sich Anwendungen wie Boxcryptor. Diese können Unternehmen in Kombination mit einer Cloud der eigenen Wahl einsetzen und somit die Cloud Security noch erhöhen.

Was sind die Konsequenzen einer nicht DSGVO-konformen Cloud?

Wer seinen Pflichten bei der Speicherung und Verarbeitung von Informationen nicht nachkommt, begeht eine Verletzung des Datenschutzes. Die Europäische Datenschutzgrundverordnung legt die Höhe von Bußgeldern in solchen Fällen fest. Diese Strafen sind durchaus ernst zu nehmen, denn sie betragen bis zu 20 Millionen Euro oder maximal vier Prozent des weltweiten Jahresumsatzes des Unternehmens.

Welche Cloud Lösung bietet den besten Datenschutz und ist DSGVO-konform?

Beim Cloud Computing stehen verschiedene Lösungen zur Verfügung. Für viele Aufgaben reicht die Public Cloud als Umgebung aus, beispielsweise bei der Umsetzung eines reinen Cloud-Speichers. Wer mehr Ansprüche an das Cloud Computing hat und eigene Anwendungen in der Cloud hosten möchte, muss auf individualisierte Systeme zurückgreifen. Dann bietet sich eine eigene Private Cloud oder auch eine Kombination beider Welten in Form einer Hybrid Cloud an.

Eine Secure Cloud lässt sich auch selbst aufsetzen. Eine solche Private Cloud kann theoretisch auch On Premises betrieben werden. Sinnvoll ist es in vielen Fällen jedoch, auf einen IT-Dienstleister als Partner zu setzen. Dieser stellt die Infrastruktur in einem Rechenzentrum bereit und kümmert sich um den Datenschutz. So sind eine sichere, verschlüsselte Datenverbindung und der Schutz der Informationen gewährleistet.

Wichtig ist es in jedem Fall, die Vorschriften der DSGVO bezüglich der Datensicherheit einzuhalten. Welche Lösung in welcher Situation die beste ist, erfordert immer eine individuelle Analyse.

DSGVO und dem Cloud Computing

Die Cloud ist bei ordnungsgemäßer Umsetzung ein sehr sicherer Ort, um Daten und Anwendungen auszulagern. Immer wieder sind Unternehmen verunsichert, da sie bei einem Wechsel auf Cloud-Computing das Gefühl haben, die Kontrolle über ihre Daten zu verlieren. Das Sicherheitsniveau von zuverlässigen Anbietern in deutschen oder europäischen Rechenzentren ist jedoch oft deutlich höher als bei eigenen lokalen Lösungen. Die richtige Vertragsgestaltung, die Beachtung datenschutzrechtlicher Aspekte und die Implementierung angemessener Sicherheitsmaßnahmen sind dabei entscheidend. Cloud Datensicherheit ist kein Zufall, sondern das Ergebnis durchdachter Planung und professioneller Umsetzung.

Die Europäische Datenschutzgrundverordnung hat das Cloud Computing weder unmöglich gemacht noch eingeschränkt. Jedoch stehen Unternehmen nun deutlich mehr in der Pflicht, für den Datenschutz von Informationen zu sorgen, die im Arbeitsalltag anfallen, beispielsweise von Kunden. Dies erfordert Sorgfalt bei der Wahl der Cloud-Lösung. Somit eignet sich die Cloud auch weiterhin als zentrale IT-Infrastruktur für die Speicherung von Informationen und Anwendungen.

Für Unternehmen, die eine Migration in die Cloud planen, empfiehlt sich eine umfassende Beratung zu allen Aspekten der Cloud Datensicherheit. Nur so lassen sich die Vorteile des Cloud Computing nutzen, ohne dabei Kompromisse bei Datenschutz und Sicherheit eingehen zu müssen.

Das könnte Sie auch interessieren:

CPU Cloud

Die Rolle der CPU innerhalb
einer Business Cloud.

Mehr Informationen

Cloud Elasticity

Was ist Cloud Elasticity?
Unterschiede zu anderen Techniken.

Mehr Informationen

PaaS

Möglichkeiten und Leistungen
für Unternehmen.

Mehr Informationen

Cloud-Hosting

Wichtige Informationen rund um
Cloud-Hosting.

Mehr Informationen

Anfrage senden Anfrage senden Direkt anrufen Direkt anrufen Beratung buchen Beratung buchen
Ready to do business? Sprechen Sie uns an!
Jetzt Kontakt aufnehmen →