Zum Hauptinhalt springen

Datenschutz in der Cloud: Was sagt die DSGVO?

Seit der Einführung der DSGVO sind Unternehmen bemüht, die neuen Vorgaben umzusetzen, um Datenschutzverletzungen zu vermeiden. Oftmals herrscht noch Unschlüssigkeit darüber, in welcher Form Daten verarbeitet und gespeichert werden können. Besonders häufig sind sich Unternehmen unsicher über die Cloud und in welcher Form dort Informationen gespeichert werden dürfen, ohne die DSGVO zu verletzen.

Warum sind Cloud-Speicher und Cloud Computing bei Unternehmen so beliebt?

Für Unternehmen bietet Cloud Computing zahlreiche Vorteile. Im Vordergrund stehen die niedrigeren Kosten sowie die hohe Flexibilität. Mit einem Cloud-Speicher lässt sich fast unbegrenzt skalieren, was bei eigener Infrastruktur nicht möglich ist beziehungsweise zumindest mit größeren Investitionen verbunden ist. Darüber hinaus erlauben die meisten Anbieter eine schnelle Anpassung der Speicherkapazität.

Der Cloud-Speicher passt außerdem optimal zu der sich wandelnden Arbeitswelt. Immer mehr Mitarbeitende sind im Homeoffice oder arbeiten von unterwegs. Dieser Mobile Work Ansatz erfordert eine Infrastruktur, die die Daten jederzeit und an dem jeweiligen Ort bereitstellt. Mit einem Cloud-Speicher ist genau dies möglich.

Was genau ist die DSGVO?

DSGVO ist die Abkürzung für Europäische Datenschutzgrundverordnung. Diese gilt seit Ende Mai 2018 in Deutschland sowie europaweit und legt Regeln für die Verarbeitung und Speicherung von Daten fest. Im Fokus stehen hier vor allem personenbezogene Daten und der Schutz dieser. Unternehmen stehen in der Pflicht, diese personenbezogenen Daten sicher zu speichern und die Rechte der Dateninhaber zu wahren. Dazu gehört es auch, sicherzustellen, dass die Informationen nicht ohne Einwilligung der Inhaber an Dritte weitergegeben werden. Dementsprechend sind auch Daten in der Cloud betroffen.

Was sind personenbezogene Daten nach der Datenschutzgrundverordnung?

Die DSGVO definiert in Artikel 4, welche Informationen als personenbezogen gelten und somit besonders geschützt werden müssen. So sagt die Verordnung, dass Informationen, die das Identifizieren natürlicher Personen erlauben, zu den personenbezogenen Daten gehören. Dies sind beispielsweise eine Kombination aus Name und Geburtsdatum oder Rentenversicherungsnummer, die Anschrift sowie Informationen über die Familie. Auch biometrische Informationen, Angaben über das Beschäftigungsverhältnis oder Krankenakten fallen in diese Kategorie. Alle solche Daten dürfen ohne Einwilligung des Informationsinhabers nicht weitergegeben oder ohne Einwilligung für das Computing genutzt werden.

Der Datenschutz in der Cloud

Wer Daten in der Cloud speichern möchte, muss sicherstellen, dass der Anbieter den Datenschutz, der durch die DSGVO festgelegt wird, gewährleistet. Dies geht nur durch eine individuelle Überprüfung des jeweiligen Angebots sowie des Cloud-Anbieters. Seriöse Cloud-Anbieter gehen offen mit diesem Thema um und stellen alle notwendigen Informationen bezüglich des Datenschutzes bereit.

Das sind die Kriterien für einen DSGVO-konformen Cloud-Speicher

Es sind im Wesentlichen drei Punkte, die bei der Speicherung von Daten in der Cloud zu berücksichtigen sind. Diese Faktoren sind der Serverstandort, die Zugriffsrechte sowie die Verschlüsselung.

Der erste Punkt bezieht sich auf den Ort, wo die Daten gespeichert und verarbeitet werden. Die DSGVO schreibt vor, dass die Server die Datensicherheit der Europäischen Union einhalten müssen. Gewährleistet ist dies, wenn der Anbieter seine Server in Deutschland oder einem anderen Land der EU betreibt. Viele große US-Unternehmen, wie etwa Microsoft, Google oder Amazon, haben aus diesem Grund Rechenzentren in Europa aufgebaut und ermöglichen den Kunden die Speicherung der Daten in der EU. Wenn Unternehmen personenbezogene Daten auf Servern außerhalb der EU speichern, sind diese selbst in der Verantwortung, für den Datenschutz zu sorgen, der alle europäischen Vorgaben erfüllt. Ansonsten liegt eine Verletzung der Datenschutzrichtlinien vor.

Der zweite wichtige Punkt bezieht sich auf die Datensicherheit. Es muss gewährleistet sein, dass keine unbefugte Person Zugriff auf die Daten erhält. Das mindeste ist also, dass der Zugang durch ein Passwort geschützt ist. Mehr Sicherheit bietet ein System mit MFA, der Multi-Faktor-Authentifizierung.

Direkt damit in Verbindung steht weiterhin die Verschlüsselung der Daten. Damit ist in erster Linie die Übertragung der Daten in die Cloud gemeint. Die meisten Anbieter von Cloud Computing setzen standardmäßig eine Ende-zu-Ende-Verschlüsselung ein. Somit sind die Daten auf dem kompletten Weg zwischen Absender und Empfänger, also zwischen Unternehmen und Cloud, sicher verschlüsselt.

Zusätzlich gibt es Cloud-Anbieter, die auch eine Verschlüsselung der Daten auf dem Cloud-Speicher anbieten. Alternativ sind Tools vorhanden, mit denen sich die Daten in der Cloud verschlüsseln lassen. Hierfür eignen sich Anwendungen wie Boxcryptor. Diese können Unternehmen in Kombination mit einer Cloud der eigenen Wahl einsetzen und somit die Cloud Security noch erhöhen.

Was sind die Konsequenzen einer nicht DSGVO-konformen Cloud?

Wer seinen Pflichten bei der Speicherung und Verarbeitung von Informationen nicht nachkommt, begeht eine Verletzung des Datenschutzes. Die Europäische Datenschutzgrundverordnung legt die Höhe von Bußgeldern in solchen Fällen fest. Diese Strafen sind durchaus ernst zu nehmen, denn sie betragen bis zu 20 Millionen Euro oder maximal vier Prozent des weltweiten Jahresumsatzes des Unternehmens.

Welche Cloud Lösung bietet den besten Datenschutz und ist DSGVO-konform?

Beim Cloud Computing stehen verschiedene Lösungen zur Verfügung. Für viele Aufgaben reicht die Public Cloud als Umgebung aus, beispielsweise bei der Umsetzung eines reinen Cloud-Speichers. Wer mehr Ansprüche an das Cloud Computing hat und eigene Anwendungen in der Cloud hosten möchte, muss auf individualisierte Systeme zurückgreifen. Dann bietet sich eine eigene Private Cloud oder auch eine Kombination beider Welten in Form einer Hybrid Cloud an.

Eine Secure Cloud lässt sich auch selbst aufsetzen. Eine solche Private Cloud kann theoretisch auch On Premises betrieben werden. Sinnvoll ist es in vielen Fällen jedoch, auf einen IT-Dienstleister als Partner zu setzen. Dieser stellt die Infrastruktur in einem Rechenzentrum bereit und kümmert sich um den Datenschutz. So sind eine sichere, verschlüsselte Datenverbindung und der Schutz der Informationen gewährleistet.

Wichtig ist es in jedem Fall, die Vorschriften der DSGVO bezüglich der Datensicherheit einzuhalten. Welche Lösung in welcher Situation die beste ist, erfordert immer eine individuelle Analyse.

Fazit zur DSGVO und dem Cloud Computing

Die Europäische Datenschutzgrundverordnung hat das Cloud Computing weder unmöglich gemacht noch eingeschränkt. Jedoch stehen Unternehmen nun deutlich mehr in der Pflicht, für den Datenschutz von Informationen zu sorgen, die im Arbeitsalltag anfallen, beispielsweise von Kunden. Dies erfordert Sorgfalt bei der Wahl der Cloud-Lösung. Somit eignet sich die Cloud auch weiterhin als zentrale IT-Infrastruktur für die Speicherung von Informationen und Anwendungen.

Das könnte Sie auch interessieren:

Cloud Zertifizierung
Cloud Zertifizierung

Cloud Zertifizierung, die Wichtigkeit
und Bestandteile solcher Zertifikate

Multi-Cloud
Multi-Cloud

Vorteile und Nachteile 
von Multi-Cloud-Lösungen

Cloud-Migration
Cloud-Migration

so gelingt der Wechsel
zur neue Infrastruktur

Cloud Transformation
Cloud Transformation

Ablauf und Bestandteile der 
Cloud Transformation 

Ready to do business? Sprechen Sie uns an!