Cloud Computing und Datenschutz

Datensicherheit und Datenschutz in der Cloud

| Autor / Redakteur: Christoph Züllighofen, Jan Schneider / Peter Schmitz

Entgegen der häufigen Meinung lassen sich moderne Cloud-Services auch für deutsche Unternehmen sicher und datenschutzkonform nutzen.
Entgegen der häufigen Meinung lassen sich moderne Cloud-Services auch für deutsche Unternehmen sicher und datenschutzkonform nutzen. (© chairboy - stock.adobe.com)

Auch wenn sich die öffentliche Diskussion rund um Security, Compliance und Datenschutz in der Cloud inzwischen etwas gelegt hat, ist das Thema in deutschen Unternehmen immer noch ein Dauerbrenner. Die Gründe hierfür liegen nicht selten sowohl in einer generellen Unsicherheit bezüglich der Rechtslage als auch in dem fast schon „traditionellen“ Bedürfnis vieler deutscher Unternehmen nach einer lokalen Daten- und Informationsvorhaltung.

Bei der Nutzung von Cloud Services beginnt die rechtliche Herausforderung häufig bereits bei der Übertragung der eigenen Daten auf den Server des Cloud Providers. Denn meist sind unter diesen Daten auch personenbezogene Daten (oder kurz „Personendaten“).

Auf diese Personendaten finden die geltenden Datenschutzgesetze Anwendung, wonach es für die Übertragung und externe Verarbeitung der Personendaten einer gesetzlichen Ermächtigungsgrundlage bedarf. Dies beispielsweise durch eine dauerhafte Anonymisierung oder Verschlüsselung der Personendaten zu umgehen, ist für die alltägliche Arbeit zumeist wenig praktikabel. In der Praxis hat sich für das Cloud Computing daher die so genannte Auftragsdatenverarbeitung (§11 Bundesdatenschutzgesetz, kurz „BDSG“) als geeignete Ermächtigungsgrundlage etabliert.

Anforderungen für eine rechtssichere (Auftrags-)Datenverarbeitung

Für eine rechtskonforme Datenverarbeitung im Wege der Auftragsdatenverarbeitung sollten Unternehmen darauf achten, dass ihr Cloud Provider die folgenden Anforderungen erfüllt:

  • Es gibt für den Cloud Service ausführliche vertragliche Regelungen (auch) im Sinne des §11 BDSG, die bei Bedarf auch schriftlich (d. h. mit Unterschriften) abgeschlossen werden können;
  • der Cloud Provider hat in seinen Rechenzentren angemessene technische und organisatorische Maßnahmen zu Datenschutz und Datensicherheit (im Sinne des §9 BDSG) getroffen (zum Beispiel Zutritts-/Zugangskontrollen) und gewährleistet deren Einhaltung auch in den vertraglichen Regelungen.

Für Cloud-Nutzer ausgesprochen hilfreich ist an dieser Stelle eine ISO-27001- Zertifizierung der Cloud-Rechenzentren. Denn hierdurch trägt der Cloud Provider auf eigene Kosten, regelmäßig geprüft durch das Audit eines unabhängigen Dritten, für die Aktuellhaltung der (auch) datenschutzrechtlichen Sicherheitsmaßnahmen Sorge und übernimmt damit auch gleich die gesetzlichen Prüfpflichten der Cloud-Nutzer. Ein Nachweis, der nach Kenntnis des Autors auch von den Aufsichtsbehörden akzeptiert wird.

Als Vorreiter in Sachen Datenschutz hat sich hier in den vergangenen Jahren das Cloud-Angebot von Microsoft positioniert. Schon früh ergriff der Soft- und Hardware-Hersteller mit großem Aufwand eine Reihe von Maßnahmen, um die in Deutschland und Europa zum Datenschutz geltenden gesetzlichen Anforderungen optimal zu erfüllen.

Rechenzentrum im Ausland – und nun?

Wie ist es denn, wenn die Rechenzentren Ihres bevorzugten Cloud Providers (auch) außerhalb Europas stehen? Schließlich ist es kein Geheimnis, dass viele Anbieter zur Datenverarbeitung auch mal auf das nichteuropäische Ausland wie zum Beispiel die USA zurückgreifen. Internationale Datenschutzabkommen wie der aktuelle „EU-US Privacy Shield“ werden von den hiesigen Aufsichtsbehörden weithin kritisch gesehen, das seit dem Jahr 2000 zwischen Europa und den USA bestehende „Safe-Harbor-Abkommen“ wurde 2015 vom Europäischen Gerichtshof sogar vollständig für ungültig erklärt.

Neue Unsicherheit für den Datenaustausch in der Cloud

Privacy Shield und Standardvertragsklauseln

Neue Unsicherheit für den Datenaustausch in der Cloud

23.11.17 - Unternehmen müssen wie selbstverständlich Daten von Kunden austauschen, auch von Ländern der EU in die USA. Durch einen neuen Gerichtsbeschluss sind die dafür aktuell gültigen rechtlichen Bestimmungen – Standardvertragsklauseln und/oder das sogenannte „Privacy Shield“-Verfahren - neuerlich unsicher. lesen

Gut beraten sind Unternehmen aber, wenn ihr Cloud Provider Ihnen den vertraglichen Einbezug der EU-Standardvertragsklauseln ermöglicht oder, noch besser, diese Klauseln direkt zum Vertrag hinzunimmt. Denn die unveränderte Verwendung dieser von der EU-Kommission vor Jahren ausgearbeiteten Datenschutzklauseln führt aus Sicht der Aufsichtsbehörden zu einem angemessenen Datenschutzniveau – mit der Konsequenz, dass auch ein Cloud Service mit außereuropäischer Datenverarbeitung in Ordnung geht.

Microsoft und die Deutschland Cloud

Es geht sogar noch ein Quäntchen sicherer: Bereits Ende 2015 hat Microsoft gemeinsam mit T-Systems zwei Rechenzentren in Betrieb genommen, die in Frankfurt und Magdeburg beheimatet sind. In diesen Rechenzentren wurde die komplette Azure-Infrastruktur vollständig neu und autark von den restlichen globalen Microsoft-Rechenzentren unter der Bezeichnung Microsoft Azure Deutschland aufgebaut.

Die Cloud mit deutschem Datenschutz nutzen

Microsoft Azure Deutschland

Die Cloud mit deutschem Datenschutz nutzen

03.03.17 - Microsoft bietet mit Azure Deutschland eine Erweiterung von Microsoft Azure an, die auf deutschen Servern läuft und von deutschen Unternehmen betreut wird. Viele deutsche Unternehmen scheuen sich noch davor auf Cloud-Dienste zu setzen, da Gefahr besteht, dass die Daten nicht in Deutschland gespeichert werden, sondern in den USA oder anderen Ländern. Dadurch sind Datenschutz und auch die Datensicherheit gefährdet. lesen

Der besondere Clou: Mit T-Systems ist als so genannter Datentreuhänder eine Kontrollinstanz vorhanden, die dafür Sorge trägt, dass kein unkontrollierter Zugriff durch Microsoft auf die Kundendaten erfolgen kann. Damit sichert T-Systems als deutsches Unternehmen die Daten der Microsoft-Kunden nochmals eine Stufe weiter gegen etwaige Zugriffe aus dem Ausland ab. Dies ist für alle Unternehmen, die besonders strengen Compliance- oder vergleichbaren rechtlichen Anforderungen unterliegen, ebenso ein deutlicher Mehrwert wie für solche Unternehmen, die höchste Anforderung an die Sicherheit ihrer Datenverarbeitungen legen.

Welche Azure Cloud ist aber nun die Richtige? Wir meinen: Wenn der Zugriff auf die Cloud Services überwiegend aus Deutschland erfolgt und sehr hohe Datenschutzanforderungen und Sicherheitsbedürfnisse bestehen, dann sollte die Microsoft Azure Deutschland Cloud die erste Wahl sein. Arbeitet das Unternehmen hingegen weltweit mit Kollegen und Partnern in der Cloud zusammen, dann stößt die deutsche Azure Cloud gegebenenfalls an ihre Grenzen. Denn für alle Services aus Microsoft Azure Deutschland gilt aus Sicherheitsgründen eben, dass es keine Verknüpfungen zu den Rechenzentren aus der globalen Cloud gibt.

Darüber hinaus sind natürlich auch die Mehrkosten der deutschen Azure Cloud zu berücksichtigen: Im Vergleich zu der europäischen Azure Cloud gilt für die Microsoft Azure Deutschland Cloud in der Regel eine Preisdifferenz im Bereich von ungefähr 30 Prozent.

Bitte beachten Sie, dass dieser Artikel keine Rechtsberatung darstellt, sondern lediglich die Kenntnisse und Erfahrungen der Autoren wiedergibt.

Über die Autoren: Christoph Züllighofen ist Senior Consultant beim IT-System- und Beratungshaus CONET. Jan Schneider ist Rechtsanwalt und Fachanwalt für IT-Recht und Partner bei SKW Schwarz Rechtsanwälte (Standort Düsseldorf).

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45077982 / Cloud und Virtualisierung)