Rechtliches

Cloud und Datenschutz

Wie sicher sind Ihre Daten in der Cloud? Wir sagen Ihnen, wie Datenschutz und Cloud-Computing gemeinsam funktionieren. ► Jetzt mehr darüber erfahren

Es gibt zahlreiche Lösungen, um Ihre Daten sicher und DSGVO-konform in der Cloud zu speichern 

Cyber-Kriminalität steigt seit Jahren kontinuierlich

Daten sind das Kapital vieler Unternehmen. Sie so gut wie möglich zu sichern, liegt im Interesse eines jeden Unternehmers. Lokal gespeicherte Daten bergen dabei zwei große Risiken: Einerseits sind Server und Endgeräte zerstörbar, zum Beispiel durch Unwetter oder Feuer. Andererseits sind sie nur so gut gegen Missbrauch geschützt, wie sie die internen IT-Experten dagegen absichern. Oftmals nicht gut genug, wie die steigenden Zahlen in Bezug auf Cyber-Kriminalität beweisen.

Datenschutz und Cloud-Computing

Seit 2015 haben sich die Cyber-Verbrechen laut dem Statistik-Portal Statista in Deutschland mehr als verdoppelt, seit 2007 sogar verdreifacht. Die Daten in der Cloud zu lagern, erscheint da am sichersten, weil  sie dort in gut geschützten Serverfarmen liegen. Doch wie ist es tatsächlich um den Datenschutz und die Datensicherheit in Verbindung mit Cloud-Software bestellt? Und was kann jeder selbst für die Datensicherheit in der Cloud tun? Hier finden Sie die Antworten.

Was bedeutet eigentlich Cloud-Computing?

Cloud-Computing beschreibt die bedarfsorientierte Online-Nutzung von Hard- und Software als Serviceleistung. Dazu zählen beispielsweise Speicherplatz, Rechenleistung und lizenzierte Computerprogramme. Beim Cloud-Computing greift der Nutzer über das Internet meist auf die Speicher- und Rechenkapazitäten großer Server-Farmen zu, deren Betreiber für die Pflege und Wartung zuständig sind.

Drei Typen von Cloud-Computing-Services

Das Arbeiten in der Cloud ist schon heute nicht mehr wegzudenken. Die Serviceleistungen reichen von mietbarerer Software bis hin zu ganzen IT-Infrastrukturen. Für jedes Unternehmen sind diese Dienste individuell konfigurierbar. Beim Cloud-Computing sind sowohl die Software als auch die Infrastrukturen, die mietbar sind, hinsichtlich Datensicherheit und Datenschutz (DSGVO) gegen Angriffe von außen geschützt. Dabei gibt es drei Haupttypen von Cloud-Computing-Services:

Infrastructure-as-a-Service (IaaS)

Bei Infrastructure-as-a-Service (IaaS) stellt der Dienstanbieter bedarfsgerecht eine Rechenzentrumsinfrastruktur gegen Mietzahlung zur Verfügung. Dazu gehören Server- und Rechenkapazitäten, Kommunikationsgeräte oder Datensicherungssysteme.

Die Vorteile liegen in der Flexibilität, beispielsweise der Skalierbarkeit, wenn plötzlich für kurze oder unbestimmt lange Zeit große Ressourcen benötigt werden. Mit IaaS lassen sich die Kosten für die IT-Infrastruktur deutlich reduzieren, weil etwa die Anschaffung und die interne Administration entfallen.

Platform-as-a-Service (PaaS)

Platform-as-a-Service (PaaS) bietet dieselben Services wie IaaS. Die Besonderheit: Es ist ein Dienst in der Cloud, der eine Plattform für die Entwicklung von Web-Anwendungen bietet. Insbesondere IT-Entwickler und Unternehmen aus der Software-Branche nutzen PaaS, um schnell neue Software zu entwickeln und auf den Markt zu bringen. Ebenfalls integriert sind in den meisten Fällen Funktionen, die dem Monitoring dienen, also beispielsweise die Laufzeiten der Software überwachen.

Software-as-a-Service (SaaS)

Software-as-a-Service (SaaS) beschreibt die Nutzung einer Software über das Internet. Dabei verantwortet der Dienstanbieter die Administration, Wartung und Aktualisierung der Software vollständig. Der Vorteil für den Nutzer: Er hat, zumeist über den Internet-Browser, stets Zugriff auf die aktuelle Version des Produkts und erspart sich den Kauf, die Installation, die notwendige IT-Infrastruktur und die Aktualisierungen.

Datenschutz in der Cloud: die Anforderungen

Für den Nutzer einer Cloud-Lösung ist zunächst einmal wichtig, dass er sich selbst über die für seine Dokumente geltenden, datenschutzrechtlichen Richtlinien informiert. Denn das Auslagern von Daten in den Cloudspeicher stellt nach dem Bundesdatenschutzgesetz (BDSG) eine Auftragsverarbeitung dar, die nach Art. 28 DSGVO den Nutzer verpflichtet nachzuprüfen, ob die Datenschutzbestimmungen eingehalten werden. Entsprechend wirkt sich dies im Falle von Datenschutzverstößen auf die Haftbarkeit aus. Die liegt nämlich beim Cloud-Kunden, nicht beim Cloud-Anbieter.

ISO/IEC-Norm 27001

Die ISO/IEC-Norm 27001 ist ein weltweit anerkannter Standard für ein intaktes Informationssicherheits-Managementsystem (ISMS). Dabei steht nicht nur die IT im Fokus, sondern auch die Infrastruktur, etwa Organisation, Gebäude und Personal. Die ISO/IEC 27001 definiert die Anforderungen an die Einführung, Umsetzung, Dokumentation und Verbesserung eines ISMS. Das Zertifikat attestiert unabhängig die Wirksamkeit des Systems gegen Risiken, die es sicher identifiziert, analysiert und behebt. So sind vertrauliche Daten geschützt und stets verfügbar.

 

Ebenfalls eine sichere Sache ist es, auf einen Cloud-Anbieter mit dem „Trusted Cloud“-Zertifikat des Bundesministeriums für Wirtschaft und Energie zurückzugreifen. Dieses Zertifikat attestiert dem Kunden, dass der Cloud-Anbieter in Sachen Datenschutz und Datensicherheit vertrauenswürdig ist. Der Nutzer seine Pflicht gemäß BDSG erfüllt, wenn er einen „Trusted Cloud“-Anbieter wählt.

Personenbezogene Daten in der Cloud

Wer sich nicht für einen „Trusted Cloud“-Anbieter entscheidet, sollte sich gründlich informieren, bevor er seine Daten in einer anderen Cloud ablegt. Als Minimum sollten im Cloudspeicher-Angebot Anonymisierungen sowie die verschlüsselte Übertragung und Speicherung und einschränkbare Zugriffsberechtigungen enthalten. Zudem sollte alles DSGVO-konform sein.

Die Datenschutzverordnung greift aber nur dann, wenn tatsächlich personenbezogene Daten, die eine oder mehrere Personen identifizierbar machen, in den Cloudspeicher geladen werden. Dazu zählen Namen, aber auch Kennnummern und Standortdaten, Adressen, Telefonnummern und IP-Adressen.

DSGVO-konforme Cloudspeicher-Lösung bringt Sicherheit

Bezüglich der DSGVO sind allerlei Datenschutzmaßnahmen hinsichtlich der Cloudspeicherung zu beachten. Die Verordnung verlangt hohe Standards für die Sicherheit in der Cloud, die insbesondere identifizierende, personenbezogene Daten schützen sollen. Hier eine passende Liste dessen, was wichtig ist, bevor Sie Daten in der Cloud speichern:

  • Dürfen die Daten überhaupt rechtmäßig verarbeitet werden? Die Speicherung von personenbezogenen Daten in der Cloud bedarf nämlich der Kenntnis und Einwilligung der Betroffenen.
  • Ist dies gegeben, muss der Nutzer sichergehen, dass der Cloud-Anbieter den Datenschutz mit technischen und organisatorischen Maßnahmen gewährleisten kann. Zudem muss der Nutzer eine Vereinbarung für die Auftragsverarbeitung nach §28 DSGVO abschließen und sich davon überzeugen, dass die Maßnahmen eingehalten wurden.
  • Der Cloud-Anbieter muss im Gegenzug den Datenschutz nachweisen, indem er ein Verzeichnis für seine Auftragsverarbeitungen anlegt, welches er bei Kontrollen durch die Behörden aushändigen muss.

Fragen, um Sicherheit in der Cloud zu klären

Zudem sind Anbieter von Cloud-Lösungen verpflichtet, dem Kunden Datenpannen zu melden. Bei Verletzungen des Datenschutzes können auch Cloud-Anbieter haftbar gemacht werden. Bevor ein Nutzer einen Cloud-Dienstleister in Anspruch nimmt, sollte er sich abschließend ein paar Fragen stellen. Dazu gehört unter anderem:

  1. Wie steht es um mögliche Risiken für betroffene Personen, wenn Daten aus sensiblen Bereichen in falsche Hände geraten?
  2. In welche Länder werden die Daten übertragen?
  3. Gibt es ein Löschkonzept?

Nur nach Klärung dieser Fragen können Datensicherheit, Datenschutz und die Vertraulichkeit der Daten gesetzeskonform eingehalten werden. 

Cloud-Computing-Zertifikat

Die Welt der Zertifikate, Prüfsiegel und ISO-Normen ist groß und unübersichtlich. Einige Anbieter berufen sich auf Selbstverpflichtungserklärungen, während sich andere an unabhängigen Standards bezüglich Datenschutz und Datensicherheit orientieren. Eine gründliche Analyse der jeweiligen Zertifikate ist unabdingbar, um den eigenen Datenschutz in der Cloud sicherzustellen.

ISO/IEC-Norm 27001, C5-Testat und Trusted Cloud

Drei Standards, die in Deutschland Anwendung finden, sind die ISO/IEC-Norm 27001, das C5-Testat (Cloud Computing Compliance Controls Catalogue) des Bundesamts für Sicherheit in der Informationstechnik und „Trusted Cloud“ (TCDP), ein Datenschutzprofil für Cloud-Dienste vom Bundesministerium für Wirtschaft und Energie. Die Norm ISO/IEC 27001 hat sich weltweit als Standard etabliert. Sie zählt zu den bekanntesten Normen für Informationssicherheit.

Transparenz und Informationssicherheit

Der Anforderungskatalog C5 konzentriert sich auf die Aspekte der Transparenz und Informationssicherheit, also auf die Datensicherheit im Allgemeinen:

  • Welches System wird verwendet?
  • Wo liegen die Daten?
  • Wie werden sie verarbeitet und gesichert?

Diese und mehr Gesichtspunkte beinhaltet das C5-Testat und ist diesem Bereich deutlich kleinteiliger als das TCDP-Zertifikat. Das TCDP-Zertifikat hingegen fokussiert vor allem auf den Datenschutz, also auf personenbezogene Daten.

 

Es impliziert auch den Aspekt der Datensicherheit, jedoch nicht so detailliert wie beim C5-Testat. Das C5-Testat hingegen beinhaltet etwa vertragliche Aspekte des Datenschutzes nicht.

Größtmögliche Tiefe der Prüfung

Im Idealfall greifen Nutzer also auf einen Cloud-Anbieter zurück, der beide Zertifikate vorweisen kann. So ist sichergestellt, dass in allen Bereichen der Datensicherheit und des Datenschutzes die größtmögliche Tiefe der Prüfung gewährleistet ist.

Es gibt allerdings auch die Möglichkeit, für verschiedene Arten von Daten unterschiedlich zertifizierte Cloud-Anbieter auszuwählen. Am Ende ist es dann eine Kosten-Nutzen-Frage, die über die richtige Wahl entscheidet.

Tipps für die Datensicherheit in der Cloud

Zertifikate für die Sicherheit

Wer Daten in der Cloud sichern möchte, muss sich im Klaren darüber sein, wie wertvoll die dort zu speichernden Daten sind und welche Sicherheitsmaßnahmen sie auch rechtlich erfordern. Denn nicht alle Arten von Daten unterliegen dem Datenschutz. Zertifikate helfen dabei, den richtigen Cloud-Anbieter zu finden, um das ideale Maß an Datensicherheit und Datenschutz in der Cloud zu gewährleisten.

Leistungen der Zertifikatinhaber prüfen

Viele Anbieter von Cloud-Lösungen zeigen gern lange Listen von Zertifikaten, die sie gesammelt haben. Da gibt es den „Certified Cloud Service“ vom TÜV Rheinland, den „CSA Star“ der Cloud Security Alliance, den „Star Audit“ von EuroCloud, die Norm ISO 20000-1 und viele weitere. Welche Sicherheitsmaßnahmen ausreichen, ist von Fall zu Fall unterschiedlich. Ein Abgleich mit der Leistung der einzelnen Siegel und Zertifikate ist ratsam.

Verschlüsselungs- und Anonymisierungsoptionen

Schon beim Upload von Daten bietet sich eine ergänzende Ende-zu-Ende-Verschlüsselung an, die die Daten sowohl auf dem Weg in die Cloud als auch am Ablageort sichert.

Eine Verschlüsselung genügt bei personenbezogenen Daten laut DSGVO nicht, wenn diese in der Cloud gespeichert werden sollen.

Sie gelten dann als pseudonymisiert und lassen sich weiterhin bestimmten Personen zuordnen. Schon die theoretische Möglichkeit, eine Verbindung zwischen Informationen und einer Person herstellen zu können, ist ausreichend.

Das gilt auch dann, wenn etwa Namen durch Nummern oder Pseudonyme ersetzt werden oder Seriennummern von Geräten eindeutig einer Person zuzuordnen sind. Nur eine vollständige Anonymisierung von Daten sorgt dafür, dass ein Cloud-Kunde rechtlich auf der sicheren Seite ist.

Serverstandort Europa

Bei der Wahl des Cloud-Anbieters ist auch der Serverstandort ein wichtiges Kriterium. Denn nur in Europa gelten auch die deutlich restriktiveren, europäischen Regularien. Wer seine Daten außerhalb Europas bzw. der Europäischen Union speichert, ist datenschutzrechtlich und bezüglich der DSGVO nicht mehr auf der sicheren Seite. Das Handels- und Steuerrecht erlaubt die digitale Aufbewahrung von Daten innerhalb der EU. Wer diese auf Servern außerhalb der EU sichern möchte, benötigt eine Genehmigung des zuständigen Finanzamtes.

Sonderfall Cloud Act in den USA

Ein besonderer Fall sind Server, die in den USA stehen, oder die in Europa von US-Unternehmen betrieben werden. Verantwortlich dafür ist der 2018 eingeführte Cloud Act, der den 2001 eingeführten Patriot Act um weitreichendere Zugriffsmöglichkeiten der Behörden auf Server-Daten ausländischer Kunden bei US-Cloud-Betreibern erweitert. Die US-Behörden dürfen nämlich von Cloud-Providern sämtliche Daten eines Unternehmens verlangen.

Diese Provider können Widerspruch einlegen, wenn die Daten Nicht-US-Bürgern gehören und die Server im Ausland stehen. Doch dann wäre ein Gericht in der Pflicht zu entscheiden, wie hoch die Interessen der US-Behörden im Vergleich zum wirtschaftlichen Interesse des Cloud-Anbieters gewichtet wären.

Weder die Behörden noch der Provider müsste das betroffene Unternehmen über den Datenzugriff informieren.

Backup-Optionen

Viele und sensible Daten müssen nicht nur gespeichert, sondern auch ordentlich und rechtskonform gesichert werden.

Nicht selten bedeutet ein Totalverlust Ihrer Daten durch äußere Einflüsse wie Naturkatastrophen das Aus oder erhebliche finanzielle Einbußen für Ihr Unternehmen.

Um also das Risiko zu minimieren, dass eigene Server oder externe Festplatten und damit die enthaltenen Daten derartigen Ereignissen zum Opfer fallen, ist eine Datensicherung DSGVO-konform in der Cloud sinnvoll.

Am besten ist aber sicherlich eine Backup-Variante, die sowohl physische Datenträger als auch die Cloud berücksichtigt.

Bei der Planung der Auslagerung von Daten an einen Cloud-Anbieter müssen die Anforderungen an die Datensicherung Berücksichtigung finden. Es muss bewertet werden, ob und in welchem Umfang der Cloud-Anbieter Datensicherungen garantiert. Als Beispiel dient in diesem Zusammenhang Microsoft, das für Office 365 im Standardfall keine Datensicherung garantiert. Hier muss sich der Nutzer selbst kümmern.

Protokolle zum Monitoring

Mit Cloud-Monitoring-Tools, die meist von den Cloud-Anbietern selbst zur Verfügung gestellt werden, lässt sich die gesamte virtuelle IT-Infrastruktur überblicken und schnell feststellen, ob es Probleme gibt.

Hinzu kommt, dass sich die Cloud-Infrastruktur von überall aus überwachen und die Ursache eines Problems schnell erkennen lässt. Überwachungs- und Betriebsdaten können als Protokoll, Metrik oder Ereignis erfasst werden, um einen Überblick über Ressourcen und Anwendungen zu bekommen, die in der Cloud ablaufen.

Risiken beim Cloud-Computing

Daten sind das wichtigste Kapital von Unternehmen. Damit sie sicher gespeichert werden können, bedarf es einiger wichtiger Punkte, die es zu beachten gilt. Hier sind einige Regeln, mit denen das wertvolle Gut nicht in falsche Hände gerät:

  • Bei der Datenübertragung sollte die Verbindung mit einer SSL-Verschlüsselung gesichert sein. In der Regel ist diese Leistung im gebuchten Cloud-Paket enthalten.
  • Achten Sie auf den Zugriffsschutz schon beim Login. Nur Nutzername und Passwort? Das war einmal. Ein mehrstufiger Login wie die Zwei-Faktor-Authentifizierung ist deutlich sicherer.
  • Schulen Sie Ihr IT-Personal, bevor Sie Daten in der Cloud abspeichern. Ihre IT muss sich einerseits in den Bereichen Datensicherheit, Datenschutz und Backup-Optionen auskennen. Andererseits muss sie das Cloud-System kennen, damit sie stets die richtigen Maßnahmen ergreifen kann.
  • Hacker und Eindringlinge lauern überall. Sie versenden Malware und nutzen Sicherheitslücken, um an Daten zu gelangen. Das Erstellen eines Risikoprofils der eigenen IT-Systeme ist wichtig. Ebenso eine Sensibilisierung der eigenen Belegschaft, um Risiken zu minimieren.
  • Jeder Cloud-Nutzer hat das Recht auf vollständige Löschung der Daten. Damit dies tatsächlich auch geschieht, sollten die Server des Anbieters der hohen Sicherheitsstandards wegen in der EU stehen.

 

Fazit

Cloud-Lösungen sind eine gute Möglichkeit für Unternehmen, um Daten auszulagern. So müssen sie keine eigene kostspielige IT-Infrastruktur vorhalten und damit auch keine Systemwartungen und -aktualisierungen vornehmen. All dies liegt in den Händen der Anbieter.

Auch als Teil einer Backup-Variante ist eine Cloud-Lösung empfehlenswert. Wichtig in allen Fällen ist, dass der Cloud-Anbieter die jeweils erforderlichen Sicherheitsmaßnahmen mittels Zertifikaten nachweisen kann. Um den richtigen Anbieter zu finden, ist der Nutzer in der Pflicht, den für seine Daten entsprechenden Sicherheitsstandard auszuwählen.

Denn der Datenschutz und die Datensicherheit stellen hohe Ansprüche an die Betreiber von Cloud-Diensten. Wer etwa personenbezogene Daten in der Cloud speichern möchte, muss auf die DSGVO-Konformität achten, um den Datenschutz in der Cloud zu gewährleisten. Denn nicht der Cloud-Betreiber ist haftbar, wenn die Datenschutzrichtlinien verletzt werden, sondern der Cloud-Nutzer.

In jedem Fall ist es ratsam, seine Daten auf europäischen Servern zu speichern, weil die Richtlinien zur Datensicherheit und zum Datenschutz deutlich restriktiver sind als in anderen Ländern. Es bedarf also einer fundierten Analyse der eigenen Daten und der Cloud-Anbieter, um rechtlich auf der sicheren Seite zu sein und die eigenen Daten in guten Händen zu wissen.

Welche Cloud ist datenschutzkonform?

In Deutschland gibt es das „Trusted Cloud“- Zertifikat vom Bundesministeriums für Wirtschaft und Energie. Es attestiert dem Kunden, dass der Cloud-Anbieter in Sachen Datenschutz und Datensicherheit vertrauenswürdig ist. 

Wie sicher sind die Daten in der Cloud?

Das hängt von vielen Faktoren ab. Zum Beispiel, welche Sicherheitszertifikate ein Anbieter vorweist, aber auch, wo die Server stehen. Wichtig ist, dass der Cloud-Nutzer für die Datensicherheit und den Datenschutz in der Cloud verantwortlich ist, nicht der Cloud-Anbieter.

Was kann ein Verstoß gegen das Datenschutzgesetz beim Cloud-Computing sein?

Ein Verstoß gegen das Datenschutzgesetz ist beispielsweise dann gegeben, wenn etwa ein deutsches Unternehmen personenbezogene Daten Dritter ohne deren Wissen auf US-Servern speichert, auch wenn diese nicht in den USA stehen. Denn der seit 2018 geltende „Patriot Act“ ermöglicht es den US-Behörden, US-Unternehmen zur Herausgabe personenbezogener Daten zu zwingen, die außerhalb der USA auf Servern liegen. Und das widerspricht der DSGVO.

Welche Daten in der Cloud?

Prinzipiell können alle Arten von Daten in der Cloud gespeichert werden. Wie sicher sie dort sind, ist eine andere Frage. Besonders sensible Daten sollten mit speziellen Verschlüsselungen gesichert werden, damit sie nicht von Unbefugten gelesen werden können. Und: Personenbezogene Daten müssen DSGVO-konform, also anonymisiert, in die Cloud geladen werden.

Noch mehr aus dem PAPERLESS Blog

Die neuesten Blogartikel lesen

News & Updates

Think Paperless – Unser Newsletter für Sie

Erhalten Sie regelmäßig spannende Informationen und Updates zum papierlosen Büro. 

Jetzt zum Newsletter anmelden