• Suche

Datenschutz beim Cloud Computing: Was ist rechtlich zu beachten?

(Foto: Wes Hicks via unsplash.com)

Cloud Computing: Das solltet Ihr beachten

Von Laura Gosemann (Berufsverband der Rechtsjournalisten e.V.)

Heutzutage wird das sogenannte Cloud Computing immer beliebter. Vor allem für Unternehmer und Startups hat dies viele wirtschaftliche wie auch praktische Gründe.

Gleichzeitig häufen sich allerdings die Schlagzeilen über Datenpannen und Cyberattacken. Wie sicher ist das Auslagern Eurer Daten wirklich? Welche schützenden Maßnahmen solltet Ihr unbedingt ergreifen?

Mehr zu den Risiken und rechtlichen Anforderungen beim Cloud Computing lest Ihr im folgenden Artikel.

Cloud Computing – Was ist das eigentlich?

(Foto: Venveo via unsplash.com)

Google, Microsoft und Co. bieten im Internet diverse IT-Dienstleistungen, wie Anwendungssoftware und Speicherplatz, in einer „Cloud“ an.

Sowohl private Nutzer als auch Unternehmen können somit ihre Dokumente online auf einem externen Server abspeichern.

Dies hat einige Vorteile. So belastet Ihr auf diese Weise nicht mehr das eigene Rechenzentrum und könnt zudem von jedem Ort und Gerät aus auf die hochgeladenen Informationen zugreifen – zumindest sofern eine Verbindung zum Internet besteht.

Zu den von Unternehmen häufig verwendeten Cloud-Anbietern gehören beispielsweise Google Drive, Microsoft Azure und Amazon Web Service (AWS).

Risiken beim Cloud Computing

Beim Cloud Computing wird immer wieder das Thema des Datenschutzes diskutiert. Besonders im Netz entstehen häufig Sicherheitslücken. Außerdem sind Clouds beliebte Ziele von Hackerangriffen.

So machte etwa der Anbieter Dropbox Schlagzeilen durch den Verlust von Passwörtern, während in der MagentaCloud der Telekom die privaten Informationen anderer Kunden öffentlich einsehbar waren.

Wenn Ihr sensible Unternehmensdaten ins Internet hochladen wollt, solltet Ihr Euch daher über die möglichen Risiken bewusst sein:

  • Manipulation oder Verlust Eurer Daten
  • Möglicherweise greifen die Cloud-Anbieter, Geheimdienste oder Dritte ebenfalls auf die Daten zu.
  • Missbrauch von Accounts
  • Identitätsdiebstahl
  • Der Cloud-Dienst kann vorübergehend nicht verfügbar sein.

Ihr sollet Euch vor der Entscheidung für eine Cloud über die Sicherheitsmaßnahmen des jeweiligen Dienstes informieren.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet in der Broschüre zur „Sicheren Nutzung von Cloud-Diensten“ ebenfalls hilfreiche Informationen für interessierte Start-ups.

Wichtig ist auch das Vergleichen von Cloud-Anbietern. Verschlüsselungen und Anonymisierungen sollten zum Beispiel immer Teil des Pakets sein. Außerdem besitzen sichere Dienste ein entsprechendes Zertifikat, zum Beispiel von Trusted Cloud.

Datenschutzrechtliche Anforderungen

(Foto: Franki Chamaki via unsplash.com)

Wenn Ihr die Daten Eures Unternehmens in einer Cloud bereitstellen wollt, handelt es sich rechtlich gesehen auch stets um eine Auftragsdatenverarbeitung (ADV). Daher müsst Ihr im Rahmen des Bundesdatenschutzgesetzes (BDSG) einige Aspekte berücksichtigen.

So bleibt Ihr als Nutzer der Cloud dafür verantwortlich, dass die Vorgaben zur Datensicherheit eingehalten werden. Das bedeutet, dass im Falle von Datenschutzverstößen Ihr für diese haftbar gemacht werdet und nicht der Cloud-Anbieter.

Wenn Ihr personenbezogene Daten von Mitarbeitern oder Kunden auslagern wollt, solltet Ihr bei der Wahl der richtigen Cloud also besonders vorsichtig sein.

Auch die internen Zugriffe auf solche Daten solltet Ihr in Eurem Unternehmen möglichst gering halten, um die Wahrscheinlichkeit eines Datenlecks zu reduzieren.

Vertrag zur Auftragsdatenverarbeitung

Laut § 62 des neuen Bundesdatenschutzgesetzes (BDSG) müsst Ihr außerdem einen Vertrag zur Auftragsdatenverarbeitung mit dem Cloud-Anbieter abschließen. Darin sind zum Beispiel die Regelungen zur Löschung der Daten nach der Auftragsbeendigung sowie Eure Kontrollrechte aufzuführen.

Problematisch wird es allerdings, wenn der Cloud-Anbieter die Daten außerhalb der EU bzw. des Europäischen Wirtschaftsraums (EWR) speichert, denn dann reicht den Aufsichtsbehörden ein ADV-Vertrag allein nicht mehr aus.

Es bedarf zusätzlich einer Rechtsgrundlage für die Datenübermittlung sowie des Privacy Shield-Zeritifkats für ein adäquates Datenschutzniveau. Aus diesem Grund empfehlen wir Euch bei der Auswahl der Cloud-Dienste auf solche zurückzugreifen, die ihre Rechenzentren in der EU bzw. dem EWR besitzen.


Der Berufsverband der Rechtsjournalisten e.V. bietet Euch auf seiner kostenfreien Ratgeberseite www.datenschutz.org weitere Informationen zum Thema Datenschutz in der Cloud sowie zu ähnlichen Inhalten rund um den Datenschutz.

Geschrieben von
Gastautor
Alle Artikel ansehen
Hinterlasse einen Kommentar

* Die Checkbox für die Zustimmung zur Speicherung ist nach DSGVO zwingend.

Ich stimme zu.

Geschrieben von Gastautor