vetalio heißt jetzt trusted: Mehr Infos dazu in unserer Pressemeldung

Cloud Computing und Datenschutz - auf was Unternehmen achten sollten

Cloud-Services werden immer beliebter, aber trotzdem haben viele Unternehmen noch Bedenken, ob die Informationssicherheit und der Datenschutz wirklich gewährleistet sind. Unser Partner im Bereich Datenschutz - dieISiCO Datenschutz GmbH aus Berlin - hat für Sie die wichtigsten Punkte zusammengefasst, auf die Sie im Zusammenhang mit Cloud Computing und Datenschutz achten sollten. Weitere Informationen zur ISiCO Datenschutz GmbH finden sie auf der Profilseite.

Herausforderungen und Chancen in der Cloud

Digitale Leistungen müssen heute überall abrufbar sein und in immer gleicher Qualität vorliegen- zumindest erwarten das Privatkunden und Unternehmen gleichermaßen. Dabei spielt Cloud Computing eine immer wichtigere Rolle und könnte in Zukunft die ständige Verfügbarkeit von digitalen Leistungen gewährleisten. Laut einer aktuellen Studie der Experton Group im Auftrag des Branchenverbands BITKOM wird der Cloud-Umsatz mit Geschäftskunden und Privatverbrauchern 2015 auf 13 Milliarden Euro zulegen. Dann werden etwa 10 Prozent der gesamten IT-Ausgaben in Deutschland auf diese Technologie entfallen – und damit ist sicherlich erst der Anfang gemacht.

Datenschutzrechtliche Anforderungen

Trotz der verlockenden Aussichten derartiger Studien sind viele Unternehmen noch zurückhaltend und verunsichert. Hartnäckig halten sich zum Beispiel Bedenken, ob die Informationssicherheit und der Datenschutz beim Cloud Computing gewährleistet sind.

Hier ist vor allem Transparenz seitens der Cloud-Anbieter gefragt. Denn oft ist nicht bekannt, bei welchem Rechenzentrumsbetreiber die jeweiligen Daten an welchem Ort im In- oder Ausland gespeichert werden. Insbesondere dann nicht, wenn der Anbieter des Cloud Computing seine Dienstleistungen und Services etwa bei anderen Anbieter einkauft und dieses nicht transparent für den Cloud-Anwender geschieht. Das erschwert für den Anwender die Kontrolle darüber, wo auf der Welt seine Daten gerade gespeichert werden. Weiter stellt sich die Frage, welches Vertrags- und Datenschutzrecht gilt, da die Cloud nicht an geographische Grenzen gebunden ist.

Im deutschen Recht sind insbesondere Vorschriften des Bundesdatenschutzgesetzes (BDSG) zu beachten. Die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten in der Cloud ist nur zulässig, soweit das Bundesdatenschutzgesetz oder andere Rechtsvorschriften dies erlauben, anordnen oder die Betroffenen eingewilligt haben. Eine Einwilligung von allen durch die Verarbeitung tangierten Personen wird jedoch in der Praxis fast unmöglich sein.

Personenbezogene Daten sind Angaben über sachliche oder persönliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Hierunter fallen beispielsweise Name, Telefonnummer, Anschrift, sowie sämtliche Bestandsdaten, die bei der Registrierung und beim Anlegen eines Kundenkontos mitgeteilt werden.

Auch bei der Verarbeitung von nicht personenbezogenen Date n sollte auf die richtige Auswahl des Cloud-Anbieters geachtet werden. Denn es können sich besondere Regularien aus den Vorschriften der Finanzbehörden ergeben, wenn es um Daten geht, die für die Besteuerung wichtig sind. Außerdem sollte jedes Unternehmen sicherstellen, dass die Know-How und Wissensdaten richtig geschützt sind und Fremde keinen Zugriff darauf haben.

Da die Datenverarbeitung in der Cloud gerade nicht ortsgebunden ist, muss für eine datenschutzrechtliche Beurteilung und Prüfung etwa bekannt sein, wo genau der Cloud-Anbieter und Sub-Unternehmer die Daten des Cloud-Anwenders speichern werden. Der Cloud-Anwender muss daher über die möglichen Verarbeitungsorte vorab informiert werden, um prüfen zu können, ob die Datenverarbeitung durch den Cloud-Anbieter überhaupt zulässig und welche Vertragsgrundlage zu wählen ist.

Rechte und Pflichten von Anbieter und Anwender

In einer Stellungnahme (05/2012, WP 196) der Art.29-Datenschutzgruppe betont diese, dass dringend die Verantwortlichkeiten für die Datenverarbeitung in der Cloud geregelt werden müssen. Denn die meisten Probleme ergeben sich vor allem da, wo sich weder Anbieter noch Anwender verantwortlich fühlen. Die Artikel-29-Datenschutzgruppe ist das unabhängige Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes. Neben der beratenden Funktion der Gruppe, kann diese auch Empfehlungen und Stellungnahmen zu allen Fragen abgeben, welche die Verarbeitung personenbezogener Daten in der Europäischen Gemeinschaft betreffen.

So sieht die Art. 29-Datenschutzgruppe in der Regel den Cloud-Anwender in der Funktion eines Auftraggebers. Denn der Anwender regelt Zweck und Umfang der Datenverarbeitung. Somit trägt er auch die Verantwortung für eine datenschutzgerechte Verarbeitung personenbezogener Daten in der Cloud. Der Cloud-Anbieter hingegen sei weisungsgebundener Dienstleister, also Auftragnehmer. Die Daten des Auftraggebers werden also weisungsgebunden durch den Cloud-Anbieter erhoben, verarbeitet oder genutzt. Bei einem sogenannten Auftragsdatenverarbeitungsverhältnis ist es notwendig, einen entsprechenden Vertrag gemäß § 11 Bundesdatenschutzgesetz zu schließen, und den Anbieter vorab hinsichtlich der von ihm getroffenen technischen und organisatorischen Maßnahmen zum Datenschutz und Datensicherheit zu überprüfen. Gerade hier liegen die größten Herausforderungen.

Denn es wird dem Cloud-Anwender sicherlich nicht immer möglich sein, eine Vor-Ort-Prüfung durchzuführen. Trotzdem darf er sich nicht auf bloße Zusicherung des Cloud-Anbieters verlassen. Vielmehr muss er selber recherchieren, ob gesetzliche Sicherheitsstandards beim Cloud-Anbieter eingehalten werden. Hier sind die Cloud-Anbieter als auch der Gesetzgeber gefragt, einheitliche und verlässliche Standards zum Beispiel in Form von Zertifizierungen zu schaffen. Hinsichtlich des Auftragsdatenverarbeitungsvertrags ergeben sich zunächst in der Regel keine Besonderheiten, sofern die personenbezogenen Daten von dem Cloud-Anbieter innerhalb der europäischen Union oder in einem sogenannten sicheren Drittstaat (beispielsweise Argentinien, Schweiz, Kanada, Jersey, Isle of Man, Guernsey) erhoben, verarbeitet und genutzt werden.

Internationale Datenverarbeitung

Erfolgt der Datenverarbeitung allerdings außerhalb der EU und des europäischen Wirtschaftsraums (EWR), so gelten die Anforderungen der §§ 4b, 4c BDSG für den Drittstaatentransfer. Sollte in dem Drittstaat kein angemessenes Datenschutzniveau bestehen, müssen vom Cloud-Anwender als verantwortliche Stelle ausreichende Garantien zum Schutz des allgemeinen Persönlichkeitsrechts und der Ausübung der damit verbunden Rechte vorgewiesen werden. Hier sollte immer eine genaue Prüfung erfolgen, ob die Datenübermittlung rechtlich zulässig ist und die richtige Vertragsgrundlage, wie beispielsweise die EU-Standardvertragsklauseln, genutzt werden.

Einerseits birgt das Thema Cloud Computing einige rechtliche Herausforderungen, andererseits schlummert hier auch ein riesiges Wachstumspotenzial für die deutsche Wirtschaft. Dieses sollte von den Unternehmen genutzt werden, um im internationalen Vergleich markt- und konkurrenzfähig zu bleiben. Damit sind vor allem die Anbieter von Cloud Diensten gefragt, transparente Konzepte für ihre Serviceleistungen vorzulegen, um die Bedenken der Unternehmen auszuräumen. Außerdem sollten internationale Zertifizierungen von Cloud Services geschaffen werden, so dass Unternehmen besser einschätzen können, worauf sie sich einlassen.

Letzten Endes hängt der Erfolg von Cloud-Computing davon ab, wie schnell und umfassend die Cloud-Dienste die Bedenken der Nutzer ausräumen können. Wenn die „rechtlichen Lücken“ für das Cloud Computing geschlossen und die bestehenden Gesetze eingehalten werden, können sich durch Cloud Computing viele Vorteile und Chancen ergeben.

ISiCO Datenschutz GmbH

Der Artikel wurde von unserem Partner für das Thema Datenschutz - der ISiCO Datenschutz GmbH - erstellt. Die ISiCO ist ein Beratungsunternehmen für IT-Sicherheit, Datenschutz und Datenschutz-Compliance. Das Leistungsportfolio reicht von einer ersten Risikoanalyse bis hin zur Auditierung, Stellung des externen Datenschutzbeauftragten, Compliance-Beratung und Mitarbeiterschulung. Weitere Informationen und Kontaktdaten finden Sie auf der Partnerseite der ISiCO Datenschutz GmbH.

War dieser Artikel hilfreich?

Mira Martz

Jetzt Kontakt zum Redakteur aufnehmen!

Sie haben noch mehr Fragen zum Thema und möchten mit jemanden persönlich darüber sprechen? Dann kontaktieren Sie uns einfach! Wir stehen Ihnen unter presse@trusted.de für Ihre Recherchen zur Verfügung. Mehr Infos finden Sie in unserem Pressebereich.

Wir freuen uns von Ihnen zu hören!