Datenschutz bei Cloud Servern und SaaS | DSGVO-konforme Anbieter 2020

Datenschutz verstehen –  Datenschutz bei Cloud Servern und SaaS | DSGVO-konforme Anbieter 2020

Datenschutz Cloud Server
Zusammenfassung
  1. Bei der Nutzung von Cloud-Services handelt es sich sehr häufig um eine Übermittlung von personenbezogenen Daten an die jeweiligen Dienste.
  2. Cloud-Anbieter müssen erhebliche Anforderungen bezüglich des Datenschutzes erfüllen, da jede Anwendung, die personenbezogenen Daten verarbeitet, standardmäßig datenschutzfreundliche Voreinstellungen beinhalten muss.
  3. Durch die Auslagerung von Datenverarbeitungsprozessen des Auftraggebers an externe Dienstleister wird ein Auftragsverarbeitungsvertrag notwendig.
  4. Das Rechenzentrum zur Auslagerung bestimmter Prozesse darf sich datenschutzrechtlich sowohl in Deutschland als auch in anderen europäischen Mitgliedstaaten befinden.
  5. Ein Rechenzentrum mit dem Standort USA ist durch das EU-US Privacy Shield datenschutzkonform zu nutzen.
  6. Wird jedoch ein US-amerikanischer Cloud-Provider genutzt, ist dieser zur Datenweitergabe an die USA verpflichtet und damit nicht mehr DSGVO-konform.
Keine Lust zu lesen?

Wir stellen Ihnen die wichtigsten Informationen aus diesem Beitrag kompakt in einem kurzen Video zusammen.

PlayPlay

Bei einer datenschutzkonformen Optimierung eines Unternehmens bekommt man schnell den Eindruck, dass alles versucht wird sich gegen einen Cloud Server zu entscheiden. Die Gründe hierfür liegen nicht selten in einer generellen Unsicherheit bezüglich der Rechtsgrundlage als auch in dem traditionellen Verlangen vieler deutscher Unternehmen nach einer lokalen Datensicherung und Datenhaltung. Schade, denn sowohl datenschutzrechtlich als auch technisch ergeben sich durch die Auslagerung der IT-Infrastruktur oftmals Vorteile für die Unternehmen. Die Auswahl des Cloud-Dienstleisters spielt selbstverständlich eine wichtige Rolle. Den die notwendige Datensicherheit ist leider nicht bei jedem Dienstleister gegeben. Erfahren Sie im Folgenden wie Sie Ihre IT sicher, performant und rechtlich konform aufstellen.

Inhalt:

TOM DSGVO
 

Was sind Cloud Server?

Ein Cloud-Server ist eine leistungsstarke physische oder virtuelle Infrastrukturkomponente, die Anwendungen ausführt und Informationen verarbeitet. Cloud-Server werden mithilfe von Virtualisierungssoftware erstellt, um einen physischen Server in mehrere virtuelle Server aufzuteilen. Sogenannte Cloud-Dienstleister stellen also Leistung und Kapazität zur Verfügung in Form von Infrastruktur, welche in Rechenzentren betrieben wird. Oftmals sind diese Rechenzentren nach der ISO27001 zertifiziert. Das erleichtert übrigens auch die ISO27001 Zertifizierung der Kunden, welche Leistungen aus dem Rechenzentrum beziehen. 

Wenn sich ein Unternehmen dafür entscheidet, ihre lokale IT-Infrastruktur in ein Rechenzentrum zu verlagern, dann werden zunächst die Cloud-Server eines Unternehmen vernetzt, um eine unterbrechungsfreie Kommunikation und schnelle Implementierung sicherzustellen. Eine zentrale Übersicht sorgt für die Kontrolle und Ausfallsicherheit. Der große Vorteil hierbei ist, dass die Mitarbeiter die Verarbeitungs- und Speicherressourcen an ihre sich ändernden Anforderungen anpassen. Dies ist besonders hilfreich für Unternehmen mit wechselnden Anforderungen und gerade im Hinblick auf den digitalen Arbeitsplatz unabdingbar. 

Die Vorteile von Cloud-Servern:

Zeitnahe Skalierbarkeit der IT-Leistungen

Gesteigerte organisatorische Flexibilität

Reduzierter IT-Administrationsaufwand

Keine Investitionskosten für Server-Hardware

Permanenter Zugriff auf geografisch verteilte IT-Ressourcen

Erhöhung der Datensicherheit durch Cloud Computing

Bessere Performance – erhöhte Datenverfügbarkeit

Schnelle, günstige Implementierung neuer Anwendungen

 

Wo dürfen Cloud-Server stehen?

Mittlerweile gibt es eine Vielzahl Cloud-Service-Provider, welche ein Rechenzentrum eingerichtet haben, mit Sitz in den USA, in der EU und insbesondere Deutschland. Die Cloud-Dienstleister bieten ihrer Kundschaft an, dass deren Daten online gespeichert werden können unter Berücksichtigung der Artikel 32 DSGVO Maßgaben (Sicherheit der Technik).

Das hat den Vorteil, dass die Vorgaben der Datenschutz-Grundverordnung eingehalten werden und keine zusätzlichen Nachweise erbracht werden müssen bzw. die Nachweise des Rechenzentrums auch für die Nachweispflichten der Kunden genutzt werden können. Rein rechtlich ist es nicht von großer Bedeutung, ob das Rechenzentrum in einem europäischen Mitgliedsstaat steht oder in Deutschland selbst. Jüngste Ereignisse (Brexit) haben allerdings gezeigt, dass es durch europarechtliche Probleme und Konflikte, eben doch sinnvoll sein kann einen Standort in Deutschland zu wählen.

Serverstandort USA

Die US-amerikanische Bundesregierung und die EU haben das EU-US Privacy Shield-Datenschutzübereinkommen vereinbart. Allerdings sind diese Datenschutzübereinkommen und die damit zugesagten Garantien der USA-Regierung gegenüber der Europäischen Union keine stabile Rechtsgrundlage. Ähnliche Abkommen wie “Safe Harbor” wurden gerichtlich schon außer Kraft gesetzt. Zur Folge hätte dies, dass bestehende Auftragsverarbeitungs-Verträge an die dann neue Situation angepasst werden müssen. Ebenfalls zu berücksichtigen ist die Tatsache, dass solche Garantien nicht dem US-Recht überwiegen und daher bei einem Politikwechsel gekippt werden können. 

Hinzu kommt, dass Zugriffe aus der USA von Unternehmen nach aktueller Rechtslage ausgeschlossen werden können, wenn sie keinen US-amerikanischen Cloud-Provider nutzen. Denn mit dem CLOUDAct räumen sich die USA das Recht ein, personenbezogene Daten aus der Cloud bei Ermittlungen auch außerhalb der USA einzufordern. Die USA verpflichten damit US-Unternehmen zur Datenweitergabe – selbst dann, wenn die betreffenden Daten gar nicht in den USA, sondern in einem europäischen Rechenzentrum gespeichert sind. Das widerspricht jedoch den Vorschriften der DSGVO.

 

Was ist SaaS?

Software-as-a-Service (SaaS) ist ein Lizenz- und Vertriebsmodell, mit dem Software-Anwendungen über das Internet, d.h. als Cloud-Service, angeboten werden. Bevor es Möglichkeiten wie SaaS gab, waren Unternehmen von Software abhängig, die sie im Paket auf interner Hardware installieren mussten. Das bedeutete hoher Aufwand für die interne IT, eine hohe Investitionssumme und das Risiko, dass die Software sich nicht amortisiert. Software-as-a-Service ist jedoch heutzutage nur eine von vielen Möglichkeiten, wie Cloud-Services für die Optimierung der IT in Unternehmen eingesetzt werden kann. „Als Service“ sind unter anderem erhältlich:

Infrastructure-as-a-Service (IaaS)

Hier hostet der Anbieter Hardware, Software, Speicherplatz und weitere Infrastruktur-Komponenten.

Platform-as-a-Service (PaaS)

Damit kann der Kunde Anwendungen entwickeln, betreiben und verwalten, ohne selbst über die Infrastruktur für die Entwicklung und Einführung einer App zu verfügen.

Managed Software-as-a-Service (MSaaS)

Hierbei werden Anwendungen von IT-Experten unterstützt und gepflegt.

Desktop-as-a-Service (DaaS)

Hier wird eine virtuelle Desktop-Infrastruktur an einen Drittanbieter ausgelagert.

MDatabase-as-a-Service (DBaaS)

Nutzer können auf eine Datenbank zugreifen, ohne sie selbst herunterzuladen oder zu hosten.

Security-as-a-Service (SECaaS)

Hierbei ermöglicht ein Serviceanbieter über ein Abonnement die Nutzung seiner Sicherheitsdienste.

Everything-as-a-Service (XaaS)

Hierbei handelt es sich im Grunde genommen um ein Paket aus allen „as-a-Service“-Tools

Die Vielzahl solcher Lösungen erscheint unvorstellbar. Es reicht von klassischen CRM-Systemen über Software für den Kreativbereich bis hin zu einfachen Office-Lösungen. Zugleich ist im Feld der ERP-Software (vor allem Business Intelligence Lösungen) ein starkes Wachstum festzustellen. Hier einige Beispiele für weit verbreitete Lösungen aus dem Software-as-a-Service Bereich:

  • Slack (Business Messenger)
  • Google (Google Docs oder Gmail)
  • Microsoft (Office 365)
  • Adobe (Illustrator oder Photoshop)
  • Salesforce (Community Cloud)
 

Datenschutz für Cloud Server und SaaS in Unternehmen

Datenschutz ist deshalb bei Cloud-Services so wichtig, da es sich bei diesen Diensten sehr oft um eine Übermittlung von personenbezogene Daten handelt. Es fängt bei der Anmeldung einer Person an und endet in komplexen Verarbeitungen von Endkundendaten. Immer dann wenn personenbezogene Daten verarbeitet werden, dann müssen die datenschutzrechtlichen Anforderungen wie die Datenschutz-Grundverordnung und das Bundesdatenschutzgesetz eingehalten werden. 

Die Cloud-Anbieter müssen erhebliche Anforderungen erfüllen. Unternehmen wie etwa Software-Hersteller müssen bei der Speicherung personenbezogener Daten sicherstellen, dass betroffene Personen i.d.R. Mitarbeiter, Lieferanten oder Endkunden nur so lange identifiziert werden können, wie es für die Zwecke der Datenverarbeitung erforderlich ist. Sonst reichen die in Artikel 6 (1) DSGVO normierten Rechtsgrundlagen nicht aus als Erlaubnistatbestand für die Verarbeitung. 

Personenbezogene Daten

Eine abschließende Zusammenfassung lässt sich kaum bewältigen. Im Folgenden jedoch eine Liste entsprechender Daten, welche oft im Zusammenhang mit Cloud-Services genutzt werden:

  • allgemeine Personendaten (Name, Geburtsdatum und Alter, Geburtsort, Anschrift, E-Mail-Adresse, Telefonnummer usf.)
  • Kennnummern (Sozialversicherungsnummer, Steueridentifikationsnummer, Nummer bei der Krankenversicherung, Personalausweisnummer, Matrikelnummer usf.)
  • Bankdaten (Kontonummern, Kreditinformationen, Kontostände usf.)
  • Online-Daten (IP-Adresse, Standortdaten usf.)
  • Physische Merkmale (Geschlecht, Haut-, Haar- und Augenfarbe, Statur, Kleidergröße usf.)
  • Besitzmerkmale (Fahrzeug- und Immobilieneigentum, Grundbucheintragungen, Kfz-Kennzeichen, Zulassungsdaten usf.)
  • Kundendaten (Bestellungen, Adressdaten, Kontodaten usf.)
  • Werturteile (Schul- und Arbeitszeugnisse usf.)

Ganz besonders zu beachten für Softwareentwickler ist der Artikel 25 DSGVO und somit die Grundsätze „Privacy by Design“ und „Privacy by Default“ einzuhalten und damit Datenschutzanforderungen standardmäßig vorab in Prozesse und Produkte zu integrieren. Dies betrifft direkt die Software-Entwicklung, denn jede Anwendung, die personenbezogenen Daten verarbeitet, muss standardmäßig datenschutzfreundliche Voreinstellungen beinhalten. Ebenso müssen Möglichkeiten für die Erfüllung der Rechte von Betroffenen nach Artikel 15 – 21 DSGVO standardmäßig berücksichtigt sein, wie zum Beispiel das Recht auf Vergessen werden nach Artikel 17 DSGVO. Anstatt die Risiken und Anforderungen alleine zu bewältigen, die beim Aufbau eines Cloud-Services entstehen können, bietet es sich für Software-Hersteller und Softwarehäuser an, mit einem zertifizierten Partner aus dem Bereich Datenschutz diesen Prozess zu durchlaufen. 

 

Auftragsverarbeitung Cloud-Service

Auftragsverarbeitung, das Auslagern von Datenverarbeitungsprozessen durch den Auftraggeber auf externe Dienstleister, ist ein häufiges Mittel zur Kostensenkung und der Nutzung von externem Know How. Die Nutzung von Cloud-Services fällt oftmals in diesen Bereich. Wichtig ist zunächst, dass ein Unternehmen, welches einen Cloud-Dienstleister beauftragt personenbezogene Daten im Auftrag des Unternehmens zu verarbeiten, nach Art. 28 DSGVO zwingend einen Vertrag mit dem Auftragnehmer schließen muss. Dieser Vertrag muss inhaltlich den Vorgaben des Art. 28 Abs. 3 DSGVO genügen. Im Gegensatz zur früheren Rechtslage legt die DSGVO dem Verantwortlichen und dem Auftragsverarbeiter (nicht mehr Auftragsdatenverarbeiter) mehr Pflichten auf, vgl Art. 28 DSGVO. Noch stärker als früher sind die Beteiligten gehalten, die Frage zu klären, ob die geplante Auftragsverarbeitung überhaupt sicher ist.

Denn wer dieser zentralen Ausgangsfrage keine Bedeutung beimisst, wird die Rechtmäßigkeit der Verarbeitung nicht gewährleisten können und riskiert mitunter deutliche höhere Bußgelder.

Es sollten Maßnahmen vereinbart werden, welche mindestens die folgenden Punkte absichert:

  • die Pseudonymisierung und Verschlüsselung von personenbezogenen Daten
  • die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste
  • die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen
  • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung

Bei der Beurteilung des angemessenen Schutzniveaus vom Auftragnehmer sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung – verbunden sind.

Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der technischen und organisatorischen Maßnahmen nachzuweisen. Dennoch sollte immer ein Datenschutzbeauftragter in diesem Prozess involviert werden, da es hier viele Haftungsrisiken zu beachten gibt.

Wie finde ich den richtigen Anbieter?

Durch die Vielzahl der Angebote im Bereich Cloud-Service, verliert man oft den Überblick, welche Anbieter die Vorgaben des Datenschutzes einhalten und welche Anbieter hiergegen verstoßen. Als Datenschutzbeauftragte können wir Ihnen raten, dass Sie sich über Audit-Berichte (intern oder extern) einen klaren Überblick verschaffen, welche Maßnahmen der zukünftigen Cloud-Dienstleister für den Schutz Ihrer Daten umsetzt. Zu dem ist es wichtig, dass Sie den zu schließenden Auftragsverarbeitungs-Vertrag im Detail prüfen, da es hier zu bei unachtsamer Vorabprüfung zu hohen Bußgeldern kommen kann, wenn der Cloud-Dienstleister eine Datenpanne verursacht. Welche Strafen Ihnen im Zweifelsfall drohen erfahren Sie hier.

Menü