Datenschutz verstehen – Datenschutz bei Cloud Servern und SaaS | DSGVO-konforme Anbieter 2020
Bei einer datenschutzkonformen Optimierung eines Unternehmens bekommt man schnell den Eindruck, dass alles versucht wird sich gegen einen Cloud Server zu entscheiden. Die Gründe hierfür liegen nicht selten in einer generellen Unsicherheit bezüglich der Rechtsgrundlage als auch in dem traditionellen Verlangen vieler deutscher Unternehmen nach einer lokalen Datensicherung und Datenhaltung. Schade, denn sowohl datenschutzrechtlich als auch technisch ergeben sich durch die Auslagerung der IT-Infrastruktur oftmals Vorteile für die Unternehmen. Die Auswahl des Cloud-Dienstleisters spielt selbstverständlich eine wichtige Rolle. Den die notwendige Datensicherheit ist leider nicht bei jedem Dienstleister gegeben. Erfahren Sie im Folgenden wie Sie Ihre IT sicher, performant und rechtlich konform aufstellen.
Was sind Cloud Server?
Ein Cloud-Server ist eine leistungsstarke physische oder virtuelle Infrastrukturkomponente, die Anwendungen ausführt und Informationen verarbeitet. Cloud-Server werden mithilfe von Virtualisierungssoftware erstellt, um einen physischen Server in mehrere virtuelle Server aufzuteilen. Sogenannte Cloud-Dienstleister stellen also Leistung und Kapazität zur Verfügung in Form von Infrastruktur, welche in Rechenzentren betrieben wird. Oftmals sind diese Rechenzentren nach der ISO27001 zertifiziert. Das erleichtert übrigens auch die ISO27001 Zertifizierung der Kunden, welche Leistungen aus dem Rechenzentrum beziehen.
Wenn sich ein Unternehmen dafür entscheidet, ihre lokale IT-Infrastruktur in ein Rechenzentrum zu verlagern, dann werden zunächst die Cloud-Server eines Unternehmen vernetzt, um eine unterbrechungsfreie Kommunikation und schnelle Implementierung sicherzustellen. Eine zentrale Übersicht sorgt für die Kontrolle und Ausfallsicherheit. Der große Vorteil hierbei ist, dass die Mitarbeiter die Verarbeitungs- und Speicherressourcen an ihre sich ändernden Anforderungen anpassen. Dies ist besonders hilfreich für Unternehmen mit wechselnden Anforderungen und gerade im Hinblick auf den digitalen Arbeitsplatz unabdingbar.
Die Vorteile von Cloud-Servern:
Wo dürfen Cloud-Server stehen?
Mittlerweile gibt es eine Vielzahl Cloud-Service-Provider, welche ein Rechenzentrum eingerichtet haben, mit Sitz in den USA, in der EU und insbesondere Deutschland. Die Cloud-Dienstleister bieten ihrer Kundschaft an, dass deren Daten online gespeichert werden können unter Berücksichtigung der Artikel 32 DSGVO Maßgaben (Sicherheit der Technik).
Das hat den Vorteil, dass die Vorgaben der Datenschutz-Grundverordnung eingehalten werden und keine zusätzlichen Nachweise erbracht werden müssen bzw. die Nachweise des Rechenzentrums auch für die Nachweispflichten der Kunden genutzt werden können. Rein rechtlich ist es nicht von großer Bedeutung, ob das Rechenzentrum in einem europäischen Mitgliedsstaat steht oder in Deutschland selbst. Jüngste Ereignisse (Brexit) haben allerdings gezeigt, dass es durch europarechtliche Probleme und Konflikte, eben doch sinnvoll sein kann einen Standort in Deutschland zu wählen.
Serverstandort USA
Die US-amerikanische Bundesregierung und die EU haben das EU-US Privacy Shield-Datenschutzübereinkommen vereinbart. Allerdings sind diese Datenschutzübereinkommen und die damit zugesagten Garantien der USA-Regierung gegenüber der Europäischen Union keine stabile Rechtsgrundlage. Ähnliche Abkommen wie “Safe Harbor” wurden gerichtlich schon außer Kraft gesetzt. Zur Folge hätte dies, dass bestehende Auftragsverarbeitungs-Verträge an die dann neue Situation angepasst werden müssen. Ebenfalls zu berücksichtigen ist die Tatsache, dass solche Garantien nicht dem US-Recht überwiegen und daher bei einem Politikwechsel gekippt werden können.
Hinzu kommt, dass Zugriffe aus der USA von Unternehmen nach aktueller Rechtslage ausgeschlossen werden können, wenn sie keinen US-amerikanischen Cloud-Provider nutzen. Denn mit dem CLOUDAct räumen sich die USA das Recht ein, personenbezogene Daten aus der Cloud bei Ermittlungen auch außerhalb der USA einzufordern. Die USA verpflichten damit US-Unternehmen zur Datenweitergabe – selbst dann, wenn die betreffenden Daten gar nicht in den USA, sondern in einem europäischen Rechenzentrum gespeichert sind. Das widerspricht jedoch den Vorschriften der DSGVO.
Was ist SaaS?
Software-as-a-Service (SaaS) ist ein Lizenz- und Vertriebsmodell, mit dem Software-Anwendungen über das Internet, d.h. als Cloud-Service, angeboten werden. Bevor es Möglichkeiten wie SaaS gab, waren Unternehmen von Software abhängig, die sie im Paket auf interner Hardware installieren mussten. Das bedeutete hoher Aufwand für die interne IT, eine hohe Investitionssumme und das Risiko, dass die Software sich nicht amortisiert. Software-as-a-Service ist jedoch heutzutage nur eine von vielen Möglichkeiten, wie Cloud-Services für die Optimierung der IT in Unternehmen eingesetzt werden kann. „Als Service“ sind unter anderem erhältlich:
Die Vielzahl solcher Lösungen erscheint unvorstellbar. Es reicht von klassischen CRM-Systemen über Software für den Kreativbereich bis hin zu einfachen Office-Lösungen. Zugleich ist im Feld der ERP-Software (vor allem Business Intelligence Lösungen) ein starkes Wachstum festzustellen. Hier einige Beispiele für weit verbreitete Lösungen aus dem Software-as-a-Service Bereich:
- Slack (Business Messenger)
- Google (Google Docs oder Gmail)
- Microsoft (Office 365)
- Adobe (Illustrator oder Photoshop)
- Salesforce (Community Cloud)
Datenschutz für Cloud Server und SaaS in Unternehmen
Datenschutz ist deshalb bei Cloud-Services so wichtig, da es sich bei diesen Diensten sehr oft um eine Übermittlung von personenbezogene Daten handelt. Es fängt bei der Anmeldung einer Person an und endet in komplexen Verarbeitungen von Endkundendaten. Immer dann wenn personenbezogene Daten verarbeitet werden, dann müssen die datenschutzrechtlichen Anforderungen wie die Datenschutz-Grundverordnung und das Bundesdatenschutzgesetz eingehalten werden.
Die Cloud-Anbieter müssen erhebliche Anforderungen erfüllen. Unternehmen wie etwa Software-Hersteller müssen bei der Speicherung personenbezogener Daten sicherstellen, dass betroffene Personen i.d.R. Mitarbeiter, Lieferanten oder Endkunden nur so lange identifiziert werden können, wie es für die Zwecke der Datenverarbeitung erforderlich ist. Sonst reichen die in Artikel 6 (1) DSGVO normierten Rechtsgrundlagen nicht aus als Erlaubnistatbestand für die Verarbeitung.
Personenbezogene Daten
Eine abschließende Zusammenfassung lässt sich kaum bewältigen. Im Folgenden jedoch eine Liste entsprechender Daten, welche oft im Zusammenhang mit Cloud-Services genutzt werden:
- allgemeine Personendaten (Name, Geburtsdatum und Alter, Geburtsort, Anschrift, E-Mail-Adresse, Telefonnummer usf.)
- Kennnummern (Sozialversicherungsnummer, Steueridentifikationsnummer, Nummer bei der Krankenversicherung, Personalausweisnummer, Matrikelnummer usf.)
- Bankdaten (Kontonummern, Kreditinformationen, Kontostände usf.)
- Online-Daten (IP-Adresse, Standortdaten usf.)
- Physische Merkmale (Geschlecht, Haut-, Haar- und Augenfarbe, Statur, Kleidergröße usf.)
- Besitzmerkmale (Fahrzeug- und Immobilieneigentum, Grundbucheintragungen, Kfz-Kennzeichen, Zulassungsdaten usf.)
- Kundendaten (Bestellungen, Adressdaten, Kontodaten usf.)
- Werturteile (Schul- und Arbeitszeugnisse usf.)
Ganz besonders zu beachten für Softwareentwickler ist der Artikel 25 DSGVO und somit die Grundsätze „Privacy by Design“ und „Privacy by Default“ einzuhalten und damit Datenschutzanforderungen standardmäßig vorab in Prozesse und Produkte zu integrieren. Dies betrifft direkt die Software-Entwicklung, denn jede Anwendung, die personenbezogenen Daten verarbeitet, muss standardmäßig datenschutzfreundliche Voreinstellungen beinhalten. Ebenso müssen Möglichkeiten für die Erfüllung der Rechte von Betroffenen nach Artikel 15 – 21 DSGVO standardmäßig berücksichtigt sein, wie zum Beispiel das Recht auf Vergessen werden nach Artikel 17 DSGVO. Anstatt die Risiken und Anforderungen alleine zu bewältigen, die beim Aufbau eines Cloud-Services entstehen können, bietet es sich für Software-Hersteller und Softwarehäuser an, mit einem zertifizierten Partner aus dem Bereich Datenschutz diesen Prozess zu durchlaufen.
Auftragsverarbeitung Cloud-Service
Auftragsverarbeitung, das Auslagern von Datenverarbeitungsprozessen durch den Auftraggeber auf externe Dienstleister, ist ein häufiges Mittel zur Kostensenkung und der Nutzung von externem Know How. Die Nutzung von Cloud-Services fällt oftmals in diesen Bereich. Wichtig ist zunächst, dass ein Unternehmen, welches einen Cloud-Dienstleister beauftragt personenbezogene Daten im Auftrag des Unternehmens zu verarbeiten, nach Art. 28 DSGVO zwingend einen Vertrag mit dem Auftragnehmer schließen muss. Dieser Vertrag muss inhaltlich den Vorgaben des Art. 28 Abs. 3 DSGVO genügen. Im Gegensatz zur früheren Rechtslage legt die DSGVO dem Verantwortlichen und dem Auftragsverarbeiter (nicht mehr Auftragsdatenverarbeiter) mehr Pflichten auf, vgl Art. 28 DSGVO. Noch stärker als früher sind die Beteiligten gehalten, die Frage zu klären, ob die geplante Auftragsverarbeitung überhaupt sicher ist.
Denn wer dieser zentralen Ausgangsfrage keine Bedeutung beimisst, wird die Rechtmäßigkeit der Verarbeitung nicht gewährleisten können und riskiert mitunter deutliche höhere Bußgelder.
Es sollten Maßnahmen vereinbart werden, welche mindestens die folgenden Punkte absichert:
- die Pseudonymisierung und Verschlüsselung von personenbezogenen Daten
- die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste
- die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen
- ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung
Bei der Beurteilung des angemessenen Schutzniveaus vom Auftragnehmer sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung – verbunden sind.
Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der technischen und organisatorischen Maßnahmen nachzuweisen. Dennoch sollte immer ein Datenschutzbeauftragter in diesem Prozess involviert werden, da es hier viele Haftungsrisiken zu beachten gibt.
Wie finde ich den richtigen Anbieter?
Durch die Vielzahl der Angebote im Bereich Cloud-Service, verliert man oft den Überblick, welche Anbieter die Vorgaben des Datenschutzes einhalten und welche Anbieter hiergegen verstoßen. Als Datenschutzbeauftragte können wir Ihnen raten, dass Sie sich über Audit-Berichte (intern oder extern) einen klaren Überblick verschaffen, welche Maßnahmen der zukünftigen Cloud-Dienstleister für den Schutz Ihrer Daten umsetzt. Zu dem ist es wichtig, dass Sie den zu schließenden Auftragsverarbeitungs-Vertrag im Detail prüfen, da es hier zu bei unachtsamer Vorabprüfung zu hohen Bußgeldern kommen kann, wenn der Cloud-Dienstleister eine Datenpanne verursacht. Welche Strafen Ihnen im Zweifelsfall drohen erfahren Sie hier.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.