GDPR - cloud service security

Wann ist ein Cloud-Dienst DSGVO-konform?

Cloud service e GDPR

Große Unternehmen arbeiten sinnvollerweise mit ERP-Systemen und speichern ihre Daten in der Cloud. Das effektive, schnelle und kostensparende Arbeiten könnte aber zu Lasten der Sicherheit gehen. Denn die Server, auf denen die Daten in der Cloud gespeichert werden, stehen oft im Ausland und unterliegen nicht den strengen deutschen Datenschutzbedingungen. Das ist aber nur einer der wichtigen Punkte, die du bei der Arbeit mit der Cloud hinsichtlich des Datenschutzes achten musst.

Welche Voraussetzungen müssen gegeben sein, damit die Cloud sicher ist und sind die Cloud-Dienste überhaupt DSGVO-konform?

Vor- und Nachteile der Cloud

Bevor wir schauen, wann die Cloud-Dienste DSGVO-konform sind, sollten wir zunächst einmal schauen, was einen solchen Dienst ausmacht. Wenn so viele Leute gerne mit der Cloud arbeiten, muss sie auch sehr viele Vorteile haben, oder? Welche sind das und gibt es auch Nachteile und Risiken?

Die Vor- und Nachteile der Cloud unterscheiden sich leicht bei privaten Nutzern und großen Firmen. Da er hier um deine Firma geht, beschränken wir uns darauf.  Ganz klar kannst du durch die Clouddienste enorm viel Geld einsparen und zwar im Bereich der Dienstleistungen, Personal und Hardware. Du bezahlst für die Cloud-Dienste monatlich einen überschaubaren Betrag und hast zudem keine internen Kosten für Wartung oder Server und eigenes Personal, da dies vom Dienstleister erledigt wird. Und deine Software ist stets auf dem neusten Stand.

Nachteilig ist, dass du völlig vom Anbieter abhängig bist, der dich im Falle einer Insolvenz mit in den Abgrund reißen würde. Auch was den Service angeht, musst du hoffen, dass du stets jemanden erreichen kannst, der dir weiterhilft. Ein weiterer Problempunkt könnte die Internetanbindung sein. Wenn du schlechte Leitungen hast, wird die Verbindung unzuverlässig und ohne Daten kannst du nicht arbeiten. Auch ist unklar, ob du zuvor noch aufwendig deine vorhandenen IT-Systeme der Software des Anbieters anpassen musst. Das größte Risiko ist jedoch der Datenschutz, wenn der Server im Ausland steht und nicht an die DSGVO gebunden ist.

Hilfreich: auch der Cloud-Dienst muss DSGVO-konform arbeiten

Nicht nur du, sondern auch der deutsche oder europäische Cloud-Anbieter ist an die DSGVO gebunden. Das ist für dich ein Vorteil, da er von sich aus bereits technisch und organisatorisch dafür sorgt, dass alle seine Prozesse und somit auch das Endprodukt DSGVO-konform sind. Wenn du einen solchen Cloud-Dienst in Anspruch nimmst, dann bist du auf der sicheren Seite.

Worauf achten die Cloud-Dienste?

Genau wie du müssen die Cloud-Dienste vor allem auf Artikel 5 DSGVO achten, in dem geregelt ist, dass die Betroffenen der Verarbeitung personenbezogener Daten zuvor zugestimmt haben müssen. Außerdem muss die Verarbeitung so transparent sein, dass sie für die Betroffenen nachvollziehbar ist.

Dazu kommt, dass die Cloud-Dienste nach Artikel 32 DSGVO stets auf dem neusten Stand der Technik sind. Sie müssen ihre Programme und Prozesse laufend optimieren, verbessern und anpassen, um die höchstmögliche Sicherheit zu gewährleisten.

Damit die Nutzer auch gut mit dem Programm klarkommen können, muss der Anbieter auf „Privacy by Design“ und „Privacy by Default“ achten. Diese sind in Artikel 25 DSGVO vorgeschrieben und bedeuten, dass die Einstellungen des Programmes nicht nur datenschutzfreundlich, sondern auch nutzerfreundlich sein müssen. (Ausführliche Infos zu diesem Thema findest du übrigens in unserem Artikel „DSGVO – einmal umgesetzt, alles erledigt?“)

Wer ist verantwortlich für die Verarbeitung der Daten in der Cloud?

Du darfst nicht den Fehler machen, zu denken, dass der Cloud-Dienst schon alles geregelt haben wird und du ihm im Zweifelsfall die Schuld für eine Datenpanne geben darfst. Das ist leider nicht der Fall. Denn wenn es um die Verantwortung geht, dann bist du genauso wie der Cloud-Anbieter in der Pflicht, dass die DSGVO eingehalten wird.

Aus Artikel 5, Artikel 28, Artikel 30 und Artikel 35 der DSGVO ergeben sich Rechenschaftspflichten, nach denen du als Cloud-Nutzer dafür verantwortlich bist, dass alle hier geregelten Anforderungen eingehalten werden! Und das musst du sogar schon im Vorfeld nachweisen können. Dazu gehört es beispielsweise auch, dass du die Verarbeitung deiner Daten in der Cloud in das Verzeichnis deiner Verarbeitungstätigkeiten aufnimmst. Im Zweifelsfall musst du diese Cloud-Verarbeitung dann auch mittels einer Risikoanalyse (der Datenschutz-Folgenabschätzung) prüfen und geeignete Maßnahmen ergreifen, um das Risiko zu minimieren.

Wenn du einen Cloud-Dienst nutzen möchtest, dann geschieht das nicht nur auf Zuruf, sondern du musst als Nutzer der Dienstleistung dem Cloud-Anbieter einen offiziellen Auftrag dazu erteilen, deine Daten (und damit die deiner Kunden und Lieferanten) zu verarbeiten (Artikel 28 DSGVO). Über die Vereinbarung zur Auftragsverarbeitung kannst du dich absichern, dass der Cloud-Anbieter ebenfalls alle DSGVO-Anforderungen erfüllt. Und im Rahmen dessen muss er dir auch alle notwendigen Informationen zur Verfügung stellen, mit denen er nachweisen kann, dass er alle Regelungen einhält.

Wichtig für dich: nur mit zertifizierten Cloud-Anbietern arbeiten!

Wenn du dich auf die Suche nach einem geeigneten Partner begibst, dann achte darauf, dass du nur mit einem zertifizierten Cloud-Dienst zusammenarbeitest. Du kannst zwar viele Vereinbarungen abschließen, aber wirklich sicher kannst du dir trotzdem nicht sein, ob das Unternehmen sich danach richtet. Da ist es hilfreich, wenn du dir ein Zertifikat zeigen lässt, das beweist, dass der Cloud-Dienst ein „genehmigtes Zertifizierungsverfahren nach Artikel 42“ bestanden hat. (Mehr über das Verfahren erfährst du in unserem Artikel „Pflichterfüllung durch Beachtung der Verhaltensregeln und Zertifizierung“)

Welche Alternativen zur Cloud gibt es?

Trotz des Risikos ist eine Cloud wirklich eine praktische und gute Lösung. Es gibt sogar einen lobenswerten Datenaustauschdienst (iDGARD von Uniscon), der die DSGVO-Anforderungen erfüllt.

Cloud security

Falls du dennoch keinen Cloud-Dienst in Anspruch nehmen möchtest (mit einem deutschen bist du auf der sicheren Seite), dann bleiben dir als Alternative nur USB-Sticks, externe Festplatten oder eine Private Cloud über ein firmeninternes Intranet.

Worauf du im Einzelfall zurückgreifen solltest, hängt von deinem Unternehmen und deinen Prozessen ab. Die gewählte Lösung muss sich für dich anbieten und stimmig sein, ohne die Abläufe zu verkomplizieren oder den Datenschutz zu gefährden. Denn USB-Sticks und externe Festplatten sind eher kurzfristige Speichermedien, auf denen die Daten nicht unbegrenzt sicher sind.

Da der Datenschutz und die Arbeit mit der Cloud eng mit deinen Prozessen verknüpft ist, hilft dir unser Expertenteam von WB Trade-IT gerne weiter, deine Prozesse und den Datenschutz mit der DSGVO abzustimmen.