Datenschutz und Informationssicherheit in Clouds - was gibt es zu beachten?

Informationssicherheit und Datenschutz in Clouds

Datenspeicherung verlagert sich vermehrt in Clouds, weg von lokalen Servern. Was vielen Unternehmen nicht bewusst ist: Es ist zwar praktisch, sich um kaum etwas mehr kümmern zu müssen, doch Datenschutz und Informationssicherheit müssen sie weiter selbst sicherstellen.

Cloud-Computing als Auftragsverarbeitung

Die Verantwortlichkeit für die Daten im Sinne des Art. 4 Nr. 7 DSGVO kann im Rahmen von Cloud-Computing nicht an den Provider ausgelagert werden, sondern verbleibt stets beim auftraggebenden Unternehmen. Umso wichtiger ist die gründliche Ermittlung Ihres Bedarfs, die sorgfältige Auswahl des Providers sowie ausreichende Dokumentation gemäß DSGVO.

Was ist also bei Clouds zu tun?

Zur genauen Ermittlung ihres Bedarfs müssen Unternehmen intern viele Punkte abklären, u.a. folgende: Für welche Zwecke soll man die Cloud verwenden? Welche und wie viele Daten soll man darin verarbeiten, wer benötigt hierauf Zugriff? Wie viel Sicherheit benötigen diese Daten, welche Schutzziele verfolgt das Unternehmen?

Auswahl der Anbieter für Clouds

Bei der Auswahl des Anbieters sollte man den Wert auf Zertifizierungen im Bereich der Informationssicherheit, ISO 27001, legen. Im Idealfall soll der Anbieter aber auch eine Konformität nach ISO 27017 und ISO 27018 vorweisen können. Bei der ISO 27017 handelt es sich um eine Norm, speziell zur Absicherung von Cloud-Services. Der Standard gehört zur Normfamilie der ISO 27001. Aus diesem zusätzlichen Standard gehen für jeden Bereich der übergeordneten IOS 27001 Besonderheiten der Cloud-Sicherheit hervor. Die ISO 27018 baut ebenfalls auf der übergeordneten Norm ISO 27001 auf, regelt aber im Detail die Anforderungen an die Verarbeitung von personenbezogenen Daten im Cloud-Computing.

Kann der Anbieter möglichst viele Nachweise zur Einhaltung der internationalen Normen liefern, kann der Betroffene davon ausgehen, einen sicheren und datenschutzkonformen Anbieter ausgewählt zu haben.

Große Probleme bereitet die Auswahl des Anbieters insofern, als die Übermittlung von Daten in die USA nach dem Schrems II-Urteil des EuGH datenschutzrechtlich nicht mehr auf das EU-US Privacy-Shield gestützt werden kann. Es muss unbedingt auf den Standort der Server des Cloud-Anbieters geachtet. Nur innerhalb des EWR oder in Drittländern, für die ein Angemessenheitsbeschluss der EU-Kommission nach Art. 45 DSGVO vorliegt, darf man Daten verarbeiten.

Da dies auch der Politik bewusst ist, gibt es vermehrt Initiativen, die sich für Clouds innerhalb des EWR aussprechen und in Kooperation mit Unternehmen nach Lösungen suchen. So ist es auch Ziel der EU-Kommission laut Datenschutz-Strategie vom Februar 2020 höhere europäische Cloud-Kapazitäten zu schaffen.

Abschluss einer Auftragsverarbeitungsvereinbarung

Unerlässlich ist der Abschluss einer Auftragsverarbeitungsvereinbarung (AVV) nach Art. 28 Abs. 3 DSGVO. Muster können Sie auf den Seiten der Aufsichtsbehörden finden, bspw. hier: https://www.lda.bayern.de/media/muster_adv.pdf

Wichtig dabei ist, dass man die Muster der AVV auf den konkreten Einzelfall anpassen muss. Wenn Sie hierbei Unterstützung benötigen – sprechen Sie uns gerne an.

Besonderes Augenmerk auf die TOM legen

Beim Abschluss der AVV sollten Unternehmen besonderes Augenmerk auf die Festlegung der technischen und organisatorischen Maßnahmen (TOM) nach Art. 32 DSGVO legen. Bei der Festlegung der TOM sollte vom risikobasierten Ansatz ausgegangen werden: Welches Risiko ist das Unternehmen bereit zu tragen? Mit welchen Maßnahmen können Risiken minimiert werden? Je nach Sicherheitsbedarf für Ihre Daten müssen die konkreten TOM mit dem Cloud-Provider vereinbart werden. Ausschließlich generische Formulierungen wie „Die Zutrittskontrolle wird gewährleistet.“ sind nicht ausreichend.

Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO

Die DSGVO statuiert für Unternehmen, dass Sie nachweisen können müssen, dass sie alle datenschutzrechtlichen Vorgaben einhalten. Daher ist es unerlässlich, dass eine lückenlose Dokumentation erfolgt – angefangen beim Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO über den schriftlichen Abschluss einer AVV nach Art. 28 DSGVO bis hin zur konkreten Festlegung der TOM nach Art. 32 DSGVO.

Exit-Strategie

Nicht nur in Bezug auf die Informationssicherheit ist es wichtig, dass Ihr Unternehmen eine Exit-Strategie hat für den Fall, dass ein Wechsel des Providers erforderlich wird. Es bedarf definierter Schnittstellen der Cloud zur Sicherstellung der Datenportabilität und -interoperabilität. Wer sich erst darüber Gedanken macht, nachdem er seine Daten in die Cloud übertragen hat, kann unter Umständen vor große Schwierigkeiten stehen. Besser ist es stets, im Vorfeld zu klären, wie man Daten auch wieder aus den Clouds übertragen und löschen kann.

Sie möchten in die Cloud/Clouds umziehen, sind aber bzgl. Datenschutz und Informationssicherheit unsicher, ob der Provider ausreichenden Schutz bietet? Sprechen Sie uns an, wir unterstützen Sie gerne! Hier kommen Sie zu unserem Kontaktformular.

This post is also available in: Englisch