DSGVO & Cloud: Was wirklich wichtig ist

Die Nutzung von Cloud-Technologien ist längst zum Standard in der aktuellen Zeit geworden. Gleichzeitig wächst jedoch die Verantwortung beim Schutz personenbezogener Daten. Genau hier kommt die Datenschutz-Grundverordnung (DSGVO) ins Spiel. Sie definiert klare Regeln dafür, wie Daten verarbeitet, gespeichert und geschützt werden müssen. Die DSGVO greift genau mit diesen Punkten auch in der Cloud.

In diesem Artikel erfährst du ausführlich, worauf es bei der Kombination aus Cloud und DSGVO wirklich ankommt, welche Fallstricke du vermeiden solltest und wie du deine Cloud-Nutzung sicher gestaltest.

Was sind personenbezogene Daten in der Cloud?

Die DSGVO bezieht sich auf alle personenbezogenen Daten. Dazu gehören unter anderem:

• Namen, E-Mail-Adressen und Telefonnummern
• IP-Adressen und Standortdaten
• Kundendaten, Mitarbeiterdaten oder Bewerberinformationen.

Sobald solche Informationen in der Cloud gespeichert oder verarbeitet werden, greift die DSGVO. Unabhängig davon, ob du eine einfache SaaS-Lösung nutzt oder komplexe Cloud-Infrastrukturen betreibst.

Welche Datenschutzherausforderung gibt es in der Cloud?

Die Nutzung der Cloud bringt zahlreiche Vorteile mit sich, stellt dich als Unternehmen jedoch auch vor große Herausforderungen, vor allem in puncto Datenschutz. Insbesondere die Verarbeitung personenbezogener Daten muss DSGVO-konform erfolgen, damit du nicht Gefahr läufst, gegen geltendes Recht zu verstoßen. Zu den wichtigsten Aspekten gehören:

Rechtskonformität

Du musst sicherstellen, dass die Verarbeitung personenbezogener Daten in der Cloud rechtmäßig erfolgt und du die Kontrolle über diese Daten behältst (Datensouveränität). Um DSGVO-konform zu sein, müssen klare Vereinbarungen mit dem Cloud-Anbieter hinsichtlich der Datenverarbeitung und -speicherung getroffen werden. Hierzu gehört beispielsweise ein sicherer Speicherort. Zudem müssen betroffene Personen ihre Rechte problemlos ausüben können. Dies erfordert transparente Löschkonzepte sowie technische und organisatorische Maßnahmen wie Verschlüsselung und strenge Zugriffskontrollen, die einen unbefugten Zugriff verhindern.

Stand der Technik (TOMs)

Die DSGVO verlangt, dass technische und organisatorische Maßnahmen (TOM) dem aktuellen Stand der Technik entsprechen, damit die Sicherheit der verarbeiteten Daten gewährleistet ist. Zu den TOM gehören beispielsweise:

• Verschlüsselung von Daten (im Ruhezustand und bei der Übertragung)
• Zugriffskontrollen und Rollenmanagement
• Protokollierung und Monitoring
• Regelmäßige Sicherheitsupdates
• Backup- und Recovery-Konzepte

Wichtig ist: Du musst nicht alles selbst umsetzen, aber du musst sicherstellen, dass dein Cloud-Anbieter diese Maßnahmen ergreift.

Privacy by Design

Der Datenschutz sollte bereits bei der Entwicklung neuer Technologien berücksichtigt werden (Privacy by Design). Das Ziel besteht darin, Nutzer automatisch vor möglichen Beeinträchtigungen ihrer Rechte und Freiheiten zu schützen, ohne dass sie selbst aktiv etwas dafür tun müssen. Sicherheits- und Datenschutzvorgaben müssen daher bereits bei der Konzeption und Programmierung von Software, Hardware und digitalen Anwendungen eine zentrale Rolle spielen. So ist sichergestellt, dass personenbezogene Daten von vornherein umfassend geschützt sind.

Privacy by Default

Neben Privacy by Design fordert die DSGVO auch Privacy by Default. Das bedeutet, dass die Werkseinstellungen datenverarbeitender Technologien datenschutzfreundlich auszugestalten sind. So müssen Anwendungen beispielsweise standardmäßig so konfiguriert sein, dass nur die für den jeweiligen Zweck notwendigen Informationen erhoben und verarbeitet werden.

Rechenschaftspflicht und Nachweisführung

Du bist verpflichtet, die Einhaltung der DSGVO nachzuweisen. Dies erfordert eine umfassende Dokumentation der Datenverarbeitungsprozesse sowie gegebenenfalls die Durchführung von Datenschutz-Folgenabschätzungen.

Das bedeutet für dich konkret:

• Du musst dokumentieren, welche Daten du verarbeitest.
• Du musst wissen, wo diese Daten liegen.
• Du musst Prozesse zur Datenlöschung und -korrektur haben.

In der Cloud kann das schnell komplex werden. Deshalb solltest du auf Anbieter setzen, die dir transparente Einblicke und Reporting-Funktionen bieten.

Auftragsverarbeitung

Bei der Inanspruchnahme eines Cloud-Dienstes ist ein DSGVO-konformer Auftragsverarbeitungsvertrag (AVV) erforderlich, in dem die Pflichten des Cloud-Anbieters festgelegt sind.

Dabei sind folgende Punkte besonders wichtig:

• Subunternehmer: Der Cloud-Anbieter muss offenlegen, welche Subunternehmen er nutzt. Du erhältst hier auch bei etwaigen Änderungen ein Widerspruchsrecht, der es dir erlaub, vom Vertrag zurückzutreten.
• Kontrollrechte: Du musst deine Kontrollrechte gemäß DSGVO wahrnehmen können. Ist eine Kontrolle vor Ort nicht möglich, kann der Anbieter die Einhaltung der DSGVO auch durch entsprechende Audits oder Zertifikate nachweisen.
• Datenlöschung: Nach Beendigung der Auftragsverarbeitung muss der Cloud-Anbieter personenbezogene Daten löschen oder herausgeben.
• Zweck und Dauer der Datenverarbeitung: Es muss aus dem Vertrag genau hervorgehen, zu welchen Zweck und über welche Dauer Daten konkret verarbeitet werden.
• Art der Daten und betroffene Personen: Zudem muss es für dich nachvollziehbar sein welche Art von Daten gespeichert werden und welche Personen davon betroffen sind.
• Sicherheitsmaßnahmen des Anbieters: Auch die Sicherheitsmaßnahmen spielen eine große Rolle. Diese müssen von Seiten des Anbieters für dich offengelegt werden.

Verschlüsselung

Eine der effektivsten Maßnahmen im Cloud-Umfeld ist die Verschlüsselung. Idealerweise werden Daten:

• Ende-zu-Ende verschlüsselt, sodass nur autorisierte Personen Zugriff haben.
• Mit kundenseitig verwalteten Schlüsseln (Customer Managed Keys) gesichert.

Je mehr Kontrolle du über die Schlüssel hast, desto besser kannst du deine Daten vor unbefugtem Zugriff schützen – auch gegenüber dem Cloud-Anbieter selbst.

Backup & Recovery

Backups sind zwar essenziell für die Datensicherheit, können aber auch zur DSGVO-Falle werden. Denn:

• Daten in Backups müssen ebenfalls geschützt sein.
• Löschanforderungen müssen berücksichtigt werden.
• Zugriffe müssen kontrolliert und dokumentiert werden.

Ein gutes Cloud-Backup-Konzept berücksichtigt den Datenschutz von Anfang an und integriert klare Lösch- und Wiederherstellungsprozesse.

Standort der Daten in EU und Drittstaaten

Der Speicherort deiner Daten ist ein besonders sensibler Punkt. Wenn deine Daten ausschließlich innerhalb der EU verarbeitet werden, profitierst du von einem einheitlichen Datenschutzniveau. Das macht die Einhaltung der DSGVO deutlich einfacher.

Komplexer wird es, wenn Daten außerhalb der EU, beispielsweise in den USA, gespeichert oder verarbeitet werden. Hier gelten zusätzliche Anforderungen, etwa:

• Angemessenheitsbeschlüsse der EU-Kommission
• Standardvertragsklauseln (SCCs)
• Zusätzliche Schutzmaßnahmen

Gerade durch Gesetze wie den Cloud Act kann es passieren, dass Behörden Zugriff auf Daten erhalten, selbst wenn diese physisch in Europa liegen. Deshalb ist es wichtig, genau zu wissen, wo und wie deine Daten verarbeitet werden.

Die Rollenverteilung: Wer ist wofür verantwortlich?

Ein zentraler Punkt der DSGVO ist die klare Rollenverteilung.

Du als Verantwortlicher: Als Verantwortlicher entscheidest du, warum und wie personenbezogene Daten verarbeitet werden. Damit trägst du die Hauptverantwortung für den Datenschutz.

Cloud-Anbieter als Auftragsverarbeiter: Der Cloud-Provider verarbeitet Daten in deinem Auftrag. Er ist verpflichtet, geeignete technische und organisatorische Maßnahmen umzusetzen, darf die Daten aber nur nach deinen Weisungen nutzen.

Diese Rollenverteilung ist entscheidend, denn sie beeinflusst alle weiteren Anforderungen, insbesondere den Vertrag zur Auftragsverarbeitung.

Was macht einen Cloud-Dienst DSGVO-konform?

Um sicherzustellen, dass ein Cloud-Dienst die strengen Anforderungen der DSGVO erfüllt, sollten Unternehmen auf folgende Merkmale achten:

Geprüfte Sicherheit: Zertifikate und Nachweise

Entsprechende Zertifikate belegen die DSGVO-Konformität von Cloud-Diensten. Achte auf relevante Zertifizierungen, die dir explizit eine hohe Sicherheit und hohe Standards gewährleisten. Ein Beispiel wäre die ISO/IEC-27001 oder das Trusted Cloud Siegel.

Rechenzentren an sicheren Standorten

Gemäß der DSGVO dürfen personenbezogene Daten nur innerhalb der EU oder in Ländern mit einem vergleichbaren Datenschutzniveau verarbeitet werden. Cloud-Dienste mit Rechenzentren innerhalb der EU unterliegen der DSGVO und sind daher meist unproblematisch. Befindet sich der Serverstandort jedoch außerhalb der EU, sind zusätzliche Schutzmaßnahmen erforderlich. Achte daher darauf, dass du einen geeigneten Anbieter wählst.

Technische Faktoren

Ein DSGVO-konformer Cloud-Dienst muss deine personenbezogenen Daten umfassend vor unbefugtem Zugriff schützen. Hierzu gehört nicht nur die regelmäßige Aktualisierung von Firewalls und Virenschutzprogrammen, sondern auch eine starke Verschlüsselung der Daten.

Zugangskontrollen und Authentifizierung

Ebenfalls wichtig ist es, starke Zugangskontrollen wie eine Multi-Faktor-Authentifizierung (MFA) sowie rollenbasierte Zugriffsrechte einzurichten und diese in regelmäßigen Abständen zu überprüfen. So können nur autorisierte Personen auf sensible Informationen zugreifen, wodurch sich Sicherheitsrisiken minimieren.

Transparenz und Nutzungsbedingungen

Die Nutzungsbedingungen deines Cloud-Anbieters müssen dir bereitgestellt werden. In ihnen ist detailliert beschrieben, wie sie personenbezogene Daten verarbeiten und schützen. Um der DSGVO zu entsprechen, sollten diese Bedingungen für dich leicht zugänglich und verständlich sein.

Fragen, die du stellen kannst

1. Wo liegen die Server physisch?
2. Gibt es einen unterschriebenen AVV?
3. Sind die Daten Ende-zu-Ende verschlüsselt und auch für den Anbieter nicht einsehbar?
4. Ist der Cloud-Anbieter ein US-Unternehmen?

Diese Maßnahmen kannst du ergreifen

Compliance

Je nach Branche können neben der DSGVO weitere Richtlinien gelten. Du solltest also vorher klären, wo dein Unternehmen steht und welche Regulierungen du befolgen musst.

Risikobewertung

Eine frühzeitige Risikobewertung hilft dir dabei, den Schutzbedarf der Daten zu ermitteln. Je schutzbedürftiger die erhobenen oder zu verarbeitenden Daten sind, desto aufwändiger müssen die Schutzmaßnahmen ausfallen.

Technische Maßnahmen

Technische Maßnahmen sind von entscheidender Bedeutung, um den unbefugten Zugriff auf deine sensiblen Daten zu verhindern. Dazu gehören:

• Firewalls und Antivirensoftware: Schütze deine Daten vor unautorisiertem Zugang.
• Passwortschutz: Verwende sichere Passwörter.
• Verschlüsselung: Verschlüssele deine Daten sicher.
• Backups: Erstelle regelmäßige Backups.

Organisatorische Maßnahmen

Neben technischen Vorkehrungen sind auch organisatorische Maßnahmen erforderlich. Hierzu gehören:

• Zugangskontrollen: Je weniger Personen Zugriff auf deine sensiblen Daten haben, desto geringer ist das Risiko versehentlicher oder vorsätzlicher Datenschutzverletzungen oder Datenverlusten.
• Mitarbeitersensibilisierung: Regelmäßige Schulungen helfen dir, das Bewusstsein der Mitarbeitenden für Datenschutzmaßnahmen im Unternehmen zu stärken.
• Löschung: Verfüge über ein Löschkonzept und lösche deine nicht benötigten Daten.
• Dokumentation der Datenverarbeitung: Protokolliere, wer wann und wo welche Daten verarbeitet hat. Damit kannst du Modifikationen leichter nachzuvollziehen.
• Schutz besonders sensibler Unterlagen: Besonders vertrauliche Informationen wie Kunden-, Patienten- oder Mandantenakten solltest du sicher aufzubewahren.
• Serverstandort EU/Deutschland: Die sicherste Variante ist die Wahl von Cloud-Anbietern mit Rechenzentren innerhalb der EU oder in Deutschland.

Welche Vorteile bieten DSGVO-konforme Cloud-Lösungen?

DSGVO-konforme Cloud-Lösungen bieten Unternehmen zahlreiche Vorteile, die über die reine Einhaltung gesetzlicher Vorschriften hinausgehen:

Rechtssicherheit

Mit einer DSGVO-konformen Cloud-Lösung erfüllst du die gesetzlichen Anforderungen und vermeidest empfindliche Strafen.

Aktuelle Sicherheitstechnologien

Anbieter von DSGVO-konformen Cloud-Lösungen investieren kontinuierlich in Sicherheitsmaßnahmen. Damit profitierst du automatisch von den neuesten Sicherheitsstandards.

Datensouveränität

Rechenzentren in der EU, deren Betreiber ebenfalls in der EU ansässig sind, bieten mehr Kontrolle über die Daten, da sie nicht unter den US CLOUD Act oder andere Gesetze von Drittstaaten fallen. Das stärkt die Datensouveränität von Unternehmen und reduziert die Gefahr von Datenschutzverstößen.

Transparenz und Nachweisbarkeit

DSGVO-konforme Cloud-Anbieter sind verpflichtet, dir transparente Informationen über die Datenverarbeitung bereitzustellen. Dadurch können Unternehmen ihren eigenen Rechenschaftspflichten leichter nachkommen und das Risiko von Datenschutzverstößen minimieren.

Zertifizierungen als Qualitätsnachweis

Anbieter von DSGVO-konformen Cloud-Diensten können ihre Sicherheitsstandards durch unabhängige Zertifizierungen belegen. Das erleichtert es dir auch, eventuellen Audits standzuhalten.

Stärkung des Images und Vertrauens

Indem du auf eine DSGVO-konforme Cloud setzt, signalisierst du deinen Kunden und Partnern, dass du den Datenschutz und die Datensicherheit ernst nimmst.

Fazit

Wenn du die Cloud nutzen möchtest, um deine Daten und Infrastrukturen oder die von Kunden, Mitarbeitern oder Geschäftspartnern auszulagern, solltest du den Anbieter sorgfältig auswählen. Achte insbesondere darauf, dass er dir einen AV-Vertrag zur Verfügung stellt, der den Vorgaben der DSGVO entspricht.

Prüfe außerdem die Nutzungsbedingungen und Datenschutzrichtlinien des Cloud-Anbieters. Mit einem Cloud-Anbieter, dessen Server sich in Deutschland oder der EU befinden, bist du auf der sicheren Seite. Die rechtssichere Nutzung muss immer gewährleistet sein.