DSGVO und GDPR

Datenschutz-Grundverordnung - was Cloud-Nutzer wissen müssen

Der Diplom-Physiker Oliver Schonschek ist freier IT-Fachjournalist und IT-Analyst in Bad Ems.

DSGVO: Worauf müssen Nutzer bei der Auswahl des Cloud-Providers achten?

Garantien für den Datenschutz sind unverzichtbar:

Cloud Computing ist aus Datenschutzsicht in aller Regel eine Form der Auftragsverarbeitung, früher Auftragsdatenverarbeitung genannt. Wie bisher auch, bleibt es mit der DSGVO dabei, dass der Cloud-Nutzer als Auftraggeber verantwortlich bleibt für den Datenschutz, auch wenn sich seine Daten fernab in einer Cloud befinden.

Unternehmen in Deutschland bevorzugen Cloud-Dienste aus Deutschland. Nicht nur US-Provider sind dagegen weit abgeschlagen, auch Provider aus EU-Staaten liegen deutlich zurück in der Gunst der deutschen IT-Entscheider. Das wird die DSGVO erst einmal nicht ändern.
Unternehmen in Deutschland bevorzugen Cloud-Dienste aus Deutschland. Nicht nur US-Provider sind dagegen weit abgeschlagen, auch Provider aus EU-Staaten liegen deutlich zurück in der Gunst der deutschen IT-Entscheider. Das wird die DSGVO erst einmal nicht ändern.
Foto: Bitdefender

Cloud-Nutzer sollen laut DSGVO nur solche Cloud-Anbieter beauftragen, "die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet".

Damit obliegen dem Cloud-Nutzer als Auftraggeber Prüfpflichten hinsichtlich des Datenschutzes und der Datensicherheit bei dem Cloud-Anbieter. Der Vertrag mit dem Cloud-Anbieter muss eine Reihe von Vorgaben erfüllen, die in Artikel 28 (Auftragsverarbeiter) der DSGVO aufgeführt sind. Geklärt werden muss insbesondere auch, ob eine Datenübermittlung in Drittstaaten vorgesehen ist, wie dann das erforderliche Datenschutzniveau gewährleistet werden soll und ob Subunternehmen eingesetzt werden.

Schon heute bereitet die Überprüfung des Cloud-Anbieters den Cloud-Nutzern große Schwierigkeiten. Hilfreich ist es deshalb, dass die DSGVO vorsieht, dass die "Einhaltung genehmigter Verhaltensregeln oder eines genehmigten Zertifizierungsverfahrens durch einen Auftragsverarbeiter als Faktor herangezogen werden kann", um hinreichende Garantien für den Datenschutz und die Datensicherheit in der Cloud nach DSGVO-Vorgaben nachzuweisen.

Entscheidend ist dabei, dass es sich um genehmigte Verhaltensregeln oder genehmigte Zertifizierungsverfahren handeln muss. Wie weiter unten ausgeführt wird, eignet sich nicht jedes Cloud-Zertifikat als entsprechender Nachweis.

Welche neuen Risiken bestehen bei der Cloud-Nutzung?

Bei Verstößen drohen hohe Bußgelder:

Neben den bekannten Cloud-Risiken kommt mit der DSGVO insbesondere das Risiko hinzu, dass Cloud-Nutzer bei einer Datenschutzverletzung in der Cloud mit einem hohen Bußgeld belegt werden können. So findet man in der DSGVO: "Bei Nichtbefolgung einer Anweisung der Aufsichtsbehörde (…) werden (…) Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist." Damit werden Datenschutzverletzungen noch kritischer oder sogar existenzbedrohend für das verantwortliche Unternehmen.

Die Sorgen der Unternehmen, die DSGVO nicht rechtzeitig umsetzen zu können, sind groß. Cloud-Nutzer und Cloud-Anbieter sollten nun ihre Lücken schließen, damit die Cloud-Compliance gewährleistet werden kann.
Die Sorgen der Unternehmen, die DSGVO nicht rechtzeitig umsetzen zu können, sind groß. Cloud-Nutzer und Cloud-Anbieter sollten nun ihre Lücken schließen, damit die Cloud-Compliance gewährleistet werden kann.
Foto: Veritas

Welche neuen Risiken bestehen für Cloud-Anbieter?

Cloud-Anbieter ebenfalls in der Verantwortung:

Die Verantwortung für den Datenschutz trägt der Cloud-Nutzer nicht alleine. Kommt es zu einer Datenschutzverletzung, die der Cloud-Anbieter zu verantworten hat, oder generell zu einem Verstoß gegen die DSGVO durch die Auftragsverarbeitung, wird der Cloud-Anbieter ebenfalls zum Verantwortlichen, mit entsprechenden Folgen im Bereich Haftung und Sanktionen.

Leider werden oft deutliche Lücken in der Datensicherheit bei Cloud-Anbietern sichtbar, die bei Anwendung der DSGVO hohe Bußgelder für den Provider bedeuten können. So sagte zum Beispiel der BSI-Präsident Arne Schönbohm im März 2017 (Bundesamt für Sicherheit in der Informationstechnik):

"Cloud-Betreiber sind für die Sicherheit ihrer Cloud verantwortlich und sollten mit dieser Verantwortung sorgsam umgehen. Der Betrieb von Clouds mit veralteten Software-Versionen, für die bereits seit langer Zeit Updates der Hersteller bereitstehen, ist fahrlässig und macht es Kriminellen viel zu leicht, sensible Daten zu stehlen oder Geschäftsprozesse zu beeinflussen."