Anforderungen an die Datensicherheit in der Cloud
Die Diskussionen um Themen wie Datenschutz, Security oder Compliance in der Cloud haben sich in der Öffentlichkeit langsam gelegt, in vielen deutschen Unternehmen sorgt das Thema weiterhin für heiße Diskussionen. Schuld daran ist häufig die Unsicherheit gegenüber der Rechtslage und dem Bedürfnis vieler Unternehmen nach lokalen Daten und Informationen.
Nutzt man Cloud Dienste beginnt die rechtliche Herausforderung bereits bei der Übertragung der eigenen Daten auf die Server des Cloud Providers.
Da bei der Nutzung von Cloud Services meistens personenbezogene Daten im Spiel sind, beginnt die rechtliche Hürde bereits bei der Übertragung der eigenen Daten auf den Server des Cloud Providers.
Auf diese Art der Daten finden Datenschutzgesetze Anwendung, wonach es für das Übertragen der Daten und deren externe Verarbeitung einer gesetzlichen Ermächtigungsgrundlage bedarf. Dies zu umgehen indem man Daten dauerhaft anonymisiert ist nur sehr selten praktikabel. Eine einfachere Lösung für hat sich in der Praxis bewährt gemacht, die sogenannte Auftragsdatenverarbeitung (§11 Bundesdatenschutzgesetz, kurz BDSG).
Grundlagen einer rechtskonformen (Auftrags-) Datenverarbeitung:
Um die gesetzlichen Anforderungen an die Datenverarbeitung zu bewältigen sollten Unternehmen darauf achten, dass der Cloud Anbieter gewisse Anforderungen erfüllt.
Ein Cloud Provider muss seine Rechenzentren mit angemessenen, technischen und organisatorischen Maßnahmen bezüglich Datenschutz und Datensicherheit (§9 BDSG) schützen. Ein Beispiel für solch eine Maßnahme sind Zutritts- beziehungsweise Zugangskontrollen. Die Einhaltung der Maßnahmen sollte vertraglich geregelt sein.
Eine ISO-27001 Zertifizierung der Cloud-Rechenzentren ist besonders hilfreich. Der Cloud Provider lässt auf eigene Kosten regelmäßige Audits durch unabhängige Dritte durchführen. Dadurch werden datenschutzrechtlichen Sicherheitsmaßnahmen Sorge getragen.
Das Rechenzentrum Ihres bevorzugten Cloud Provider liegt im Ausland?
Viele Anbieter greifen nur allzu gern auf das nichteuropäische Ausland zurück, beispielsweise die USA. Internationale Datenschutzabkommen werden von hiesigen Aufsichtsbehörden als kritisch erachtet. Das „Safe-Harbor-Abkommen“ wurde vom Europäischen Gerichtshof sogar für vollständig ungültig erklärt.
Hilfreich ist es in diesem Fall wenn der Cloud Provider den vertraglichen Einbezug der EU-Standardvertragsklauseln ermöglicht oder sie direkt hinzunimmt. Die unveränderte Verwendung dieser Datenschutzklauseln führt laut Aufsichtsbehörden zu einem angemessenen Datenschutzniveau.