Haben Sie schon einmal von dem Begriff Cloud Computing gehört und sich gefragt, was er genau bedeutet? Und worauf muss man beim Thema Cloud Computing eigentlich im Bereich Datenschutz achten?
In diesem Blogbeitrag werde ich Ihnen im Detail erläutern, was mit der Bezeichnung Cloud Computing gemeint ist, welche verschiedenen Arten und Dienstleistungen sich dahinter verbergen, was für Vor- und Nachteile es gibt und was für eine wichtige Rolle der Datenschutz bzgl. der Auswahl eines Cloud-Anbieters für Ihr Unternehmen spielt.
Was ist Cloud Computing?
Beim Cloud Computing handelt es sich um eine Technologie, mit der Menschen von überall auf der Welt Daten speichern, abrufen und gemeinsam nutzen können. Die sogenannte Cloud (z. Dt. hier "Datenwolke") wird von vielen Unternehmen, Organisationen oder auch Privatpersonen genutzt.
Nehmen wir an, Sie arbeiten zu Hause am Laptop an einem Arbeitsprojekt und möchten dieses im Büro an Ihrem PC fortsetzen. Ohne Cloud Computing wären Sie dazu ohne ein externes Speichermedium nicht in der Lage. Wenn Sie eine Datei hingegen in einer Cloud hinterlegt haben, brauchen Sie lediglich an einem beliebigen Ort online zu gehen, dasselbe Dokument zu öffnen und können ganz einfach dort fortfahren, wo Sie aufgehört haben. Sie können zudem von jedem anderen Gerät wie Handy oder Tablet auf die dort abgelegten Programme und Daten zugreifen.
Ob beispielsweise die Apple iCloud, Microsoft OneDrive oder zu Schulzeiten die Dropbox. Heutzutage führt kaum noch ein Weg an der Nutzung einer Cloud vorbei.
Wie funktioniert Cloud Computing technisch?
Cloud Computing funktioniert über Remote-Server, statt über einen einzelnen Computer. Diese entfernten Server befinden sich in Rechenzentren überall auf der Welt - manchmal sogar im Weltraum. Sie sind über das Internet miteinander verbunden, sodass jeder von überall aus darauf zugreifen kann, solange er eine Internetverbindung besitzt. Wenn Sie eine Datei oder ein Programm in der Cloud speichern, wird sie/es in den Rechenzentren auf diesen entfernten Servern hinterlegt und nicht nur auf Ihrem Gerät. Sollte Ihrem Endgerät also z.B. etwas zustoßen, ist Ihre Arbeit in der Cloud weiterhin sicher abgelegt.
Arten und Dienstleistungen des Cloud Computings
Innerhalb des Cloud Computings unterscheidet man des Weiteren zwischen diversen Arten und Dienstleistungen. Hierzu gibt es online inzwischen zahlreiche Angebote und Nutzungsmöglichkeiten.
Arten von Cloud Computing
Öffentliche Cloud / Public Cloud
Öffentliche Clouds oder auch Public Clouds gehören Drittunternehmen, die ihre Dienste jedem anbieten, der sie nutzen möchte. Amazon, Microsoft und Google sind einige der bekanntesten Anbieter. Bei einer Public Cloud müssen Sie sich nicht um den Kauf oder die Wartung von Hardware kümmern, da alles bereits in der Cloud für Sie erledigt wird. Sie können von überall auf der Welt auf die gewünschten Dienste zugreifen, solange Sie eine Internetverbindung besitzen.
Private Cloud
Eine private Cloud gehört einer einzigen Organisation oder einem einzigen Unternehmen und wird nur von dieser Organisation oder diesem Unternehmen genutzt. Das bedeutet, dass alle Daten auf sicheren Servern in einer kontrollierten Umgebung gespeichert werden, in der niemand außerhalb der Organisation oder des Unternehmens auf sie zugreifen kann. Private Clouds sind in der Regel teurer als öffentliche Clouds, bieten aber mehr Sicherheit für sensible Informationen und Daten.
Hybride Cloud / Hybrid Cloud
Die Hybride Cloud / Hybrid Cloud kombiniert öffentliche und private Clouds, sodass Unternehmen gleichzeitig von beiden Computing Ressourcen profitieren können. Das bedeutet, dass sie ihre wichtigsten oder vertraulichen Daten in einer privaten Cloud speichern können, während sie öffentliche Clouds für weniger kritische Dateien oder Anwendungen nutzen. Hierdurch müssen Unternehmen außerdem nicht in zusätzliche Hardware oder Software investieren.
Multicloud Computing
Zuletzt zählt die sogenannte Multicloud zu den Arten von Cloud Computing. Multicloud Computing ist eine Form des Cloud Computing, bei der zwei oder mehrere Cloud Service Provider gleichzeitig genutzt werden. Ein Unternehmen kann zum Beispiel sowohl Amazon Web Services (AWS) als auch Microsoft Azure für die Speicherung seiner Daten nutzen, um die Redundanz zu erhöhen und die Kosten zu senken. Multicloud Computing wird immer beliebter, da Unternehmen nach Möglichkeiten suchen, ihre Daten über mehrere Cloud-Anbieter hinweg zu verwalten.
Cloud Computing Dienste
Software as a Service (Saas)
Diese Art der Cloud Computing Services bieten Nutzern von jedem Gerät aus Zugang zu Softwareprogrammen. Dienste wie Google Docs oder Microsoft Office 365 und Adobe sind Beispiele für SaaS. Alles, was man hierfür benötigt, ist eine aktive Internetverbindung, um von jedem Gerät aus von überall auf der Welt auf diese Softwareprogramme zugreifen zu können.
Platform as a Service (Paas)
PaaS ermöglicht es Entwicklern, Cloud Anwendungen zu erstellen, ohne sich um die Einrichtung eines Servers oder den Kauf zusätzlicher Hardware bemühen zu müssen. Mit dieser Art der Cloud Computing Dienste haben Entwickler Zugang zu allen notwendigen Tools, die sie für die Erstellung einer Anwendung benötigen, ohne Zeit mit der Konfiguration der zugrunde liegenden Infrastruktur zu verbringen. Dienste wie Heroku oder AWS Elastic Beanstalk sind Beispiele für PaaS-Plattformen.
Infrastructure as a Service (IaaS)
Diese Cloud Computing Dienste decken den Bedarf an Netzwerkinfrastruktur wie Speicherplatz und Bandbreite ab, indem physische Server nach Bedarf in der Cloud gemietet werden können, sodass hier ebenfalls keine eigene Serverhardware benötigt wird. Cloud Dienste wie Amazon EC2, Tresorit oder Rackspace Cloud Servers sind Beispiele für IaaS-Plattformen, die es ermöglichen, virtuelle Server innerhalb von Minuten einzurichten.
Serverless Computing
Serverless Computing ermöglicht es den Nutzern, auf Daten zuzugreifen, ohne die zugrunde liegenden Server oder die Hardware-Infrastruktur verwalten zu müssen. Diese Technologie ermöglicht es Kunden, sich dank der bereits vorhandenen Cloud Infrastruktur auf die Entwicklung von Anwendungen fokussieren zu können. Unternehmen können dadurch ebenso schnell skalieren und ihre Kosten senken, da sie sich nicht mehr um die Wartung der Hardware oder die Aufstockung ihres IT-Personals kümmern müssen.
Ein anschauliches Beispiel für Serverless Computing ist AWS Lambda, das es Entwicklern ermöglicht, Codes auszuführen, ohne Server bereitzustellen bzw. in weitere Hardware zu investieren.
Welche Vor- und Nachteile hat das Cloud Computing?
Durch seine zahlreichen Dienste und Anwendungsmöglichkeiten bietet Cloud Computing natürlich einige Vorteile, birgt allerdings ebenso gewisse Risiken.
Vorteile
Nachteile
Vorteile
Nachteile
Cloud Computing Risiken im Datenschutz
Wie bei den genannten Nachteilen des Cloud Computings erwähnt, ist für Betriebe vor Wahl des Cloud Providers bzw. Cloud Services eine ausführliche Recherche notwendig. Gerade im Bereich des Datenschutzes kann die Wahl eines ungeeigneten Providers zu Konsequenzen für das Unternehmen führen.
Risiken können hier u.a. sein, dass allgemein Datenschutzgesetze und -Richtlinien verletzt werden, Dritte ggfs. Zugriff auf personenbezogene Daten erhalten (z.B. Behörden), oder auch die Löschung von personenbezogenen Daten nicht 100% nachvollziehbar ist. De facto hat jede betroffene Person das Recht, ihre personenbezogenen Daten gem. DSGVO löschen zu lassen. Eine datenschutzkonforme Löschung der Daten durch den Cloud Anbieter wird häufig nicht ohne Weiteres möglich sein bzw. diese kann nicht exakt überprüft werden. Dies gilt sowohl für den Einzelfall als auch für die Absicht, die Kooperation mit einem Cloud-Dienstleister zu beenden. Unternehmen werden nicht sicher sagen können, ob und wo sich noch Daten in der Cloud befinden.
Welche Rolle spielen der Sitz des Cloud-Hosts und dessen Serverstandorte im Datenschutz?
Viele Betriebe bedenken bei der Wahl eines Cloud Services häufig nicht, dass dies Risiken für die Verarbeitung der personenbezogenen Daten, wie z.B. Kundendaten, bergen kann. Der Sitz des Cloud Providers sowie dessen Serverstandorte spielen hier eine entscheidende Rolle.
Host-Sitz & Serverstandort in Deutschland
Dies ist der unkomplizierteste Fall bei der Wahl des Anbieters. Die Europäische Datenschutzgrundverordnung sowie das deutsche Bundesdatenschutzgesetz sind hier anwendbar (§1 Abs. 4 Nr. 1 BDSG), an diese muss sich der Provider folglich halten.
Host-Sitz in Deutschland & Serverstandort in EU-Ausland
Wenn das verarbeitende Unternehmen mit Sitz in Deutschland einen Serverstandort im EU-Ausland besitzt, gelten die gleichen Regelungen. Ausschlaggebend für die Anwendung des deutschen Datenschutzrechts ist hier der Sitz des Unternehmens – unabhängig davon, ob die Daten auf Servern im EU-Ausland hinterlegt werden (§1 Absatz 4 S. 2 Nr. 2 BDSG).
Host-Sitz in EU-Ausland & Serverstandort in Deutschland
Handelt es sich bei dem verarbeitenden Unternehmen jedoch um eine Niederlassung außerhalb Deutschlands (aber innerhalb der Europäischen Union), so greift zwar gleichsam die DSGVO (Art. 3 Abs. 1 DSGVO), allerdings auch die nationalen Datenschutzgesetze des EU-Landes, in dem sich die Niederlassung befindet.
Host-Sitz oder Serverstandort in (unsicherem) Drittstaat
Wenn das Hosting-Unternehmen oder der Serverstandort sich außerhalb der EU befinden, muss im ersten Schritt geprüft werden, ob es sich bei diesem Drittstaat um einen so genannten sicheren Drittstaat handelt. Unsichere Drittstaaten weisen, bei Betrachtung der DSGVO und dem deutschen Datenschutzrecht, ein deutlich niedrigeres Datenschutzniveau auf.
Als sichere Drittstaaten können u.a. die Schweiz, das Vereinigte Königreich oder Südkorea bezeichnet werden. Die EU gibt hier stetig öffentlich bekannt, welche Staaten über ein adäquates Datenschutzniveau verfügen.
Wenn Sie wissen möchten, ob ihr Cloud Dienstleister innerhalb eines sicheren Drittstaats agiert, können Sie sich beispielweise an der Erläuterung aus der DSGVO orientieren.
Worauf müssen sie nun achten, wenn Ihr Cloud Host oder dessen Server sich in einem unsicheren Drittstaat befinden?
Ein gängiges Beispiel ist hier die USA, durch welches ich Ihnen die Problematik näherbringen möchte:
Befindet sich der Cloud Provider oder dessen Server nun in einem unsicheren Drittstaat, wie der USA, gilt in diesem Fall ausschließlich das Datenschutzrecht des jeweiligen Drittlands, also hier amerikanisches Recht. Ebenfalls für Tochtergesellschaften in der EU mit Muttergesellschaft in einem unsicheren Drittstaat gilt die im Folgenden beschriebene Problematik, da dadurch gleichfalls das Datenschutzrecht des unsicheren Drittstaates gilt.
Zu erwähnen gilt in diesem Zusammenhang insbesondere das Urteil Schrems II. Schrems II ist ein Fall des Gerichtshofs der Europäischen Union (EU), der über die Mechanismen entscheidet, die die Übermittlung personenbezogener Daten aus der EU in die Vereinigten Staaten ermöglichen. Der EuGH hat den Privacy Shield, welcher den gesetzlichen Rahmen für die Übertragung personenbezogener Daten in den Vereinigten Staaten regelt, aufgehoben und entschieden, dass Standardvertragsklauseln (SVK) verwendet werden können, solange der Datenverantwortliche, der Datenempfänger und die Datenschutzbehörde des entspr. EU-Mitgliedstaates der Ansicht sind, dass durch die Übermittlung ein angemessenes Datenschutzniveau sichergestellt werden kann. Allerdings stellte der EuGH in seinem Urteil in der Sache C-311/18 (Schrems II) fest, dass die damaligen Standardvertragsklauseln kein Garant zur Legitimation des Datentransfers von der EU in ein Drittland wie die USA darstellen, da der Datenimporteur (hier: US-Unternehmen), seine Verpflichtung zur Gewährleistung eines angemessenen Datenschutzniveaus wegen der behördlichen Zugriffsrechte gar nicht erfüllen kann.
Nach Erteilung des Urteils kam die Frage auf, ob bei Beauftragung eines Unternehmens in einem unsicheren Drittstaat wie der USA, die Auswahl eines Serverstandorts innerhalb der Europäischen Union eine wirksame Maßnahme bieten kann, um behördliche Datenzugriffe zu vermeiden und somit den Datentransfer auf der Basis der neuen EU-Standardvertragsklauseln legal zu ermöglichen (Die neuen Standardvertragsklauseln sind seit dem 27.09.2021 zwingend für Neuverträge zu verwenden).
Die Antwort lautet leider "Nein"! Unternehmen mit dem Standort Amerika sind durch ihre nationalen Gesetze weiterhin verpflichtet, den US-Behörden Zugriff auf die von ihnen verarbeiteten Daten zu gewähren, unabhängig von dem physischen Standort des Servers, auf dem die Daten gespeichert sind.
Der europäische Datenschutzausschuss EDSA stellt des Weiteren klar, dass auch der Fernzugriff aus einem Drittland auf Daten innerhalb der EU als Übermittlung im Sinne der DSGVO anzusehen ist. Für Hosting-Anbieter aus Drittländern gilt damit keine Ausnahmeregelung, selbst wenn sie ihre Serverstandorte in die EU verlagern würden.
Das sollten Sie als Unternehmen zusammenfasst unbedingt bei der Auswahl Ihres Cloud-Providers beachten
Das Bundesministerium für Wirtschaft & Energie stellt übrigens genau zu diesem Zweck die sogenannte Informationsplattform „Trusted Cloud“ zur Verfügung. Dort sind zahlreiche Cloud Dienstleister inklusive Angaben zu ihrem Standort und geltendem Datenschutzrecht aufgelistet.
Achtung: Bußgeldgefahr
Die Nichteinhaltung der Datenschutzvorschriften kann zu weitreichenden Konsequenzen für Ihr Unternehmen führen. Bußgelder in Höhe von bis zu 20 Millionen Euro oder bis zu 4% des weltweiten Jahresumsatzes können von den Datenschutzbehörden verhängt werden (Art. 83 Abs. 4 DSGVO).
Sie benötigen Unterstützung beim Schutz Ihrer Daten?
Sie sind sich unsicher, ob die personenbezogenen Daten innerhalb Ihres Unternehmens ausreichend geschützt sind und benötigen einen professionellen Rat?
Kommen Sie gerne auf uns zu, unsere Experten beraten Sie ausführlich in diversen Angelegenheiten rund um das Thema Datenschutz.
Amazon Web Services (AWS) als Cloud Provider: DSGVO konform?
Die Problematik des Cloud Computing im Datenschutzbereich spiegelt sich auch bei der Wahl des Anbieters Amazon Web Services (AWS) wider.
Amazon Web Services (AWS) ist eine Cloud-Computing-Plattform, die Unternehmen und Organisationen eine flexible, skalierbare und kostengünstige Möglichkeit bietet, Websites und Anwendungen bereitzustellen. Mit AWS können Benutzer IT-Ressourcen über das Internet mit Pay-as-you-go-Preisen anfordern. Es bietet Zugriff auf Server, Speicher, Datenbanken und ein breites Spektrum an Anwendungsdiensten.
Da der Hauptsitz von AWS sich in den USA befindet, können hier nach dem Patriot Act theoretisch personenbezogene Daten seitens der US-amerikanischen Behörden eingefordert werden. Amazon hat hierbei Zugriff auf personenbezogene (Kunden-)Daten wie Namen, Adressen, E-Mail-Adressen, IP-Adressen und Telefonnummern.
Unternehmen können zwar bei Amazon-Hosting angeben, dass sie ihre Daten im Rechenzentrum in Frankfurt, und damit in Deutschland ablegen möchten. Das schützt sie jedoch nicht vor evtl. Zugriffen US-amerikanischer Behörden.
Was müssen Unternehmen also beachten, wenn Sie sich für AWS entscheiden?
Amazon-Web-Services gilt hier laut DSGVO als Auftragsverarbeiter, da es als Dritter die personenbezogenen Daten eines Unternehmens verarbeitet.
Unternehmen müssen mit Amazon Web Services also zusätzlich einen AV-Vertrag mit den folgenden Inhalten schließen (§28 DSGVO):
Unternehmen müssen mit Amazon Web Services also zusätzlich einen AV-Vertrag mit den folgenden Inhalten schließen (§28 DSGVO):
Die Datenschutzerklärung des Unternehmens muss aktualisiert werden (§13 Abs. 1 DSGVO). Dort muss angegeben werden...
Zusätzlich sollte stets auf die Datenschutzbestimmungen und Nutzungsbedingungen der Amazon Web Services verwiesen werden. Amazon Web Services nutzt für die Übertragung von Daten außerhalb des Europäischen Wirtschaftsraums übrigens ebenfalls die neuen Standardvertragsklauseln, welche es bereits in seiner Datenschutzerklärung gem. DSGVO integriert hat.
Außerdem ist es stets wichtig:
Fazit zu Amazon-Web-Services
AWS selbst betont, dass Anfragen von US-amerikanischen Behörden stets eingehend geprüft und nach Möglichkeit abgewehrt werden. Weiterhin stellt Amazon AWS hinsichtlich des Datenschutzes klar, dass durch den Kunden verschlüsselte Daten auch nur im verschlüsselten Zustand an die US-amerikanischen Behörden weitergetragen würden.
Für AWS Services mit Verschlüsselung werde der AWS eigene Key-Management-Service verwandt, der sicherstelle, dass AWS selbst den Klartext nicht entschlüsseln könne.
Durch diese Maßnahmen wäre ein datenschutzkonformer Einsatz von Amazon Web Services zwar möglich, jedoch lediglich, wenn die personenbezogenen Daten tatsächlich verschlüsselt und weitere Restrisiken - im Rahmen einer Risikoanalyse - als tragbar bewertet werden.
Fazit
Zusammenfassend lässt sich sagen, dass Cloud Computing Unternehmen bzw. Nutzern eine Vielzahl von Vorteilen bieten kann, gleichzeitig allerdings auch gewisse Risiken - insbesondere im Datenschutzbereich - bestehen. Unternehmen müssen geeignete Maßnahmen ergreifen, um sich und ihre Daten bestmöglich zu schützen, indem sie sich ausführlich über die verschiedenen Cloud-Arten und -Dienste auf dem Markt informieren, sorgfältig recherchieren, wo der Cloud-Host und dessen Server angesiedelt ist/sind, und ob der Anbieter ausreichende Maßnahmen zum Schutz der personenbezogenen Daten ergreift.
Unternehmen sollten zudem alternative Cloud Dienstleister erwägen, wenn diese ihrem Betrieb zusätzliche Vorteile oder besser geeignete (Datenschutz-)Lösungen bieten. Letztendlich ist es für Unternehmen, die auf Cloud Computing angewiesen sind - egal ob groß oder klein - stets wichtig, die eigene Datenschutzkonformität sowie die des Cloud-Hosts kritisch zu überprüfen, bevor sie sensible Daten innerhalb einer Cloud speichern.
Wenn Sie Fragen oder Beratungsbedarf zu dem Thema Cloud Computing im Datenschutzbereich haben, wenden Sie sich gerne über unser Kontaktformular an uns.
Natascha Meyer
