Gängige Cloud-Lösungen und ihre Alternativen
Auf der sicheren Seite
Jedes Unternehmen, das Daten von EU-Bürgern verarbeitet, ist zur Einhaltung der DSGVO verpflichtet. Gerade für kleinere und mittlere Unternehmen stellt rechtskonformer Datenschutz eine große Herausforderung dar. Mit der Anwendung von Cloud-Diensten steigt die Komplexität - gegebenenfalls haftet ein Unternehmen auch für Datenpannen in der Cloud. Mit der richtigen Herangehensweise lässt sich das Risiko behördlicher Bußgelder minimieren.
Ob über Mailchimp, Salesforce, Dropbox oder Microsoft Office 365: Täglich laden Deutschlands Unternehmen zahllose personenbezogene Daten in die Speicher unterschiedlicher Cloud-Dienste. Oft geschieht dies in der Annahme, der Provider sei sicher und handelt im Sinne der DSGVO. Doch die Annahme allein schafft keine Rechtssicherheit. Wer Daten in einem Cloud-Speicher verarbeitet, muss den Anbieter im Vorfeld prüfen. Das erhöht den initialen Aufwand, zahlt sich aber langfristig aus: Man riskiert keine Rechtsverstöße.
Unterschiedliche Cloud-Arten
Cloud ist nicht gleich Cloud. Die umfassendste Cloud-Lösung dient der Auslagerung einer internen IT-Infrastruktur, also Infrastructure as a Service kurz (Iaas). Für Betreiber einer Plattform gibt es spezielle Cloud-Formate, zusammengefasst unter dem Terminus Platform as a Service (Paas). Das wohl bekannteste Format speichert die Daten einer Software in der Cloud, genannt Software as a Service (SaaS). Alle drei Cloud-Formate bieten sich zur Verarbeitung personenbezogener Daten an, wenn auch in unterschiedlichem Kontext. Inwiefern ein Cloud-Dienst den datenschutzrechtlichen Auflagen eines Unternehmens genügt, sollte eingehend geprüft werden.
Wo stehen die Server
Bei der Auswahl eines Cloud-Anbieters stellt sich die Kernfrage, in welchem Land er die Daten speichert. Vor dem 25. Mai 2018 waren die Angaben zum Serverstandort von US-Anbietern oft sehr schwammig. Um den Anforderungen der DSGVO gerecht zu werden, mussten sie diesbezüglich transparenter werden. Dennoch halten es viele Anbieter weiterhin eher ungenau. Sie argumentieren, dass sie eine gewisse Flexibilität benötigen, um ein erhöhtes Datenvolumen nach Bedarf verschieben zu können. Bleiben die Antworten eines Anbieters auch nach expliziter Nachfrage unklar, empfiehlt es sich, keine personenbezogenen Daten über dessen Cloud-Dienst zu verarbeiten.
Welches Dateiformat
Erweist sich ein Cloud-Anbieter als sicher, bleibt die Frage offen, in welchem Dateiformat er die Daten speichert. Dies gilt vor allem für Software-as-a-Service-Dienste. Angenommen ein Unternehmen hat seine Bewerberdaten in einer cloudbasierten Software gespeichert und möchte den Anbieter wechseln: Selbstverständlich möchte es die Bewerberdaten in das neue System migrieren. Eine automatisierte Migration setzt allerdings voraus, dass die alte Software die Daten in einem gängiges Dateiformat in die Cloud gespeichert hat. Ist dem nicht so, ist eine aufwändige Umformatierung notwending und im schlimmsten Fall eine manuelle Migration. Ein Unternehmen, das die Dateiformate im Vorfeld in die Entscheidungsfindung einbezieht, bleibt allerdings Herr über die eigenen Daten.
Eigener Server als Alternative?
Ob eine eigene Serverlösung mehr Sinn als eine Cloud-Lösung macht, lässt sich nicht pauschal sagen. Ein eigener Server kann sich für Unternehmen lohnen, die eine eigene Web-Plattform betreiben und viel Serverleistung benötigen. Auch bei besonders sensiblen Daten, beispielsweise in Steuerkanzleien oder Arztpraxen, bietet sich eine interne Speicherung an. Diese erfordert jedoch technisches Knowhow, das nicht jedes Unternehmen vorweisen kann. Für diesen Fall gibt es Cloud-Anbieter, die sich auf die Ansprüche einzelner Branchen spezialisiert haben.
Wer ist verantwortlich?
Seit Inkrafttreten der DSGVO können bei Datenschutzverletzungen neben den Cloud-Nutzern auch die Cloud-Anbieter rechtlich belangt werden. Dies nimmt die Nutzer jedoch keineswegs aus der Verantwortung. Der Nutzer muss die Anforderungen an den Cloud-Dienst so definieren, dass ein ausreichender Datenschutz gewährleistet ist. Diese können je nach Geschäftsmodell und Branche stark variieren. Nicht jede Anwendung ist diesen Anforderungen gleichermaßen gewachsen. Um die Haftung des eigenen Unternehmens bei DSGVO-Verstößen des Cloud-Anbieters zu beschränken, sollte man einen Auftragsverarbeitungsvertrag abschließen. Dieser spezifiziert technische und organisatorische Maßnahmen, denen der Anbieter zum Schutz der Daten in der Cloud nachkommen muss. Die Erstellung dieser Verträge sollte ein qualifizierter Datenschutzbeauftragter unterstützen. Bei der Wahl eines Cloud-Anbieters ist es empfehlenswert, auf eine Zertifizierung nach TCDP (Trusted-Cloud-Datenschutzprofil) zu achten. Dies garantiert, dass der Anbieter den datenschutzrechtlichen Anforderungen des Bundesdatenschutzgesetzes (BDSG) entspricht. Auch die ISO-Zertifizierung 27001 ist ein wichtiger Hinweis auf die Datensicherheit eines Systems.
Alternative Cloud-Lösungen
Dass einige Cloud-Anbieter auf DSGVO-Konformität hinarbeiten, ist unbestritten. Trotzdem werden auch immer wieder Verstöße bekannt. So musste der US-amerikanische Filehosting-Anbieter Dropbox bereits starkem Druck nachgeben und seine Datenschutzbestimmungen anpassen. Trotzdem besteht auch weiterhin bei Dropbox, wie auch bei anderen Cloud-Anbietern, Nachbesserungsbedarf. Eine Alternative zu Dropbox bietet etwa das deutsche Unternehmen Team Drive. In seiner Anwendung vergleichbar, ist dieser Anbieter aus datenschutzrechtlicher Perspektive deutlich unbedenklicher. Anstatt von WhatsApp, das zu Facebook gehört, ist Threema eine Option, die Unternehmen und Privatpersonen einen sehr sicheren Messaging-Service bietet. Personio ist dabei ein Angebot, das speziell für den Personalbereich entwickelt wurde. Durch gründlichen aber trotzdem pragmatischen Datenschutz kann das Risiko behördlicher Bußgelder minimiert werden. Darüber hinaus können Unternehmen sich gegenüber Kunden, Partnern und Mitarbeitern als verantwortungsvoll positionieren.
Jedes Unternehmen, das Daten von EU-Bürgern verarbeitet, ist zur Einhaltung der DSGVO verpflichtet. Gerade für kleinere und mittlere Unternehmen stellt rechtskonformer Datenschutz eine große Herausforderung dar. Mit der Anwendung von Cloud-Diensten steigt die Komplexität - gegebenenfalls haftet ein Unternehmen auch für Datenpannen in der Cloud. Mit der richtigen Herangehensweise lässt sich das Risiko behördlicher Bußgelder minimieren.
Ob über Mailchimp, Salesforce, Dropbox oder Microsoft Office 365: Täglich laden Deutschlands Unternehmen zahllose personenbezogene Daten in die Speicher unterschiedlicher Cloud-Dienste. Oft geschieht dies in der Annahme, der Provider sei sicher und handelt im Sinne der DSGVO. Doch die Annahme allein schafft keine Rechtssicherheit. Wer Daten in einem Cloud-Speicher verarbeitet, muss den Anbieter im Vorfeld prüfen. Das erhöht den initialen Aufwand, zahlt sich aber langfristig aus: Man riskiert keine Rechtsverstöße.
Unterschiedliche Cloud-Arten
Cloud ist nicht gleich Cloud. Die umfassendste Cloud-Lösung dient der Auslagerung einer internen IT-Infrastruktur, also Infrastructure as a Service kurz (Iaas). Für Betreiber einer Plattform gibt es spezielle Cloud-Formate, zusammengefasst unter dem Terminus Platform as a Service (Paas). Das wohl bekannteste Format speichert die Daten einer Software in der Cloud, genannt Software as a Service (SaaS). Alle drei Cloud-Formate bieten sich zur Verarbeitung personenbezogener Daten an, wenn auch in unterschiedlichem Kontext. Inwiefern ein Cloud-Dienst den datenschutzrechtlichen Auflagen eines Unternehmens genügt, sollte eingehend geprüft werden.
DataCo GmbH
Dieser Artikel erschien in INDUSTRIE 4.0-MAGAZIN 10 2019 - 23.05.19.Für weitere Artikel besuchen Sie www.i40-magazin.de