Definition: Datenschutz im Kontext des Cloud Computings

Was ist beim Datenschutz in der Cloud zu beachten?

| Autor / Redakteur: Stefan Luber / Florian Karlstetter

Die Besonderheiten des Datenschutzes im Kontext des Cloud Computings.
Die Besonderheiten des Datenschutzes im Kontext des Cloud Computings. (Bild: gemeinfrei (geralt / pixabay) / CC0)

Für den Datenschutz im Cloud Computing Umfeld existieren aufgrund externer Dienstleister und Rechenzentren zusätzliche Risiken. Die Speicherung von Daten auf fremden, per Internet zugänglichen Systemen zwingt zur Einhaltung besonderer datenschutzrechtlicher Anforderungen.

Welche Risiken entstehen für den Datenschutz durch das Cloud Computing? Beim Cloud Computing lagern Unternehmen Ihre Software, Anwendungen oder Infrastruktur auf Rechenzentren von Cloud Providern aus. Auf die Services der Anbieter kann über das öffentliche Internet zugegriffen werden. Die Unternehmen sparen sich dadurch eigene Hard- und Software und müssen keine eigene Rechenzentrumsinfrastruktur für die Vorhaltung ihrer Daten betreiben. Dank nutzungsabhängiger Tarifmodelle lassen sich Kosten einsparen, es entstehen jedoch zusätzliche Risiken für den Datenschutz.

Diese Risiken sind dadurch gegeben, dass die Daten auf gemeinsam genutzten IT-Komponenten des Anbieters außerhalb des eigenen Unternehmens gespeichert sind. Aufgrund dieser Exponiertheit sind sie zahlreichen Gefahren und Angriffsszenarien ausgesetzt sind. Der Zugriff kann unter der Voraussetzung der Kenntnis der Zugangskennung prinzipiell von überall aus per Internet erfolgen. Zusätzlich können Sicherheitslücken und -schwachstellen einen unbefugten Zugang zu den Daten ermöglichen. Ein weiteres Risiko entsteht durch die gemeinsam genutzte Infrastruktur. Da die physischen Ressourcen von mehreren Kunden gemeinsam genutzt werden, sind Probleme bei der zuverlässigen Trennung der Zugriffsrechte auf die Daten nicht komplett auszuschließen. All diese Risiken können zu folgenden Problemen führen:

  • unberechtigter Zugriff auf Daten durch den Cloud Provider, durch staatliche Institutionen oder durch unbefugte Dritte
  • Verlust von Daten
  • Manipulation von Daten
  • Diebstahl der Zugriffskennungen und Missbrauch des Accounts

Cloud Computing und die technische Datensicherheit

Bei der Nutzung von Cloud Services sind mehrere Parteien beteiligt, die Einfluss auf die datenschutzrechtlichen Aspekte haben. Es entstehen Beziehungen zwischen dem Cloud Provider und dem Cloud Anwender sowie den Mandanten des Cloud Anwenders, deren Datenschutzrechte als Dritte betroffen sind.

Grundsätzlich lassen sich die Anforderungen an den Datenschutz nur erfüllen, wenn die technische Datensicherheit durch den Cloud Anbieter gegeben ist. Die technische Datensicherheit wird durch die verwendete Hard- und Software des Anbieters bestimmt. Es kommen beispielsweise Verschlüsselungstechniken für Daten und Zugänge (VPN), besondere Authentifizierungsmethoden wie die Zwei-Faktor-Authentifizierung, kontinuierliches Monitoring, Intrusion Detection (IDS) und Intrusion Prevention (IPS) Systeme, Sandboxin-Technologien und Firewallkomponenten zum Einsatz. Hinzu kommt die organisatorische Sicherheit, die den physischen Zugriff auf die verschiedenen Komponenten des Rechenzentrums regelt.

Datenschutzrechtliche Anforderungen an den Cloud Anbieter

Neben der technischen Datensicherheit gilt es für Cloud Anwender, die rechtlichen Aspekte des Datenschutzes einzuhalten. Diese können sich von Land zu Land teilweise stark unterschieden. In Deutschland sind sie durch das Bundesdatenschutzgesetz und EU-Vorschriften geregelt. Wichtig ist es, zu wissen, dass beim Cloud Computing der Cloud Anwender im Außenverhältnis zu Dritten die Verantwortung für die Sicherheit der Daten trägt. Zwischen dem Cloud Anbieter und dem Cloud Anwender regelt ein Vertrag zur Auftragsdatenverarbeitung die Einzelheiten. Der Anwender hat eine Kontrollpflicht und kann sich die Einhaltung bestimmter Anforderungen zum Beispiel über Zertifikate zusichern lassen. Dem Anwender sind die Rechte zum Anbieterwechsel inklusive der Portierung der Daten einzuräumen. Er bleibt Eigentümer der Daten. Bei Vertragsende erfolgt die Löschung der Daten beim Cloud Anbieter.

Besonderheiten bei Cloud Providern mit Datenspeicherung im Ausland

Für deutsche und europäische Anwender des Cloud Computings ergeben sich Besonderheiten, wenn Daten außerhalb der EU gespeichert und verarbeitet werden. Dies ist insbesondere von Bedeutung, da viele große Cloud Provider ihre Rechenzentren in den USA betreiben und der ursprünglich den Datenschutz zwischen den USA und der EU regelnde Safe-Harbor-Pakt vom Europäischen Gerichtshof 2015 für ungültig erklärt wurde.

Alleine durch die Speicherung der Daten Dritter in den USA kann es zu einer Verletzung des Datenschutzrechtes kommen. So sind Cloud Anbieter in den USA nach dem Patriot Act. gesetzlich dazu verpflichtet, auf Anforderung Daten an amerikanische Behörden zu liefern. In diesen Fällen ist der Abschluss eines Auftragsdatenverarbeitungsvertrags für die Einhaltung der datenschutzrechtlichen Anforderungen nicht mehr ausreichend. Es sind zusätzliche Vereinbarungen mit dem Anbieter zu treffen.

Er muss sicherstellen, dass er die Anforderungen des EU-US Privacy Shields erfüllt. Es beinhaltet Zusicherungen der amerikanischen Regierung, mit denen die Vorgaben des Datenschutzschilds das europäische Datenschutzniveau erreichen sollen. Allerdings bezweifeln Kritiker, dass die Weitergabe der Daten an amerikanische Behörden durch das EU-US Privacy Shield tatsächlich verhindert wird. Für Cloud Anwender, die die europäischen Datenschutzrichtlinien sicher einhalten möchten, bleibt deshalb in vielen Fällen nur die Möglichkeit, europäische Cloud Anbieter mit einem Rechenzentrum innerhalb der EU zu wählen.

Datensicherheit im internationalen Business

Safe Harbor, EU/US Privacy Shield und GDPR - alles nur eine Farce?

Datensicherheit im internationalen Business

30.06.16 - Europäische Unternehmen, die Geschäfte mit US-Kunden, -Partnern oder -Lieferanten tätigen, kommen sich beim Thema Datenschutz mittlerweile vor wie in einer schlechten Gerichts-Soap. Und es wird nicht besser … lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

TeamDrive warnt Firmen vor PDF-Falle

GoBD-konformes Dateimanagement sichert höheren Verdienst

TeamDrive warnt Firmen vor PDF-Falle

Eine Rechnung im Portable Document Format (PDF), die man von einem Portal herunterlädt oder per E-Mail erhält und ausdruckt, muss man zwar bezahlen, aber sie stellt keine steuerlich abzugsfähige Rechnung dar. Darauf weist die TeamDrive Systems GmbH hin. Insbesonders Freiberufler, Selbstständige und Kleinbetriebe laufen Gefahr, in diese „PDF-Falle“ zu tappen. lesen

Recruiting-Strategie entwerfen statt Papierakten wälzen

Prozessautomatisierung in HR-Abteilungen

Recruiting-Strategie entwerfen statt Papierakten wälzen

Neue Technologien mit künstlicher Intelligenz (KI) sind in aller Munde. Und auch im HR-Bereich wird etwa diskutiert, wie intelligente Tools beim Recruiting helfen können. In der Praxis sind allerdings die meisten Personalabteilungen längst nicht so weit. Ein Großteil der Zeit fließt immer noch in administrative Aufgaben, genauer gesagt: das Suchen, Finden, Bearbeiten und Ablegen von Papierdokumenten. lesen

Verschlüsselung und Tokenisierung reichen nicht!

CLOUD Act vs. DSGVO

Verschlüsselung und Tokenisierung reichen nicht!

Der CLOUD Act stellt Unternehmen in Europa vor Herausforderungen. US-Behörden dürfen auf Daten zugreifen, die auf Servern in Europa liegen, solange sie von US-Hostern oder Cloud-Anbietern bzw. deren ausländischen Ablegern verarbeitet oder gespeichert wurden. US-Anbieter empfehlen daher, Daten technisch zu verschleiern. Doch schützt das die Daten vor dem Zugriff? lesen

Hybride IT und Multi-Cloud-Umgebungen verwalten

Navigationssystem für das digitale Unternehmen

Hybride IT und Multi-Cloud-Umgebungen verwalten

Die IT-Welt in Unternehmen wird immer komplexer. Neben traditionellen IT-Systemen kommen Private Clouds sowie Public-Cloud-Dienste unterschiedlicher Anbieter zum Einsatz. Daher ist eine Lösung unverzichtbar, mit der sich alle diese Ressourcen „orchestrieren“ lassen. lesen

Digitalisierung im Kranken­haus – eine Frage der Sicherheit

Enterprise Workspace Summit 2019 – Keynote-Speaker der Woche

Digitalisierung im Kranken­haus – eine Frage der Sicherheit

Dr. Klaus-Uwe Höffgen ist Chief Digital Officer am Lukaskrankenhaus in Neuss sowie an den Rhein-Kreis Neuss Kliniken und in dieser Rolle verantwortlich für die Digitalisierung seiner Häuser. Vor dem Hintergrund sensibelster Patientendaten und oft lebensnotwendiger Systemverfügbarkeit eine enorme Herausforderung mit schier endlosen Facetten. lesen

Standardvertragsklauseln vor dem Aus - gibt es Alternativen?

EuGH muss klären: Sind die USA ein Rechtsstaat?

Standardvertragsklauseln vor dem Aus - gibt es Alternativen?

Wieder einmal ist der Datentransfer zwischen der EU und dem Rest der Welt, insbesondere den USA, Gegenstand einer gerichtlichen Auseinandersetzung – wie so oft in den vergangenen Jahren. Diesmal liegt es am obersten rechtsprechenden Organ der EU, dem Europäische Gerichtshof (EuGH) mit Sitz in Luxemburg, ob das „Privacy Shield“-Verfahren und die viel genutzten Standardvertragsklauseln weiterhin gültig sind – oder durch ein neues Verfahren ersetzt werden müssen. lesen

So analysiert man Kundendaten und beachtet die DSGVO

Kommentar von Sridhar Iyengar, Zoho

So analysiert man Kundendaten und beachtet die DSGVO

Laut der aktuellen Studie „Digital Trends 2019“ von Adobe, die unter 13.000 Marketing-, Kreativ- und IT-Experten weltweit durchgeführt wurde, geben 28 Prozent der Marketing-Experten an, dass ihnen die Personalisierung des Kundenerlebnisses ohne Verstoß gegen den Datenschutz schlaflose Nächte bereitet. Fast ein Viertel (24 Prozent) der europäischen Unternehmen geben außerdem an, dass Datenschutzgesetze wie die DSGVO negative Auswirkungen auf ihr Geschäft hatten. lesen

Kommentar zur Europäischen Cloud-Initiative der Bundesregierung

Statement von Ralf Sürken, CEO Europe bei Syntax Systems

Kommentar zur Europäischen Cloud-Initiative der Bundesregierung

Spätestens in Zeiten von CLOUD Act, DSGVO & Co. ist es angebracht, sich Gedanken darüber zu machen, wem man seine Daten - oft das Herz oder Rückgrat eines Unternehmens - anvertraut. Vertrauen, untermauert mit dem gesunden Menschenverstand und den übrigen notwendigen Regularien in Sachen Compliance sollten eigentlich ausreichen. lesen

Die Cloud auf dem Weg zur Selbstständigkeit

Neues eBook „Autonome Clouds“

Die Cloud auf dem Weg zur Selbstständigkeit

Autonome Clouds machen den Betrieb und die Sicherheit im Cloud Computing leicht, so scheint es. Einmal eingerichtet, macht der Cloud-Dienst seine Aufgaben eigenständig. Doch ganz so einfach ist es nicht: Neben den richtigen Cloud-Lösungen braucht man ein intelligentes Regelwerk, damit Clouds autonom agieren können. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44659463 / Definitionen)