Drei Fragen an...

Mehr Durchblick beim Datenschutz in der Cloud

Thomas Kranig, Präsident des Bayerischen Landesamtes für Datenschutzaufsicht, und Dr. Tobias Bosch von der Kanzlei Noerr im Gespräch über die richtigen Sicherheitsmaßnahmen beim Cloud Computing.

  • Wolkensymbol auf einer Platine

    Datenschutz ist ein kritischer Aspekt bei der Nutzung von Cloud-Infrastrukturen. ((Foto: Thinkstock/iStock))

  • Thomas Kranig, Präsident des Bayerischen Landesamtes für Datenschutzaufsicht

    Thomas Kranig, Präsident des Bayerischen Landesamtes für Datenschutzaufsicht ((Foto: BayLDA))

  • Dr. Tobias Bosch, der bei der Kanzlei Noerr u.a Rechtsprobleme der digitalisierten Wirtschaft bearbeitet

    Dr. Tobias Bosch, der bei der Kanzlei Noerr u.a Rechtsprobleme der digitalisierten Wirtschaft bearbeitet ((Foto: Noerr LLP))

Zwei von drei Unternehmen nutzen Cloud Computing; unter Großunternehmen sind es bereits 83 Prozent. Dies jedenfalls ergab eine repräsentative Umfrage bei Unternehmen mit mehr als 20 Mitarbeitern von Bitkom Research, die im vergangenen Juni veröffentlicht wurde. Kein Wunder, gilt Cloud Computing doch als Motor der digitalen Transformation.

Sorgen um Sicherheit, Verfügbarkeit und Performance sind und bleiben hingegen berechtigte Argumente gegen die Cloud – gerade im Mittelstand. Die Sorge um die Datensicherheit ist laut Bitkom auch ein Hauptgrund, weshalb ein Teil der Wirtschaft noch nicht auf die Public Cloud setzt. Fast zwei Drittel der Nichtnutzer (63 Prozent) fürchten einen unberechtigten Zugriff auf sensible Unternehmensdaten. Mehr als die Hälfte (56 Prozent) hat Sorge, Daten könnten in der Cloud verlorengehen. Jeder zweite Nichtnutzer (50 Prozent) vermutet eine unklare Rechtslage.

Auch wenn nach Einschätzung des Bitkom die Skepsis gegenüber der Cloud etwas nachlässt, kam im vergangenen Jahr mit der Datenschutz-Grundverordnung ein potentieller Bremsklotz hinzu. Der Bundesverband mittelständische Wirtschaft beziffert die Mehrbelastung im Bereich Datensicherheit, die vor allem durch eine solche zusätzliche Bürokratie entstünde, auf 60 Prozent und warnt bereits vor einer „Entdigitalisierung der Wirtschaft“.

Dies ist ein Artikel aus unserer Print-Ausgabe 4/2019. Bestellen Sie ein kostenfreies Probe-Abo.

In der Praxis ist dieses Thema für IT-Chefs allerdings bei weitem nicht so heiß, wie es von Beratern und einigen Medien hochgekocht wird. Im Prinzip gelten ja für personenenbezogene Daten die bestens bekannten Datenschutzgesetze weiterhin; dem der Datenschutz-Grundverordnung kommen lediglich 99 Artikel hinzu, die den Umgang mit Daten von betroffenen Personen regeln – und die sind kein Buch mit sieben Siegeln. Wir haben deshalb bei zwei Experten nachgefragt, worauf IT-Leiter beim Cloud Computing aus Sicherheitsgründen vor allem achten sollten.

ITM: Wie kann ein IT-Leiter verhindern, dass die bei internationalen Cloud-Providern wie Alibaba, Amazon oder Microsoft gehosteten Daten seines Unternehmens in fremde Hände gelangen?

Thomas Kranig: Ein Unternehmen darf gemäß DSGVO Dienstleister, also auch Cloud-Provider, nur dann einsetzen, wenn es sich im Vorfeld überzeugt hat, dass der Provider mit den personenbezogenen Daten sorgsam umgeht. Die Schutzmechanismen bestehen aus rechtlichen Instrumenten sowie technischen und organisatorischen Schutzmaßnahmen wie Informationssicherheits-Management-Systemen oder der Meldung von Datenpannen. Zukünftig wird es Zertifizierungen unter der DSGVO geben, mit denen ein Provider den vertrauensvollen Umgang mit Daten allen seinen Kunden nachweisen kann. Ein IT-Leiter kann beim Datenschutzbeauftragten nachfragen, ob eine Überprüfung der Provider stattgefunden hat.
Tobias Bosch: Der durch die DSGVO vermittelte Schutz „haftet“ personenbezogenen Daten an, die in das Ausland übermittelt werden. Auch internationale Cloud-Provider müssen deshalb die Vorschriften der DSGVO bei der Verarbeitung dieser Daten beachten. Sie müssen insbesondere Verträge über die Auftragsverarbeitung (Data Processing Agreements) konform zur DSGVO abschließen, durch die sie sich u.a. verpflichten, die Daten nur auf Weisung des Kunden zu verarbeiten. Vor der Auswahl eines Anbieters sollte der IT-Leiter überprüfen, ob diese Verträge ausreichende technische und organisatorische Maßnahmen zur Datensicherung erhalten. Einen Anhaltspunkt kann eine Zertifizierung nach ISO 27001 bieten, die sich auf den konkret genutzten Cloud-Service beziehen muss.

Der IT-Leiter sollte zudem über sämtliche Verarbeitungsorte vorab informiert sein – und diese sollten vertraglich festgehalten werden. Falls der Cloud-Provider eine Speicherung der Daten auf Servern anbietet, die sich in Deutschland oder innerhalb der EU befinden, sollte der IT-Leiter diese Option wählen. Werden die Daten in das Ausland außerhalb der EU weitergeleitet, sind gegebenenfalls zusätzliche Garantien erforderlich.

Eine Reihe von Ländern verfügt laut sog. „Angemessenheitsbeschlüssen“ der Europäischen Kommission über ein ausreichendes Schutzniveau, so dass keine weiteren Maßnahmen getroffen werden müssen. Dasselbe gilt für Cloud-Provider, die Daten in den USA speichern und unter dem EU-US Privacy Shield zertifiziert sind. Werden die Daten jedoch in andere Länder übermittelt, sollte sichergestellt werden, dass mit den internationalen Cloud-Providern sogenannte „EU Standard Contractual Clauses“ abgeschlossen werden, wenn der Anbieter ausnahmsweise nicht über interne „Binding Corporate Rules“ – in der DSGVO als „verbindliche interne Datenschutzvorschriften“ bezeichnet – verfügt.

ITM: Was ist zu beachten, wenn ein deutscher Cloud-Provider für seine Angebote auf internationale Subunternehmer zurückgreift – wie z.B. die Telekom auf Microsoft und IBM?
Bosch: Wenn der Einsatz des internationalen Subunternehmers mit einer Datenübermittlung außerhalb der EU verbunden ist, muss eventuell sichergestellt werden, dass zusätzliche Garantien etwa in Form von „EU Standard Contractual Clauses“ bestehen. Außerdem sollte der deutsche Cloud-Provider mit den Subunternehmern sogenannte Data Processing Agreements abgeschlossen haben, die mit der Vereinbarung zwischen dem eigenen Unternehmen und dem deutschen Cloud-Provider vergleichbar sind.

Kranig: Bei einer Unterauftragsvergabe muss vom Grundsatz her das gleiche Schutzniveau erreicht werden, als wenn der Cloud-Provider innerhalb der EU/EWR beauftragt wird. Neben den technischen und organisatorischen Maßnahmen muss bei vielen Ländern auch eine sogenannte Rechtsgrundlage der 2. Stufe vorhanden sein, wobei Prüfung auf der 1. Stufe bedeutet: Darf man überhaupt Daten übermitteln? Prüfung auf der 2. Stufe bedeutet: Darf man Daten in das Empfängerland übermitteln? Das kann auch für die USA einfach sein, sofern der Cloud-Provider eine „Privacy Shield“-Zertifizierung hat. Ein wenig komplizierter wird es, wenn EU-Standardverträge geschlossen werden müssen. Wichtig ist, dass das Unternehmen, das den deutschen Cloud-Provider beauftragt, davon in Kenntnis gesetzt wird und bei einem Wechsel des internationalen Subunternehmers gegebenenfalls auch den Vertrag kündigen kann.

ITM: Amerikanische, osteuropäische oder auch indische IT-Dienstleister versuchen hierzulande durch die Übernahme deutscher Provider Fuß zu fassen. Wenn ein deutscher Provider aufgekauft wird: Was muss ein IT-Leiter in dieser Situation tun, um die informationelle Selbstbestimmung und Data Governance seines Unternehmens zu wahren?
Bosch: Der IT-Leiter sollte klären, ob die Übernahme zur Folge hat, dass Daten des eigenen Unternehmens außerhalb der EU gespeichert werden, und überprüfen, ob erforderlichenfalls zusätzliche Garantien („EU Standard Contractual Clauses“, „Binding Corporate Rules“) angeboten werden.
Kranig: Auch nach einem Aufkauf muss die DSGVO eingehalten werden – ansonsten drohen hohe Bußgelder. Die Höhe dieser Sanktionen bemisst sich am Umsatz der internationalen Unternehmensgruppe, was ein wirksames Instrument ist, um einem neuen Eigentümer eine akribische Einhaltung der DSGVO nahezubringen. Es empfiehlt sich in einer solchen Situation, dass der IT-Leiter eng mit dem betrieblichen Datenschutzbeauftragten zusammenarbeitet. Zu bedenken ist, dass auch die IT-Wartung durch den neuen Eigentümer unter Berücksichtigung der datenschutzrechtlichen Anforderungen ausgestaltet wird.

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok