Newsletter

Melden Sie sich für unseren Newsletter an!

So bekommen Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Compliance zugeschickt.

X

 

Durch das klicken des Buttons erklären sie sich damit einverstanden, externe Inhalte von Newsletter2Go zu laden. Weitere Informationen erhalten Sie in unserer Datenschutzerklärung.

Die wichtigsten Schritte, um Ihre Daten in der Cloud zu schützen

Veröffentlichungen

von Danny Sellmann

Cloud-Computing ist für Unternehmen und Privatkunden eine der relevantesten Zukunftstechnologien. Jederzeitige Verfügbarkeit von überall auf der Welt, dynamische Ressourcenverwaltung und stets aktuelle Software. Für Datenschützer dagegen ist es ein Problemfall. Vor- und Nachteile der Umstellung auf Cloud-Lösungen wie Microsoft 365 müssen erwogen und Risiken minimiert werden, teilte das auf Datenschutz, Informationssicherheit und IT- Compliance spezialisierte Unternehmen Althammer & Kill mit.

Dem Online-Analysten StatCounter zufolge ist Microsoft mit seinen Betriebssystemen mit mehr als 77 Prozent Marktanteil führend in Deutschland. Ältere Betriebssysteme des US-Anbieters werden künftig nach und nach aus der Wartung fallen. Das heißt, der Umzug in die Wolke wird einen großen Teil der privaten Nutzer und Unternehmen in Deutschland betreffen. Die gängigen Microsoft Software-Anwendungen, wie Excel, Outlook und Word werden dann nicht mehr zwingend lokal auf dem Computer des Benutzers betrieben, sondern online (as-a-service-Anwendung). Standardmäßig erfolgt die Programmnutzung nunmehr auf Microsoft-Servern und der Zugriff des Endbenutzers erfolgt lediglich über das Internet. „Bei der Migration von Daten in eine Cloud lauern einige Gefahren. Diese muss man genau bewerten“, sagt Thomas Althammer, Geschäftsführer von Althammer & Kill. „IT-Verantwortliche in Unternehmen, aber auch Verbraucher müssen Vorkehrungen treffen, um die Vertraulichkeit, Verfügbarkeit und Integrität der eigenen Informationen und personenbezogenen Daten zu gewährleisten.“ Denn bei Verstößen haftet am Ende meist derjenige, der die kritischen Daten in der Cloud gespeichert hat.

Wie gelingt die datenschutzkonforme Cloud-Migration?

Der größte Vorteil des Arbeitens in der Cloud birgt auch das größte Risiko: die ständige Verfügbarkeit der Daten von überall auf der Welt. 

Es gibt aber technische und organisatorische Möglichkeiten, die einzelnen Verarbeitungsvorgänge auf das Nötigste zu begrenzen:

  • Option „Telemetrie- und Diagnosedaten an Microsoft senden“ auf das Nötigste beschränken.
  • So weit wie möglich lokal installierte Versionen der Microsoft-Software nutzen.
  • SharePoint Online/OneDrive nur nach intensiver

Auseinandersetzung mit den datenschutzrechtlichen Vorgaben nutzen. Besonders schützenswerte Daten gesondert behandeln.

  • An einigen Arbeitsplätzen datenschutzfreundliche Software, wie Open Office installieren und besonders kritische Informationen nur dort verarbeiten.
  • Benutzung von microsofteigenen und verbundenen Diensten (zum Beispiel Cortana oder Übersetzungsvorschläge) zentral ausschalten bzw. Nutzerprofile anpassen.

Zu jedem Zeitpunkt bleibt die Pflicht des Verantwortlichen bestehen, für eine rechtmäßige Verarbeitung von personenbezogenen Daten in Microsoft 365 oder anderen Cloud-Angeboten Sorge zu tragen.

Risiken des Cloud-Computings aus Datenschutzsicht

Beim Cloud-Computing werden im Auftrag des Verantwortlichen organisationseigene Daten auf IT-Systemen externer Dienstleister verarbeitet (zum Beispiel Microsoft sowie weiteren Subunternehmen). Das nennt man Auftragsverarbeitung. Dafür gelten in der Europäischen Union die strengen gesetzlichen Regeln der Datenschutzgrundverordnung (DSGVO Artikel 28 und 32).

Unternehmen müssen den beauftragten Dienstleister hinsichtlich der eingesetzten technisch-organisatorischen Maßnahmen regelmäßig überprüfen. In der Praxis können unabhängige Sicherheits-Zertifizierungen teilweise als Ersatz für persönliche Kontrollen herangezogen werden, zum Beispiel gemäß ISO 27001.

Ein zusätzliches Problem stellt der Auslandsbezug dar. Denn oft werden beim Cloud-Computing Rechenzentren auf der ganzen Welt verwendet, von denen der Kunde letztendlich nicht einmal den Standort weiß. Auch der Zugriff eines Microsoft-Mitarbeiters im Rahmen des Kunden-Supports stellt einen Auslandsbezug dar (beispielsweise Support durch Subunternehmer aus Indien).

Die datenschutzrechtlichen Voraussetzungen der Auftragsverarbeitung inkl. Auslandsbezug werden durch Microsoft zwar vertraglich zugesichert, der Auftraggeber wird dadurch allerdings nicht von einer schutzbedarfsorientierten Risikoanalyse bezüglich der konkreten Verarbeitung von personenbezogenen Daten (Gesundheitsdaten und andere) in der Cloud befreit.

Europäischer Gerichtshof kippt Datentransfer in die USA

Gängige Grundlagen der Datenübermittlung in die USA waren bisher das EU-US Privacy Shield sowie die EU-Standardvertragsklauseln. Mitte Juli 2020 hat der Europäische Gerichtshof (EuGH) das EU-US Privacy Shield für ungültig erklärt. Im selben Zuge wurden die EU-Standardvertragsklauseln für weiterhin gültig erklärt – wenn auch unter Vorbehalt. Der strenge europäischer Datenschutz erlaubt die Übermittlung von personenbezogenen Daten in Drittstaaten außerhalb der Europäischen Union nur, wenn dort ein gleichwertiges Schutzniveau sichergestellt ist, wie in der EU. Dies sah der EuGH in den USA als nicht gegeben an. Da aufgrund dessen die Gültigkeit der EU-Standardvertragsklauseln mit US-amerikanischen Unternehmen in Frage gestellt wird, bedarf es einer neuen Vereinbarung zwischen der EU und den USA.

Speicherort der Microsoft-Cloud-Dateien sind unter anderem zwar Server in Deutschland und der EU, allerdings können US-Behörden aufgrund des sogenannten CLOUD Acts darauf gegebenenfalls Zugriff nehmen. Dies ist einer der Gründe, wieso der EuGH ein angemessenes Schutzniveau in den USA nicht anerkannt hat.

Web-Seminar vom 9. bis 10. September 2020

Für Unternehmen (Datenschutzbeauftragte, IT-Verantwortliche und Management) vertieft Althammer & Kill das Thema in einem Web-Seminar, stellt Vor- und Nachteile des Cloud-Computings vor und erläutert, wie Risiken minimiert werden können.

Die dargestellte Problematik des Cloud-Computings betrifft auch andere Anbieter, wurde aber hier am Beispiel von Microsoft als Marktführer in Deutschland aufgezeigt.

Zurück