Neue Orientierungshilfe zu Datenschutz und Cloud

Die Datenschutz-Aufsichtsbehörden haben eine neue Orientierungshilfe für Cloud Computing veröffentlicht – eine gute Gelegenheit zur Cloud-Revision.

Dieser Artikel behandelt

Datenschutz

Der Markt für Cloud Computing mit Geschäftskunden wird in Deutschland im laufenden Jahr um 46 Prozent auf rund 6,4 Milliarden Euro wachsen, so der Hightech-Verband BITKOM. Ursprüngliche Schätzungen mussten leicht nach unten korrigiert werden, dennoch kann man sagen, dass Cloud Computing weiterhin deutlichen Zuwachs erfährt und die NSA-Affäre das Wachstum des Cloud-Marktes offenbar nur geringfügig gebremst hat.

Für den Datenschutz bedeutet diese Entwicklung, dass die Datensicherheit bei der Cloud-Nutzung noch stärker in den Fokus gerückt werden muss. Die Aufsichtsbehörden für den Datenschutz in Deutschland haben das weitere Cloud-Wachstum und die nachrichtendienstlichen Aktivitäten im Internet zum Anlass genommen, die bereits vorhandene Orientierungshilfe Cloud Computing zu überarbeiten.

Cloud-Nutzer sind im Datenschutz besonders gefordert

Die neue Orientierungshilfe Cloud Computing sollten Cloud-Anwender und Cloud-Anbieter gleichermaßen zum Anlass nehmen, den Stand des Datenschutzes in der Cloud zu hinterfragen. 

Ganz gleich, wo die Daten verarbeitet und gespeichert werden, der Datenschutz darf darunter nicht leiden.

Da es sich bei Cloud Computing allerdings in aller Regel um Auftragsdatenverarbeitung handelt, bleibt der Datenschutz in der Verantwortung der Cloud-Nutzer. Entsprechend sind die Hinweise in der neuen Orientierungshilfe auch besonders an die Anwender von Cloud Computing gerichtet.

Als goldene Regel können sich Cloud-Nutzer merken, dass durch die Verwendung von Cloud-Diensten der Datenschutz im Vergleich zu einer internen Verarbeitung von Daten nicht abgesenkt werden darf. Anders ausgedrückt: Ganz gleich, wo die Daten verarbeitet und gespeichert werden, der Datenschutz darf darunter nicht leiden.

Wenn man dann auch berücksichtigt, dass die Risiken für personenbezogene Daten im Internet noch höher sein werden als in einem abgeschotteten, internen Netzwerk, wird schnell deutlich: Die Maßnahmen für die Datensicherheit in der Cloud müssen mindestens so stark sein wie im internen Netzwerk, meist sogar noch stärker.

Schutzmaßnahmen müssen regelmäßig geprüft werden

Bei der Revision des Datenschutzes in der Cloud müssen alle Schutzmaßnahmen regelmäßig auf den Prüfstand. Besonders hervorgehoben werden in der Orientierungshilfe die Maßnahmen, bei denen oftmals Missverständnisse vorliegen oder Umsetzungsprobleme bestehen.

Ein Beispiel ist die Verschlüsselung nach dem Stand der Technik. Gerade für die häufigste Form der Cloud-Nutzung, dem Cloud-Storage, sprechen die Aufsichtsbehörden an, dass eine Verschlüsselung bereits vor der Übertragung in die Cloud wichtig ist und die Schlüssel unter der Kontrolle des Cloud-Nutzers verbleiben sollten.

Eine weitere Problemstelle im Cloud Computing ist die Umsetzung der Löschpflichten, die Sperrung und Berichtigung der Daten, die Trennung der Daten (Zweckbindung und Mandantenfähigkeit) sowie die Integritätskontrolle für Cloud-Daten. Neben den technisch-organisatorischen Maßnahmen sollten die rechtlichen Voraussetzungen regelmäßig unter die Lupe genommen werden.

Die Weitergabe von Daten muss genau hinterfragt werden

Die zuvor erwähnte goldene Regel, dass das Datenschutzniveau durch die Cloud-Nutzung nicht abgesenkt werden darf, gilt auch für die grenzüberschreitende Datenverarbeitung. Dabei muss zuerst klar sein, ob diese überhaupt zulässig ist. 

Die Cloud-Kontrolle ist keine Eintagsfliege, sondern ein fester Punkt auf der Agenda jedes Cloud-Nutzers.

Das ist immer dann nicht der Fall, wenn kein entsprechendes Datenschutzniveau vorhanden ist. So weisen die Aufsichtsbehörden unter anderem darauf hin, dass die EU-Kommission aufgrund der grundsätzlichen Kritikpunkte an Safe-Harbor-Zertifizierungen von US-Cloud-Diensten eine Überprüfung des gleichnamigen Abkommens durchführt.

Die Aufsichtsbehörden erklären in der Orientierungshilfe, dass sie sich vorbehalten, keine neuen Genehmigungen für die Datenübermittlung in Drittstaaten zur Nutzung von Cloud-Diensten zu erteilen und zu prüfen, ob solche Datenübermittlungen auf der Grundlage des Safe-Harbor-Abkommens und der Standardvertragsklauseln auszusetzen sind. 

Hier sind alle Cloud-Nutzer gefordert, die Entwicklung der rechtlichen Lage im Auge zu behalten.

Cloud-Kontrolle einmal und immer wieder

Die in der neuen Orientierungshilfe Cloud Computing der deutschen Aufsichtsbehörden für den Datenschutz betonten Prüfungspunkte bei Cloud-Nutzung zeigen, dass auch bereits genutzte Cloud-Dienste regelmäßig unter Datenschutzsicht untersucht werden müssen.

Für Cloud Computing gilt eben das, was bei Auftragsdatenverarbeitung gefordert wird: Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren. Die Cloud-Kontrolle ist also wahrlich keine Eintagsfliege, sondern ein fester Punkt auf der Agenda jedes Cloud-Nutzers.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im November 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Datenschutz und Datensicherheit

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close