Das Wichtigste zum Datenschutz in der Cloud in Kürze
- Cloud-Computing gilt im Sinne des Bundesdatenschutzgesetzes als „Auftragsdatenverarbeitung“. Das bedeutet, dass Nutzer von Cloud-Diensten gemäß § 11 BDSG prüfen müssen, ob der Anbieter die Datenschutzbestimmungen einhält.
- Vergleichen Sie Cloud-Anbieter: Verschlüsselungen und Anonymisierungen sollten Teil des Pakets sein. Weiterhin sollte der Cloud-Dienst zertifiziert sein – empfehlenswert ist ein Zertifikat von Trusted Cloud.
- Achten Sie auch darauf, dass die 2018 greifenden Bestimmungen der neuen Datenschutzverordnung (DSGVO) möglichst jetzt schon eingehalten werden.
Datenschutz beim Cloud-Computing: Herausforderung für Anbieter und Nutzer
Inhaltsverzeichnis
Cloud-Computing, also das Auslagern der Daten und Anwendungen in ein Online-Netz, wird immer beliebter. Dropbox und Co. setzen sich im privaten Sektor durch, während Unternehmen mitunter ihre komplette Rechenleistung über Cloud-Anbieter beziehen.
Datenschutz und Datensicherheit im Internet muss in diesem Kontext ein besonderes Augenmerk zukommen. Dieser Ratgeber erläutert, worauf es beim Datenschutz in der Cloud ankommt.
Datenschutz in der Cloud: Gesetzliche Anforderungen an den Nutzer
Laden Nutzer Daten in die Cloud, stellt dies gemäß BDSG eine Auftragsdatenverarbeitung dar – da ein externer Dienstleister, der Cloud-Anbieter, die Daten seiner Nutzer verwaltet. Gemäß § 11 des BDSG muss in einem solchen Fall der Nutzer sicherstellen, dass die Bestimmungen zum Datenschutz eingehalten werden:
(1) Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich.“
Sollten Datenschutzverstöße erfolgen, ist dabei in erster Linie der Nutzer, nicht der Cloud-Anbieter dafür haftbar.
Cloud-Computing-Zertifikat: Den Datenschutz bescheinigen lassen
Die Pflichten gemäß BDSG erübrigen sich aber, wenn der Anbieter mittels Zertifikat nachweisen kann, dass seine Cloud Datenschutz- und Datensicherheitsbestimmungen einhält. Aufgrund der vielen verschiedenen Zertifikate, welche in Sachen Datenschutz in der Cloud verteilt werden, schaffte das Bundesministerium für Wirtschaft und Energie in Zusammenarbeit mit der Stiftung Datenschutz das Zertifikat „Trusted Cloud“.
Zur Erteilung des Zertifikats wird geprüft, ob alle gesetzlichen Anforderungen eingehalten werden:
Das Trusted Cloud Datenschutz-Profil für Cloud-Dienste – kurz TCDP – ist der erste und einzige Prüfstandard, der die Anforderungen des deutschen Bundesdatenschutzgesetzes an die Auftragsdatenverarbeitung vollständig abbildet. (tcdp.de)
Datensicherheit in der Cloud: Mit diesen Tipps sichern Sie sich ab
Mit diesen Maßnahmen gewährleisten Sie beim Cloud-Computing Sicherheit und Datenschutz:
- Zertifikat prüfen
- Verschlüsselungs- und Anonymisierungsoptionen buchen
- Serverstandort in Europa wählen
- Backup-Optionen des Anbieters prüfen
- Auf einsehbare Protokolle zum Monitoring achten
Achtung! Die meisten Cloud-Anbieter haben ihre Infrastruktur in den USA, sodass Ihre Daten dort landen und somit dem Patriot Act unterstehen. Das bedeutet, dass alle Daten der US-amerikanischen Regierung bei begründetem Verdacht vorgelegt werden müssen.
Thomas meint
9. März 2023 at 17:50
Ich hätte da mal eine Frage: Ein kleiner Arbeitgeber (Gastronomie) möchte, dass ich meine Daten auf workspace.ordio erfasse. Hierzu habe ich per SMS eine „Einladung“ erhalten. Bereits auf der ersten Seite werde ich nach sehr sensiblen Daten gefragt, z.B. SteuerID, Ausbildungsberuf, Sozialversicherungsnummer, etc.; das sind alles Muss-Felder. Wenn ich die nicht ausfülle, oder keine Angaben machen will, geht es nicht weiter zur nächsten Übersicht. Der Agenda nach kommen da aber noch weitere Fragen zur Krankenversicherung, Bankverbindung etc. – Ich weiß nicht mal konkret, was der AG darüber abwickeln möchte. Vielleicht die Einteilung der Arbeitszeiten (Schichten), die Zeiterfassung oder ggf. die Gehaltsabrechnung. Wie kann ich mich absichern, dass das mit meinen Daten alles korrekt läuft?
Alexander H meint
21. August 2020 at 10:22
„Und das, anders als am Telefon, in leicht zugänglicher, speicherbarer und auswertbarere Form“
Diese Aussage halte ich für nicht sachgerecht. Eine Analyse von Sprachdateien ist einfach möglich. Das Schreiben Sie ja selbst weiter unten „dass persönliche Daten – darunter auch Stimme, Sprache, Satzmelodie – nicht abgefischt werden (können)“.
Dann bleibt nur, dass die Daten auf Servern der Anbieter liegen. Einige Anbieter haben „Ende-zu-Ende-Verschlüsselung“ z.B. WhatsApp (nicht Zoom!). Das ist damit nicht leichter auszuwerten, als einfach den Telefontraffic mitzuschneiden, der ja inzwischen auch über IP läuft. Und dass die NSA an die Datenübertragung kommt ist ja inzwischen kein Geheimnis mehr.
Chris meint
27. Februar 2020 at 17:51
Der Cloud Act regelt, dass die US-Behörden auf die Herausgabe von Daten beharren können, welche auf Server von US-Firmen gespeichert sind, auch wenn diese in Europa stehen. Auch das neue Azure Rechenzentrum in der Schweiz ist davon betroffen.
Dan meint
5. Februar 2020 at 22:21
Patriot Act: Bedeutet NICHT, dass alle Daten der US-Regierung automatisch und einfach so und unbegründet vorgelegt werden müssen. Bitte Ihren obigen Text überarbeiten und spezifizieren. Auch unsere eigenen Stafverfolgungsbehörden haben die gleichen Rechte / Möglichkeiten bei BEGRÜNDETEM VERDACHT Daten einzusehen!
H. meint
27. März 2020 at 16:08
Dass Firmendaten in die Cloud ausgelagert werden, ist ja schon seit Jahren nicht mehr das Problematischste in Arbeitsverhältnissen. Inzwischen werden im Betriebsablauf routinemäßig auch Online-Chats von Mitarbeitern in Echtzeit über den zentralen Provider ermöglicht und durch ihn laufend mitprotokolliert (z.B. MS Skype for Business, Teams). Mit dieser Form der spontanen und weit persönlicheren Kommunikation gibt der Arbeitnehmer, ob er will oder nicht, immer auch über das Arbeitsverhältnis hinausgehende Daten, aber auch individuelle Persönlichkeitsmerkmale von sich. Und das, anders als am Telefon, in leicht zugänglicher, speicherbarer und auswertbarere Form. Der Persönlichkeitsschutz müsste deshalb beinhalten, dass sich ein Arbeitnehmer dieser Form betrieblicher Kommunikation verweigern kann, solange nicht eindeutig feststeht, dass persönliche Daten – darunter auch Stimme, Sprache, Satzmelodie – nicht abgefischt werden (können). Wie ist die Rechtslage hierzu?