Betreffend Datenschutz im Cloud Computing Umfeld gibt es zusätzliche Risiken aufgrund von externen Dienstleister und Rechenzentren. Die Speicherung der Daten erfolgt auf firmenexternen Systemen und da sie per Internet zugänglich sind kommt es zu zusätzlichen datenschutzrechtlichen Anforderung.
Die Vorteile von Cloud Services wie Einsparungen von Hard- und Software, flexible Tarifmodelle,…. sind verlockend. Die IT-Komponenten des Anbieters werden von unterschiedlichen Unternehmen genutzt und man kann per Internet von überall zugreifen, sobald man die Zugangskennung hat. Sicherheitslücken und -schachstellen können Unbefugten Zugang zu den Daten ermöglichen.
Diese Risiken können zu folgenden Problemen führen:
- unberechtigter Zugriff auf Daten durch den Cloud Provider, durch staatliche Institutionen oder durch unbefugte Dritte
- Verlust von Daten
- Manipulation von Daten
- Diebstahl der Zugriffskennungen und Missbrauch des Accounts
Bei der Nutzung von Cloud Services sind mehrere Parteien beteiligt, die Einfluss auf die datenschutzkonforme Ausführung haben. Es entsteht Verbindung zwischen dem Cloud Provider, Cloud Anwender, dem Mandanten des Cloud Anwender sowie deren Datenschutzrechte als Dritte betroffen sind. Die datenschutzrechtlichen Anforderungen können nur erfüllt werden, wenn die technische Datensicherheit (Hard-und Software) durch den Cloud Anbieter gegeben ist. Es kommen Verschlüsselungstechniken für Daten und Zugänge (VPN), besondere Authentifizierungsmethoden wie Zwei-Faktor-Authentifizierung, kontinuierliches Monitoring, Intrusion Detection (IDS) und Intrusion Prevention (IPS) Systeme, Sandboxin-Technologien und Firewallkomponenten zum Einsatz. Die organisatorische Sicherheit regelt den physischen Zugriff auf die Daten im Rechenzentrum.
Neben der technischen Datensicherheit ist auch die rechtliche Komponente des Datenschutzes einzuhalten. Diese unterscheiden sich teilweise stark von Land zu Land. Viele Cloud Provider haben ihre Rechnezentren außerhalb der EU z.B. in Amerika. Die ursprüngliche Datenschutzvereinbarung (Safe-Habor-Pakt) wurde vom Europäischen Gerichtshof bereits 2015 für ungültig gerklärt. Die Tatsache, das Daten eines europäischen Unternehmens in der USA gespeichert werden kann bereits zu einer Datenschutzverletzung führen, sollten amerikanische Behörden Daten anfordern. Lt. Patriot Act. sind die Cloud Anbieter verpflichtet Daten an die amerikanischen Behörden zu liefern.
Unser Datenschutzexperte rät sich beim Cloud Anbieter genau zu informieren, wo ihre Daten gespeichert werden und rechtzeitig die entsprechenen Vereinbarungen zu treffen.
„Der Cloud Anwender trägt in erster Linie die Verantwortung für die Datensicherheit zu den Dritten.“