Inhaltsverzeichnis
- Cloud-Entwicklung der letzten Jahre
- Definition und Formen von Cloud Computing
- Wie sicher ist Cloud Computing
- Was sind die Vorteile und Risiken von Cloud Computing?
- Datenverarbeitung in der Cloud und DSGVO
Cloud-Entwicklung der letzten Jahre
In Deutschland haben im vergangenen Jahr 97 Prozent der Unternehmen mit mehr als 50 Beschäftigten eine Cloud-Lösung für ihr Geschäft genutzt (vgl. „Cloud-Monitor 2023“) hervor. Die Studie zeigt, dass Unternehmen mittlerweile überwiegend auf Sotware as a Service (SaaS) und Infrastructure as a Service (IaaS) zurückgreifen – dies hat meist finanzielle Hintergründe, da eine ähnliche eigene Infrastruktur oder hauseigene Programme in der Anschaffung meist deutlich teurer ausfallen. Jedoch bergen Outgesourced Solutions zusätzliche Datenschutz und IT-Sicherheitsrisiken, mehr dazu im Laufe dieses Beitrags.
Definition und Formen von Cloud Computing
Cloud Computing bezeichnet die Nutzung von IT-Leistungen über ein Netzwerk. Das heißt: IT-Ressourcen, wie Server oder Anwendungen, werden nicht in unternehmenseigenen Rechenzentren betrieben, sondern sind bedarfsorientiert und flexibel über das Internet verfügbar. So können sich Unternehmen die kostenintensive Bereitstellung, Installation und Betreuung eigener Rechensysteme sparen.
Was ist der Unterschied zwischen Private Cloud und Public Cloud?
Es gibt zwei Formen von Cloud Computing: „Private Cloud Computing“ und „Public Cloud Computing“. Laut Studie nutzten 82 Prozent der befragten Unternehmen eine Kombination aus Private und Public Cloud, d.h. eine sog. Multi-Cloud-Strategie. Der allgemeine Trend ist bei mittelgroßen Unternehmen hin zur Cloud-First- oder Cloud-Only-Strategie. Das rührt nicht zuletzt daher, dass während der letzten Jahre eine Verschiebung von Präsenzarbeit hin zu Home-Office stattgefunden hat und cloudbasierte Lösungen, gleich welcher Art und Anwendung, ein erhöhtes Maß an Flexibilität mitbringen.
Die Private Cloud kann sowohl mit als auch ohne Dienstleister genutzt werden. Der Bitkom-Verband unterscheidet vier Varianten:
- Interne Private Cloud Bei dieser Form wird die interne IT nach dem Cloud-Prinzip aufgebaut. Infrastruktur und Daten bleiben so im Unternehmen.
- Managed Private Cloud Ein Outsourcing- Anbieter betreibt die Cloud für das Unternehmen. Die Infrastruktur bleibt aber in der Firma.
- Hosted Private Cloud Ein Outsourcing- Anbieter betreibt die Cloud für das Unternehmen. Die Infrastruktur befindet sich dann im Rechenzentrum des Dienstleisters.
- Community Cloud Bei dieser Form wird die Private Cloud von mehreren Unternehmen genutzt, die zum Beispiel derselben Branche angehören.
In der Public Cloud erfolgt die Nutzung der IT-Leistungen über das „öffentliche“ Internet. Die wichtigsten Public-Cloud-Varianten sind:
- Software as a Service (SaaS)
(Anwendungen wie Office aus der Cloud) - Infrastructure as a Service (IaaS)
(Rechenleistung, Datenspeicher aus der Cloud) - Business-Process-as-a-Service (BPaaS)
(Verlagerung von Geschäftsprozessen in die Cloud) - Platform as a Service (PaaS)
(Entwickler-Tools oder Betriebssysteme aus der Cloud)
Wie sicher ist Cloud Computing?
Die Mittelstand 4.0-Agentur Cloud erklärt im folgenden Video, wie sicher Cloud Computing ist:
Quelle: Mittelstand 4.0-Agentur Cloud, YouTube
Was sind die Vorteile und Risiken von Cloud Computing?
Cloud Computing ist für viele Unternehmen attraktiv, weil es einige Vorteile mit sich bringt, die das alltägliche Geschäft deutlich erleichtern. Die wichtigsten Vorteile von Cloud Computing sind:
- Alle in die Cloud geladenen Daten sind rund um die Uhr verfügbar.
- Die Daten sind von verschiedenen Geräten und Nutzern gleichzeitig abrufbar.
- Die Cloud-Daten sind von überall auf der Welt abrufbar.
- Cloud Computing ermöglicht eine Skalierbarkeit von Kosten und Ressourcen.
Europäische Unternehmen, die von dieser Flexibilität profitieren wollen, dürfen jedoch die einschlägigen datenschutzrechtlichen Vorschriften, die in der EU gelten, nicht vernachlässigen.
→ In der DSGVO und dem BDSG finden sich zwar keine speziellen Regelungen zum Cloud Computing, dennoch darf die Nutzung von Cloud-Diensten das Datenschutzniveau im Vergleich zu anderen Formen der Datenverarbeitung nicht herabsetzen. Wichtig ist an dieser Stelle, dass Cloud-Anbieter (Provider) nicht stellvertretend für den Auftraggeber dessen DSGVO-Erfüllungspflicht ausführt. Die Datenschutz-Compliance liegt primär beim Verwender, der z.B. der Transparenz- und Informationspflicht nachkommen muss.
Risiken bei Einbindung von Cloud-Anbietern
Unternehmen müssen sich, je nachdem welche Art von Daten sie verarbeiten, der nicht unerheblichen Risiken bewusst sein, die Cloud Computing mit sich bringt:
- Die größten und gängigsten Cloud-Anbieter sitzen in den USA, sprich einem Drittland. Das sind z. B. Microsoft, Google, Amazon, Adobe oder Apple. Werden Daten in die Cloud eines dieser Anbieter hochgeladen, handelt es sich um einen Datentransfer in ein Drittland, wodurch mögliche Kollisionen zwischen den Regelungen der DSGVO und nationalem Recht in dem Drittstaat zu erwarten sind. Gerade in den USA ist es schon mehrfach zu willkürlichen behördlichen Überwachungsmaßnahmen gekommen.
- Ein weiteres Risiko betrifft die Löschung von Daten. Immerhin hat jeder Betroffene durch die DSGVO das Recht auf Löschung seiner personenbezogenen Daten. Eine datenschutzkonforme Löschung der Daten durch den Cloud-Anbieter wird häufig nicht ohne Weiteres möglich sein bzw. diese kann nicht überprüft werden. Das betrifft sowohl den Einzelfall, als auch die Absicht, die Kooperation mit dem Cloud-Anbieter zu beenden. Unternehmen werden nicht mit Sicherheit sagen können, ob die Daten nicht weiterhin in der Cloud verbleiben und vor allem wo sie verbleiben.
- Cloud-Anwender müssen sich mit einer mangelnden Transparenz über die Einflussnahme und Aktivitäten des Cloud-Anbieters anfreunden.
- Die Anwendung virtueller Maschinen kann zu einer mangelhaften Datentrennung führen.
- Der Vorteil des standort- und zeitpunktunabhängigen Zugriffs auf Daten wird dadurch relativiert, dass Unternehmen von einer stabilen Netzanbindung und der Verfügbarkeit der Cloud-Daten abhängig sind.
Unter bestimmten Konstellationen kann es außerdem zu einer Abhängigkeit vom Cloud-Anbieter kommen, die es dem Unternehmen unmöglich macht, die Kooperation zu beenden oder zu einem anderen Anbieter zu wechseln. Mit der Datenverlagerung in die Cloud ist also immer ein Kontrollverlust verbunden, den Unternehmen bei der Ausarbeitung ihrer Cloud-Strategie berücksichtigen müssen.
Datenverarbeitung in der Cloud und DSGVO
Wurden alle Vorteile gegen die Risiken des Cloud Computing abgewogen, müssen Verantwortliche im Rahmen ihrer Cloud-Strategie die personenbezogenen Daten, die das Unternehmen verarbeitet, nach ihrem Schutzbedarf klassifizieren, die rechtlichen Rahmenbedingungen abklären sowie spezifische Sicherheitsanforderungen an den Cloud-Anbieter festlegen. Besondere personenbezogene Daten, wie etwa Gesundheitsdaten, sind nicht grundsätzlich von einer Verarbeitung in der Cloud ausgeschlossen, allerdings bedarf die Verarbeitung einer Einwilligung des Betroffenen.
Wichtig zu wissen ist, dass es sich bei dem Cloud Anbieter in der Regel um einen Auftragsverarbeiter gemäß Art. 28 DSGVO handelt. Die genaue Rolle der Parteien kann aber auch variieren und sollte frühzeitig im Rahmen der Cloud Strategie geklärt werden, um die rechtlichen Folgen, die sich daraus ergeben, richtig einstufen zu können.
Auftragsverarbeitung durch Cloud-Anbieter
Entscheidet sich das Unternehmen für die Form der Auftragsverarbeitung sollte es mit dem Cloud-Anbieter einen Vertrag abschließen, der die Mindestinhalte nach Art. 28 Abs. 3 DSGVO erfüllt. Das ist gerade bei großen Anbietern, die mit Musterverträgen arbeiten, nicht selbstverständlich. Deshalb ist hier eine gründliche Prüfung der Vertragsvereinbarungen zwingende Voraussetzung.
Besonders zu beachten ist,
- dass der Cloud-Anbieter hinreichend garantieren kann, dass seine technischen und organisatorischen Maßnahmen (TOM) eine DSGVO-konforme Verarbeitung der personenbezogenen Daten gewährleisten und ein angemessenes Schutzniveau bieten können. Cloud-Anwender können das anhand unabhängiger Zertifizierungen und Gütesiegel überprüfen und beurteilen.
- dass bei der Datenverarbeitung in Drittländern die einschlägigen Bestimmungen des Kapitels V der DSGVO beachtet werden. Solange kein Angemessenheitsbeschluss der EU-Kommission für das Drittland vorliegt, sind für die Datenübermittlung ins Drittland geeignete Garantien nach Art. 46 Abs. 2 DSGVO vorzusehen.
- ob die Daten über einen Unter-Anbieter übermittelt werden. Eine besondere Vertragskonstellation liegt dann vor, wenn nur der Subdienstleister in einem Drittland ansässig ist.
Außerdem sollten Unternehmen im Vertrag mit dem Cloud-Anbieter Weisungs- und Kontrollmöglichkeiten sicherstellen.
Gemeinsame Verantwortung von Cloud-Anwender und Cloud-Anbieter
Die Auftragsverarbeitung wird die Regel-Konstellation beim Cloud-Computing bleiben, jedoch gewinnt auch die Rechtsfigur der gemeinsamen Verantwortung an Bedeutung. Dann trägt nicht nur der Cloud-Anwender die Verantwortung für eine datenschutzkonforme Datenverarbeitung, sondern auch der Anbieter. Haben sich Anwender und Anbieter für diese Lösung entschieden, sind die Bedingungen des Art. 26 DSGVO einzuhalten.
Quellen: „Infodienst Datenschutz für Praktiker“, „Datenschutz 2024“, Cloud-Monitor 2023 - KPMG AG Wirtschaftsprüfungsgesellschaft