Cloud Computing: Definition, Vorteile, Risiken und DSGVO

© Gorodenkoff – stock.adobe.com

Immer mehr Unternehmen lagern ihre Datenverarbeitung in die Cloud aus. Doch die Entscheidung für Cloud Computing sollte auf einer eigens entwickelten Cloud-Strategie basieren, in der die Vorteile gegenüber den Risiken abgewogen werden. Europäische Unternehmen müssen außerdem die datenschutzrechtlichen Vorgaben u. a. der DSGVO berücksichtigen.
  1. Grundlagen zu Cloud Computing – diese Cloud Services gibt es
  2. Wie sicher ist Cloud Computing?
  3. Was sind die Vorteile und Risiken von Cloud Computing?
  4. Datenverarbeitung in der Cloud und DSGVO

Definition: Cloud Computing

Cloud Computing ist ein Oberbegriff, der die Auslagerung der eigenen Datenverarbeitung oder von bestimmten Services bzw. IT-Anwendungen in externe Rechenzentren beschreibt. Die Datenübermittlung in die Cloud erfolgt insbesondere über das Internet. 

Grundlagen zu Cloud Computing – diese Cloud Services gibt es 

Bei Cloud Computing geht es immer darum, IT-Ressourcen wie Server oder Anwendungen aus dem eigenen Unternehmen in externe Rechenzentren auszulagern. Es wird jedoch zwischen unterschiedliche Anwendungsszenarien hinsichtlich der Nutzung der Cloud unterschieden: 

SaaS – Software as a Service 

Bei dieser Lösung nutzt das Unternehmen die Software des Cloud-Anbieters, die Anwendungen wie Office enthält.

IaaS – Infrastucture as a Service 

Das Unternehmen nutzt die Cloud bei dieser Anwendung zur Datenverarbeitung und Datenspeicherung, z. B. Hosting.

PaaS – Platform as a Service 

Bei dieser Form der Cloud-Anwendung entwickelt das Unternehmen eigene Software auf der Anbieter-Plattform. 

BPaaS – Business Process as a Service 

Diese Cloud-Lösung ermöglicht es Unternehmen, ihre Geschäftsprozesse in die Cloud auszulagern. 

Was ist der Unterschied zwischen Private Cloud und Public Cloud?  

Es gibt noch eine weitere Unterscheidung, die Unternehmen bei der Auswahl eines Cloud-Anbieters berücksichtigen müssen. Denn es gibt zwei Formen von Cloud Computing: die Private Cloud und die Public Cloud.

  • Bei der Private Cloud wird der Cloud-Dienst innerhalb eines Unternehmens erbracht.
  • Die Public Cloud wird am freien Markt für eine beliebige Zahl von Anwendern angeboten. 

Wie sicher ist Cloud Computing?

Die Mittelstand 4.0-Agentur Cloud erklärt im folgenden Video, wie sicher Cloud Computing ist:

Quelle: Mittelstand 4.0-Agentur Cloud, YouTube

Was sind die Vorteile und Risiken von Cloud Computing? 

Cloud Computing ist für viele Unternehmen attraktiv, weil es einige Vorteile mit sich bringt, die das alltägliche Geschäft deutlich erleichtern. Die wichtigsten Vorteile von Cloud Computing sind: 

  • Alle in die Cloud geladenen Daten sind rund um die Uhr verfügbar. 
  • Die Daten sind von verschiedenen Geräten und Nutzern gleichzeitig abrufbar.
  • Die Cloud-Daten sind von überall auf der Welt abrufbar. 
  • Cloud Computing ermöglicht eine Skalierbarkeit von Kosten und Ressourcen. 

Europäische Unternehmen, die von dieser Flexibilität profitieren wollen, dürfen jedoch die einschlägigen datenschutzrechtlichen Vorschriften, die in der EU gelten, nicht vernachlässigen.  

In der DSGVO und dem BDSG finden sich zwar keine speziellen Regelungen zum Cloud Computing, dennoch darf die Nutzung von Cloud-Diensten das Datenschutzniveau im Vergleich zu anderen Formen der Datenverarbeitung nicht herabsetzen. Die relevanten datenschutzrechtlichen Aspekte, die in Deutschland und der EU verpflichtend zu befolgen sind, können Verantwortliche dem Buch „Datenschutz 2019“ entnehmen. Dieses befasst sich zudem u. a. mit der Nutzung von Cloud-Diensten.  

Gehen Sie keine Datenschutz-Risiken ein und vermeiden Sie hohe Bußgelder!

Datenschutz 2019

mehr erfahren

Risiken bei Einbindung von Cloud-Anbietern 

Unternehmen müssen sich, je nachdem welche Art von Daten sie verarbeiten, der nicht unerheblichen Risiken bewusst sein, die Cloud Computing mit sich bringt: 

  • Die größten und gängigsten Cloud-Anbieter sitzen in den USA, sprich einem Drittland. Das sind z. B. Microsoft, Google, Amazon, Adobe oder Apple. Werden Daten in die Cloud eines dieser Anbieter hochgeladen, handelt es sich um einen Datentransfer in ein Drittland, wodurch mögliche Kollisionen zwischen den Regelungen der DSGVO und nationalem Recht in dem Drittstaat zu erwarten sind. Gerade in den USA ist es schon mehrfach zu willkürlichen behördlichen Überwachungsmaßnahmen gekommen.  
  • Ein weiteres Risiko betrifft die Löschung von Daten. Immerhin hat jeder Betroffene durch die DSGVO das Recht auf Löschung seiner personenbezogenen Daten. Eine datenschutzkonforme Löschung der Daten durch den Cloud-Anbieter wird häufig nicht ohne Weiteres möglich sein bzw. diese kann nicht überprüft werden. Das betrifft sowohl den Einzelfall, als auch die Absicht, die Kooperation mit dem Cloud-Anbieter zu beenden. Unternehmen werden nicht mit Sicherheit sagen können, ob die Daten nicht weiterhin in der Cloud verbleiben und vor allem wo sie verbleiben. 
  • Cloud-Anwender müssen sich mit einer mangelnden Transparenz über die Einflussnahme und Aktivitäten des Cloud-Anbieters anfreunden. 
  • Die Anwendung virtueller Maschinen kann zu einer mangelhaften Datentrennung führen. 
  • Der Vorteil des standort- und zeitpunktunabhängigen Zugriffs auf Daten wird dadurch relativiert, dass Unternehmen von einer stabilen Netzanbindung und der Verfügbarkeit der Cloud-Daten abhängig sind. 

Unter bestimmten Konstellationen kann es außerdem zu einer Abhängigkeit vom Cloud-Anbieter kommen, die es dem Unternehmen unmöglich macht, die Kooperation zu beenden oder zu einem anderen Anbieter zu wechseln. Mit der Datenverlagerung in die Cloud ist also immer ein Kontrollverlust verbunden, den Unternehmen bei der Ausarbeitung ihrer Cloud-Strategie berücksichtigen müssen. 

Datenverarbeitung in der Cloud und DSGVO 

Wurden alle Vorteile gegen die Risiken des Cloud Computing abgewogen, müssen Verantwortliche im Rahmen ihrer Cloud-Strategie die personenbezogenen Daten, die das Unternehmen verarbeitet, nach ihrem Schutzbedarf klassifizieren, die rechtlichen Rahmenbedingungen abklären sowie spezifische Sicherheitsanforderungen an den Cloud-Anbieter festlegen. Besondere personenbezogene Daten, wie etwa Gesundheitsdaten, sind nicht grundsätzlich von einer Verarbeitung in der Cloud ausgeschlossen, allerdings bedarf die Verarbeitung einer Einwilligung des Betroffenen. 

Wichtig zu wissen ist, dass es sich bei dem Cloud Anbieter in der Regel um einen Auftragsverarbeiter gemäß Art. 28 DSGVO handelt. Die genaue Rolle der Parteien kann aber auch variieren und sollte frühzeitig im Rahmen der Cloud Strategie geklärt werden, um die rechtlichen Folgen, die sich daraus ergeben, richtig einstufen zu können. 

Auftragsverarbeitung durch Cloud-Anbieter 

Entscheidet sich das Unternehmen für die Form der Auftragsverarbeitung sollte es mit dem Cloud-Anbieter einen Vertrag abschließen, der die Mindestinhalte nach Art. 28 Abs. 3 DSGVO erfüllt. Das ist gerade bei großen Anbietern, die mit Musterverträgen arbeiten, nicht selbstverständlich. Deshalb ist hier eine gründliche Prüfung der Vertragsvereinbarungen zwingende Voraussetzung. 

Besonders zu beachten ist,

  • dass der Cloud-Anbieter hinreichend garantieren kann, dass seine technischen und organisatorischen Maßnahmen (TOM) eine DSGVO-konforme Verarbeitung der personenbezogenen Daten gewährleisten und ein angemessenes Schutzniveau bieten können. Cloud-Anwender können das anhand unabhängiger Zertifizierungen und Gütesiegel überprüfen und beurteilen. 
  • dass bei der Datenverarbeitung in Drittländern die einschlägigen Bestimmungen des Kapitels V der DSGVO beachtet werden. Solange kein Angemessenheitsbeschluss der EU-Kommission für das Drittland vorliegt, sind für die Datenübermittlung ins Drittland geeignete Garantien nach Art. 46 Abs. 2 DSGVO vorzusehen. 
  • ob die Daten über einen Unter-Anbieter übermittelt werden. Eine besondere Vertragskonstellation liegt dann vor, wenn nur der Subdienstleister in einem Drittland ansässig ist. 

Außerdem sollten Unternehmen im Vertrag mit dem Cloud-Anbieter Weisungs- und Kontrollmöglichkeiten sicherstellen. 

Gemeinsame Verantwortung von Cloud-Anwender und Cloud-Anbieter 

Die Auftragsverarbeitung wird die Regel-Konstellation beim Cloud-Computing bleiben, jedoch gewinnt auch die Rechtsfigur der gemeinsamen Verantwortung an Bedeutung. Dann trägt nicht nur der Cloud-Anwender die Verantwortung für eine datenschutzkonforme Datenverarbeitung, sondern auch der Anbieter. Haben sich Anwender und Anbieter für diese Lösung entschieden, sind die Bedingungen des Art. 26 DSGVO einzuhalten. 

Diese Variante ist mit viel rechtlicher Unsicherheit verbunden, weshalb Unternehmen die rechtliche Entwicklung genau verfolgen sollten. Einschlägige EuGH-Entscheidungen zur gemeinsamen Verantwortung werden in der April-Ausgabe des Fachmagazins „Infodienst Datenschutz für Praktiker“ dargestellt und analysiert. Als Online- und Premium-Abonnent erhalten Sie uneingeschränkten Zugriff auf alle Ausgaben. 

Quellen: „Infodienst Datenschutz für Praktiker“, „Datenschutz 2019“

Sie wollen mehr Fachwissen, Praxistipps und kostenlose Arbeitshilfen zum Bereich Datenschutz und IT erhalten? Dann melden Sie sich gleich zu unserem kostenlosen Fach-Newsletter an!

Bitte geben Sie die Zeichenfolge in das nachfolgende Textfeld ein

Die mit einem * markierten Felder sind Pflichtfelder.