Datenschutz in der Cloud: Anforderungen, Risiken und Tipps

In der digitalen Wirtschaft zählen Daten zu den wichtigsten Ressourcen eines Unternehmens. Mit der stetig wachsenden Datenmenge steigen auch die Anforderungen an sichere und effiziente Speicherlösungen. Cloud-Speicher bieten eine flexible und skalierbare Möglichkeit, Daten zentral zu verwalten und ortsunabhängig verfügbar zu machen – gleichzeitig stellt sich die Frage: Wie gelingt Datenschutz in der Cloud im Einklang mit der DSGVO?

Mit der Einführung der Datenschutz-Grundverordnung (DSGVO) ist der Schutz personenbezogener Daten noch stärker in den Fokus gerückt. Unternehmen, die Cloud-Dienste nutzen, müssen sicherstellen, dass ihre Anbieter den strengen Anforderungen der DSGVO entsprechen, um Datenschutzverletzungen und hohe Bußgelder zu vermeiden.

In diesem Beitrag erfahren Sie, welche gesetzlichen Anforderungen für Datenschutz in der Cloud gelten, welche Risiken bestehen – und wie eine DSGVO-konforme Cloud-Nutzung gelingt.

DSGVO-Anforderungen für Datenschutz in der Cloud

Schutz personenbezogener Daten nach der DSGVO

Die Datenschutz-Grundverordnung schützt personenbezogene Daten von EU-BürgerInnen. Sie legt fest, wie Unternehmen Daten sammeln, speichern, verarbeiten und teilen dürfen.

Bei der Nutzung von Cloud-Diensten müssen Unternehmen die Vorgaben der DSGVO konsequent einhalten – auch dann, wenn Daten außerhalb ihrer eigenen IT-Infrastruktur verarbeitet werden. Der Datenschutz in der Cloud verlangt dieselben rechtlichen Standards wie jede andere Datenverarbeitung.

Konkret bedeutet das:

• Personenbezogene Daten dürfen nur mit eindeutiger Einwilligung verarbeitet werden.
• Betroffene Personen haben jederzeit das Recht auf Auskunft, Berichtigung und Löschung ihrer Daten.
• Im Falle einer Datenschutzverletzung besteht eine Meldepflicht gegenüber den Aufsichtsbehörden.

Diese Anforderungen gelten auch für die Zusammenarbeit mit externen Cloud-Dienstleistern – Unternehmen tragen weiterhin die Verantwortung für den Schutz der Daten.

Wann Cloud-Dienste der DSGVO unterliegen

Sobald personenbezogene Daten über einen Cloud-Speicher verarbeitet werden, greifen die Regelungen der DSGVO. Nach Art. 4 Nr. 1 DSGVO zählen dazu alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen – etwa Namen, Kontaktdaten oder Nutzungsinformationen. Datenschutz in der Cloud bedeutet also auch: Dienste, die mit solchen Daten arbeiten, unterliegen automatisch der DSGVO.

Besonderheiten bei Cloud-Speicherung

Seit Inkrafttreten der DSGVO müssen Unternehmen, die Cloud-Dienste einsetzen, folgende Punkte sicherstellen:

• Transparente Information der NutzerInnen über Art, Umfang und Zweck der Datenverarbeitung in der Cloud
• Abschluss eines Auftragsverarbeitungsvertrags (AVV) mit dem Cloud-Anbieter
• Auswahl DSGVO-konformer Anbieter, die technisch-organisatorische Maßnahmen nachweisen können

Diese Aspekte bilden das Fundament für rechtssicheren Datenschutz in der Cloud.

Bedeutung des Serverstandorts für den Datenschutz

Ein zentraler Faktor für Datenschutz in der Cloud ist der physische Standort der Server. Cloud-Anbieter mit Servern innerhalb der EU bieten ein höheres Maß an rechtlicher Sicherheit, da sie direkt der DSGVO unterliegen. Grenzüberschreitende Datenverarbeitung ist innerhalb der EU zulässig – vorausgesetzt, personenbezogene Daten werden ausschließlich auf EU-Servern gespeichert.

Eine DSGVO-konforme Cloud-Speicherung setzt daher voraus, dass sowohl der Cloud-Dienstleister als auch seine Serverstandorte die Anforderungen an den europäischen Datenschutz erfüllen.

Was ist bei der Nutzung von US-Cloud-Diensten zu beachten?

Die Nutzung von Cloud-Anbietern außerhalb Europas bringt besondere datenschutzrechtliche Herausforderungen mit sich. Wenn sich die Server eines Anbieters in einem Drittstaat befinden, ist besondere Vorsicht geboten. Entscheidend ist, ob dieser Anbieter den europäischen Datenschutzstandards entspricht – insbesondere durch den Einsatz sogenannter Standardvertragsklauseln (Standard Contractual Clauses, SCC).

Grundsätzlich sind Datenübertragungen in Länder außerhalb der EU nur dann zulässig, wenn geeignete rechtliche Grundlagen bestehen. Dazu zählen Angemessenheitsbeschlüsse der EU-Kommission oder eben SCC. Eine einfache Übertragung personenbezogener Daten, etwa in die USA, ist nicht ohne Weiteres erlaubt.

Besonders bei US-amerikanischen Cloud-Diensten bestehen erhebliche Risiken. Diese unterliegen in der Regel dem US-Datenschutzrecht, das nicht den Anforderungen der DSGVO entspricht. Hinzu kommt, dass Gesetze wie der Cloud Act US-Behörden weitreichenden Zugriff auf gespeicherte Daten einräumen – auch dann, wenn diese Daten außerhalb der USA liegen.

Selbst wenn Unternehmen auf SCC oder Binding Corporate Rules zurückgreifen, bleibt der Datenschutz in der Cloud bei US-Anbietern rechtlich und praktisch problematisch. Für maximale Datensicherheit empfiehlt es sich daher, ausschließlich europäische Anbieter oder solche mit Serverstandorten innerhalb der EU zu wählen.

Risiken beim Datenschutz in der Cloud

• Sicherheitslücken und Datenschutzverletzungen: Die Nutzung von Cloud-Speicherlösungen birgt potenzielle Risiken in Bezug auf Sicherheitslücken und Datenschutzverletzungen. Hackerangriffe, Datenlecks oder menschliche Fehler können sensible Informationen gefährden. Unternehmen sollten Cloud-Anbieter sorgfältig auswählen und auf starke Sicherheitsmaßnahmen sowie regelmäßige Investitionen in die IT-Sicherheit achten.
• Schwierige Datenlöschung in der Cloud: Das Löschen von Daten in der Cloud kann komplizierter sein als auf dem eigenen Rechner zu Hause. Viele Cloud-Anbieter speichern mehrere Kopien der Dateien in verschiedenen Rechenzentren, um eine hohe Datenverfügbarkeit zu gewährleisten. Manche behalten die Daten auch nach einer Kündigung für eine gewisse Zeit, falls diese Entscheidung rückgängig gemacht wird. Daher ist es ratsam, die AGB des Cloud-Dienstleisters sorgfältig zu prüfen und sicherzustellen, dass Löschprozesse transparent und DSGVO-konform sind.
• Speicherung personenbezogener Daten Dritter: Die Nutzung von Cloud Computing wird besonders heikel, wenn personenbezogene Daten Dritter bei Cloud-Diensten gespeichert werden. Schon das Speichern von Terminen mit Adressen und Kundendaten in einem Cloud-Kalender kann ausreichend sein, um rechtliche Probleme zu verursachen. Vor der Speicherung sensibler Daten bei ausländischen Anbietern sollte rechtlicher Rat eingeholt werden.
• Compliance-Risiken und DSGVO-Strafen: Die Nichteinhaltung der DSGVO kann zu erheblichen Strafen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes führen, je nachdem, welcher Betrag höher ist. Es ist daher entscheidend, dass Unternehmen sicherstellen, dass ihre Cloud-Dienstleister DSGVO-konform sind und regelmäßig überprüft werden, um Datenschutz in der Cloud sicherzustellen.

Mehr zu Rekordbußgeldern und Strafen durch die DSGVO

Wann haften Cloud-Dienste bei Datenverlust?

Für NutzerInnen von Cloud-Speicher-Diensten stellt sich die Frage, ob der Anbieter haftbar gemacht werden kann, wenn ein Hackerangriff stattfindet und ihre Daten betroffen sind. In der Regel sind Cloud-Anbieter für die Sicherheit der Infrastruktur verantwortlich, während die KundInnen für die Sicherheit der von ihnen gespeicherten Daten verantwortlich sind. Unternehmen sollten jedoch sicherstellen, dass ihre Verträge mit dem Cloud-Anbieter klare Regelungen zur Haftung im Falle von Datenschutzverletzungen enthalten.

Ein zivilrechtlicher Schadensersatzanspruch setzt voraus, dass den Anbieter eine Verletzung der Sorgfaltspflichten, also Vorsatz oder Fahrlässigkeit, nachgewiesen werden kann. Dies wäre beispielsweise der Fall, wenn Anbieter anerkannte Sicherheitsstandards nicht beachtet haben und dadurch der Hacking-Angriff ermöglicht wurde. Bislang gibt es jedoch keine bekannte Entscheidung eines deutschen Gerichts, die einen solchen Schadensersatzanspruch im Kontext von Datenschutz in der Cloud gewährt oder darüber entschieden hat.

Wie können Daten in der Cloud für andere freigegeben werden?

Einer der Hauptvorteile von Cloud-Diensten ist die Möglichkeit, Daten einfach mit anderen zu teilen und gemeinsam daran zu arbeiten. Für einen wirksamen Datenschutz in der Cloud ist dabei jedoch besondere Vorsicht geboten. Es gibt verschiedene Methoden zur Freigabe:

1. Freigabe für registrierte NutzerInnen: Wenn die Person ebenfalls beim Cloud-Dienst angemeldet ist, kann die Freigabe oft über den Benutzernamen erfolgen.
2. Freigabe per Link: Wenn die Person den Cloud-Dienst nicht nutzt, kann eine Freigabe über einen Link erfolgen. Allerdings hat jede Person, die den Link besitzt, Zugang zu den Daten, was ein Sicherheitsrisiko darstellt, insbesondere wenn der Link unverschlüsselt per E-Mail gesendet wird.

Was ist bei der Freigabe von Daten in der Cloud zu beachten?

Da bei der Freigabe per Link keine Identifizierung erfolgt, ist es schwierig nachzuvollziehen, wer auf die Daten zugegriffen hat. Um den Datenschutz in der Cloud dennoch zu gewährleisten, sollten folgende Punkte beachtet werden:

• Sensible Daten: Für schützenswerte Daten sollte die Freigabe per Link vermieden werden. Falls möglich, sollten die Daten zusätzlich mit einem Passwort geschützt werden. In diesem Fall sollten Link und Passwort über verschiedene Kanäle (z.B. E-Mail und Telefon) übermittelt werden.
• Zeitliche Begrenzung: Freigaben sollten, wenn möglich, zeitlich begrenzt werden. Wenn dies nicht möglich ist, sollte regelmäßig überprüft werden, wer Zugang zu den Daten hat und ob dieser weiterhin notwendig ist.
• Spezifische Freigaben: Freigaben sollten spezifisch und restriktiv sein, das bedeutet, nur die benötigte Datei und nicht der gesamte Ordner sollte freigegeben werden.
• Überprüfung der Standardeinstellungen: Beim ersten Einsatz eines neuen Cloud-Dienstes sollten die Standardeinstellungen geprüft und möglichst restriktiv gewählt werden. Nicht benötigte Funktionen sollten deaktiviert und nur bei Bedarf aktiviert werden.

Tipps für DSGVO-konformen Datenschutz in der Cloud

• Verschlüsselte Datenübertragung und Speicherung sicherstellen: Mit spezieller Verschlüsselungssoftware lassen sich Daten in der Cloud sicher verschlüsseln. Der Schlüssel zur Entschlüsselung sollte nur den NutzerInnen bekannt sein. Eine Möglichkeit ist die Nutzung von Ende-zu-Ende-Verschlüsselung. Alternativ können die gespeicherten Daten so verschlüsselt werden, dass selbst der Cloud-Anbieter keinen Zugriff darauf hat.
• Zugriffskontrollen implementieren:Strenge Zugriffskontrollen und die Implementierung von Multi-Faktor-Authentifizierung sind essenziell für Datenschutz in der Cloud. So lässt sich der unbefugte Zugriff auf sensible personenbezogene Daten effektiv verhindern.
• Regelmäßige Audits durchführen: Regelmäßige Sicherheitsaudits und Penetrationstests sind erforderlich, um Sicherheitslücken zu identifizieren und zu beheben.
• Änderungen der Datenschutzgesetzgebung beachten: Die laufende Anpassung an neue rechtliche Anforderungen und technische Entwicklungen ist essenziell. 
• Mitarbeiterschulungen im Bereich Datenschutz und IT-Sicherheit durchführen: Regelmäßige Schulungen zu Datenschutz und IT-Sicherheit sensibilisieren Mitarbeitende für Sicherheitsrisiken und fördern eine datenschutzkonforme Arbeitsweise.

Wie erkenne ich, ob meine Cloud DSGVO-konform ist?

Um Datenschutz in der Cloud rechtssicher umzusetzen, sollten Unternehmen die folgenden Maßnahmen prüfen:

1. Datenschutzrichtlinien des Cloud-Anbieters analysieren: Die Richtlinien des Cloud-Anbieters müssen den Anforderungen der DSGVO entsprechen und transparent formuliert sein.
2. Vertragsbedingungen prüfen: Verträge mit dem Cloud-Anbieter sollten klare Regelungen zur Datenverarbeitung und -sicherheit enthalten.
3. Zustimmung der KundInnen sicherstellen: Die Einwilligung zur Verarbeitung personenbezogener Daten in der Cloud muss eindeutig und dokumentiert vorliegen.
4. Serverstandorte berücksichtigen: Der physische Standort des Servers beeinflusst die geltenden Datenschutzvorgaben. Server innerhalb der EU gelten als datenschutzrechtlich unbedenklicher.
5. Zertifikate einbeziehen: Aussagekräftige Zertifikate wie das „Trusted Cloud“-Label (BMWi), TÜV-Zertifizierungen oder die EuroCloud-SaaS-Zertifizierung können Hinweise auf DSGVO-Konformität geben. Die ISO/IEC 27001 bestätigt IT-Sicherheitsstandards, erlaubt jedoch keine direkte Aussage über die Einhaltung der DSGVO.

Zusammenfassend lässt sich sagen, dass die Einhaltung der DSGVO für Unternehmen, die Cloud-Speicherlösungen nutzen, von entscheidender Bedeutung ist. Durch die Auswahl der richtigen Cloud-Anbieter, die Implementierung robuster Sicherheitsmaßnahmen und die regelmäßige Überprüfung der DSGVO-Konformität können Unternehmen die Sicherheit und den Schutz ihrer Daten gewährleisten.

Wichtige Faktoren bei der Auswahl eines Cloud-Anbieters

Die Auswahl des richtigen Anbieters ist entscheidend für den Datenschutz in der Cloud. Unternehmen sollten insbesondere auf Folgendes achten:

• DSGVO-Konformität: Die Wahl eines Cloud-Anbieters hat direkten Einfluss auf die Einhaltung der DSGVO. Unternehmen sollten ausschließlich Anbieter auswählen, die eine nachweisliche DSGVO-Konformität garantieren.
• Sicherheitsmaßnahmen und Datenschutzrichtlinien: Ein sicherer Cloud-Anbieter verfügt über umfassende Schutzmaßnahmen wie Verschlüsselung, Zugriffskontrollen und regelmäßige Audits. Vor einer Entscheidung sollten die Datenschutzrichtlinien und vorhandene Sicherheitszertifikate sorgfältig geprüft werden.
• Rechtliche Beratung einholen: Besonders bei grenzüberschreitender Datenverarbeitung oder komplexen Datenschutzanforderungen empfiehlt sich die Einholung von rechtlichem Rat. So kann sichergestellt werden, dass alle rechtlichen Verpflichtungen eingehalten werden.

Überblick über die Nutzungsbedingungen der gängigsten Cloud-Anbieter

Die datenschutzrechtliche Bewertung bekannter Cloud-Dienste ist essenziell für Unternehmen. Trotz technischer Schutzmaßnahmen bestehen teils erhebliche Unterschiede beim Datenschutz in der Cloud – insbesondere im Hinblick auf Zugriffsmöglichkeiten, Datenverarbeitung und Verschlüsselung.

Dropbox

• Datenrechte: NutzerInnen behalten alle Rechte an ihren Dateien. Dropbox erhält jedoch eingeschränkte Nutzungsrechte, um den Dienst bereitzustellen, insbesondere für technische Prozesse wie Backups.
• Verschlüsselung: AES-256-Bit im Ruhezustand, SSL/TLS bei Übertragung.
• Kritik: Dropbox kann auf Daten zugreifen, wenn dies gesetzlich erforderlich ist. Die DSGVO-Konformität ist umstritten, trotz entsprechender Behauptungen von Dropbox.

Google Drive

• Datenrechte: NutzerInnen behalten Urherber- und gewerbliche Schutzrechte. Google enthält ein unentgeltliches, weltweites Nutzungsrecht zur Diensterbringung.
• Verschlüsselung: AES-128-Bit im Ruhezustand, SSL/TLS bei Übertragung.
• Kritik: Google kann Inhalte technisch vervielfältigen und öffentlich zugänglich machen, jedoch nur, sofern NutzerInnen dies beabsichtigen.

Apple iCloud

• Datenrechte: Apple erhält ein eingeschränktes Nutzungsrecht zur Diensterbringung.
• Verschlüsselung: AES-128-Bit im Ruhezustand, SSL/TLS bei Übertragung, Ende-zu-Ende-Verschlüsselung für sensible Daten (z.B. iMessages, Gesundheitsdaten).
• Kritik: Nicht alle Daten sind Ende-zu-Ende-verschlüsselt, Apple kann unter bestimmten Bedingungen auf Daten zugreifen.

Microsoft OneDrive

• Datenrechte: Keine Eigentumsrechte für Microsoft, aber Nutzung zur Diensterbringung wie Kopien und Anzeigen der Inhalte erlaubt.
• Verschlüsselung: BitLocker und AES-256-Bit im Ruhezustand, SSL/TLS bei Übertragung. “Personal Vault” mit Zwei-Faktor-Authentifizierung.
• Kritik: Microsoft kann Daten einsehen, um rechtliche Anforderungen zu erfüllen oder Dienste zu verbessern. 

Alle genannten Dienste speichern mehrere Kopien der Daten in verschiedenen Rechenzentren, um die Verfügbarkeit zu gewährleisten und vor Datenverlust zu schützen. Dies bedeutet jedoch auch, dass das Löschen von Daten komplexer sein kann, da Kopien der Daten an verschiedenen Orten existieren können. NutzerInnen sollten daher die Nutzungsbedingungen und Datenschutzrichtlinien der Anbieter sorgfältig prüfen und gegebenenfalls zusätzliche Verschlüsselungsmaßnahmen ergreifen, um die Kontrolle über ihre Daten zu behalten.

Wie erkennt man einen DSGVO-konformen Cloud-Anbieter?

Ein Cloud-Anbieter gilt als DSGVO-konform, wenn er über folgende Merkmale verfügt:

• Transparente Datenschutzrichtlinien nach EU-Standards
• Nachweisbare Sicherheitszertifikate (z. B. ISO 27001, C5-Testat)
• Serverstandorte innerhalb der EU oder adäquate Schutzmechanismen bei Drittstaatentransfers
• Bereitschaft zum Abschluss eines Auftragsverarbeitungsvertrags (AVV)

Vor der Auswahl sollte geprüft werden, ob diese Anforderungen für Datenschutz in der Cloud erfüllt sind.

Fazit

Die Nutzung von Cloud-Diensten bietet Unternehmen zahlreiche Vorteile, darunter Flexibilität, Skalierbarkeit und Kosteneffizienz. Allerdings bringt sie auch Herausforderungen mit sich, insbesondere im Hinblick auf den Datenschutz und die Einhaltung der DSGVO. Datenschutz in der Cloud ist für Unternehmen Pflicht. Sie müssen sicherstellen, dass ihre Cloud-Anbieter DSGVO-konform sind und strenge Sicherheitsmaßnahmen implementieren, um personenbezogene Daten zu schützen.

Trotz der technischen und rechtlichen Herausforderungen können Unternehmen durch sorgfältige Auswahl von Cloud-Anbietern und die Implementierung von Best Practices die Vorteile der Cloud-Nutzung voll ausschöpfen und gleichzeitig den Datenschutz gewährleisten. Ein kritischer Blick auf die AGB der Anbieter, regelmäßige Überprüfungen der Sicherheitsstandards und die eigene Verschlüsselung sensibler Daten sind dabei unerlässlich. Nur so lässt sich ein hohes Maß an Sicherheit und Datenschutz erreichen, das den Anforderungen der DSGVO gerecht wird.

---

Quellen

• Agostini, P. (2020). “Datenschutzkonforme Cloud-Speicher: Worauf kommt es an?”

• Bundesamt für Sicherheit und Informationstechnik. (2024). “Cloud: Risiken und Sicherheitstipps”

• Schmidt,C. (2023). “Rechtssicher in der Cloud: Ihre Daten bei Dropbox, iCloud, Google Drive & Co”

• Walsh, R. (2022). “How secure are Dropbox, OneDrive, Google Drive and iCloud?”

Inhaltsangabe

• DSGVO-Anforderungen für Datenschutz in der Cloud
• Besonderheiten bei Cloud-Speicherung
• Bedeutung des Serverstandorts für den Datenschutz
• Risiken beim Datenschutz in der Cloud
• Wann haften Cloud-Dienste bei Datenverlust?
• Wie können Daten in der Cloud für andere freigegeben werden?
• Tipps für DSGVO-konformen Datenschutz in der Cloud
• Wichtige Faktoren bei der Auswahl eines Cloud-Anbieters
• Überblick über die Nutzungsbedingungen der gängigsten Cloud-Anbieter
• Fazit

Der lawpilots Newsletter

Erhalten Sie Produktupdates, exklusive Rabatte, kostenlose Whitepapers, spannende Blogartikel und Event-Infos zuerst!

Jetzt abonnieren