Datenschutz in der Cloud: Das müssen Sie wissen

Profilfoto Manuel Reinfurt
Chief Technical Officer

28.09.2021
img

Sind meine Daten in der Cloud sicher? Und wie gewährleisten Sie den Datenschutz in der Cloud? Wir beantworten die wichtigsten Fragen. Damit Sie wissen, was Sie tun müssen!

In Deutschland ist der Datenschutz extrem wichtig. Der hohe Stellenwert nimmt mit der Digitalisierung und Big Data immer weiter zu. Der Datenschutz schützt personenbezogene Daten vor Datenmissbrauch und regelt die informationelle Selbstbestimmung. So werden Persönlichkeitsrechte und die Privatsphäre gewahrt. Internet of Things, mobile Apps oder digitales Geschäftsmodell – möchten Sie mit Ihrem Unternehmen datenschutzkonform handeln, so müssen Sie sich an die seit 2018 geltende EU-DSGVO halten, die den Datenschutz und die Datensicherheit regelt.

Das Aus des EU-US Privacy Shields

Im Juli 2020 wurde zudem das EU-US Privacy Shield für ungültig erklärt – ein Abkommen zwischen der EU und der USA. Das EU-US Privacy Shield hat den Datenverkehr geregelt, wenn Sie Daten außerhalb der EU transportieren – beispielsweise zu Servern in den USA. Zwar ist das EU-US Privacy Shield mittlerweile ungültig, die darin definierten Richtlinien und Klauseln müssen jedoch weiterhin von den am EU-US Privacy Shield teilnehmenden Parteien gewährleistet werden – unter bestimmten Voraussetzungen und wenn es sich um Standardklauseln handelt, die die EU-Kommission erarbeitet hat. Prüfen Sie, ob eine Übertragung in das EU-Ausland in Ihrer Anwendung stattfindet und setzen Sie gegebenenfalls mögliche Alternativen um.

Disclaimer: Wir weisen an dieser Stelle darauf hin, dass unsere Website keine Rechtsberatung darstellt. Wir geben hier unsere Erkenntnisse und Erfahrungen wieder. Ziehen Sie deshalb bitte unbedingt eine Rechtsberatung hinzu, um Ihre individuelle Lage rund um Datenschutz in der Cloud zu klären.

Das Ende des EU-US Privacy Shields hat zu einer großen Verunsicherung geführt: Was ist jetzt noch datenschutzkonform? Dürfen Sie eine Nicht-EU Cloud wie AWS überhaupt in Deutschland nutzen?

Welche Lösungen bieten Cloud-Anbieter wie Microsoft und Amazon?

Grundsätzlich ist zu sagen, dass Hyperscaler die DSGVO-Konformität gewährleisten und Sie eine Nicht-EU Cloud nutzen können. Für die Hyperscaler besteht ein großes Interesse daran, die DSGVO-Konformität der Clouds sicher zu stellen. Würden sie dies nicht tun, würde ein bedeutender Markt einbrechen. Es ist also nicht verwunderlich, dass alle Hyperscaler zugehöriges Datenschutz-Aufklärungsmaterial bereitstellen. So bieten beispielsweise Microsoft Azure mit dem Trust Center und AWS mit dem DSGVO-Center ein eigenes Aufklärungsportal. Zudem stellen die Cloud Anbieter regelmäßig Aktualisierungen und Informationen für ihre Nutzer:innen bereit. Denken Sie unbedingt daran: Das Abschließen eines Auftragsdatenverarbeitungs-Vertrags (AD-Vertrag) mit dem jeweiligen Public Cloud Anbieter ist hierbei zwingend notwendig. Alle Hyperscaler bieten Ihnen Vorlagen, um diesen Prozess für Sie möglichst einfach zu gestalten.

Wie stellen Sie den Datenschutz in der Cloud sicher?

Wie bereits erwähnt, legen die Cloud Anbieter bereits die Basis für eine DSGVO-Konformität. Neben dem AD-Vertrag müssen Sie beim Entwerfen der Cloud-Architektur jedoch darauf achten, welche Cloud-Services Sie verwenden und wie diese miteinander kommunizieren. Die Public Clouds sind grundsätzlich in Regionen und darin enthaltenen geographische Zonen namens Availability Zones aufgeteilt. Um die Konformität garantieren zu können, müssen Sie dafür sorgen, dass die verwendeten Services möglichst in Deutschland, also in der Region "EU-Central 1" (= Frankfurt) verfügbar sind.

Cloud Fahrplan

Von Budget bis Hyperscaler: In nur 24 Schritten planen Sie Ihr Cloud-Projekt!

Jetzt kostenlos downloaden

Welche Rolle spielt GAIA-X?

Im Rahmen der EU taucht der Begriff GAIA-X öfters auf. GAIA-X ist ein Projekt, um eine sichere und unabhängige Cloud-Infrastruktur für die Europäische Union bereitzustellen. Dabei geht es jedoch nicht darum, eine eigene Cloud – eine Konkurrenz zu beispielsweise AWS – zu entwickeln. Stattdessen konzentriert sich GAIA-X darauf, die Angebote verschiedener Cloud-Dienstleister so zu verschalten, dass lediglich konforme Services genutzt werden und die Bereitstellung der Services auch dann funktioniert, wenn einer dieser Anbieter kompromittiert wird. Bis jetzt existiert lediglich ein Entwurf dieser unabhängigen Cloud-Infrastruktur, sodass eine Verwendung von GAIA-X zum aktuellen Zeitpunkt noch nicht möglich ist.

Was ist, wenn Sie keine Public Cloud nutzen können?

Sollte Ihr Unternehmen weitere Sicherheitsrichtlinien erzwingen, welche eine Verwendung einer Public Cloud aktuell unmöglich macht, so besteht weiterhin die Möglichkeit, auf Basis von cloud-native Technologien bereits einige Vorteile der Cloud zu nutzen und gleichzeitig für eine zukünftige Migration gewappnet zu sein. Eine Private Cloud beispielsweise gibt Ihnen ein ähnliches Spielfeld wie die Hyperscaler – und Anwendungen können auch dort cloud-nativ entwickelt werden. Auf einige Vorteile müssen sie dann zwar noch verzichten – beispielsweise eine quasi endlos und automatisch skalierende Datenbank oder Machine Learning Services – Sie setzen gleichzeitig den Grundstein, um Ihre Anwendung zukünftig mit möglichst wenig Aufwand in eine Public Cloud zu migrieren.

Checkliste: Datenschutz in der Cloud

  • Halten Sie sich an die EU-DSGVO und handeln Sie danach.
  • Prüfen Sie, inwiefern Sie das für ungültig erklärte EU-US Privacy Shield betrifft und leiten Sie gegebenenfalls Maßnahmen ein.
  • Nutzen Sie die Datenschutz-Aufklärungsportale der Cloud Anbieter.
  • Schließen Sie einen AD-Vertrag (Auftragsdatenverarbeitungs-Vertrag) beim jeweiligen Public Cloud Anbieter ab.
  • Achten Sie bei Ihrer Cloud-Architektur darauf, dass die verwendeten Services möglichst in Deutschland (EU-Central 1) verfügbar sind.
  • Ist der Einsatz einer Public Cloud nicht möglich, können Sie auf cloud-native Technologien zurückgreifen und einige Vorteile der Cloud nutzen.
Titelbild: NASA auf Unsplash
Weiterempfehlen:

Update gefällig?

Mit dem INCLOUD Ping erhalten Sie jeden Donnerstag kleine Aha-Momente rund um die relevantesten digitalen Themen.
Ihre Zeit ist wertvoll, wir nutzen sie produktiv. Versprochen.

Erzählen Sie uns von Ihrem Projekt:
Wir hören Ihnen zu

Robin Nemetz

Robin Nemetz
& Isabell Hartmann
Sales Manager:in