Datenschutz in der Cloud – wie setzen Anbieter die DSGVO um?

Um wettbewerbsfähig zu bleiben und die stetig wachsenden Datenmengen zu bewältigen, verlagern immer mehr Unternehmen ihre Anwendungen in die Cloud. Dort profitieren sie von Skalierbarkeit und Sicherheit. Da die meisten Anbieter jedoch aus den USA stammen, bestehen nach wie vor Zweifel an der Datensicherheit. Viele Unternehmen befürchten, dass der Datenschutz in der Cloud nicht ausreichend gewährleistet ist. Googles Ruf als Datenkrake verleiht dem Thema zusätzliche Brisanz. Doch wie berechtigt sind diese Bedenken? Und wie setzen Anbieter wie AWS oder Google die DSGVO tatsächlich um?

Datenschutz in der Europäischen Union

Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union. Sie vereinheitlicht die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Institutionen im EU-Raum. Das Ziel: den Schutz personenbezogener Daten innerhalb der EU sicherstellen und einen freien, sicheren Datenverkehr ermöglichen. Verstöße werden hart geahndet -- Strafzahlungen erreichen schnell den zweistelligen Millionenbereich. Um die Vertraulichkeit und Integrität der Daten zu wahren und gleichzeitig eine DSGVO-konforme Cloud nutzen zu können, müssen Datenspeicherung, -archivierung und -verwaltung verschlüsselt erfolgen.

Der Standort ist entscheidend

Wer Cloud-Anbieter aus EU-Ländern wählt, kann davon ausgehen, dass die Verarbeitung der Unternehmensdaten DSGVO-konform erfolgt. Die größten und meistgenutzten Anbieter stammen jedoch aus den USA, wo Datenschutz deutlich weniger streng gehandhabt wird. Amazon, Microsoft und Google betreiben Rechenzentren auf der ganzen Welt. Da die DSGVO eine europäische Verordnung ist, sollten Sie darauf achten, dass Ihre Daten den Geltungsbereich der Datenschutz-Grundverordnung nicht verlassen. Vergewissern Sie sich daher, dass Ihre Daten in europäischen Rechenzentren gespeichert werden. Eine Übertragung personenbezogener Daten in Länder außerhalb der EU ist nur zulässig, wenn das Zielland ein vergleichbares Datenschutzniveau bietet.

Der Nutzer trägt Mitverantwortung

Was vielen nicht bewusst ist: Die Verantwortung für den Datenschutz liegt nicht allein beim Cloud-Dienstleister -- etwa Microsoft im Fall von Azure --, sondern auch beim Kunden selbst. Wer die Datenverarbeitung an Dritte auslagert, kann sich nicht vollständig der Verantwortung entziehen. Artikel 28 der DSGVO regelt die Zusammenarbeit zwischen Kunden und Cloud-Dienstleister. Es liegt in Ihrer Verantwortung sicherzustellen, dass die Cloud DSGVO-konform mit Ihren Daten umgeht.

Datenschutz bei Amazon

Amazon setzt bei AWS auf zahlreiche Methoden, um Kundendaten bestmöglich zu schützen. Dazu gehören unter anderem Zertifizierungen nach Compliance-Programmen wie PCI DSS, ISO 27001 oder SOC 1/2/3. Unabhängige Auditoren überprüfen diese regelmäßig, um die DSGVO-Konformität der Cloud zu bestätigen. AWS unterstützt seine Kunden mit Services und Ressourcen bei der Einhaltung der Verordnung. Die Plattform bietet umfangreiche Möglichkeiten, Inhalte zu verschlüsseln und potenzielle Bedrohungen abzuwehren. Allerdings sind Unternehmen auch selbst dafür verantwortlich, die Inhalte auf der Plattform zu schützen. Diese Aufgabenteilung wird als “Shared Responsibility Model” bezeichnet.

DSGVO bei Azure

Auch Microsoft zeigt klares Engagement für die Einhaltung der europäischen Datenschutzgesetze. Ein umfassender Regelkatalog soll verhindern, dass personenbezogene Daten in falsche Hände geraten. Mit Azure Information Protection bietet Microsoft eine integrierte Lösung für durchgehenden Datenschutz bei Speicherung und Übertragung von Inhalten. Darüber hinaus profitieren Anwender vom Microsoft Compliance Manager, der die von Microsoft implementierten, gesetzlich vorgeschriebenen Kontrollen zentral erfasst. Über ein übersichtliches Dashboard sehen Sie auf einen Blick, wo Verbesserungspotenzial beim Datenschutz in der Cloud besteht.

Einhaltung der DSGVO auf der Google Cloud Platform

Wie steht es um Google? Wie sicher ist die GCP im Hinblick auf die DSGVO? Angesichts drohender Strafen von bis zu 20 Millionen Euro blieb auch Google keine andere Wahl, als die eigene Cloud DSGVO-konform zu gestalten. Dazu trug nicht zuletzt eine Verurteilung wegen mangelnder Transparenz beim Smartphone-Betriebssystem Android bei -- im Cloud-Bereich ist Google bislang nicht negativ aufgefallen. Um die Problematik der Datenübertragung in Länder außerhalb der EU zu lösen, setzt Google auf entsprechende Zertifizierungen und Verträge zur Auftragsverarbeitung. Auf der eigenen Website informiert das Unternehmen ausführlich über die Maßnahmen zur Einhaltung der DSGVO.

Fazit

Unternehmen sollten das Thema Datenschutz in der Cloud keinesfalls auf die leichte Schulter nehmen. Die Strafen können drastisch ausfallen, und die steigende Zahl an Sanktionen in den letzten Jahren wirkt abschreckend. Selbst Konzerne wie Google können es sich nicht leisten, dieses Thema zu ignorieren.