Cloud SecurityJan Kahmen6 min Lesezeit

Datenschutz in der Cloud – wie setzen Anbieter die DSGVO um?

Hier erfahren Sie, wie sicher die eigenen Daten in Cloudanwendungen wirklich sind und wie Datenschutz in der Cloud umgesetzt wird.

Inhaltsverzeichnis

Um wettbewerbsfähig zu bleiben und mit den stetig wachsenden Datenmengen umgehen zu können, verlagern immer mehr Unternehmen ihre Anwendungen in Cloud-Systeme. Dort bleiben sie skalierbar und sicher. Da die meisten Anbieter hauptsächlich aus den USA stammen schwingen aber immer wieder Zweifel hinsichtlich der Datensicherheit mit. Viele sorgen sich, dass der Datenschutz in der Cloud nicht ausreichen gewährleistet wird. Dass Google als Datenkrake verschrien ist, verleiht dem Thema zusätzliche Brisanz. Aber was ist dran an den Bedenken? Wie setzten Unternehmen wie AWS oder Google die DSGVO um?

Datenschutz in der Europäischen Union

Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union. Sie vereinheitlicht die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen, aber auch öffentliche Institutionen im EU-Raum. Das Ziel: Den Schutz personenbezogener Daten innerhalb der Europäischen Union gewährleisten und einen freien, sicheren Datenverkehr gewährleisten. Verstöße werden dabei hart geahndet, Strafzahlungen gehen schnell in den zweistelligen Millionenbereich. Um die Vertraulichkeit und Integrität der Daten zu wahren und zugleich auf eine DSGVO-konforme Cloud zuzugreifen, müssen Datenspeicherung, -archivierung und -verwaltung verschlüsselt sein.

Der Standort ist entscheidend 

Wer Cloud-Anbieter aus EU-Ländern wählt, kann sich sicher sein, dass die Verarbeitung der Unternehmensdaten datenschutzkonform nach den Vorgaben der DSGVO erfolgt. Die größten und meistgenutzten Anbieter kommen aber aus den USA. Dort wird Datenschutz weit weniger kritisch behandelt und sanktioniert. Die Platzhirsche Amazon, Microsoft oder Google haben Rechenzentren, die gleichsam mit der Gießkanne über den Planeten verteilt sind. Da die DSGVO aber eine europäische Richtlinie ist, sollten Kunden darauf achten, dass die Daten nicht den Einflussbereich der Datenschutz-Grundverordnung (= die Europäische Union) verlassen. Kunden sollten sich also vergewissern, dass ihre Daten in europäischen Rechenzentren gespeichert werden. Eine Übertragung von persönlichen Daten ins EU-Ausland ist nur gestattet, wenn das Land einen Datenschutz gewährleistet, der dem der EU ähnlich ist.

Der Nutzer selbst ist in der Verantwortung

Was den Wenigsten bewusst ist: beim Datenschutz trägt nicht nur der Cloud-Dienstleister, bei Azure zum Beispiel Microsoft, die Verantwortung, sondern auch der Kunde, der den Dienst bei Microsoft bucht. Wer die Verarbeitung der Daten an Dritte vergibt, kann sich nicht komplett der Verantwortung entziehen. Der Artikel 28 der DSGVO regelt die Zusammenarbeit mit Kunden und dem Cloud-Dienstleister. Es obliegt dem Kunden sicherzustellen, dass die Cloud DSGVO-konform mit den Daten umgeht.

Datenschutz bei Amazon

AWS von Amazon nutzt viel Methoden, um Kundendaten bestmöglich zu schützen. Dazu zählen beispielsweise Zertifizierungen nach verschiedenen Compliance-Programmen wie PCI DSS, ISO 27001 oder SOC 1/2/3. Diese werden regelmäßig von unabhängigen Auditoren überprüft, um die Compliance der Cloud mit der DSGVO zu bestätigen. AWS unterstützt seine Kunden mit Services und Ressourcen dabei, die Vorgaben der Verordnung zu erfüllen. So ermöglicht die Cloudplattform seinen Nutzern umfangeiche Maßnahmen, um Inhalte noch besser zu verschlüsseln und potenzielle Gefahren abzuwenden. Allerdings müssen Unternehmen die Inhalte, welche sie auf der Plattform betreiben auch selbst schützen. Diese Aufgabenteilung wird als „Shared Responsibility Model“ bezeichnet.

DSGVO bei Azure

Auch bei Microsoft ist der Wille die europäischen Datenschutzgesetzte einzuhalten vorhanden. Ein umfassender Regelkatalog soll verhindern, dass persönliche Daten in die falschen Hände geraten. Mit Azure Information Protection bietet Microsoft eine integrierte Lösung für durchgehenden Datenschutz bei Speicherung und Übertragung der Inhalte. Anwender profitieren zudem vom Microsoft Compliance Manager, der Details zu den von Microsoft implementierten, gesetzlich vorgeschriebenen Kontrollen sammelt. Der User bekommt diese zentral auf einem Dashboard anzeigt und sieht Verbesserungsmöglichkeiten in puncto Datenschutz in der Cloud auf einen Blick.

Einhaltung der DSGVO auf der Google Cloud Platform

Wie sieht das bei Google aus? Wie sicher ist die GCP in Hinblick auf die DSGVO? Aufgrund der hohen Strafen von teilweise bis zu 20 Millionen Euro blieb auch Google keine andere Wahl, als die eigene Cloud DSGVO-konform zu machen. Dies lag nicht zuletzt an eine Verurteilung des Unternehmens wegen mangelnder Transparenz beim Smartphone-Betriebssystem Android (bei der Cloud hat sich das Unternehmen bisher nicht zuschulden kommen lassen). Um dem bereits erwähnten kritischen Punkt mit der Übertragung von persönlichen Daten ins EU-Ausland gerecht zu werden, bedient sich Google entsprechender Zertifizierungen und Verträge zur Verarbeitung der Daten im Ausland. Auf der eigenen Website informiert das Unternehmen zudem umfangreich über die Maßnahmen, die es zur Einhaltung der Vorgaben trifft.

Fazit

Betreibende Unternehmen sollten das Thema Datenschutz in der Cloud jedem Fall nicht auf die leichte Schulter nehmen. Die Strafen können dabei drakonisch ausfallen und die steigende Anzahl an Sanktionen in den letzten Jahren wirkt abschreckend. So können es sich auch Unternehmen wie Google nicht leisten, das Thema einfach so unter den digitalen Teppich zu kehren.

Erweitern Sie Ihren Horizont mit einer Reifegradanalyse!

Reifegradanalyse für 1990 € !

Buchen Sie unserer Kennenlernprojekt, um einen groben aber ganzheitlichen Überblick über Ihre Maßnahmen in der Informationssicherheit zu bekommen!

Kontakt

Neugierig? Überzeugt? Interessiert?

Vereinbaren Sie ein unverbindliches Erstgespräch mit einem unserer Vertriebsmitarbeiter. Nutzen Sie den folgenden Link, um einen Termin auszuwählen: