Ist Cloud-Software DSGVO-konform? Ein Leitfaden für Vermarkter

Cloud-Plattformen werden zu einem immer wichtigeren Instrument für moderne Unternehmen und es ist leicht festzustellen, warum das so ist - 85% der Daten von US-Unternehmen wurden 2020 in der Cloud gespeichert, und das Marktvolumen der öffentlichen Cloud wird bis 2025 voraussichtlich 679 Milliarden US-Dollar erreichen (Statista, CRN).

Da jedoch immer mehr Unternehmen auf die Cloud umsteigen, hat die Frage der Datensicherheit bei der Cloud-Speicherung an Bedeutung gewonnen - vor allem im Hinblick auf die strengen DSGVO-Anforderungen, die 2018 in Kraft traten.

Einige Unternehmen sind besorgt, dass sie sich durch die Nutzung eines Cloud-Anbieters zur Datenspeicherung für die Nichteinhaltung der DSGVO mit Geldstrafen belegen lassen.

Dies ist zwar verständlich, da ein Dritter beteiligt ist, aber es gibt keinen Grund, warum die gespeicherten und verwalteten Daten weniger sicher sein sollten.

Was ist die Cloud?

Vereinfacht ausgedrückt ist die Cloud ein Netzwerk von Servern, das für die Speicherung großer Datenmengen ausgelegt ist.

Unternehmen können diese Hardware nutzen, um ihre eigenen Daten zu speichern, auf die sie über das Internet zugreifen können.

Beliebte Beispiele sind Dropbox, Google Cloud und Amazon Web Services.

Im Großen und Ganzen kann Cloud-Software in drei Kategorien eingeteilt werden:

1. Öffentlich - ein internetbasierter Cloud-Dienst, der mehreren Unternehmen entweder kostenlos oder im Rahmen eines nutzungsabhängigen Abonnements zur Verfügung gestellt wird
2. Privat - ein firmeninterner Cloud-Service, der nur für ein einziges Unternehmen bestimmt ist
3. Hybrid - eine Mischung aus öffentlicher und privater Cloud

Sie werden oft auch auf andere Weise unterteilt:

• Infrastructure-as-a-Service (IaaS) - ein Unternehmen zahlt für den Zugriff auf die Rechen- und Speicherressourcen eines Cloud-Anbieters
• Software-as-a-Service (SaaS) - ein Unternehmen zahlt für den Zugang zu Software auf Abruf über das Internet
• Platform-as-a-Service (PaaS) - ein Dienst mit einer Entwicklungs- und Bereitstellungsumgebung, die Unternehmen nutzen können, um Anwendungen in einem Browser zu erstellen

Vorteile der Cloud für Unternehmen

Die Speicherung in der Cloud kann für Unternehmen enorme Vorteile zu einem überschaubaren Preis bieten: Sie senkt die Kosten für Datensicherheit und -verwaltung, verbessert die Kommunikation und fördert eine bessere Teamarbeit.

Unternehmen profitieren außerdem von einer verbesserten Sicherheit, weniger Ausfallzeiten aufgrund von IT-Infrastrukturproblemen und einer hervorragenden Skalierbarkeit, wenn sie wachsen.

Insgesamt bietet Cloud-Software Unternehmen die zusätzliche Flexibilität, die ihnen einen entscheidenden Wettbewerbsvorteil verschaffen kann:

• 84% berichten über betriebliche Verbesserungen innerhalb der ersten Monate nach der Einführung (Multisoft)
• Für kleine und mittlere Unternehmen ist der Einsatz von Cloud-Plattformen von Drittanbietern um 40% kosteneffizienter als die Beibehaltung einer internen Alternative (Multisoft).
• 94% der Unternehmen berichten von erheblichen Verbesserungen der Online-Sicherheit nach der Migration von Daten in die Cloud (Salesforce)

Wie hat sich die DSGVO auf Cloud-Software ausgewirkt?

91% der Unternehmen sind der Meinung, dass Cloud-Speicherplattformen eine große Hilfe bei der Einhaltung behördlicher Auflagen wie der DSGVO sind (Salesforce).

Sie sind seit langem so konzipiert, dass die Sicherheit im Vordergrund steht und bei der Datenübertragung eine fortschrittliche Verschlüsselung zum Einsatz kommt - was bedeutet, dass kein unbefugter Benutzer in der Lage ist, auf private Informationen zuzugreifen.

Die Datenschutzgrundverordnung hat jedoch die Art und Weise, wie personenbezogene Daten in der Cloud gespeichert und verarbeitet werden können, dauerhaft verändert, und der EDSB - der EU-Datenschutzbeauftragte - untersucht, ob Amazons AWS und Microsofts Azure-Cloud-Service die Daten der Bürger wirksam schützen.

Die Anforderungen der DSGVO für Cloud-Service-Anbieter sind wie folgt:

• Entwicklung von Grundsätzen für die Verarbeitung von personenbezogenen Daten
• Sicherstellen, dass der Prozess der Datenverarbeitung die 8 Rechte der betroffenen Personen gemäß der DSGVO respektiert
• Festlegung von Anforderungen an den eingebauten Datenschutz für alle an der Datenverarbeitung und -kontrolle Beteiligten
• Einführung von Kontrollen über das Dateneigentum und das Recht auf Datenübertragbarkeit
• Einführung von Sicherheitsmaßnahmen, die den Schutz der Daten gewährleisten
• Festlegung von Grundsätzen für die Verarbeitung von Daten an internationale Parteien
• Entwicklung von Richtlinien und Verfahren für den Umgang mit Datenschutzverletzungen
• Entwicklung von Grundsätzen für die Festlegung von vertraglichen Vereinbarungen, Datenaufbewahrungsfristen und anderen geltenden Anforderungen

Welche Verantwortung trägt ein Unternehmen für in der Cloud gespeicherte Daten?

Fragen der Sicherheit von Drittanbietern sind ein Hauptanliegen der Datenschutz-Grundverordnung, und zwar auch dann, wenn eine Cloud-Plattform eines Drittanbieters Daten im Namen eines Kundenunternehmens speichert.

Die DSGVO unterscheidet zwischen "für die Datenverarbeitung Verantwortlichen" und "Datenverarbeitern", wenn es um die Verantwortlichkeit für die Sicherheit personenbezogener Daten geht.

In diesem Zusammenhang ist das Unternehmen der für die Datenverarbeitung Verantwortliche, während der Anbieter der Cloud-Software der Datenverarbeiter ist - was bedeutet, dass das Unternehmen für die Sicherheit der personenbezogenen Daten verantwortlich ist, unabhängig davon, ob sie auf seinen eigenen Servern gespeichert sind oder nicht.

Was bei der Auswahl einer Cloud-Plattform zu beachten ist

Vor der Migration in die Cloud ist es für Unternehmen ratsam, den Fluss personenbezogener Daten genau zu planen und eine Datenschutzfolgenabschätzung durchzuführen.

Im Mittelpunkt stehen dabei die folgenden Überlegungen:

• Datenhoheit Die DSGVO-Vorschriften sehen vor, dass Daten in der Europäischen Union gespeichert werden müssen. Glücklicherweise gibt es viele Cloud-Service-Anbieter, bei denen Sie wählen können, wo die Daten gespeichert werden, so dass Sie einen Anbieter auswählen können, der Rechenzentren in Europa nutzt.
• Datensicherheit Überprüfen Sie die Sicherheitsvorkehrungen der Cloud-Speicherplattform und wählen Sie eine Plattform, die eine Ende-zu-Ende-Verschlüsselung bietet. Letztlich müssen Sie sich davon überzeugen, dass der Anbieter über angemessene Sicherheitsverfahren verfügt.
• Achtung der betroffenen Personen Wählen Sie einen Cloud-Anbieter, der die acht Datenschutzrechte der betroffenen Personen in der EU einhält - diese Informationen sollten von den Cloud-Anbietern leicht zugänglich sein.
• Stellen Sie sicher, dass der Cloud-Anbieter die Sicherheit in sein Design und seine Verfahren integriert hat - zum Beispiel durch die Verwendung einer "Null-Kenntnis"-Verschlüsselung, die den Zugang zu sensiblen Informationen einschränkt. Dies ist von entscheidender Bedeutung, da für etwaige Datenschutzverletzungen letztendlich Ihr Unternehmen verantwortlich sein wird.

Die Einhaltung der DSGVO erfordert kontinuierliche Arbeit

Sobald ein Unternehmen Daten in die Cloud migriert hat, ist es ratsam, regelmäßige Audits durchzuführen, um sicherzustellen, dass die betrieblichen Verfahren und Prozesse weiterhin mit der DSGVO konform sind.

Außerdem ist es ratsam, regelmäßig zu überprüfen, ob die Cloud-Plattform auch weiterhin mit den gegebenen Sicherheitsgarantien übereinstimmt.

Diese Arbeit wird in der Regel von unabhängigen Überwachungsstellen oder Bewertungsportalen durchgeführt, die überprüft werden sollten, bevor eine Entscheidung für eine Option getroffen wird.