Links überspringen

Expertentipp: Datensicherheit in der Cloud

Wer sich einen Überblick über öffentliche Clouddienste verschafft und diese beurteilen will, muss sich vor allem mit dem Modell der gemeinsamen Verantwortung in der Cloud beschäftigen. Er muss verstehen, wann der Cloudanbieter und wann der Kunde für Sicherheitsaufgaben zuständig ist, denn die Workload-Verantwortlichkeiten variieren je nachdem ob Daten in einem SaaS-Modell, auf einer Service-Plattform (PaaS), auf Basis der IaaS-Technologie oder in einem lokalen Rechenzentrum gehostet werden.

Doch eins ist wichtig: Die Daten und Identitäten gehören den Unternehmen – unabhängig von der Bereitstellungsart. So sind es auch die Unternehmen, die für den Schutz und die Sicherheit von Daten, Identitäten, lokalen Ressourcen, der von ihnen gesteuerten Cloudkomponenten zuständig sind. Aber auch die Endpunkte, Konten und die Zugriffsverwaltung fallen in ihren Verantwortungsbereich.

Fazit aus rein rechtlicher Sicht
Orientierungshilfe zum internationalen Datentransfer
Informationen zur Datensicherheit bei Microsoft

Fazit aus rein rechtlicher Sicht

Aufgrund des EuGH Urteils vom 16.07.2020 (Schrems II) birgt die Verarbeitung personenbezogener Daten von US-amerikanischen Unternehmen ein hohes Risiko, da die rechtliche Grundlage, das Privacy-Shield Abkommen, aberkannt wurde. Viele Aufsichtsbehörden empfehlen daher, die Datenübermittlung in die USA zu unterbinden, wenn diese mittels Privacy-Shield gerechtfertigt wurde.

Derzeit bleibt also nur die Möglichkeit, geeignete Garantien zur Übertragung in die USA mittels den EU-Standardvertragsklauseln herzustellen. Allerdings müssen auch hier weitere Vereinbarungen geschlossen werden, um ein angemessenes Datenschutzniveau zu gewährleisten. Da neben dem Privacy-Shield auch die Gültigkeit der EU-Standardvertragsklauseln vom EuGH diskutiert wurden, muss dieser Umstand aufmerksam beobachtet werden. Da die USA auch keinen Angemessenheitsbeschluss gem. Art. 45 DSGVO vorweisen kann, besteht ein hohes Risiko, sofern die Standardvertragsklauseln aberkannt werden.

Wer trotzdem an einem Dienstleister in den USA festhält, ergeben sich für die verantwortliche Stelle weitere Verpflichtungen zur Minimierung der Risiken für die Rechte und Freiheiten von betroffenen Personen. Allerdings birgt nicht nur die Datenverarbeitung von EU-Daten in den USA hohe Risiken, sondern auch die Verarbeitung von EU-Daten im gesamten Nicht-EU-Ausland (mit wenigen Ausnahmen, z.B. sog. „Sichere Drittstaaten“). Der Grund hierfür liegt darin, dass der EuGH nicht nur das Privacy Shield für ungültig erklärt hat, sondern auch den Standardvertragsklauseln höhere, sowie leider auch „unklare“ Anforderungen auferlegt hat.

Gem. Art. 32 Abs. 1 DSGVO ist die verantwortliche Stelle dazu verpflichtet, unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zweck der Verarbeitung sowie unterschiedlichen Eintrittswahrscheinlichkeiten und Schwere des Risikos, geeignete technische und organisatorische Maßnahmen für ein angemessenes Datenschutzniveau zu gewährleisten. Besteht also die Möglichkeit, personenbezogene Daten vor dem Datenexport angemessen zu pseudonymisieren und/oder zu verschlüsseln, sollte dies zum Schutz der betroffenen Personen umgesetzt werden. Diese Maßnahme wird keine 100%ig datenschutzkonforme Lösung darstellen, da auch pseudonymisierte personenbezogene Daten unter den Geltungsbereich der EU-DSGVO fallen, jedoch trägt dies deutlich zur Reduzierung der Risiken bei.

Aufgrund dieser gesetzlichen Vorgaben ist es in der Praxis schlicht nicht möglich, bei Verwendung eines US-Cloud Anbieters zu 100% datenschutzkonform zu sein. Daher kann, beim Datentransfer in eine Cloud, lediglich eine Risikobewertung stattfinden. Es empfiehlt sich also, ein möglichst hohes Schutzniveau sicherzustellen.

Gemäß der gesetzlichen Anforderung, dass auch pseudonymisierte Daten geschützt werden müssen, so ist auch hierfür nach dem „Stand der Technik“ ein Verfahren zu wählen, welches für einen Angreifer einen unverhältnismäßig hohen Aufwand erfordert, um an die entsprechenden Daten zu gelangen.

Die Landesdatenschutzbehörde hat in Ihrer Handreichung zum Schrems II-Urteil sogar ganz konkret betont, dass Verschlüsselung ein solches Mittel sein kann. Mit der Verschlüsselung könnte auch eine Brücke zum Breyer-Urteil des EuGH geschlagen werden. Ein ausreichend starkes Verschlüsselungskonzept plus Rechtsverzicht auf Datenoffenlegung, könnte demnach also – rein theoretisch – in der Konsequenz zur Anonymität führen.

Wir können Ihnen helfen!

Data Protection in der Cloud