Cloud-Anwendungen sind beliebt und dafür gibt es viele Gründe. Cloud-Nutzer können von überall auf eigene Daten zugreifen, sparen dabei lokalen Speicherplatz und müssen sich über Updates und Wartung der Software keine Sorgen machen. Ein Aspekt spielt jedoch eine wichtige Rolle, der unmittelbar mit der Nutzung einer Cloud einhergeht: das Thema Datenschutz. Anwendern ist zu empfehlen, dass sie sich bereits bei der Auswahl eines Cloud-Dienstleisters damit beschäftigen, ob der Provider die geltenden Vorgaben des Datenschutzes einhält.

Darüber hinaus sind Nutzer einer Cloud-Lösung selbst dazu angehalten, zusätzliche Maßnahmen zu ergreifen, um den Datenschutz sicherzustellen. Diese Verpflichtung gilt besonders für Unternehmen, die mit personenbezogenen Daten arbeiten und diese in der Cloud speichern. Bei Verstößen gegen den Datenschutz drohen finanzielle Schäden durch Strafzahlungen, sodass Datenschutz und Cloud Computing immer miteinander einhergehen.

Was ist Cloud Computing?

Beim Cloud Computing betreiben Nutzer keine eigenen Server, auf denen sie Anwendungen lokal hosten. Stattdessen beziehen sie digitale Infrastrukturen oder einzelne Applikationen über spezialisierte Cloud-Anbieter wie TeamDrive. Die Provider von Cloud-Lösungen betreiben große Rechenzentren und bieten Unternehmen an, flexibel Speicherplatz zu mieten oder Anwendungen über einen Browser zu nutzen.

Vorteile von Cloud-Diensten für Unternehmen

Für Unternehmen sind datenschutzkonforme Cloud-Dienste im Vergleich zu On Premise-Lösungen auf dem eigenen Firmengelände oft die bessere Wahl. Sie bieten eine bessere Effizienz bei den Kosten und mehr Flexibilität.

Es entstehen für Nutzer keine Kosten für Hardware, Administration und Wartung. Cloud-Anbieter sorgen dafür, dass die Anwendungen reibungslos funktionieren und übernehmen auch Updates. Die einfache Skalierbarkeit ist eine der größten Vorzüge. Bei Bedarf buchen Unternehmen weiteren Speicher oder neue Funktionen hinzu oder bestellen nicht genutzte Kapazitäten und Dienste ab. Zudem bieten Cloud-Systeme die Option, ortsunabhängig von überall auf Inhalte zuzugreifen. Im mobilen Büro in der Wohnung, beim Co-Working oder für Anwender, die remote arbeiten, ist der sichere Zugriff auf Dokumente in der Cloud standortübergreifend möglich.

Risikofaktoren für das Cloud Computing

In einer traditionellen IT-Infrastruktur werden Unternehmensdaten auf einem eigenen Server gespeichert, der sich im Unternehmen befindet. Die Daten unterliegen dadurch jederzeit der Kontrolle und den individuellen Sicherheitsstandards, denen sich die Organisation selbst verpflichtet hat. Beim Cloud Computing verlassen sensible Daten das Unternehmensgelände, sodass ein potenzielles Sicherheitsrisiko entsteht.

Hackern steht der unberechtigte Zugriff auf Rechenzentren des Cloud-Anbieters offen, wenn diese nur unzureichend geschützt sind, um Daten zu entwenden oder zu manipulieren. Zudem besteht die Gefahr, dass bei schlechter Verschlüsselung die Datenübertragung ausgespäht wird. Cloud-Anbieter stellen Cloud-Anwendungen bereit, sodass Nutzer davon abhängig sind, dass der Betrieb der Cloud funktioniert. Technische Probleme, Stromausfälle oder Naturkatastrophen können die Bereitstellung der Dienste stören.

Ist deshalb aber von einer Cloud-Nutzung generell abzuraten? Nein, wenn sich Unternehmen darauf verlassen können, dass Dienstleister die Verbindung zwischen Nutzern und der Cloud absichern, spricht nichts gegen Cloud Computing.

Andernfalls drohen bei einem Missbrauch von Daten hohe finanzielle Schäden. Das gilt vor allem, wenn sich personenbezogene Daten von Dritten in einer Cloud befinden.  Jedes Unternehmen haftet rechtlich für die Datensicherheit und muss bei Nichteinhalten des Datenschutzes mit Schadenersatzforderungen rechnen.

Rechtliche Anforderungen an den Datenschutz in der Cloud

Die Gesetzgeber haben verbindliche Regelungen zum Datenschutz in der Cloud verabschiedet. Sie schaffen damit eine klare Handlungsbasis für Anbieter und Anwender von Cloud-Lösungen. Wer in Deutschland eine Cloud-Lösung nutzt oder anbietet, muss gleich mehrere Verordnungen und Gesetze einhalten.

Definition: Datensicherheit vs. Datenschutz

Was ist Datenschutz und was heißt Datensicherheit? Meinen beide Begriffe dasselbe oder ist jeder Begriff für sich alleinstehend? Datenschutz und Datensicherheit werden meist synonym verwendet, doch sie beschreiben unterschiedliche Sachverhalte.

Datenschutz umfasst die rechtlichen Vorgaben zum sicheren Nutzen, Verarbeiten und Speichern von personenbezogenen Daten wie Name, Adresse und Geburtsdatum. Datensicherheit bezieht sich dagegen allgemein auf Maßnahmen zum Schutz von personen- oder nicht-personenbezogenen Daten.

Datenschutz-Grundverordnung (DSGVO)

Alle Unternehmen mit einem Sitz in der Europäischen Union (EU) unterliegen der Datenschutz-Grundverordnung. Die DSGVO gilt zudem auch für Unternehmen, die Waren oder Dienstleistungen in der EU anbieten sowie personenbezogene Daten verarbeiten. Sie trat im Mai 2018 in Kraft und besteht aus einer Reihe von Gesetzen, die dem Einzelnen einen besseren Schutz seiner persönlichen Daten gewährleisten.

Die wichtigsten Regelungen der DSGVO:

Jede Person besitzt das Recht, eine Information zu erhalten, welche Daten wie von einem Unternehmen über sie verarbeitet wurden und kann eine Berichtigung oder Löschung verlangen. Alle datenverarbeitende Organisationen sind verpflichtet, personenbezogene Daten nur zu erheben, wenn sie für den Zweck der Verarbeitung erforderlich sind. Die Nutzung von individuellen Daten muss für betroffene Personen nachvollziehbar gestaltet sein.

Verantwortliche sind verpflichtet, einen Nachweis zu erbringen, dass die Vorgaben der DSGVO (Artikel 5 Absatz 1) erfüllt werden. Bei Datenschutz-Pannen ist eine Information an Betroffene und Aufsichtsbehörden unverzüglich zu erfolgen. Verstöße gegen die DSGVO sind abhängig vom Einzelfall mit Bußgeldern von bis zu 20 Millionen Euro bedroht.

Bundesdatenschutzgesetz (BDSG)

Parallel mit der europäischen DSGVO ist 2018 in Deutschland das neue Bundesdatenschutzgesetz in Kraft getreten. Beide Gesetze besitzen jeweils gemeinsam Gültigkeit. Das nationale Recht konkretisiert und ergänzt einige Vorgaben der DSGVO. Die Datenschutz-Grundverordnung setzt allerdings jederzeit dem BDSG die jeweiligen Schranken, weil europäisches Recht grundsätzlich Vorrang vor nationalem Recht besitzt.

Auftragsdatenverarbeitung

Was bedeutet das für Unternehmen in Deutschland, die personenbezogene Daten bei einem Cloud-Anbieter speichern? Sie können für die Einhaltung der Datenschutzvorgaben nicht den Cloud-Anbieter verantwortlich machen. Die Nutzung einer Cloud gilt als Auftragsdatenverarbeitung. Das Unternehmen muss sicherstellen, dass der von ihm beauftragte Cloud-Anbieter die geltenden rechtlichen Rahmenbedingungen einhält.

Das Ende des Privacy Shields

Der Europäische Gerichtshof (EuGH) erklärte im Juli 2020 das bisher geltende Privacy Shield-Abkommen zwischen den USA und der Europäischen Union für ungültig. Bisher diente es Unternehmen als Rechtsgrundlage, um personenbezogene Daten von Cloud-Anbietern aus den USA speichern und verarbeiten zu lassen. Bis zuletzt war in vielen Fällen unklar, ob US-amerikanische Cloud-Services das geforderte DSGVO-Niveau erreichen. Deshalb wechselten Unternehmen zu Anbietern, die einen Server-Standort in Deutschland oder der Europäischen Union vorweisen. Dadurch verringerten sie die Gefahr von Bußgeldern durch versehentliche Missachtung der DSGVO.

Im Juni 2021 hat die Europäische Kommission jedoch neue Standardvertragsklauseln erlassen. Sie ermöglichen Unternehmen, die einen US-amerikanischen Cloud-Service korrekt nutzen, jetzt mehr Rechtssicherheit als vorher. Trotzdem werden die noch offenen Fallstricke und Pflichten zum Prüfen in den kommenden Monaten weiterhin für viele Diskussionen sorgen. Denn Unternehmen sind nach wie vor dazu verpflichtet, den Aufsichtsbehörden einen positiven Prüfnachweis vorzulegen, wenn sie personenbezogene Daten in Drittländer übermitteln.

Das Niveau des Datenschutzes in den USA bleibt als Problem bestehen und erfordert ergänzende Maßnahmen, um den Zugriff von US-Behörden auf verarbeitete Daten zu verhindern. Die deutschen Behörden haben mit Beratungen und Prüfungen begonnen, um die Anforderungen des Datenschutzes laut Schrems II-Urteil zu kontrollieren. Im Urteil hatte der Europäische Gerichtshof im Detail den Datenschutz in den USA geprüft und als unzureichend befunden.

Datenschutz und Cloud: Merkmale eines sicheren Cloud-Anbieters

Die Wahrscheinlichkeit, dass Cloud-Provider mit Sitz in der Europäischen Union und Deutschland die DSGVO-Kriterien erfüllen, ist grundsätzlich hoch. Dennoch lohnt es sich, potenzielle Partner genauer anzusehen. Schließlich gibt es in jeder Branche schwarze Schafe. Folgend wurden einige Kriterien zusammengestellt, die eine Entscheidungsfindung für eine datenschutzkonforme Cloud erleichtern:

Zertifizierungen und Testate

Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) zertifiziert Cloud-Dienstleister, die bestimmte Standards für den Datenschutz erfüllen, mit einem C5-Testat. Auch internationale Zertifizierungen, etwa nach ISO/IEC 27001, bieten eine verlässliche Orientierung, welche Qualität der Datenschutz bei einem Provider erreicht.

Server-Standorte

Wenn ein Cloud-Dienstleister beispielsweise mit einem Server-Standort in Deutschland oder ein EU-Land wirbt, heißt das nicht zwangsläufig, dass sich auch dessen Server in der Europäischen Union befinden. Deshalb sollten Unternehmen nachfragen oder sich die entsprechenden Dokumentationen zeigen lassen, wo sich die Server-Standorte tatsächlich befinden.

Referenzen und öffentliche Bewertungen

Bewertungen in Online-Portalen sind nicht immer verlässlich. Durch einen Vergleich verschiedener Plattformen erhalten Unternehmen jedoch einen Eindruck, welcher Anbieter wiederholt mit guten Bewertungen versehen wurde, um ihn in die engere Auswahl zu nehmen. Zudem hilft ein Blick in Referenzen, um zu sehen, welche Unternehmen mit dem favorisierten Anbieter zusammenarbeiten.

Spezialisierte Cloud-Anbieter

Einige Anbieter bieten Cloud-Dienste als eine von mehreren IT-Dienstleistungen an. Allerdings werden die rechtlichen Anforderungen an die Datenverarbeitung und Sicherheitsfragen komplexer und anspruchsvoller. Daher ist ein spezialisierter Cloud-Anbieter zu empfehlen, für den Cloud Computing und Cloud-Hosting zum Kerngeschäft gehören.

Vorhandenes Sicherheitskonzept

Unternehmen, die sich für die Zusammenarbeit mit einem Cloud-Dienst entscheiden, benötigen ein Sicherheitskonzept. Darin werden alle Standards, Technologien und Prozesse definiert sowie der Umgang mit Risiken und Schadensfällen beschrieben. Anbieter von sicheren Cloud-Systemen besitzen solche Konzept für den Datenschutz und die Datensicherheit.

Google, Microsoft, Dropbox: Datenschutz bei Public Clouds

Trotz der rechtlichen Verunsicherung wird der Markt von Cloud-Anbietern immer noch von US-Firmen dominiert. Bekannte Namen wie Google mit Google Drive, Microsoft mit OneDrive oder Dropbox sind als Cloud-Dienste weit verbreitet. Auch nach Inkrafttreten der DSGVO bieten diese Unternehmen ihre Services in der Europäischen Union an und betonen dabei ihre hohen Sicherheitsstandards und Datenschutzmaßnahmen.

Physische Sicherheit

Alle drei Anbieter setzen diverse Sicherheitsmaßnahmen ein, um die physische Sicherheit der Rechenzentren zu gewährleisten. Gespiegelte Rechenzentren sorgen dafür, dass Daten auch beim Ausfall eines Data Centers nicht verloren gehen. Dropbox engagiert für den Betrieb der Rechenzentren auch Drittanbieter, während Google und Microsoft eigene Data Center betreiben.

Verschlüsselung

Für die Verschlüsselung von gespeicherten Daten auf den Servern verwenden OneDrive und Dropbox eine AES-Verschlüsselung mit 256-Bit. Google nutzt für Google Workspace und Google Drive den AES-Standard mit 128-Bit-Verschlüsselung. Alle verwenden damit die derzeit stärkste Schlüsselvariante, die ein Verschlüsselungsverfahren haben kann.

Für die Übertragung der Daten in und aus der Cloud kommt bei allen drei US-amerikanischen Providern eine SSL/TLS-Verschlüsselung zum Einsatz. Das ist inzwischen Standard. Eine zusätzliche Sicherheit bietet die Technologie Perfect Secrecy Forward. Sie verhindert, dass SSL-Schlüssel von Hackern abgegriffen werden.

Anwender besitzen die Option, ihre Daten zusätzlich Ende-zu-Ende verschlüsseln, doch vor Zugriff durch US-Behörden sind diese Daten damit nicht geschützt. Im Zweifel räumen die Anbieter über den US-amerikanischen Cloud Act einen Zugriff auf sensible Daten ein. Das gilt auch für die Anbieter selbst, die weiterhin auf die Daten zugreifen könnten. Über eine vollständige Ende-zu-Ende-Verschlüsselung und das Zero Knowledge-Prinzip verfügt keiner der drei genannten Anbieter. Nutzer müssen daher damit rechnen, dass sie bei der Anwendung von Cloud-Diensten wie Google Drive, Dropbox oder OneDrive eine Cloud verwenden, die nicht alle Anforderungen der DSGVO und damit an den Datenschutz automatisch erfüllt.

TeamDrive als DSGVO-konforme Alternative zu US-Cloud-Dienstleistern

TeamDrive gehört zu den Cloud-Dienstleistern im deutschsprachigen Raum, die dort punkten, wo die anderen Cloud-Dienste ihre Schwächen offenbaren. Wir erfüllen die höchsten Sicherheitsstandards und sämtliche Anforderungen der DSGVO.

Der Datenschutz nach deutschen Rechtsvorschriften wird bereits in der Entwicklung der Software mitgedacht (Privacy by Design). Auch Schutzmaßnahmen gegen Cyberangriffe gehören zum Standard (Security by Design). Anwender müssen diese Funktionen nicht nachrüsten oder über zusätzliche Add-ons hinzubuchen.

Datenschutz bei TeamDrive im Überblick

  • echte E2E-Verschlüsselung (Zero Knowledge ohne Backdoor für Behörden)
  • standardmäßig DSGVO-konform
  • GoBD-konform für revisionssichere Archivierung
  • Standorte sämtlicher Cloud-Server in Deutschland
  • Konfigurationen für hybride IT-Infrastrukturen
  • modularer Aufbau für individuelle Unternehmensanforderungen
  • deutschsprachiger, telefonisch erreichbarer Kundensupport (Testsieger der Servicestudie Cloud-Anbieter 2020)

Fünf Tipps für Datenschutz in der Cloud

Eine einhundertprozentige Sicherheit existiert nicht, egal ob Unternehmen auf On Premise-Lösungen oder Cloud-Architekturen setzen. Wer einen vertrauenswürdigen und sicheren Cloud-Dienstleister wählt und zusätzlich unternehmensinterne Schutzmaßnahmen etabliert, erreicht jedoch ein hohes Sicherheitsniveau. Damit lässt sich verlässlicher Datenschutz realisieren.

Viele wirksame Schutzmaßnahmen sind relativ einfach, ihre konsequente Umsetzung ist jedoch erfolgsentscheidend. Folgende fünf Aspekte helfen einem Unternehmen dabei, einen Cloud-Anbieter zu wählen, der das Thema Datenschutz ernst nimmt.

1. Backup

Nutzen Sie zusätzlich zum Cloud-Speicher alternative Methoden der Datensicherung. Sie sind dann für den (bei einem seriösen Anbieter unwahrscheinlichen) Fall vorbereitet, dass Daten in der Cloud verloren gehen. Das gilt ebenso, wenn wegen technischer Probleme längere Zeit keine Daten verfügbar sind.

2. Zugriffsrechte beschränken

Führen Sie für ihre Cloud ein Berechtigungsmanagement ein und vergeben Sie Zugriffsrechte nur auf Bedarfsbasis und möglichst in granularer Abstufung. Je mehr Mitarbeiter mit Daten umgehen, desto größer ist das Risiko für einen missbräuchlichen Umgang und Verstöße gegen den Datenschutz.

3. Sichere Passwörter verwenden

Verpflichten Sie alle Mitarbeiter, sichere Passwörter zu nutzen. Systeme bieten die Option, Zugangsdaten automatisch und regelmäßig aktualisieren zu lassen. Diese einfache Maßnahme erschwert Cyberangriffe wirksam.

4. Zusammenarbeit mit dem Cloud-Anbieter

Arbeiten Sie eng mit dem Cloud-Anbieter zusammen und informieren Sie sich proaktiv über aktuelle Weiterentwicklungen von Sicherheitsmaßnahmen. Vereinbaren Sie zudem ein klares und definiertes Vorgehen im Fall von Sicherheitsproblemen.

5. Smarter Antivirenschutz

Verwenden Sie Anti-Malware-Software, die Maschine Learning einsetzt, um auffällige und potenziell unberechtigte Datenbewegungen oder Netzwerkaktivitäten anzuzeigen. Auf diese Weise können Sie nicht nur das Firmennetzwerk absichern, sondern auch Verbindungen zu Cloud-Anwendungen.

Darüber hinaus ist es empfehlenswert, dass jedes Unternehmen ein IT-Sicherheitskonzept entwickelt. Darin sind sämtliche technische und organisatorische Maßnahmen zum Schutz der digitalen Unternehmensdaten, Unternehmenssysteme und Unternehmensprozesse geregelt. Für einen Einstieg in das Thema ist das Kompendium zum IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik empfehlenswert.