- Anzeige -


Sie sind hier: Startseite » Markt » Hintergrund

Cloud Computing und Datenschutzrecht


Datenschutzkonformes Cloud Computing: Aus Datenschutzsicht bringt die Verarbeitung personenbezogener Daten in der Cloud besondere Risiken mit sich
Die Cloud-Anbieterin, die für ihre Kundin Daten in der Cloud verarbeitet, gilt als Auftragnehmerin i. S. d. § 11 BDSG


(19.07.12) - "Cloud Computing" steht für "Datenverarbeitung in der Wolke" und beschreibt eine vernetzte Rechnerlandschaft, in welche die eigene Datenverarbeitung ausgelagert wird. Cloud Computing-Dienstleistungen wie "Software-as-a-Service" (SaaS), "Platform-as-a-Service" (PaaS) und "Infrastructure-as-a-Service" werden üblicherweise von mehreren Auftragsnehmern bzw. Unterauftragsnehmern über das Internet erbracht. Die Datenverarbeitung erfolgt zumeist in mehreren Rechenzentren an verschiedenen Standorten rund um den Globus. Aus Datenschutzsicht bringt die Verarbeitung personenbezogener Daten in der Cloud besondere Risiken mit sich: Zum einen resultiert aus der Vielzahl an (Unter-)Auftragsnehmern und der Übermittlung personenbezogener Daten in unsichere Drittstaaten außerhalb des Europäischen Wirtschaftsraums (EWR) ein Kontrollverlust für Cloud Computing-Anwender, zum anderen fehlt es regelmäßig an der notwendigen Transparenz, wie, wo und von wem personenbezogene Daten in der Cloud verarbeitet werden.

Aus diesem Grund hat die Artikel 29-Datenschutzgruppe, das unabhängige Beratungsgremium der Europäischen Union für den Datenschutz, am 01.07.2012 eine Stellungnahme zum Thema Cloud Computing veröffentlicht. In dieser Stellungnahme analysiert die Gruppe die für Cloud Computing geltenden Bestimmungen des EU-Datenschutzrechts und gibt Cloud-Anwendern und -Anbietern Richtlinien und Empfehlungen dazu, wie Datenverarbeitung in der Cloud datenschutzkonform ausgestaltet werden kann. Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) veröffentlicht nun auf dieser Grundlage Hinweise zur datenschutzgerechten Erbringung und Nutzung von Cloud-Dienstleistungen nach deutschem bzw. europäischem Recht.

Cloud-Anwender und -Anbieter sollten insbesondere den folgenden Bewertungen und Empfehlungen folgen:

>> Die Cloud-Anwenderin bestimmt nicht nur den Zweck der Datenverarbeitung, sondern trifft auch eine Entscheidung über das Outsourcing an einen Cloud-Service und ist damit die datenschutzrechtlich verantwortliche Stelle. Die Cloud-Anbieterin, die für ihre Kundin Daten in der Cloud verarbeitet, gilt als Auftragsnehmerin i. S. d. § 11 BDSG (Bundesdatenschutzgesetz). Dies trifft auch dann zu, wenn die Cloud-Anwenderin ein kleines oder mittleres Unternehmen und die Cloud-Anbieterin ein internationaler Konzern ist. Ein solches Ungleichgewicht bei der Vertragsgestaltung berechtigt die verantwortliche Stelle nicht zum Akzeptieren von Vertragsklauseln, die nicht mit dem Datenschutzrecht vereinbar sind. Der Vertrag zwischen Cloud-Anbieterin und -Anwenderin muss inhaltlich den Anforderungen des § 11 Abs. 2 S. 2 BDSG genügen. Aus Gründen der Rechtssicherheit sollte der Vertrag außerdem auch regeln, dass die Cloud-Anbieterin dazu verpflichtet ist, die Cloud-Anwenderin über alle Unterauftragsverhältnisse und über alle Orte, an denen personenbezogene Daten gespeichert oder verarbeitet werden können, zu informieren.

Lesen Sie zum Thema "Datenschutz-Compliance" auch: Compliance-Magazin.de (www.compliancemagazin.de)

>> Wer personenbezogene Daten in der Cloud verarbeiten lässt, ist gesetzlich dazu verpflichtet, den bzw. die Dienstleister sorgfältig auszuwählen. Ein Blick auf die Datensicherheit genügt dabei nicht. Die Art. 29-Gruppe hat die Datenschutzanforderungen, die sich auch im neuen Landesdatenschutzgesetz von Schleswig-Holstein wiederfinden, konkretisiert: Neben Verfügbarkeit, Vertraulichkeit und Integrität müssen die Datenschutz-Schutzziele Transparenz, Nicht-Verkettbarkeit und Intervenierbarkeit umgesetzt werden. Die Übermittlung personenbezogener Daten in unsichere Drittstaaten außerhalb des EWR ist nur unter bestimmten Voraussetzungen, z. B. bei einer Verwendung sogenannter Standardvertragsklauseln oder verbindlicher Unternehmensregelungen, zulässig. Bei einer Datenübermittlung in die Vereinigten Staaten von Amerika kann sich die verantwortliche Stelle nach Auffassung der Art. 29-Gruppe nicht auf eine Selbstzertifizierung nach den Safe Harbor Prinzipien verlassen. Sie muss die Zertifizierung und die Einhaltung der Prinzipien selbst überprüfen.

Thilo Weichert, Leiter des ULD, sagte: "Cloud Computing ist eine technische Realität, bei der die Beachtung der Datenschutzvorschriften zwingend gefordert ist. Dies gilt auch hinsichtlich der Zugriffe staatlicher Stellen, insbesondere durch Strafverfolgungsbehörden, in Drittstaaten. Transparenz ist für die Nutzerinnen und Nutzer gerade beim Cloud Computing unverzichtbar. Mit dem EuroPriSe-Zertifikat des ULD können Cloud-Anbieter die Einhaltung der europäischen Vorgaben verlässlich und transparent nachweisen. Die Bestrebungen der EU-Kommission, Clouds 'Made in Europe' besonders zu zertifizieren, sind zu unterstützen, wenn die Siegel – wie bei EuroPriSe – durch unabhängige Stellen auf der Basis qualifizierter Gutachten im Rahmen eines definierten, transparenten Verfahrens verliehen werden."

Fact-Sheets des ULD: https://www.european-privacy-seal.eu/results/fact-sheets/

Stellungnahme der Artikel 29-Datenschutzgruppe:
http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp196_en.pdf

Orientierungshilfe der Konferenz der Datenschutzbeauftragten des Bundes und der Länder: http://www.datenschutz.hessen.de/download.php?download_ID=237

Hintergrundmaterial:
https://www.datenschutzzentrum.de/cloud-computing/
https://www.datenschutzzentrum.de/internationales/20111115-patriot-act.html
(ULD: ra)

ULD: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>



Meldungen: Hintergrund

  • Wie sicher ist die (Public) Cloud?

    Laut einer Bitkom-Studie zum Thema Cloud Computing nutzten im Jahr 2018 73 Prozent der deutschen Unternehmen Rechenleistungen aus der Cloud; im Jahr 2017 waren es 66 Prozent. Zudem scheint die Public Cloud aufgrund hoher Skalierbarkeit immer beliebter zu werden -allerdings nicht ohne Sicherheitsbedenken. Generell sind für die deutschen Unternehmen IT-Sicherheit und Datenschutz die Hauptkriterien bei der Anbieterwahl. Eine Kaspersky-Studie zum Thema Clouds und Sicherheit aus dem Mai 2019 bestätigt Sicherheitsbedenken beim Einsatz von Clouds. So haben mindestens ein Drittel der von Kaspersky weltweit Befragten (35 Prozent bei KMU und 39 Prozent im Enterprise-Bereich) Angst vor möglichen Störfällen innerhalb einer - von einem Drittanbieter gehosteten - Infrastruktur. Unter den befürchteten Risiken: Umsatzeinbußen und Reputationsverlust.

  • Angriffe auf MSPs nehmen zu

    Die Forscher und das Emergency Response Team (ERT) von Radware berichten von einem wachsenden Trend zu Cyberangriffen auf Managed Service Provider (MSPs). Während diese Branche typischerweise mit Hilfe von Advanced Persistent Threats (APTs) attackiert wird, deuten mehrere Ereignisse in den letzten Monaten darauf hin, dass auch technisch weniger versierte Gruppen versuchen, MSPs anzugreifen, um die Beziehung zwischen MSPs und ihren Kunden zu nutzen. MSPs bieten Fernverwaltungsdienste für die Infrastruktur ihrer Kunden, einschließlich der Möglichkeit, Updates oder Anwendungen zu installieren. Auf diese Fähigkeiten globaler MSPs haben es die Hacker laut Radware abgesehen mit dem Ziel, ihre Wirkung durch eine Trickle-Down-Strategie zu maximieren.

  • Das IoT wird immer komplexer

    Klassische RDBMS werden den wachsenden Anforderungen am Markt nicht mehr gerecht. Couchbase nennt die fünf Trends, die den Einsatz von Datenbanktechnologien wie NoSQL erforderlich machen. Unternehmen benötigen eine neue Art von Datenbank, um damit geschäftskritischen Anwendungen zu entwickeln und Services für die digitale Wirtschaft zu betreiben. Im Mittelpunkt stehen dabei Anforderungen wie kurze Antwortzeiten bei einer großen Zahl gleichzeitiger Benutzer, hohe Skalierbarkeit, Flexibilität, Verfügbarkeit sowie der Zugriff auf strukturierte, aber auch unstrukturierte Daten. Klassische RDBMS können diese Anforderungen nicht mehr erfüllen, daher setzen Unternehmen zunehmend auf NoSQL-Datenbanktechnologien, denen ein nicht-relationaler Ansatz zugrunde liegt. Datenbankpionier Couchbase zählt die fünf Trends auf, die zu den neuen Anforderungen geführt haben.

  • "aaS"-Akronyme ab sofort mit mehr Buchstaben

    Cloud-basierte Dienstleistungen haben Konjunktur. Gewöhnlich mit "aaS", also "as a Service" bezeichnet, reicht das normale lateinische Alphabet mit seinen 26 Buchstaben nicht mehr aus, um die vielen verschiedenen IT-Services sinnvoll zu benennen. Zudem wird die aaS-Begriffswelt branchenübergreifend populär. Die internationale Regulierungsbehörde für Cloud-Dienstleistungen, hat nun auf diesen Zustand reagiert und erlaubt ab sofort, "aaS"-Begriffe mit mehr als einem vorangestellte Buchstaben zu nutzen. Als erster Anbieter hat sich Avi Networks die Vermarktungsrechte für das Akronym BADaaS gesichert. BADaaS steht für Beyond Application Delivery as a Service.

  • Cloud Computing ist sicherer, als man denkt

    Cloud Computing ist weiter auf dem Vormarsch. Anfängliche Bedenken von hauptsächlich mittelständischen Unternehmen ihre Daten außer Haus zu geben, schwinden. Das Internet der Dinge wird noch einmal für Beschleunigung sorgen. Selbst Regierungen und Militärs setzen inzwischen auf Services und die Datenspeicherung in der Wolke. Damit bekommt das Thema Sicherheit noch einmal eine ganz neue Facette. Cloud Computing ist nicht gleich Cloud Computing. Während auf Unternehmensebene zumeist über die Unterscheidung zwischen Public und Private Cloud diskutiert wird, geht es auf der Ebene von Regierungen und Militärs um den Unterschied zwischen Single- und Multi-Cloud-Strategien. Eine Diskussion, die sich im privaten Umfeld längst erledigt hat. Hier dominiert die Multi-Cloud. Gerade seitens der Militärs wird allerdings sehr stark der Single-Cloud-Ansatz verfolgt, bei dem alle Services von einem einzigen Anbieter bezogen werden. Auf diese Weise versucht man die Zahl der Angriffsflächen für mögliche Cyber-Bedroher einzuschränken.

  • Auswirkungen auf das Datenmanagement

    Für Firmen wird es immer schwieriger, effizient und verantwortungsbewusst mit ihren Daten umzugehen: Viele haben schier den Überblick verloren. Das muss allerdings nicht sein: Mit DataOps hilft ein neuer Ansatz im Datenmanagement wieder Ordnung in die Datenbanken zu bringen. Laut einer aktuellen Studie des Forschungs- und Beratungsunternehmens 451 Research unter 150 Führungskräften, wachsen die Daten eines Großteils der befragten Firmen täglich beträchtlich: Bei 29 Prozent um 100 bis 500 Gigabyte (GB) pro Tag und bei 19 Prozent um 500 GB bis 1 Terabyte (TB). Immerhin noch 13 Prozent verzeichnen sogar eine Zunahme von 2 TB.

  • Lösung: ein Remote-Cloud-System

    Kaspersky Lab hat eine experimentelle Cloud-Infrastruktur für bionische Prothesen des russischen Hightech-Start-Ups Motorica aus Perspektive der IT-Security genauestens unter die Lupe genommen und mehrere bisher unbekannte Sicherheitsprobleme identifiziert. Unbefugte könnten so auf höchstsensible Patientendaten zugreifen und diese manipulieren, stehlen oder löschen. Die Ergebnisse der Untersuchung wurden dem Hersteller umgehend mitgeteilt.

  • Service Design & Transition - Aufbau von Services

    Mehr Klarheit im unübersichtlichen Feld von Service Management: Das versprechen die neuen Quadranten des ISG Provider Lens Reports. Die Marktbetrachtung bietet sauber aufgeteilte Unterkategorien und Herstellerbewertungen. Für Experten perfekt, aber für Laien ist es trotzdem nicht einfach, sich hier zurechtzufinden. Ein Kunde, der heute einfach nur seine IT in den Griff bekommen will, hat es nicht leicht. Er wird konfrontiert mit Kürzeln wie SIAM, ITSM und BPM. In jedem dieser Bereiche tummelt sich eine Reihe von Anbietern, die wiederum versuchen, einzelne Begriffe zu prägen. Für mehr Transparenz sind jetzt die Analysten gefragt - so wie die ISG Group mit ihrem Provider Lens Quadrant Report.

  • IT-Ressourcen aus der Cloud

    Das Thema Künstliche Intelligenz wird von immer mehr Menschen als eine wichtige Schlüsseltechnologie angesehen. Dies bestätigt eine Umfrage des ITK-Verbands Bitkom im Dezember 2018: Zwei Drittel der Befragten sehen den Wohlstand gefährdet, wenn Deutschland bei der Künstlichen Intelligenz nicht zu den führenden Nationen gehört. Eine Mehrheit von 62 Prozent sehen die KI zudem eher als eine Chance als eine Bedrohung. Für die Bundeskanzlerin Angela Merkel ist das Thema ebenfalls ganz oben auf der Agenda: Nach ihrer Meinung müsse Deutschland ein führender Standort für Künstliche Intelligenz werden.

  • Vorteile einer Hybrid-Multi-Cloud ausschöpfen

    2019 werden viele Unternehmen eine Cloud-First-Strategie verfolgen, um von mehr Flexibilität, Agilität und Kostenersparnis zu profitieren. Laut einer aktuellen Studie von Forrester Consulting haben bereits 86 Prozent der Unternehmen eine Multi-Cloud-Strategie. Aber ob sie nun die Services von verschiedenen Providern beziehen oder "nur" Private- und Public Cloud in einer Hybrid Cloud kombinieren mit einem - wie wir ihn nennen - Hybrid-Multi-Cloud-Ansatz, können sich Kunden für jeden Anwendungsfall die jeweils beste Lösung herauspicken. Wer mehrere Clouds gleichzeitig nutzt, steht aber auch vor neuen Herausforderungen in Bezug auf das Datenmanagement.