In einer zunehmend vernetzten Welt ist Cloud Computing zweifellos ein wichtiger Wegbereiter für den Geschäftserfolg. Mit der Cloud hat sich die Art und Weise, wie Unternehmen ihre IT-Infrastruktur verwalten und nutzen, grundlegend verändert. Dabei bieten Cloud-Dienste vielerlei Vorteile. Allerdings ist es ebenso wichtig, die datenschutzrechtlichen Aspekte im Auge zu behalten, um die Chancen zu nutzen und gleichzeitig Risiken zu minimieren. In diesem Artikel erörtern wir diese Aspekte und bieten Ihnen wertvolle Tipps, wie Sie Datenschutz und Cloud in Einklang bringen können.
Was ist Cloud Computing?
Cloud Computing ist ein Ansatz zur Bereitstellung von IT-Ressourcen und -Diensten über ein Netzwerk, wie das Internet. Es gibt verschiedene Arten von Cloud-Modellen, welche sich in folgende drei Haupttypen aufteilen lassen:
-
Public Cloud:
In der öffentlichen Cloud stellen Cloud-Anbieter wie Amazon Web Services (AWS), Microsoft Azure etc. ihre Cloudumgebung über das Internet zur Verfügung. Diese Public Clouds sind, wie der Name schon sagt, der Öffentlichkeit zugänglich und werden von verschiedenen Kunden gemeinsam genutzt. Die Public Cloud funktioniert sehr oft über einen cloud-as-a-service. D.h. der User bezahlt monatlich oder jährlich einen Betrag für die Nutzung der Cloud. Die Vorteile der öffentlichen Cloud umfassen Skalierbarkeit, Flexibilität und Kosteneffizienz. Der grösste Nachteil der Public Cloud ist die starke Abhängigkeit vom Cloud-Provider.
-
Private Cloud:
Eine private Cloud wird normalerweise von einer einzelnen Organisation oder einem Unternehmen betrieben und bietet Cloud-Computing-Ressourcen, die ausschließlich für diese Organisation bestimmt sind. Sie kann in den eigenen Rechenzentren des Unternehmens oder von einem Cloud-Anbieter gehostet werden. Private Clouds bieten mehr Kontrolle und Sicherheit, sind jedoch oft kostenintensiver und weniger skalierbar als öffentliche Clouds.
-
Hybrid Cloud:
Die Hybrid Cloud ist eine Kombination aus öffentlicher und privater Cloud. Organisationen nutzen sowohl private als auch öffentliche Cloud-Ressourcen und schaffen eine Verbindung zwischen ihnen, um nahtlose Daten- und Anwendungsübertragungen zu ermöglichen. Die Hybrid Cloud ermöglicht es Unternehmen, die Vorteile der öffentlichen Cloud für skalierbare Arbeitslasten zu nutzen, während sie gleichzeitig sensible Daten und Anwendungen in der privaten Cloud behalten, um die Kontrolle und Sicherheit zu gewährleisten.
Jedes dieser Modelle bietet unterschiedliche Vor- und Nachteile, abhängig von den individuellen Bedürfnissen eines Unternehmens. Generell kann man keine Aussage darüber treffen, ob die Public Cloud besser ist als die Private Cloud oder umgekehrt.
Es empfiehlt sich daher für KMUs, sich von ihrem IT-Provider beraten zu lassen, um das Modell zu finden, welches am besten zu ihren Anforderungen passt.
Worauf müssen Unternehmen, die in der Cloud arbeiten nun besonders achten?
Wenn Personendaten in die Cloud übertragen werden, kommt das Datenschutzrecht zum Zug. Sie als Kunde und Cloud-Nutzer sind der Verantwortliche, womit Sie auch die datenschutzrechtlichen Konsequenzen für die Datenbearbeitung tragen. Der Cloud-Provider ist der Auftragsbearbeiter. Damit liegt es in Ihrer Verantwortung, dass die Datenbearbeitung rechtmässig erfolgt. Um dies vertraglich zu regeln, müssen Sie einen Auftragsdatenbearbeitungsvertrag (ADV) mit dem Cloud-Provider abschliessen, in welchem Sie das Schutzniveau und die Pflichten des Auftragsbearbeiters festhalten. Hier erfahren Sie mehr darüber.
Im Anhang des Vertrages müssen Sie ausserdem die technischen und organisatorischen Massnahmen, welche der Cloud-Anbieter umzusetzen hat, definieren. Damit sollen Sie sicherstellen, dass die Datenschutzvorschriften mittels geeigneter Voreinstellungen sichergestellt sind und die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist. Der Cloud-Anbieter hingegen ist verpflichtet, die Anforderungen und Massnahmen, welche Sie in dem ADV festgelegt haben, an seinen Subunternehmen weiterzugeben und dafür zu sorgen, dass das vorgegebene Datensicherheits-Niveau gewährleistet wird. Der Cloud-Provider und seine Subunternehmen sind zudem verpflichtet, Sie bei Datenverlusten oder Beschädigungen umgehend zu informieren.
Was passiert, wenn Daten ins Ausland übermittelt werden?
Ein besonderes Augenmerk ist darauf zu legen, ob Personendaten ins Ausland gelangen. Dies ist etwa der Fall, wenn die Server eines Cloud-Anbieters im Ausland liegen oder es sich wie im Fall vom Microsoft um ein amerikanisches Unternehmen handelt. Hierbei muss geklärt werden, ob das Land, welches die Daten erhält über ein angemessenes Datenschutzniveau verfügt. Welche Staaten dies sind, können Sie auf der Seite des EDÖB überprüfen https://www.edoeb.admin.ch/edoeb/de/home.html. Fliessen Daten ins Ausland ab, müssen Sie eine Standardvertragsklausel, die ein Anhang des AVD darstellt, erstellen. Auch hier ist der Auftragsbearbeiter verpflichtet, bei der Zusammenarbeit mit Unternehmen aus Drittstaaten, sicherzustellen, dass diese das vorgegebene Sicherheitsniveau gewährleisten können.
Tipp: Wenn Sie die Cloud-Dienste von grossen Anbietern, wie Microsoft nutzen, sollten Sie darauf achten, ein Lizenzmodell zu wählen, mit Serverstandort Schweiz. Um sich vollständig abzusichern, sollte ausserdem im Servicevertrag der Serverstandort Schweiz festgelegt werden.
Vorgängige Klärung nötig
Für ein Unternehmen ist es essentiell zu klären, welche Daten genau in die Cloud gelangen. So kann ein Unternehmen etwa entscheiden besonders sensible Daten innerhalb des Unternehmen zu behalten und nur bestimmte Geschäftsdaten in der Cloud zu speichern. Wenn das entschieden ist, können Sie die Risiken analysieren und darauf aufbauend Massnahmen definieren. Gibt es hier besonders schützenswerte Daten, die in der Cloud gespeichert werden, reicht eine Standardvertragsklausel allein oftmals nicht aus. Dies ist etwa der Fall, wenn der Cloud-Provider mit Subunternehmen aus Drittstaaten zusammenarbeitet. Dann müssen sie zusätzliche Massnahmen treffen, welche die Daten hinreichend schützen. So kann ein Unternehmen die Daten etwa verschlüsseln oder anonymisieren, bevor diese in die Cloud gelangen.
Das gleiche gilt auch für den Fall, wenn aufgrund hoch standardisierter Cloud-Lösungen ihr Verhandlungsspielraum eingeschränkt ist. Oftmals zeichnen sich v.a. die Cloud-Dienste der Public Cloud durch einen hohen Standardisierungsgrad aus. Lässt sich die jeweilige Cloud-Lösung nur stark eingeschränkt oder gar nicht an die Anforderungen Ihrer Datenbearbeitung anpassen, können Sie prüfen, ob eine Anonymisierung oder Verschlüsselung aller Daten mögliche Datenschutzrisiken vollständig beseitigen. Ist dies nicht möglich, empfiehlt es sich nach alternativen Cloud-Lösungen zu suchen, welche Ihre Anforderungen erfüllen.
Tipp: Führen Sie ein Berechtigungskonzept nach dem Need-to-know-Prinzip ein. Damit erhalten Mitarbeitende nur Zugriff auf die Daten, welche sie bei der Erfüllung ihrer Aufgaben benötigen.
Sie möchten noch mehr zum Thema Cloud erfahren? Dann hören Sie unseren Podcast: the Cloud Connection!