Datenschutz in der Cloud
… ist elementar. Wir schützen Ihre Daten, räumen Stolperfallen aus dem Weg, achten auf regulierungskonforme Umsetzung. Darauf sollten Sie achten.
Eine zentrale Herausforderung bei der Speicherung von Informationen in der Cloud ist es, die Integrität und Vertraulichkeit der Datenverarbeitung der Cloud-Nutzer zu gewährleisten. Hierbei geht es nicht nur um die Verarbeitung personenbezogener, sondern sämtlicher Daten, bei denen es auf Vertraulichkeit und Integrität ankommt. Bei Betriebs- und Geschäftsgeheimnissen, Forschungsdaten oder anderweitig rechtlich zu schützender Daten. Hier muss unbedingt der unberechtigte Zugriff Dritter unterbunden werden.
Die selbe Herausforderung stellt sich aber auch, wenn die Daten nicht in einem hochsicheren Rechenzentrum gespeichert werden, sondern auf Systemen, welche in Ihren Räumen stehen. Sind die Daten hier sicher und ausreichend vor unberechtigten Zugriffen geschützt?
Bei Abschluss eines Vertrages mit einem Cloud-Anbieter muss auf die Sicherheit der Datenverarbeitung geachtet werden. Welche Maßnahmen bietet der Anbieter um Störungen zu vermeiden? Welche Maßnahmen werden ergriffen um Angriffe abzuwehren? Wie werden die Daten vor dem Zugriff unberechtigter Dritter geschützt? Um haftungsrechtliche Konsequenzen für ein Unternehmen zu vermeiden, ist es wichtig diese Verantwortlichkeiten bei Vertragsabschluß klar zu regeln.
Aus Datenschutzsicht ist das speichern von Daten in der Cloud nur relevant, wenn personenbezogene Daten dort gespeichert werden: „Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)“ (§ 3 Abs. 1 BDSG). Welches Datenschutzrecht bei einem Anbieter Anwendung findet ergibt sich aus dem Standort des Anbieters. Befindet sich dieser in der EU und kommt der Kunde des Anbieters aus Deutschland, gilt normalerweise das deutsche bzw. das europäische Datenschutzrecht. Werden Cloud-Anbieter genutzt die ihren Standort außerhalb der EU haben, so ist die Übermittlung datenschutzrechtlich relevanter Daten grundsätzlich unzulässig. Zum Beispiel das „EU-US Privacy Shield“ Abkommen genügt in keinem Fall um einen Datenschutz nach EU-Recht annähernd zu erreichen. Vielmehr sollte damit nur eine Brücke zwischen dem strengen Datenschutz der EU und dem fast nicht existierenden Datenschutz in den USA geschaffen werden, da zwangsläufig Daten übermittelt werden. Eine langfristig tragende Praxis zum Internationalen Datenverkehr lässt sich für Unternehmen daraus aber nicht ableiten, da auch dieses Abkommen vom EuGH so wie der Vorgänger „Safe Harbour“ wieder gekippt werden könnte.
Unsere Partner
