> Cloud Datenschutz

Ob die Amazon Cloud via Prime wirklich kostenlos ist und wieso auch Prime-Kunden das Thema „Cloud Datenschutz“ bei Amazon-Drive berücksichtigen sollten

Cloud DatenschutzAnbieter von Clouds, insbesondere Storage Clouds, erfreuen sich immer größerer Beliebtheit, wobei dies eher nicht für den Cloud Datenschutz gilt, da diese Thematik sowohl von den Anbietern als auch von den Nutzern eher stiefmütterlich behandelt wird. Durch die zunehmende Digitalisierung greifen wir immer seltener auf Papier und Stift zurück, wir erfassen unsere Unterlagen lieber direkt in digitaler Form. Es ist uns möglich überall Videos und Fotos zu erstellen, digital zu speichern und Musik herunterzuladen. Diese Vielzahl an Fotos, Videos und anderen Dateien führt allerdings zu einem für uns ziemlich nervtötenden Problem, dass meistens mit dem Hinweis: „Ihr Speicher ist voll!“ beginnt.  Viele Verbraucher greifen aus diesem Grund auf Cloud-Lösungen zurück, da diese in den meisten Fällen – abhängig vom Anbieter und dem erforderlichen Speicherplatz – vermeintlich kostenlos sind bzw. erscheinen. Des Weiteren können die Verbraucher – je nach Anbieter – von unterschiedlichen Endgeräten und völlig ortsunabhängig auf die Daten in der Cloud zugreifen. Ein weiterer Vorteil ist, dass die Handhabung ziemlich einfach ist und der Zugriff auf Dateien, Bilder etc. sogar anderen Personen erlaubt werden kann. Kurzer Exkurs: Beim Cloud-Einsatz oder der Nutzung sonstiger IT-Systeme in Unternehmen, Behörden oder sonstigen verantwortlichen Stellen werden in derartigen Fällen geeignete Zugriffsrechte respektive Benutzerrollen / Rollenverzeichnisse abgestimmt und definiert.

Neben den zahlreichen Vorteilen führt Cloud Storage jedoch zu zahlreichen Datenschutz-Risiken. Ihr externer Datenschutzbeauftragter informiert Sie im Folgenden über die Risiken für Privatpersonen und „verantwortliche Stellen“ und erklärt, worauf sie – ganz besonders – achten sollten.

„ Cloud Datenschutz “ – die Risiken für Privatpersonen

Für Privatpersonen sind die Risiken meist überschaubar, da sie ihre eigenen privaten Daten in eine Cloud auslagern, allerdings sollten sich auch Privatpersonen bewusst machen, dass sie dem Cloud-Anbieter zumindest theoretischen Zugriff auf ihre privaten Informationen, Videos und Bilder gewähren, EGAL WIE PRIVAT DIESE SIND. Für Prime-Anbieter mag das Angebot von Amazon zwar ansprechend sein, da die Nutzung der Amazon Cloud als Zusatz für Fotos unbegrenzt und für weitere Dateien bis zu 5 GB kostenlos ist, allerdings sollten die Nutzer nicht vergessen, dass sie für den Speicherplatz möglichweise mit ihren Daten und noch viel schlimmer mit ihrer Privatsphäre bezahlen. Zudem sollte beachtet werden, das große Unternehmen ihre Strategie schnell ändern können, vor allem, wenn sie sehen, dass ein gewisses „Abhängigkeitsverhältnis“ der Nutzer entstanden ist. Das beste –erst jüngst aufgetretene – Beispiel ist die Änderung der Nutzungsvereinbarung von WhatsApp, die eine Übermittlung personenbezogener Daten an Facebook erlauben soll. Bei der Übernahme vor etwa zwei Jahren wurde dies noch vollkommen ausgeschlossen. Möchten Sie mehr zu diesem Thema erfahren, dann lesen Sie unseren Beitrag „Datenweitergabe an „Datenkrake“ Facebook – Wie WhatsApp Datenschutz-Risiken erhöht“. Auch bei Amazon kann deshalb nicht ausgeschlossen werden, dass eine zukünftige Änderung der Strategie weitere Risiken für die Nutzer hervorruft. Nutzer sollten sich daher immer die Frage stellen: „Wie wichtig sind mir die Daten und wie schlimm wäre es, wenn ein Dritter diese (privaten) Daten sehen würde?“

„Cloud Datenschutz“ – die Risiken für „verantwortliche Stellen“

Auch für „verantwortliche Stellen“ spielt das Thema „ Cloud Datenschutz “ im Zusammenhang mit Amazon Prime eine große Rolle. Zwar bietet Amazon derzeit kein Prime für Unternehmen, Behörden oder sonstige „verantwortliche Stellen“, allerdings ist nicht auszuschließen, dass ihre Mitarbeiter Prime-Kunden sind und kostenlos von der Cloud-Lösung Gebrauch machen könnten. Auch Vereine sind zu den sogenannten „verantwortlichen Stellen“ zu zählen und müssen sich daher an das Bundesdatenschutzgesetz halten.  Doch gerade in Vereinen oder Stiftungen dürfte das Risiko einer Nutzung von „kostenlosen Diensten“ als besonders hoch einzustufen sein, da möglichst keine Kosten verursacht werden sollen. Dies gilt zwar auch für Unternehmen oder Behörden, die Freigabeprozesse sind hier allerdings regelmäßig zumindest etwas besser.

Die Nutzung von Cloud-Lösungen ohne die Kenntnis der Geschäftsleitung, der IT-Abteilung und des Datenschutzbeauftragten bzw. sonstiger Beratungs- und Entscheidungsträger fällt unter den Oberbegriff „Schatten-IT“ und kann zu erheblichen Gefahren für „verantwortliche Stellen“ führen. Möchten Sie mehr zum Thema „Schatten-IT“ erfahren, dann lesen Sie doch unseren Beitrag „Schatten-IT – Steht der Datenschutz im Schatten der Fachabteilungen?“.

Die Nutzung von Cloud-Diensten, wie „Amazon Drive“, führt allerdings nicht nur zu Datenschutz-Gefahren und Datenschutz–Risiken, wenn die Mitarbeiter diese heimlich nutzen. Diese Datenschutzbedenken können auch bestehen, wenn die „verantwortliche Stelle“ über die Nutzung informiert wurde. Der Grund für das hohe Risiko für eine Organisation liegt in der Datenübermittelung. Werden personenbezogene Daten in eine Cloud ausgelagert, so reicht für die Datenübermittlung bereits aus, dass der Cloud-Anbieter theoretisch auf die Daten zugreifen kann. Eine Datenerhebung, -verarbeitung und -nutzung darf, laut § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG), allerdings nur erfolgen, wenn eine gesetzliche Grundlage oder informierte Einwilligungen der Betroffenen dies erlauben.

Werden personenbezogene Daten an einen Cloud-Anbieter innerhalb der EU/des EWR übermittelt, erfolgt dies meistens im Rahmen einer Auftragsdatenverarbeitung, da die Cloud-Anbieter die Daten ausschließlich nach Weisung der „verantwortlichen Stelle“ (Cloud-Nutzer) verarbeiten dürfen. Eine Auftragsdatenverarbeitung gemäß § 11 BDSG wird als „Nicht-Übermittlung“ eingestuft, wodurch das Einholen von informierten Einwilligungen nicht erforderlich ist.

Anders ist es allerdings bei Cloud-Anbietern außerhalb der EU/des EWR, so z. B. bei Amazon, da die Datenübermittlung auch als solche eingestuft wird. Eine Übermittlung an einen Cloud-Anbieter erfordert eine Rechtsgrundlage oder die informierte Einwilligung. Zudem müssen sich „verantwortliche Stellen“ darauf einstellen, dass sie ein „angemessenes Datenschutzniveau“, mittels EU-Standardvertragsklauseln, Binding Corporate Rules oder anderer vertraglicher Grundlagen und Datenschutz-Maßnahmen, herstellen müssen.  Der Grund ist, dass in den sogenannten Drittländern (außerhalb EU/des EWR) i. d. R. kein „angemessenes Datenschutzniveau“ herrscht. Dies führt für „verantwortliche Stellen“ zu einem erheblichen (Mehr-)Aufwand und zu zahlreichen Risiken, zu deren Reduzierung ein fachkundiger und zuverlässiger externer Datenschutzbeauftragter beitragen kann.

Maßnahmen, die „verantwortliche Stellen“ ergreifen sollten, um Risiken und Gefahren rund um „Cloud Datenschutz“ zu minimieren, sind u. a.:

  • Cloud-Anbieter innerhalb der EU/des EWR wählen,
  • Verträge zur Auftragsdatenverarbeitung mit den Cloud-Anbietern abschließen,
  • Cloud-Anbieter ausreichend prüfen bzw. durch einen Datenschutzbeauftragten prüfen lassen,
  • Mitarbeiter schulen und sensibilisieren, da der Faktor „Mensch“ im Zusammenhang „Cloud Datenschutz“ die größte Rolle spielt,
  • Klare Regelungen innerhalb der „verantwortlichen Stelle“ mittels Betriebsvereinbarung, Dienstvereinbarungen oder Richtlinien treffen.

Haben Sie weitere Fragen zu der Thematik „Cloud Datenschutz“ oder möchten Sie sich im Datenschutz dauerhaft besser positionieren?  Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.