> CloudComputing

Ob die Amazon Cloud via Prime wirklich kostenlos ist und wieso auch Prime-Kunden das Thema „Cloud Datenschutz“ bei Amazon-Drive berücksichtigen sollten

Cloud DatenschutzAnbieter von Clouds, insbesondere Storage Clouds, erfreuen sich immer größerer Beliebtheit, wobei dies eher nicht für den Cloud Datenschutz gilt, da diese Thematik sowohl von den Anbietern als auch von den Nutzern eher stiefmütterlich behandelt wird. Durch die zunehmende Digitalisierung greifen wir immer seltener auf Papier und Stift zurück, wir erfassen unsere Unterlagen lieber direkt in digitaler Form. Es ist uns möglich überall Videos und Fotos zu erstellen, digital zu speichern und Musik herunterzuladen. Diese Vielzahl an Fotos, Videos und anderen Dateien führt allerdings zu einem für uns ziemlich nervtötenden Problem, dass meistens mit dem Hinweis: „Ihr Speicher ist voll!“ beginnt.  Viele Verbraucher greifen aus diesem Grund auf Cloud-Lösungen zurück, da diese in den meisten Fällen – abhängig vom Anbieter und dem erforderlichen Speicherplatz – vermeintlich kostenlos sind bzw. erscheinen. Des Weiteren können die Verbraucher – je nach Anbieter – von unterschiedlichen Endgeräten und völlig ortsunabhängig auf die Daten in der Cloud zugreifen. Ein weiterer Vorteil ist, dass die Handhabung ziemlich einfach ist und der Zugriff auf Dateien, Bilder etc. sogar anderen Personen erlaubt werden kann. Kurzer Exkurs: Beim Cloud-Einsatz oder der Nutzung sonstiger IT-Systeme in Unternehmen, Behörden oder sonstigen verantwortlichen Stellen werden in derartigen Fällen geeignete Zugriffsrechte respektive Benutzerrollen / Rollenverzeichnisse abgestimmt und definiert.

Neben den zahlreichen Vorteilen führt Cloud Storage jedoch zu zahlreichen Datenschutz-Risiken. Ihr externer Datenschutzbeauftragter informiert Sie im Folgenden über die Risiken für Privatpersonen und „verantwortliche Stellen“ und erklärt, worauf sie – ganz besonders – achten sollten.

„ Cloud Datenschutz “ – die Risiken für Privatpersonen

Für Privatpersonen sind die Risiken meist überschaubar, da sie ihre eigenen privaten Daten in eine Cloud auslagern, allerdings sollten sich auch Privatpersonen bewusst machen, dass sie dem Cloud-Anbieter zumindest theoretischen Zugriff auf ihre privaten Informationen, Videos und Bilder gewähren, EGAL WIE PRIVAT DIESE SIND. Für Prime-Anbieter mag das Angebot von Amazon zwar ansprechend sein, da die Nutzung der Amazon Cloud als Zusatz für Fotos unbegrenzt und für weitere Dateien bis zu 5 GB kostenlos ist, allerdings sollten die Nutzer nicht vergessen, dass sie für den Speicherplatz möglichweise mit ihren Daten und noch viel schlimmer mit ihrer Privatsphäre bezahlen. Zudem sollte beachtet werden, das große Unternehmen ihre Strategie schnell ändern können, vor allem, wenn sie sehen, dass ein gewisses „Abhängigkeitsverhältnis“ der Nutzer entstanden ist. Das beste –erst jüngst aufgetretene – Beispiel ist die Änderung der Nutzungsvereinbarung von WhatsApp, die eine Übermittlung personenbezogener Daten an Facebook erlauben soll. Bei der Übernahme vor etwa zwei Jahren wurde dies noch vollkommen ausgeschlossen. Möchten Sie mehr zu diesem Thema erfahren, dann lesen Sie unseren Beitrag „Datenweitergabe an „Datenkrake“ Facebook – Wie WhatsApp Datenschutz-Risiken erhöht“. Auch bei Amazon kann deshalb nicht ausgeschlossen werden, dass eine zukünftige Änderung der Strategie weitere Risiken für die Nutzer hervorruft. Nutzer sollten sich daher immer die Frage stellen: „Wie wichtig sind mir die Daten und wie schlimm wäre es, wenn ein Dritter diese (privaten) Daten sehen würde?“

„Cloud Datenschutz“ – die Risiken für „verantwortliche Stellen“

Auch für „verantwortliche Stellen“ spielt das Thema „ Cloud Datenschutz “ im Zusammenhang mit Amazon Prime eine große Rolle. Zwar bietet Amazon derzeit kein Prime für Unternehmen, Behörden oder sonstige „verantwortliche Stellen“, allerdings ist nicht auszuschließen, dass ihre Mitarbeiter Prime-Kunden sind und kostenlos von der Cloud-Lösung Gebrauch machen könnten. Auch Vereine sind zu den sogenannten „verantwortlichen Stellen“ zu zählen und müssen sich daher an das Bundesdatenschutzgesetz halten.  Doch gerade in Vereinen oder Stiftungen dürfte das Risiko einer Nutzung von „kostenlosen Diensten“ als besonders hoch einzustufen sein, da möglichst keine Kosten verursacht werden sollen. Dies gilt zwar auch für Unternehmen oder Behörden, die Freigabeprozesse sind hier allerdings regelmäßig zumindest etwas besser.

Die Nutzung von Cloud-Lösungen ohne die Kenntnis der Geschäftsleitung, der IT-Abteilung und des Datenschutzbeauftragten bzw. sonstiger Beratungs- und Entscheidungsträger fällt unter den Oberbegriff „Schatten-IT“ und kann zu erheblichen Gefahren für „verantwortliche Stellen“ führen. Möchten Sie mehr zum Thema „Schatten-IT“ erfahren, dann lesen Sie doch unseren Beitrag „Schatten-IT – Steht der Datenschutz im Schatten der Fachabteilungen?“.

Die Nutzung von Cloud-Diensten, wie „Amazon Drive“, führt allerdings nicht nur zu Datenschutz-Gefahren und Datenschutz–Risiken, wenn die Mitarbeiter diese heimlich nutzen. Diese Datenschutzbedenken können auch bestehen, wenn die „verantwortliche Stelle“ über die Nutzung informiert wurde. Der Grund für das hohe Risiko für eine Organisation liegt in der Datenübermittelung. Werden personenbezogene Daten in eine Cloud ausgelagert, so reicht für die Datenübermittlung bereits aus, dass der Cloud-Anbieter theoretisch auf die Daten zugreifen kann. Eine Datenerhebung, -verarbeitung und -nutzung darf, laut § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG), allerdings nur erfolgen, wenn eine gesetzliche Grundlage oder informierte Einwilligungen der Betroffenen dies erlauben.

Werden personenbezogene Daten an einen Cloud-Anbieter innerhalb der EU/des EWR übermittelt, erfolgt dies meistens im Rahmen einer Auftragsdatenverarbeitung, da die Cloud-Anbieter die Daten ausschließlich nach Weisung der „verantwortlichen Stelle“ (Cloud-Nutzer) verarbeiten dürfen. Eine Auftragsdatenverarbeitung gemäß § 11 BDSG wird als „Nicht-Übermittlung“ eingestuft, wodurch das Einholen von informierten Einwilligungen nicht erforderlich ist.

Anders ist es allerdings bei Cloud-Anbietern außerhalb der EU/des EWR, so z. B. bei Amazon, da die Datenübermittlung auch als solche eingestuft wird. Eine Übermittlung an einen Cloud-Anbieter erfordert eine Rechtsgrundlage oder die informierte Einwilligung. Zudem müssen sich „verantwortliche Stellen“ darauf einstellen, dass sie ein „angemessenes Datenschutzniveau“, mittels EU-Standardvertragsklauseln, Binding Corporate Rules oder anderer vertraglicher Grundlagen und Datenschutz-Maßnahmen, herstellen müssen.  Der Grund ist, dass in den sogenannten Drittländern (außerhalb EU/des EWR) i. d. R. kein „angemessenes Datenschutzniveau“ herrscht. Dies führt für „verantwortliche Stellen“ zu einem erheblichen (Mehr-)Aufwand und zu zahlreichen Risiken, zu deren Reduzierung ein fachkundiger und zuverlässiger externer Datenschutzbeauftragter beitragen kann.

Maßnahmen, die „verantwortliche Stellen“ ergreifen sollten, um Risiken und Gefahren rund um „Cloud Datenschutz“ zu minimieren, sind u. a.:

  • Cloud-Anbieter innerhalb der EU/des EWR wählen,
  • Verträge zur Auftragsdatenverarbeitung mit den Cloud-Anbietern abschließen,
  • Cloud-Anbieter ausreichend prüfen bzw. durch einen Datenschutzbeauftragten prüfen lassen,
  • Mitarbeiter schulen und sensibilisieren, da der Faktor „Mensch“ im Zusammenhang „Cloud Datenschutz“ die größte Rolle spielt,
  • Klare Regelungen innerhalb der „verantwortlichen Stelle“ mittels Betriebsvereinbarung, Dienstvereinbarungen oder Richtlinien treffen.

Haben Sie weitere Fragen zu der Thematik „Cloud Datenschutz“ oder möchten Sie sich im Datenschutz dauerhaft besser positionieren?  Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Cloud Computing – Durchblicken Sie vor lauter Wolken den Datenschutz?

Als DaDatenschutz Cloud Computingtenschutzbeauftragter wird man häufig gefragt, ob das Auslagern von Daten in die Cloud aus Datenschutzsicht problematisch sein könnte. Diese Frage sollte bejaht werden, denn die Auslagerung personenbezogener Daten kann –je nach Sensibilität- zu Problemen und Risiken führen. Das Ausmaß notwendiger Prüfungen und Prozesse hängt von diversen Faktoren ab. Trotz der Vielzahl an Risiken greifen verantwortliche Stellen, wie Unternehmen, Vereine, Verbände etc., auf Cloud-Lösungen zurück. Aus welchem Grund ist Cloud-Computing so attraktiv und was versteht man unter dem Begriff?

Was versteht man unter Cloud-Computing?

Cloud-LösungenBei Cloud-Computing wird über das Internet auf IT-Leistungen und IT-Infrastrukturen, die sich in einer „Cloud“, zu deutsch Wolke befinden, zugegriffen. Die IT-Leistungen können vom Cloud-Nutzer flexibel eingesetzt und abgerechnet werden. Der Begriff Cloud-Computing kann in einzelne Abstraktionsebenen gegliedert werden. Die erste Ebene ist unter dem Begriff Infrastructure as a Service, kurz IaaS, bekannt. IaaS-Nutzer greifen auf Infrastrukturressourcen, wie Speicher-, Netzkapazitäten und Rechenleistung, zurück. Bei der zweiten Ebene Platform as a Service, kurz PaaS, können die Nutzer Programmierungs- und Laufzeitumgeben nutzen. Endbenutzer kommen meistens mit der dritten Ebene, Software as a Service (SaaS), in Berührung.  Bei Software as a Service wird eine Softwarelösung bereitgestellt, die vom SaaS-Nutzer flexibel verwendet werden kann. Sämtliche Tätigkeiten um die Software, wie zum Beispiel Wartungsarbeiten, übernimmt der SaaS-Anbieter. Bekannte SaaS-Lösungen sind unter anderem Customer-Relationship-Management-Lösungen (CRM-Lösungen), Speicher-Lösungen, wie Dropbox, und die Applikationen, kurz Apps, von Google.

Was sind die Vorteile von Cloud-Computing?

Cloud-Computing zählt nicht grundlos zu den wichtigsten IT-Trends. Die besondere Vertriebsform sorgt, insbesondere bei kleinen und mittelständischen Unternehmen (KMU), für ein hohes Interesse, da sie die Lösungen flexibel nutzen und ebenso variabel bezahlen können. Zudem bleiben den Unternehmen hohe Kosten für Lizenzen, interne Ressourcen, externe Wartungen usw. erspart, da die Lösungen gemietet und zugleich durch den Anbieter gewartet werden.

Nicht nur die Kosteneinsparungen sprechen für den Einsatz von Cloud-Computing, auch das zumeist höhere IT-Wissen der Cloud-Anbieter kann ein klarer Vorteil sein. Insbesondre KMU verfügen in den meisten Fällen nicht über ausreichende Kenntnisse im IT-Bereich und so können sie sich mittels fertiger Cloud-Lösungen auf ihr Kerngeschäft konzentrieren. Des Weiteren bleibt dem Cloud-Nutzer der Installationsaufwand erspart, da man über das Internet auf die Lösungen zugreift. Die Software befindet sich nicht auf dem Rechner, wodurch auch ein ortunabhängiger Zugriff möglich ist.

Cloud-Computing aus Datenschutzsicht

Der Einsatz von Cloud-Computing führt zu zahlreichen Risiken und Problemen. Umso wichtiger ist es, dass sich die verantwortlichen Stellen ausreichend mit diesem Thema beschäftigen und ihre Mitarbeiter diesbezüglich schulen / sensibleren. Insbesondere der Einsatz von Cloud-Lösungen neben der eigentlichen IT und ohne Wissen der IT-Abteilung, der Vorgesetzten und des Datenschutzbeauftragten birgt viele Gefahren.  Die parallele Nutzung von IT-Strukturen und IT-Lösungen der Fachabteilungen ist auch bekannt unter den Bezeichnungen „Schatten-IT“ bzw. „Shadow-IT“. Wenn Sie mehr darüber erfahren möchten, dann lesen Sie doch unseren Beitrag „Schatten-IT – Steht der Datenschutz im Schatten der Fachabteilungen?“.

In Hinblick auf den Datenschutz ist auch das Auslagern von Daten problematisch, obwohl die IT-Abteilung und der Vorgesetze informiert sind, wie häufig im Rahmen von Bring Your Own Device (BYOD).  Bei Bring Your Own Device ist Arbeitnehmern die Arbeit mit privaten Endgeräten gestattet, wodurch Arbeitnehmer mit ihren privaten Geräten auf IT-Ressourcen und Informationen des Unternehmens zugreifen können. Das BYOD-Modell führt zu einer Vermischung privater und dienstlicher Informationen, weshalb der Arbeitgeber nicht auf die privaten Endgeräte zugreifen darf. Derartige Probleme lassen sich allerdings durch fachkundige Unterstützung, z. B. durch die Beratung des externen Datenschutzbeauftragten oder des Datenschutzberaters, vermeiden.

Der Nebeneffekt von BYOD ist zudem, dass Mitarbeiter oftmals nicht nur ihre privaten Endgeräte verwenden, sondern dienstliche Informationen mit Hilfe von privaten Cloud-Lösungen verarbeiten. Die Nutzung von Cloud-Lösungen, die aufgrund der Vermischung nicht kontrolliert werden darf, führt häufig zu zahlreichen Risiken und Problemen.

In der Praxis erfolgt die Inanspruchnahme von Cloud-Leistungen regelmäßig als Auftragsdatenverarbeitung (ADV). Dies ist grundsätzlich eher unproblematisch, da eine Auftragsdatenverarbeitung, gemäß § 11 BDSG, als eine „Nicht-Übermittlung“ eingestuft wird und somit die verantwortliche Stelle weder eine Einwilligung noch eine weitere Rechtsgrundlage benötigt. Das Abschließen eines ADV-Vertrages ist unbedingt anzuraten. Hierbei unterstützt Sie Ihr Datenschutzbeauftragter.

Problematisch ist allerdings, dass die Cloud-Anbieter (Auftragnehmer) häufig ihren Sitz außerhalb der europäischen Union (EU) und des europäischen Wirtschaftsraums (EWR) haben. Der Gesetzgeber stuft eine Auftragsdatenverarbeitung mit einem Dienstleister im Drittland als eine Datenübermittlung ein, wodurch das Einholen einer informierten Einwilligung oder das Übermitteln auf Basis einer Rechtsgrundlage unvermeidbar ist. Werden in der Praxis allerdings Daten in eine Cloud ausgelagert, dann erfolgt dies derzeit eher selten auf Basis eines ADV-Vertrages, einer informierten Einwilligung oder einer Rechtsgrundlage, da vielen verantwortlichen Stellen gar nicht bewusst ist, dass es sich bereits um eine Datenübermittlung handelt.

Ein weiteres Manko ist, dass in Drittländern bis auf wenige Ausnahmen (z. B. die Schweiz), kein angemessenes Schutzniveau herrscht und dieses vor der Übermittlung hergestellt werden muss. Um ein angemessenes Datenschutzniveau zu schaffen, sollte der Auftragsgeber (Cloud-Nutzer) EU-Standardvertragsklauseln, Binding Corporate Rules (BCR) oder andere Regelungen, die von der Aufsichtsbehörde genehmigt werden müssen, mit dem Auftragnehmer (Cloud-Anbieter) treffen.

Weitere Schwachstellen können zudem sein:

  • die fehlenden Kontroll- und Weisungsbefugnisse, die oftmals nicht mit der für Cloud-Computing charakteristischen Standardisierung vereinbar sind,
  • die hohe Vielzahl an Beauftragungsketten, die in der Praxis keine Seltenheit sind.

Der Auftraggeber muss bei einem Unterauftragnehmer mit dem Sitz in der EU/EWR keine Besonderheiten beachten, da § 11 Abs. 2 Nr. 6 BDSG Unterbeauftragungen vorsieht. Haben der Auftragnehmer und der Unterauftragnehmer ihre Sitze in einem Drittland, so sollte es, wenn EU-Standardvertragsklauseln zwischen dem Auftraggeber und Auftragnehmer abgeschlossen sind, ebenfalls nicht zu großen Problemen für den Auftraggeber führen. Die EU-Standardvertragsklauseln sehen ebenfalls Regelungen zu Unterbeauftragungen vor. Hat der Auftragnehmer seinen Sitz in der EU/EWR und der Unterauftragnehmer seinen Sitz in einem Drittland, so gibt es derzeit keinen festen Regelungen. Dem Aufraggeber ist allerdings zumindest anzuraten, EU-Standardvertragsklauseln mit dem Unterauftragnehmer abzuschließen.

Fazit

Alles in allem ist Cloud-Computing gerade für kleine und mittelständische Unternehmen eine reizvolle Alternative, um Kapazitäten / Ressourcen zu sparen und sich auf das Kerngeschäft zu konzentrieren. Es ist allerdings zu empfehlen, dass sich die verantwortlichen Stellen vor Augen halten, dass Informationen an den Cloud-Anbieter übermittelt werden und bei personenbezogenen Daten das Datenschutzrecht greift. Ist die Cloud-Nutzung unvermeidlich, so sollte darauf geachtet werden, dass die Datenübermittlung rechtskonform erfolgt. Um die Probleme/Risiken zu minimieren, ist die Auswahl eines Cloud-Anbieters, der seinen Sitz in der EU/EWR hat, dringendst anzuraten. Bereits bei der Auswahl des Dienstleisters und Dienstes sollten Datenschutzaspekte berücksichtigt und der Datenschutzbeauftragte frühzeitig einbezogen werden.

Möchten auch Sie Cloud-Lösungen nutzen oder greifen Sie bereits auf Cloud-Lösungen zurück? Gerne stehen wir Ihnen auch als externer Datenschutzbeauftragter oder als Datenschutzberater zur Verfügung. Sprechen Sie uns an – nehmen Sie Kontakt auf oder fordern Sie ein unverbindliches Datenschutz-Angebot an.

Nützliche weitere Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.