vectorfusionart - stock.adobe.co

Wie es um den Datenschutz nach DSGVO bei Cloud-Storage steht

Das Ende von Privacy Shield, neue Standardvertragsklauseln der EU und die anstehende DSGVO-Zertifizierung zeigen, wie dynamisch sich der Datenschutz bei Cloud-Storage entwickelt.

Es ist nicht überraschend, dass die Cloud-Nutzung in Zeiten von Home-Offices und Hybrid Work weiter an Bedeutung gewonnen hat. Dazu gehört auch, dass Cloud-Storage-Dienste vermehrt für die Speicherung und den Austausch von größeren Datenmengen genutzt werden, wenn die Beschäftigten zwischen Home-Office, mobiler Arbeit und klassischem Büro dynamisch wechseln.

Was jedoch überraschen kann, ist die zum Teil leichtfertige Nutzung von Cloud-Storage-Lösungen, ohne genau auf die Anforderungen der Datenschutz-Grundverordnung (DSGVO) zu achten.

Bedeutung für den Datenschutz: Auftragsverarbeitung oder auch Datenübermittlung

Ob es die Beschäftigten sind, die eigenmächtig ihre privaten Cloud-Speicherdienste betrieblich nutzen und so die Schatten-IT größer werden lassen, oder ob es sich die Unternehmen selbst zu einfach machen und die Mitarbeiterinnen und Mitarbeiter „einfach machen lassen“: Werden personenbezogene Daten, sei es von Kunden, Mitarbeitern oder Zulieferern, in eine Cloud übertragen, liegt bei Verarbeitung in aller Regel eine Auftragsverarbeitung nach DSGVO vor. Hierfür müssen die genutzten Provider und Dienste bestimmte Anforderungen an den Datenschutz erfüllen, die in der DSGVO (Artikel 28) geregelt sind.

Viele der besonders verbreiteten Cloud-Speicher werden jedoch außerhalb der EU betrieben, so dass die Anforderungen an eine Datenübermittlung in Drittstaaten erfüllt sein müssen. Bekanntlich haben sich die möglichen Rechtsgrundlagen geändert, wenn das Cloud Storage von einem US-Anbieter stammt. Unternehmen und Behörden können Daten nicht mehr auf der Grundlage des Privacy Shield übermitteln, das der EuGH (Europäischer Gerichtshof) für unwirksam erklärt hat.

Datenübermittlungen in die USA, die bisher auf das EU-US Privacy Shield gestützt wurden, müssen nun anders rechtlich abgesichert werden, zum Beispiel mit den überarbeiteten Standarddatenschutzklauseln der EU. Für Datenübermittlungen in die USA ist zudem mit zusätzlichen Maßnahmen sicherzustellen, dass die personenbezogenen Daten auch in dem Drittland stets angemessen geschützt sind.

Dazu erklärte der Bundesdatenschutzbeauftragte: „Standardvertragsklauseln sind weiterhin eine mögliche Grundlage für den Datentransfer. Eine Übermittlung von Daten in die USA kann allerdings nur dann über Standardvertragsklauseln begründet werden, wenn zusätzliche Maßnahmen getroffen werden, die das gleiche Datenschutzniveau wie in der Europäischen Union gewährleisten. Dabei müssen die Umstände der Datentransfers von Fall zu Fall betrachtet werden. Das gilt auch für die Übermittlung in andere Länder.“

Die Aufsichtsbehörden führen bereits Kontrollen durch

So einfach also die Nutzung von Cloud-Storage aus Anwendersicht auch ist, so kompliziert kann es sein, die Datenschutzanforderungen zu erfüllen. Damit die Nutzung von Cloud Storage aber nicht zu einer bösen Überraschung wird, sollte man den Datenschutz sehr ernst nehmen.

Die Aufsichtsbehörden für den Datenschutz haben in den letzten Monaten bereits mit Kontrollen begonnen. Im Rahmen einer länderübergreifenden Kontrolle wurden Datenübermittlungen durch Unternehmen in Staaten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums (Drittstaaten) überprüft. Die an der Kontrolle teilnehmenden Behörden haben ausgewählte Unternehmen auf der Basis eines gemeinsamen Fragenkatalogs angeschrieben. Dabei ging es unter anderem um den Einsatz von Dienstleistern zum E-Mail-Versand, zum Hosting von Internetseiten, zum Webtracking, zur Verwaltung von Bewerberdaten und um den konzerninternen Austausch von Kundendaten und Daten der Beschäftigten.

Man sollte als Unternehmen oder Behörde aber nicht davon ausgehen, dass die Nutzung von Cloud Storage nicht Gegenstand einer Überprüfung werden könnte.

Die deutschen Datenschutz-Aufsichtsbehörden haben zudem die Ergebnisse eines externen Gutachtens zur Reichweite bestimmter Zugriffsrechte von US-amerikanischen Sicherheitsbehörden veröffentlicht. Es zeigt, dass zahlreiche Konstellationen, in denen US-Dienstleister in die Datenverarbeitung eingebunden sind, datenschutzrechtlich problematisch sein können.

Ebenso ist nun der Startschuss für die erste „koordinierte Durchsetzungsmaßnahme“ des Europäischen Datenschutzausschusses (EDSA), dem Verbund der Datenschutz-Aufsichtsbehörden in der EU zur Durchsetzung der Datenschutz-Grundverordnung (DSGVO), gefallen. Nun werden 22 nationale Aufsichtsbehörden im gesamten Europäischen Wirtschaftsraum Untersuchungen zur Nutzung von Cloud-Diensten durch den öffentlichen Bereich einleiten.

Als ersten Schritt im Rahmen ihrer koordinierten Prüfung werden die teilnehmenden Aufsichtsbehörden einen Fragebogen an ausgewählte öffentliche Stellen richten. Insgesamt werden dabei über 80 öffentliche Einrichtungen in der gesamten EU kontaktiert. Die Aufsichtsbehörden fragen insbesondere nach Verfahren und Schutzmaßnahmen, die beim Erwerb von Cloud-Diensten eingerichtet werden, untersuchen die Herausforderungen im Zusammenhang mit internationalen Übermittlungen und analysieren die Beziehungen zwischen Verantwortlichen und den Auftragsverarbeitern, also externen Dienstleistern für Cloud-Dienste.

Was bei Auftragsverarbeitungen in Zukunft helfen kann

Offensichtlich sollten Unternehmen und Behörden nicht nur im Fall einer Datenübermittlung in Drittstaaten an den Datenschutz bei Cloud Storage denken, sondern auch generell wegen der Auftragsverarbeitung.

Bei einer Auftragsverarbeitung und damit bei Nutzung von Cloud Storage müssen Regelungen über die geeigneten technischen und organisatorischen Maßnahmen vorhanden sein, mit denen ein angemessenes Schutzniveau erreicht werden kann. Diesbezüglich reicht ein einfacher Hinweis auf die allgemeinen Rechtsgrundlagen durch den Anbieter nicht aus.

So sagt zum Beispiel die Datenschutzaufsicht von Schleswig-Holstein: Kritisch sind auch solche Fälle, in denen Auftragsverarbeiter zwar ein hohes Niveau an Informationssicherheit versprechen, dies dann aber nicht erfüllen können. Hier ist zügige Abhilfe geboten: Etwaige Datenschutzmängel beim Dienstleister führen dazu, dass die Auftraggeber ihrer Rechenschaftspflicht nicht nachkommen können. Bedingung ist stets, dass die Risiken gemäß dem Schutzbedarf beherrscht werden und dies auch belegt werden kann. 

Nun fällt es vielen Unternehmen aber nicht leicht zu beurteilen, ob die Maßnahmen für die Datensicherheit bei einem Cloud-Storage-Dienst nun angemessen sind oder nicht. Aber auch hier tut sich etwas im Datenschutz: So kann eine vorhandene Zertifizierung nach DSGVO ein Nachweis dafür sein, dass die Auftragsverarbeitung mit einem angemessenen Datenschutzniveau erfolgt.

Wie von Aufsichtsbehörden nun zu hören ist, kann noch in diesem Jahr mit ersten Zertifizierungen nach DSGVO gerechnet werden. Wenn dann in nicht zu ferner Zukunft ein Cloud-Storage-Dienst ein solches Zertifikat vorweisen kann, ist dies eine wichtige Hilfe dabei, einen datenschutzkonformen Cloud-Storage-Service auszuwählen und zu nutzen.

Datenschutz bei Cloud Storage bleibt also ein wichtiges Thema, das sich in der letzten Zeit weiterentwickelt hat und noch weiterentwickeln wird.

Erfahren Sie mehr über Cloud Storage