Datenschutz bei Cloud-Diensten: Worauf Unternehmen achten müssen

Cloud-Dienste sind aus dem modernen Geschäftsalltag nicht mehr wegzudenken. Sie bieten Flexibilität, Skalierbarkeit und oft auch Kostenvorteile. Doch aus datenschutzrechtlicher Sicht stellen sie Unternehmen vor besondere Herausforderungen. Dieser Artikel zeigt, worauf Sie bei der Nutzung von Cloud-Diensten achten müssen.

Die datenschutzrechtliche Einordnung von Cloud-Diensten

Bei der Nutzung von Cloud-Diensten werden personenbezogene Daten in der Regel an einen externen Dienstleister übermittelt. Datenschutzrechtlich handelt es sich dabei um eine Auftragsverarbeitung nach Art. 28 DSGVO.

Verantwortlichkeiten

Ihr Unternehmen bleibt als Verantwortlicher für die Einhaltung der DSGVO zuständig, auch wenn die Daten beim Cloud-Anbieter gespeichert werden.

Der Cloud-Anbieter ist Auftragsverarbeiter und muss die Daten ausschließlich nach Ihren Weisungen verarbeiten.

## Die wichtigsten Risiken bei Cloud-Diensten

### 1. Kontrollverlust
- Unklare Datenflüsse
- Mangelnde Transparenz
- Schwierige Durchsetzung von Betroffenenrechten

### 2. Internationale Datentransfers
- Viele Cloud-Anbieter haben Serverstandorte außerhalb der EU
- Zugriffsmöglichkeiten ausländischer Behörden
- Problematik nach Schrems II-Urteil

### 3. Vendor Lock-in
- Abhängigkeit von einem Anbieter
- Schwierige Migration
- Eingeschränkte Verhandlungsmacht

### 4. Technische Risiken
- Datenverlust
- Unzureichende Verschlüsselung
- Gemeinsame Infrastruktur mit anderen Kunden

## Rechtliche Anforderungen

### Auftragsverarbeitungsvertrag (AVV)

Ein AVV nach Art. 28 DSGVO ist zwingend erforderlich und muss folgende Punkte regeln:

- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Art der personenbezogenen Daten
- Kategorien betroffener Personen
- Pflichten und Rechte des Verantwortlichen
- Technische und organisatorische Maßnahmen
- Regelungen zu Unterauftragsverarbeitern
- Unterstützungspflichten des Auftragsverarbeiters
- Löschung oder Rückgabe der Daten nach Vertragsende

### Internationale Datentransfers

Bei Datenübermittlungen in Drittländer benötigen Sie zusätzlich:

- Angemessenheitsbeschluss der EU-Kommission für das Zielland, oder
- Standardvertragsklauseln (SCCs) mit zusätzlichen Schutzmaßnahmen, oder
- Verbindliche interne Datenschutzvorschriften (BCRs)

### Transparenz und Betroffenenrechte

- Informationspflichten in der Datenschutzerklärung
- Sicherstellung der Betroffenenrechte (Auskunft, Löschung, etc.)
- Dokumentation im Verarbeitungsverzeichnis

## Praktische Maßnahmen für datenschutzkonforme Cloud-Nutzung

### 1. Sorgfältige Anbieterauswahl

Kriterien für die Auswahl:
- EU-Serverstandorte
- DSGVO-Compliance-Garantien
- Zertifizierungen (ISO 27001, C5, etc.)
- Transparente Dokumentation
- Referenzen und Erfahrungen

Empfehlung: Bevorzugen Sie Anbieter mit Serverstandorten in der EU und klaren Compliance-Garantien.

### 2. Vertragliche Absicherung

Auftragsverarbeitungsvertrag:
- Prüfen Sie die vom Anbieter vorgeschlagenen AVVs kritisch
- Achten Sie auf Regelungen zu Unterauftragsverarbeitern
- Vereinbaren Sie angemessene Kontroll- und Auditrechte

Bei internationalen Transfers:
- Implementieren Sie die aktuellen Standardvertragsklauseln
- Führen Sie eine Transfer Impact Assessment (TIA) durch
- Vereinbaren Sie zusätzliche Schutzmaßnahmen

### 3. Technische Schutzmaßnahmen

Verschlüsselung:
- Ende-zu-Ende-Verschlüsselung wo möglich
- Transportverschlüsselung (TLS)
- Verschlüsselung gespeicherter Daten (at rest)

Zugriffskontrollen:
- Rollenbasierte Zugriffsrechte
- Zwei-Faktor-Authentifizierung
- Regelmäßige Überprüfung der Berechtigungen

Datensicherung:
- Regelmäßige Backups
- Redundante Speicherung
- Notfallwiederherstellungspläne

### 4. Organisatorische Maßnahmen

Schulungen:
- Sensibilisierung der Mitarbeiter
- Klare Nutzungsrichtlinien
- Regelmäßige Updates zu Best Practices

Dokumentation:
- Vollständiges Verarbeitungsverzeichnis
- Dokumentation der Schutzmaßnahmen
- Regelmäßige Überprüfung und Aktualisierung

Datenschutz-Management:
- Klare Verantwortlichkeiten
- Regelmäßige Audits
- Incident-Response-Pläne

## Spezifische Anforderungen für gängige Cloud-Dienste

### Microsoft 365

Datenschutzrelevante Funktionen:
- Microsoft Compliance Center
- Data Loss Prevention (DLP)
- Customer Lockbox
- Multi-Faktor-Authentifizierung

Empfehlungen:
- Nutzen Sie die EU-Datenresidenz-Option
- Deaktivieren Sie telemetrische Daten
- Implementieren Sie strikte Zugriffskontrollen
- Prüfen Sie die Einstellungen für Datenaufbewahrung

### Google Workspace

Datenschutzrelevante Funktionen:
- Google Workspace Security Center
- Data Regions
- Vault für Datenaufbewahrung
- Advanced Protection Program

Empfehlungen:
- Wählen Sie EU als Datenstandort
- Deaktivieren Sie personalisierte Werbung
- Beschränken Sie den Datenaustausch mit anderen Google-Diensten
- Implementieren Sie Security Keys

### Amazon Web Services (AWS)

Datenschutzrelevante Funktionen:
- AWS Key Management Service (KMS)
- AWS Identity and Access Management (IAM)
- AWS CloudTrail für Audit-Logs
- AWS Config für Compliance-Überwachung

Empfehlungen:
- Nutzen Sie EU-Regionen für Ihre Daten
- Implementieren Sie detaillierte IAM-Richtlinien
- Aktivieren Sie Verschlüsselung für alle Speicherdienste
- Nutzen Sie VPC für Netzwerkisolation

### Salesforce

Datenschutzrelevante Funktionen:
- Salesforce Shield
- Event Monitoring
- Field Audit Trail
- Platform Encryption

Empfehlungen:
- Nutzen Sie Salesforce Shield für sensible Daten
- Implementieren Sie granulare Berechtigungen
- Aktivieren Sie die Zwei-Faktor-Authentifizierung
- Überprüfen Sie regelmäßig API-Integrationen

## Branchenspezifische Besonderheiten

### Gesundheitswesen
- Besonders hohe Anforderungen an Vertraulichkeit
- Spezielle Zertifizierungen erforderlich
- Oft zusätzliche gesetzliche Vorgaben

### Finanzdienstleistungen
- Regulatorische Anforderungen (MaRisk, etc.)
- Strenge Anforderungen an Verfügbarkeit
- Besondere Dokumentationspflichten

### Öffentlicher Sektor
- Besondere Anforderungen an Souveränität
- Oft spezielle Cloud-Lösungen erforderlich
- Vergaberechtliche Besonderheiten

## Checkliste für die Cloud-Nutzung

### Vor der Einführung
- [ ] Datenschutz-Folgenabschätzung durchführen
- [ ] Anbieterauswahl nach Datenschutzkriterien
- [ ] AVV und ggf. SCCs abschließen
- [ ] Transfer Impact Assessment durchführen
- [ ] Technische Konfiguration planen

### Bei der Implementierung
- [ ] Sichere Konfiguration umsetzen
- [ ] Zugriffsrechte minimieren
- [ ] Verschlüsselung aktivieren
- [ ] Logging und Monitoring einrichten
- [ ] Mitarbeiter schulen

### Im laufenden Betrieb
- [ ] Regelmäßige Überprüfung der Konfiguration
- [ ] Audit der Zugriffsrechte
- [ ] Updates und Patches einspielen
- [ ] Compliance-Monitoring
- [ ] Regelmäßige Datenschutz-Reviews

## Fazit

Die Nutzung von Cloud-Diensten ist aus datenschutzrechtlicher Sicht möglich, erfordert aber sorgfältige Planung und Umsetzung. Mit den richtigen vertraglichen, technischen und organisatorischen Maßnahmen können Sie die Vorteile der Cloud nutzen und gleichzeitig die Anforderungen der DSGVO erfüllen.

Brauchen Sie Unterstützung bei der datenschutzkonformen Cloud-Nutzung? Unsere Experten helfen Ihnen bei der Auswahl, Konfiguration und Absicherung Ihrer Cloud-Dienste.