Zum Inhalt springen Zur Navigation springen
Wo sollte mein Cloud-Server stehen – und was sagt die DSGVO?

Wo sollte mein Cloud-Server stehen – und was sagt die DSGVO?

Cloud-Lösungen sind heute ein fester Bestandteil der IT-Infrastruktur. Datenschutzrechtlich sind im Vorfeld einige Punkte zu prüfen. In der Vergangenheit haben wir schon einige Aspekte beleuchtet, diesmal schauen wir auf Vorgaben aus der DSGVO und die Standortwahl.

Heutige Cloud-Szenarien

Es gibt ganz individuelle Cloud-Szenarien. Häufig werden selbst innerhalb eines Unternehmens unterschiedliche Cloud-Szenarien verwendet. Unternehmen nutzen die vielen Vorteile wie Flexibilität und Sicherheit. Die Meldungen über Cyberattacken oder Datenlecks werden häufig wirtschaftlichen und praktischen Gründen untergeordnet. IT-Analysten erwarten, dass es auf absehbare Zeit eine Mischung von unterschiedlichsten IT-Modellen und -Plattformen geben wird.

Die großen Anbieter Amazon Web Services (AWS), Microsoft Azure oder Telekom Cloud haben immer mehr Konkurrenz bekommen. Allerdings haben sich die technischen Voraussetzungen der Anbieter bezüglich der technischen Umsetzung über die vergangenen Jahre angenähert und sind immer vergleichbarer geworden. Ein Unterschied der aber immer noch unterschätzt wird, ist der Standort des Cloud Servers.

Die juristischen Rahmenbedingungen der Cloud-Anwendungen betreffen vor allem den Schutz von personenbezogenen Daten. Die EU-Datenschutz-Grundverordnung (DSGVO), die alle Unternehmen und Organisationen bis zum 25. Mai 2018 umsetzen müssen, regelt auf europäischer Ebene den Schutz von personenbezogenen Daten. Das gilt auch für das Speichern und Verarbeiten solcher Informationen auf Servern und Speichersystemen in Cloud-Servern, auch solchen, die außerhalb der EU angesiedelt sind sofern der Verantwortliche seinen Sitz in der EU/EWR hat.

Verantwortlichkeiten

Der Auftraggeber ist für die Einhaltung der datenschutzrechtlichen Bestimmungen, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung verantwortlich (Art. 4 Nr. 7 DSGVO). Um die Rechte und Pflichten aus dem Auftragsdatenverarbeitungsverhältnis gemäß der gesetzlichen Verpflichtung aus Art. 28 DSGVO („Auftragsverarbeiter“) zu konkretisieren, schließen die Vertragsparteien eine Vereinbarung zur Auftragsverarbeitung. Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so darf dieser nur mit Auftragsverarbeitern zusammenarbeiten, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen durchgeführt werden. Die Verarbeitung muss im Einklang mit den Anforderungen der Datenschutz-Grundverordnung erfolgen und den Schutz der Rechte der betroffenen Person gewährleisten.

Bei der Auswahl des Anbieters sollte auch darauf geachtet werden, in welchen Ländern und damit nach welchen Gesetzen die Daten gespeichert werden. Es benötigt erhöhte Sorgfalt, wenn personenbezogene Daten außerhalb der Europäischen Union gespeichert werden. Die meisten außereuropäischen Länder gelten als datenschutzrechtlich kritisch bzw. unsicher.

Datenaustausch zwischen EU und USA

Zwischen der USA und der EU besteht das EU-US Privacy Shield-Datenschutzübereinkommen. Allerdings ist schon die ähnliche „Safe Harbor“-Entscheidung gerichtlich zu Fall gebracht worden. Es ist nicht unwahrscheinlich, dass dies zukünftig auch mit „Privacy Shield“ passiert. Das Ergebnis wäre, dass bestehende Verträge an die dann neue Situation angepasst werden müssen. Das Privacy Shield-Abkommen besteht im Kern aus einer Reihe von Zusicherungen der USA gegenüber der EU. Das Übereinkommen regelt den Schutz personenbezogener Daten, die aus einem Mitgliedsstaat der Europäischen Union in die USA übertragen werden. Dies ist in diesem Fall von Belang, da sich das Abkommen vor allem auf Zusicherungen der US-amerikanischen Bundesregierung stützt. Solche Garantien stehen aber hinter dem US-Recht zurück und sind daher anfällig für einen Politikwechsel.

Wo sollte mein Cloud-Server stehen?

Cloud-Service-Provider mit Sitz in den USA, in der EU und insbesondere Deutschland haben Cloud-Rechenzentren eingerichtet. Diese Anbieter bieten ihren Kunden an, dass deren Daten in einem Datacenter in Deutschland oder einem EU-Mitgliedsland gespeichert werden. Das hat den Vorteil, dass die Vorgaben der Datenschutz-Grundverordnung eingehalten werden und keine zusätzlichen Nachweise erbracht werden müssen. Grundsätzlich ist eine europäische Lösung von den juristischen Rahmenbedingungen einer deutschen Cloud gleichgestellt, allerdings hat die jüngere Geschichte (Brexit) schon gezeigt, dass auch solche Rahmenbedingungen anfällig für einen Politikwechsel sein können.

Ob die höheren Kosten, die sich aus der Nutzung einer deutschen Cloud Lösung ergeben, gerechtfertigt sind, muss jedes Unternehmen selbst entscheiden. Wichtig ist, dass Unternehmen alle Aspekte einer Cloud Lösung prüfen. Auch wenn Qualität und Nachhaltigkeit deutlich schwieriger zu bewerten sind, als monetäre Aspekte.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Interessanter Beitrag! Ich würde mir etwas über Telefonie-Anbieter (z.B. Twilio) wünschen.

  • Sehr geehrter Herr Roeske,
    ich kann Ihnen nur zustimmen: Der Standort des Cloud-Rechenzentrums (und damit der darin verarbeiteten Daten) sollte wohl überlegt sein, gerade wenn es sich um persönliche Daten handelt. Interessant in diesem Zusammenhang ist, dass insbesondere im deutschen und europäischen Raum derzeit auf teils staatliche, teils privatwirtschaftliche Initiative hin datenschutzrechtliche Zertifikate für Cloudanbieter entwickelt werden. Mit deren Hilfe kann der interessierte Cloudanwender, aber auch Auditoren und Prüfer feststellen, ob der Cloudanbieter die vorgeschriebenen Anforderungen erfüllt. Denn soviel steht fest: Auch wenn man eine Aufgabe oder einen Service auf einen Cloudanbieter auslagert, so bleibt man doch für die Erfüllung datenschutzrechtlicher Anforderungen verantwortlich. Eine Einheitlichkeit dieser Zertifikate ist allerdings noch lange nicht gegeben. So knüpfen Zertifikate wie EuroPriSe (European Privacy Seal), das Trusted Cloud Datenschutzprofil oder das TÜV-Zertifikat „Trusted Site Privacy“ an unterschiedliche Voraussetzungen an und gelten teils für den Anbieter, teils für seine gesamten Services oder auch nur für einige seiner IaaS-, PaaS- oder SaaS-Services. Hier lohnt genaues Hinschauen. Immerhin können sich alle auf den internationalen Standard für den Datenschutz beim Cloud Computing beziehen: ISO/IEC 27018:2014. Die Unternehmensberatung microfin, für die ich arbeite und die sich unter anderem auch auf Cloud-Computing spezialisiert hat, hat eine Übersicht über die wichtigsten im Markt befindlichen Zertifikate, den so genannten „Cloud-Guide“ erstellt, den man über unsere Website bestellen kann: microfin.de/cloud/microfin-cloud-guide/ Denn so lange es keine verbindlichen, einheitlichen Standards und Zertifikate gibt, hilft im Cloud-Dschungel nur eines: genau hinzuschauen und zu prüfen, an wen man sich bindet.
    Mit freundlichen Grüßen
    Sebastian Dosch
    microfin Unternehmensberatung GmbH

  • Danke für den guten und spannenden Artikel. Das sind genau die Themen die jetzt angegangen werden müssen. Ein Aspekt fehlt mir allerdings im Artikel: Die Schulung der Mitarbeiter! Einer der wichtigen Punkte im EU-DGSVO ist, dass es alle (!) Mitarbeiter betrifft und allen Mitarbeitern klar sein muss, was sich für Sie durch die EU-DGSVO ändert. Das ist ein große Aufgabe in Sachen Schulung und Awareness. Wir haben versucht dieses Problem zu lösen und haben Online Lerninhalte zusammen mit Experten von Siemens und Nokia erstellt. Diese finden Sie auf u4i.io/datenschutz Über jegliches Feedback (positives wie gerne auch kritisches) freuen wir uns immer.

  • Sehr geehrte Damen und Herren,

    ich halte das für etwas kurz gegriffen. Meine Auffassung habe ich ausführlich erklärt unter:
    – cr-online.de/blog/2018/03/28/krieg-der-daten-kollision-von-eu-dsgvo-und-us-cloud-act/
    und
    – cr-online.de/blog/2019/07/12/krieg-der-daten-episode-i-die-drittlaender-cloud-bedrohung/

    Viele Grüße
    Dennis Jansen

  • Ihre Einschätzung hinsichtlich des Serverstandortes vor dem Hintergrund Cloud-Act und Aufhebung des Privacy Shields würde mich interessieren.
    Nach meinem Verständnis führt der Cloud-Act dazu, dass der Standort des Servers unerheblich, sondern viel mehr der Sitz des Betreibers relevant ist. Was nützt es, denn der AWS-Server in Frankfurt oder Amsterdam steht, wenn Amazon trotzdem verpflichtet ist, Daten massenhaft und anlasslos an US-Geheimdienste übermitteln muss?

    • Ihr Gefühl ist da wohl ganz richtig. Der CLOUD-Act entfaltet tatsächlich auch dann Wirkung, wenn die Server innerhalb der EU betrieben werden. Somit ist der reine Serverstandort zwar Indikator, aber keinesfalls entlastender Faktor bei der Frage, ob ein problematischer Drittlandsbezug vorliegt. Derzeit lässt sich dieser Umstand vor allem im Rahmen einer Risikoabwägung bewerten. Befindet sich der Server in der EU, sind die Zugriffsmöglichkeiten aus Drittländern zumindest erheblich eingeschränkt. Für die verbleibenden Risiken sollte dann einerseits auf den Umfang, die Sensibilität der Daten und bereits implementierte technische Maßnahmen geachtet werden, andererseits auch darauf, wie wahrscheinlich ein Zugriff aus einem Drittland überhaupt ist. Hierbei können Aussagen des Dienstleisters über bereits erfolgte Zugriffsersuchen helfen. Letzten Endes vermag aber auch dies nicht, den schalen Beigeschmack zu übertünchen, der Dienstleistern aus Drittländern derzeit leider anhaftet.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.