Datenschutz und Datensouveränität in der Cloud

Datenschutz und Datensouveränität in der Cloud

daten-sicherheit-souverenitaet

Sicher und selbstbestimmt

Das Thema Datenschutz wird mit der fortschreitenden Digitalisierung immer wichtiger. Es eröffnen sich dadurch unzählige vorteilhafte Chancen, jedoch ergeben sich daraus auch andere Anforderungen an Sicherheitskonzepte. Egal um welchen Bereich es geht, der Schutz der Daten spielt immer eine große Rolle – so auch in der IT. Ohne Datenschutz und Sicherheitskonzept geht im Bereich der IT- und Cloud-Infrastruktur gar nichts.

Die Nutzung von Cloud-Systemen erfreut sich immer größerer Beliebtheit durch die zentralen Vorteile wie Kosteneinsparung, Skalierbarkeit und Flexibilität. Insbesondere das orts- und geräteunabhängige Arbeiten kommt den heutigen Anforderungen im Berufsleben entgegen.

Viele Unternehmen stehen dem Thema jedoch kritisch gegenüber, da sie zu wenige Informationen dazu haben und in einer Cloud eine ungenügende Sicherung ihrer Daten befürchten. Um mehr Klarheit in dieses Thema zu bringen, beschäftigen wir uns hier mit dem Thema Datenschutz und Datensouveränität in Bezug auf IT und Cloud.

thinking-face

Was genau bedeutet eigentlich Datenschutz?

Unter Datenschutz oder Datensicherheit versteht man den Schutz von Daten vor unberechtigtem Zugriff, Manipulation oder Verlust durch Dritte oder Externe. Neben Malware wie Viren, Würmer oder Trojaner können auch Fehler in Hard- und Software sowie fehlerhaftes Verhalten der Anwender zu Verlust von Daten führen.
idea-bulb

Wofür steht Datensouveränität?

Der Begriff der Datensouveränität oder Datenhoheit steht innerhalb des Datenschutzes für den Fokus auf die Selbstbestimmung über die eigenen Daten. Allgemein ist darunter die Kontrolle über die Erhebung, Speicherung und Verarbeitung der personenbezogenen Daten zu verstehen. Im Zuge des stärkeren Fokus auf den Datenschutz betont der Begriff, dass durch neuere rechtliche Bestimmungen die Souveränität der personenbezogenen Daten wieder stärker in die Hände der individuellen Person gelegt wird.

Welche rechtlichen Bestimmungen müssen Sie in Deutschland beim Datenschutz berücksichtigen?

Allgemein gilt Datenschutz durch das Recht auf informationelle Selbstbestimmung des Bundesverfassungsgerichts als Grundrecht. Damit soll jede Person selbst entscheiden, wem welche persönlichen Informationen übermittelt werden.

Eine der zentralsten Regelungen beim Schutz von Daten in Deutschland ist die Datenschutzgrundverordnung, die auf europäischer Ebene gilt. Des Weiteren ist auch das Bundesdatenschutzgesetz, das in Deutschland auf Bundesebene gilt, ein relevantes Gesetz beim Thema Datenschutz.

Datenschutz-Grundverordnung (DSGVO)

Sobald es sich bei den Daten um personenbezogene Daten handelt, greift innerhalb der EU die DSGVO. Die DSGVO ist eine Verordnung der Europäischen Union und gilt seit ihrem Inkrafttreten im Jahr 2018 somit europaweit. Dadurch soll der Schutz personenbezogener Daten innerhalb der EU sowie innereuropäischer Datenverkehr sicher garantiert werden.

Allgemein sollen durch die DSGVO natürliche Personen und ihre Daten geschützt sowie der freie Verkehr der Daten geregelt werden. Zu diesem Schutz zählen Grundrechte und Grundfreiheiten der natürlichen Personen.

Als sechs Grundsätze der DSGVO gelten folgende Aspekte:
  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit
  • Speicherbegrenzung
  • Integrität und Vertraulichkeit

Personenbezogene Daten können z. B. Kunden oder Mitarbeiterdaten sein. Sie als Verantwortlicher Ihrer Daten sind auch für den Schutz zuständig. Sobald Sie mit einem anderen Unternehmen arbeiten, müssen Sie einen Vertrag über die Auftragsverarbeitung schließen, in dem die Verarbeitung und Speicherung der personenbezogenen Daten geregelt ist. In diesem Vertrag müssen folgende Punkte festgehalten werden:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten und Kategorien betroffener Personen
  • Weisungsbefugnisse des Auftragsverarbeiters
  • Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit
  • Unterstützung durch technische und organisatorische Maßnahmen
  • Hinzuziehung von weiteren Auftragsverarbeitern
  • Unterstützung des für die Verarbeitung Verantwortlichen bei Datenschutzverletzungen
  • Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsleistung
  • Nachweis der Einhaltung einschließlich Überprüfungen und Inspektionen

In der DSGVO gilt ein Verbot der Übermittlung personenbezogener Daten an Nicht-EU Länder. Diese Übermittlung kann nur durch sogenannte Garantien, die ein ähnliches Datenschutzniveau gemäß DSGVO aufweisen, ermöglicht werden.

Grundsätzlich sollen nationale Regelungen die DSGVO nicht abschwächen oder verstärken, doch durch sogenannte Öffnungsklauseln haben die einzelnen Länder in der EU noch eigenen Gestaltungsfreiraum der Umsetzung auf nationaler Ebene. In Deutschland erfolgt die Ergänzung und Präzision der DSGVO durch das BDSG.

Bundesdatenschutzgesetz (BDSG)

Wenn Sie mit personenbezogenen Daten in Deutschland arbeiten, müssen Sie das BDSG beachten. Das aktuelle BDSG regelt seit 2018 den Datenschutz in Deutschland auf Bundesebene. Daneben gibt es noch länderspezifische Regelungen je nach Bundesland. Außerdem können je nach Fachgebiet weitere bereichsspezifische Regelungen gelten. Diese spezifischeren Regelungen stehen dann über dem BDSG und das BDSG gilt nur ergänzend.

Das BDSG teilt sich in folgende Aspekte auf:
  • Gemeinsame Bestimmungen
  • Durchführungsbestimmungen zur DSGVO
  • Datenschutzbestimmungen für Polizei- und Justizbehörden
  • Besondere Bestimmungen für Tätigkeiten außerhalb von DSGVO

Ein zentraler Aspekt des BDSG ist das Verbotsprinzip mit Erlaubnisvorbehalt. Demnach sind die Erhebung, Verarbeitung und Nutzung personenbezogener Daten grundsätzlich verboten und nur durch eine gesetzliche Grundlage oder durch die ausdrückliche Zustimmung der betroffenen Person gestattet. Außerdem gilt das Prinzip der Datensparsamkeit und Datenvermeidung. Dabei sollen möglichst keine bzw. so wenig personenbezogene Daten wie möglich verarbeitet werden. Dazu können Methoden der Anonymisierung und Pseudonymisierung angewendet werden.

In diesem Zusammenhang werden häufig Datenschutzbeauftragte eingesetzt, die als Experten zum Thema Datenschutz beraten können. Auch Datenschutz-Plattformen, die durch ihre Struktur bereits Möglichkeiten für den Datenschutz bieten, sind im Bereich Dokumentenmanagement essenziell.

Datenschutz und Cloud

blog-datenschutz-und-cloud

Heutzutage sind Cyberangriffe leider an der Tagesordnung und egal wie wenig relevant die unternehmensinternen Daten in der eigenen Einschätzung erscheinen: Fremde Angreifer konzentrieren ihre Aktivitäten auf das Sammeln von jeglichen, scheinbar unwichtigen Daten, um daraus finanziellen Profit zu schlagen.

Wenn also kein ausreichender Datenschutz gegeben ist, kann man davon ausgehen, dass jemand versuchen wird, diese zu stehlen. Die einzelnen Daten wirken vermeintlich ungefährlich, doch man unterschätzt die Möglichkeiten wie aus diesen wiederum Informationen abgeleitet werden können, die in den falschen Händen erheblichen Schaden anrichten.

Allgemein bestehen beim Thema Datenschutz in der Cloud häufig Bedenken, da oft das Gefühl entsteht, man würde die Datenhoheit an einen Dienstleister abgeben. Tatsächlich ist aber eher das Gegenteil der Fall. Durch Cloud-Systeme werden die Daten in Rechenzentren gespeichert, die einen hohen physischen Schutz durch verschiedene Zugangsmaßnahmen bieten. Mithilfe von Verschlüsselungen können Sie Ihre Daten effektiv schützen, ohne dass Ihnen dadurch Komplikationen oder Unannehmlichkeiten entstehen. Die Verschlüsselung erfolgt dabei im Hintergrund, sodass für Sie dabei keinerlei zusätzlicher Aufwand entsteht. Dabei sollten Sie sich genau über die Art der Verschlüsselung informieren, die Ihnen durch den Cloud-Anbieter ermöglicht wird (z. B. Ende-zu-Ende-Verschlüsselung).

cloud-provider

Der Cloud-Provider (oder Cloud-Anbieter, Cloud-Dienstleister) stellt Computerressourcen als Dienstleistung über das Internet bereit. Bei der Wahl Ihres Cloud-Providers sollten Sie auf die verschiedenen Sicherheitsaspekte achten, die Ihnen für Ihre Daten durch den Provider zur Verfügung gestellt werden. Die meisten Cloud-Provider bieten selbst ein Datenschutzkonzept an. Sie sollten jedoch prüfen, ob dieses für Ihren Bedarf ausreichend ist oder Sie noch weitere eigene Maßnahmen ergreifen müssen. Je nach Arbeitsbereich und Daten sind die Sicherheitskonzepte möglicherweise nicht angemessen. Der Schutz Ihrer Daten obliegt nicht dem Cloud-Provider, sondern immer Ihnen selbst.

Um den oben genannten rechtlichen Bestimmungen zu genügen, sollten Sie vor allem darauf achten, dass Ihr Cloud-Anbieter die Daten in Rechenzentren speichert, die sich in Deutschland befinden und so den deutschen und europäischen Gesetzen entsprechen – insbesondere auch in Bezug auf personenbezogene Daten.

Welche Möglichkeiten gibt es in der IT für den Datenschutz?

Unternehmen und Mitarbeiter

Cloud

Kommunikation und kollaboratives Arbeiten

Der erste Schritt zu mehr Datensicherheit

blog-schritt-zu-sichercheit-01
blog-schritt-zu-sichercheit-02
blog-schritt-zu-sichercheit-03

Bevor Sie sich auf neue Anschaffungen für Ihre IT-Sicherheit stürzen, sollten Sie zunächst Ihren Bedarf analysieren. Noch davor steht ein Überblick über Ihre aktuelle IT und zugehörige Sicherheitskonzepte. Des Weiteren sollten Sie sich über die gesetzlichen Anforderungen informieren, die in Ihrem spezifischen Fachbereich in Ihrer Branche greifen. Dazu sollten Sie Ihre momentane Sicherheit prüfen, ob diese die gesetzlichen Anforderungen erfüllt oder Sie nachrüsten müssen und welche Aspekte Sie damit abdecken möchten. Schließlich sollten Sie sich der konkreten Risiken für Ihre Datensicherheit in Ihrer Arbeit bewusst sein, um entsprechende Gegenmaßnahmen zu erkennen und zu planen. Je nach Größe und finanzieller Situation Ihres Unternehmens, empfiehlt sich hier eine externe Beratung oder sogar Auslagerung des Themas zu Experten.

Dabei spielen natürlich auch finanzielle Faktoren eine Rolle. Deswegen sollten Sie sich genau überlegen, auf welche Sicherheitsaspekte Sie auf gar keinen Fall verzichten können und welche nur optionale Zusatzmaßnahmen sind, für die Sie sich nur auf eigenen Wunsch bewusst entscheiden können. Da jedes Arbeitsgebiet so unterschiedlich ist, kann keine pauschale Aussage über zwingend notwendige und mögliche Sicherheitsmaßnahmen für Ihre Datensicherheit getroffen werden.

Ein einmal für gut befundenes und eingesetztes Sicherheitskonzept bleibt jedoch nicht für immer bestehen. Es muss regelmäßig im Hinblick auf geänderte Anforderungen oder neue Entwicklung von Risiken geprüft werden. Sobald Sie neue Arbeitsweisen etablieren oder Ihre Prozesse ändern, führt das mit hoher Wahrscheinlichkeit auch zu einem geänderten Bedarf für Ihren Datenschutz.

Der Weg zu Ihrem Datensicherheits-Konzept

Das Thema Datenschutz ist ein äußerst umfassendes und komplexes, das mit zunehmender Digitalisierung immer relevanter wird. Ein angemessenes Sicherheitskonzept für die eigenen Daten ist zentral für ein effektives Unternehmen. Insbesondere bei der Nutzung von Cloud-Systemen sollten Sie sich über die rechtlichen Bestimmungen im Klaren sein und bei der Auswahl eines Cloud-Anbieters unterschiedliche Aspekte gründlich beachten und prüfen.

Kommentarfunktion ist geschlossen.