- Verena Russlies
- 28.03.2022
- 5 Minuten Lesezeit
Sicher und selbstbestimmt
Das Thema Datenschutz in der Cloud wird mit der fortschreitenden Digitalisierung immer wichtiger. Es eröffnen sich dadurch unzählige vorteilhafte Chancen, jedoch ergeben sich daraus auch andere Anforderungen an Sicherheitskonzepte. Egal um welchen Bereich es geht, der Schutz der Daten spielt immer eine große Rolle – so auch in der IT. Ohne Datenschutz und Sicherheitskonzept geht im Bereich der IT- und Cloud-Infrastruktur gar nichts.
Die Nutzung von Cloud-Systemen erfreut sich immer größerer Beliebtheit durch die zentralen Vorteile wie Kosteneinsparung, Skalierbarkeit und Flexibilität. Insbesondere das orts- und geräteunabhängige Arbeiten kommt den heutigen Anforderungen im Berufsleben entgegen.
Viele Unternehmen stehen dem Thema jedoch kritisch gegenüber, da sie zu wenige Informationen dazu haben und in einer Cloud eine ungenügende Sicherung ihrer Daten befürchten. Um mehr Klarheit in dieses Thema zu bringen, beschäftigen wir uns hier mit dem Thema Datenschutz und Datensouveränität in Bezug auf IT und Cloud.
Was genau bedeutet eigentlich Datenschutz?
Wofür steht Datensouveränität?
Welche rechtlichen Bestimmungen müssen Sie in Deutschland beim Datenschutz in der Cloud berücksichtigen?
Allgemein gilt Datenschutz durch das Recht auf informationelle Selbstbestimmung des Bundesverfassungsgerichts als Grundrecht. Damit soll jede Person selbst entscheiden, wem welche persönlichen Informationen übermittelt werden.
Eine der zentralsten Regelungen beim Schutz von Daten in Deutschland ist die Datenschutzgrundverordnung, die auf europäischer Ebene gilt. Des Weiteren ist auch das Bundesdatenschutzgesetz, das in Deutschland auf Bundesebene gilt, ein relevantes Gesetz beim Thema Datenschutz.
Datenschutz-Grundverordnung (DSGVO)
Sobald es sich bei den Daten um personenbezogene Daten handelt, greift innerhalb der EU die DSGVO. Die DSGVO ist eine Verordnung der Europäischen Union und gilt seit ihrem Inkrafttreten im Jahr 2018 somit europaweit. Dadurch soll der Schutz personenbezogener Daten innerhalb der EU sowie innereuropäischer Datenverkehr sicher garantiert werden.
Allgemein sollen durch die DSGVO natürliche Personen und ihre Daten geschützt sowie der freie Verkehr der Daten geregelt werden. Zu diesem Schutz zählen Grundrechte und Grundfreiheiten der natürlichen Personen.
- Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
- Zweckbindung
- Datenminimierung
- Richtigkeit
- Speicherbegrenzung
- Integrität und Vertraulichkeit
Personenbezogene Daten können z. B. Kunden oder Mitarbeiterdaten sein. Sie als Verantwortlicher Ihrer Daten sind auch für den Schutz zuständig. Sobald Sie mit einem anderen Unternehmen arbeiten, müssen Sie einen Vertrag über die Auftragsverarbeitung schließen, in dem die Verarbeitung und Speicherung der personenbezogenen Daten geregelt ist. In diesem Vertrag müssen folgende Punkte festgehalten werden:
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Art der personenbezogenen Daten und Kategorien betroffener Personen
- Weisungsbefugnisse des Auftragsverarbeiters
- Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit
- Unterstützung durch technische und organisatorische Maßnahmen
- Hinzuziehung von weiteren Auftragsverarbeitern
- Unterstützung des für die Verarbeitung Verantwortlichen bei Datenschutzverletzungen
- Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsleistung
- Nachweis der Einhaltung einschließlich Überprüfungen und Inspektionen
In der DSGVO gilt ein Verbot der Übermittlung personenbezogener Daten an Nicht-EU Länder. Diese Übermittlung kann nur durch sogenannte Garantien, die ein ähnliches Datenschutzniveau gemäß DSGVO aufweisen, ermöglicht werden.
Grundsätzlich sollen nationale Regelungen die DSGVO nicht abschwächen oder verstärken, doch durch sogenannte Öffnungsklauseln haben die einzelnen Länder in der EU noch eigenen Gestaltungsfreiraum der Umsetzung auf nationaler Ebene. In Deutschland erfolgt die Ergänzung und Präzision der DSGVO durch das BDSG.
Bundesdatenschutzgesetz (BDSG)
Wenn Sie mit personenbezogenen Daten in Deutschland arbeiten, müssen Sie das BDSG beachten. Das aktuelle BDSG regelt seit 2018 den Datenschutz in Deutschland auf Bundesebene. Daneben gibt es noch länderspezifische Regelungen je nach Bundesland. Außerdem können je nach Fachgebiet weitere bereichsspezifische Regelungen gelten. Diese spezifischeren Regelungen stehen dann über dem BDSG und das BDSG gilt nur ergänzend.
- Gemeinsame Bestimmungen
- Durchführungsbestimmungen zur DSGVO
- Datenschutzbestimmungen für Polizei- und Justizbehörden
- Besondere Bestimmungen für Tätigkeiten außerhalb von DSGVO
Ein zentraler Aspekt des BDSG ist das Verbotsprinzip mit Erlaubnisvorbehalt. Demnach sind die Erhebung, Verarbeitung und Nutzung personenbezogener Daten grundsätzlich verboten und nur durch eine gesetzliche Grundlage oder durch die ausdrückliche Zustimmung der betroffenen Person gestattet. Außerdem gilt das Prinzip der Datensparsamkeit und Datenvermeidung. Dabei sollen möglichst keine bzw. so wenig personenbezogene Daten wie möglich verarbeitet werden. Dazu können Methoden der Anonymisierung und Pseudonymisierung angewendet werden.
In diesem Zusammenhang werden häufig Datenschutzbeauftragte eingesetzt, die als Experten zum Thema Datenschutz beraten können. Auch Datenschutz-Plattformen, die durch ihre Struktur bereits Möglichkeiten für den Datenschutz bieten, sind im Bereich Dokumentenmanagement essenziell.
Datenschutz in der Cloud
Heutzutage sind Cyberangriffe leider an der Tagesordnung und egal wie wenig relevant die unternehmensinternen Daten in der eigenen Einschätzung erscheinen: Fremde Angreifer konzentrieren ihre Aktivitäten auf das Sammeln von jeglichen, scheinbar unwichtigen Daten, um daraus finanziellen Profit zu schlagen.
Wenn also kein ausreichender Datenschutz in der Cloud gegeben ist, kann man davon ausgehen, dass jemand versuchen wird, diese zu stehlen. Die einzelnen Daten wirken vermeintlich ungefährlich, doch man unterschätzt die Möglichkeiten wie aus diesen wiederum Informationen abgeleitet werden können, die in den falschen Händen erheblichen Schaden anrichten.
Allgemein bestehen beim Thema Datenschutz in der Cloud häufig Bedenken, da oft das Gefühl entsteht, man würde die Datenhoheit an einen Dienstleister abgeben. Tatsächlich ist aber eher das Gegenteil der Fall. Durch Cloud-Systeme werden die Daten in Rechenzentren gespeichert, die einen hohen physischen Schutz durch verschiedene Zugangsmaßnahmen bieten. Mithilfe von Verschlüsselungen können Sie Ihre Daten effektiv schützen, ohne dass Ihnen dadurch Komplikationen oder Unannehmlichkeiten entstehen. Die Verschlüsselung erfolgt dabei im Hintergrund, sodass für Sie dabei keinerlei zusätzlicher Aufwand entsteht. Dabei sollten Sie sich genau über die Art der Verschlüsselung informieren, die Ihnen durch den Cloud-Anbieter ermöglicht wird (z. B. Ende-zu-Ende-Verschlüsselung).
Der Cloud-Provider (oder Cloud-Anbieter, Cloud-Dienstleister) stellt Computerressourcen als Dienstleistung über das Internet bereit. Bei der Wahl Ihres Cloud-Providers sollten Sie auf die verschiedenen Sicherheitsaspekte achten, die Ihnen für Ihre Daten durch den Provider zur Verfügung gestellt werden. Die meisten Cloud-Provider bieten selbst ein Datenschutzkonzept an. Sie sollten jedoch prüfen, ob dieses für Ihren Bedarf ausreichend ist oder Sie noch weitere eigene Maßnahmen ergreifen müssen. Je nach Arbeitsbereich und Daten sind die Sicherheitskonzepte möglicherweise nicht angemessen. Der Schutz Ihrer Daten obliegt nicht dem Cloud-Provider, sondern immer Ihnen selbst.
Um den oben genannten rechtlichen Bestimmungen für den Datenschutz in der Cloud zu genügen, sollten Sie vor allem darauf achten, dass Ihr Cloud-Anbieter die Daten in Rechenzentren speichert, die sich in Deutschland befinden und so den deutschen und europäischen Gesetzen entsprechen – insbesondere auch in Bezug auf personenbezogene Daten.
Welche Möglichkeiten gibt es in der IT für den Datenschutz in der Cloud?
Unternehmen und Mitarbeiter
- Bedarfsanalyse: Eruieren Sie alle benötigten Tools und Anwendungen, die Ihre Mitarbeiter für ihre Arbeit benötigen. Dadurch verhindern Sie die Nutzung nicht genehmigter Software, die Ihre Mitarbeiter dann eventuell aus Mangel an Alternativen verwenden. Problematisch ist dabei vor allem das Herunterladen von vermeintlich hilfreicher und kostenloser Software, die zu Schäden an den eigenen Systemen und Datenverlust führen kann.
- Datenschutzplan: und Dokumentation: Egal welche Maßnahmen Sie in Ihrem Unternehmen einsetzen möchten, Sie sollten in jedem Fall eine zuständige Person für den Datenschutz benennen und ein Datenschutzkonzept aufstellen, in dem alle relevanten Informationen für den Datenschutzprozess dokumentiert werden. Darin sollten auch Vorgaben festgehalten werden, in welchen Fällen welche Daten, wie häufig und wo verarbeitet werden. Sobald in einem Unternehmen mindestens zehn Personen kontinuierlich mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist die Benennung einer verantwortlichen Person für den Datenschutz in jedem Fall gesetzlich vorgeschrieben. Auch für den Ernstfall sollte es einen Plan geben, welche Schritte vorgenommen werden müssen, wenn ein Datenverlust vorliegt. Dazu zählt u. a. das Informieren der zuständigen Datenschutzaufsichtsbehörde innerhalb von 72 Stunden nachdem der Vorfall bemerkt wurde und die Aufklärung der Personen, deren Daten gestohlen wurden oder verloren gegangen sind.
- Sensibilisierung: Informieren Sie Ihre Mitarbeiter über mögliche Sicherheitsrisiken und schulen sie im Bezug auf korrektes Datenschutz-Verhalten. Häufig entstehen Probleme mit dem Datenschutz durch fehlende Kenntnisse auf diesem Gebiet und dadurch bedingtes falsches Verhalten. Ordnungsgemäßer Umgang mit Daten hingegen kann dem Verlust wichtiger und sensibler Daten entgegenwirken. Machen Sie die Übersicht über geprüfte und bereitgestellte Software für alle Mitarbeiter einfach und verständlich verfügbar. Informieren Sie Ihre Mitarbeiter über den Einsatz sicherer Passwörter und nutzen Sie effektive Authentifizierungen, z. B. eine Zwei-Faktor-Authentifizierung.
Cloud
- Verschlüsselung: Es gibt verschiedene Arten der Verschlüsselung, die eingesetzt werden können. Mithilfe der sogenannten Ende-zu-Ende-Verschlüsselung kann die Verschlüsselung nur zwischen den beiden Endgeräten stattfinden, wodurch die Daten durch den Zugriff Dritter und damit auch durch den Cloud-Anbieter geschützt sind. Mit der Zero-Knowledge-Verschlüsselung wird garantiert, dass selbst der Cloud-Provider keinen Zugriff auf die Daten auf Ihren Servern hat. Durch die durchgängige Verschlüsselung wird eine lückenlose Verschlüsselung während der gesamten Zeit der Datenverarbeitung gewährleistet.
- Backups: Um vor dem Verlust von Daten zu bewahren, können Sie regelmäßige Backups einsetzen. Diese sollte so häufig wie möglich und am besten automatisiert stattfinden, um bei benötigter Wiederherstellung einen möglichst aktuellen Stand zu erhalten. Des Weiteren sollte die Sicherung auf einem externen Datenträger oder in einer Cloud erfolgen, der bzw. die von der sonstigen IT-Infrastruktur unabhängig abgekoppelt ist. Diese Datenträger müssen dann ebenso sicher aufbewahrt werden. Zusätzlich sind mehrere Sicherungen auf unterschiedlichen Medien effektiv, um eine Sicherung bei dem Ausfall eines Mediums trotzdem noch zu garantieren.
- Löschen: Beim Löschen von Daten sind verschiedene Aspekte zu beachten. Zum einen gibt es gemäß der oben genannten gesetzlichen Bestimmungen Vorgaben, wie lange bestimmte personenbezogene Daten aufbewahrt werden dürfen und wann sie gelöscht werden müssen. Zum anderen sind nur auf einfachem Weg gelöschte Daten nicht endgültig gelöscht, sondern befinden sich meistens weiterhin auf dem Datenträger und können dadurch theoretisch wiederhergestellt werden. Um die Daten also wirklich zu löschen, sollten entsprechende Maßnahmen oder Software dafür eingesetzt werden.
- Firewall: Die Firewall schützt Ihr Unternehmen und Ihr Netzwerk wirksam vor Attacken und Bedrohungen, indem die Daten kontrolliert, überprüft und gefiltert werden. Zusätzlich können dabei Angriffsüberwachung und -abwehr eingesetzt werden.
Kommunikation und kollaboratives Arbeiten
- Freigabe-Link: Nutzen Sie passwortgeschützte Freigabe-Links, die Sie zeitlich oder auf eine bestimmte Menge an Zugriffen oder Downloads begrenzen.
- Berechtigungen: Arbeiten Sie mit Berechtigungen, um jedem Benutzer nur den Zugriff zu erteilen, den er auch benötigt. So können Sie meistens zwischen Berechtigungen für das Sehen, Lesen, Bearbeiten und Löschen unterscheiden. Dadurch vermeiden Sie, dass der Zugriff auf sensible Daten von unberechtigten Personen entsteht. Stellen Sie sicher, dass auch bei mobilem Zugriff alle relevanten Sicherheitskonzepte aktiviert sind und greifen können.
- Versionierung und Dokumentation: Wenn Sie mit einer Versionierung und Dokumentation arbeiten, können Sie vorgenommene Änderungen jederzeit nachvollziehen und wenn durch Fehler notwendig ältere Versionen wiederherstellen. Durch die Dokumentation geht kein Arbeitsschritt verloren und Sie sehen, wer wann welche Änderung durchgeführt hat.
- E-Mail-Verschlüsselung: Achten Sie darauf, dass Ihre E-Mails mithilfe von E-Mail-Verschlüsselung vor unerwünschtem Zugriff Dritter geschützt bleiben.
- E-Mail Archivierung: Um auch Ihre E-Mails sicher zu archivieren, sollten Sie auf eine Aufbewahrung gemäß deutscher Datenschutzbestimmungen achten.
- Spam- und Virenfilter: Mithilfe von Spam- und Virenfiltern schützen Sie Ihre E-Mails und damit auch Ihre Systeme und Daten vor Malware und Angriffen.
Der erste Schritt zu mehr Datenschutz in der Cloud
Bevor Sie sich auf neue Anschaffungen für Ihre IT-Sicherheit stürzen, sollten Sie zunächst Ihren Bedarf nach Datenschutz in der Cloud analysieren. Noch davor steht ein Überblick über Ihre aktuelle IT und zugehörige Sicherheitskonzepte. Des Weiteren sollten Sie sich über die gesetzlichen Anforderungen informieren, die in Ihrem spezifischen Fachbereich in Ihrer Branche greifen. Dazu sollten Sie Ihre momentane Sicherheit prüfen, ob diese die gesetzlichen Anforderungen erfüllt oder Sie nachrüsten müssen und welche Aspekte Sie damit abdecken möchten. Schließlich sollten Sie sich der konkreten Risiken für Ihre Datensicherheit in Ihrer Arbeit bewusst sein, um entsprechende Gegenmaßnahmen zu erkennen und zu planen. Je nach Größe und finanzieller Situation Ihres Unternehmens, empfiehlt sich hier eine externe Beratung oder sogar Auslagerung des Themas zu Experten.
Dabei spielen natürlich auch finanzielle Faktoren eine Rolle. Deswegen sollten Sie sich genau überlegen, auf welche Sicherheitsaspekte Sie auf gar keinen Fall verzichten können und welche nur optionale Zusatzmaßnahmen sind, für die Sie sich nur auf eigenen Wunsch bewusst entscheiden können. Da jedes Arbeitsgebiet so unterschiedlich ist, kann keine pauschale Aussage über zwingend notwendige und mögliche Sicherheitsmaßnahmen für Ihre Datensicherheit getroffen werden.
Ein einmal für gut befundenes und eingesetztes Sicherheitskonzept bleibt jedoch nicht für immer bestehen. Es muss regelmäßig im Hinblick auf geänderte Anforderungen oder neue Entwicklung von Risiken geprüft werden. Sobald Sie neue Arbeitsweisen etablieren oder Ihre Prozesse ändern, führt das mit hoher Wahrscheinlichkeit auch zu einem geänderten Bedarf für Ihren Datenschutz in der Cloud.
Der Weg zu Ihrem Datensicherheits-Konzept
- Schritt 1: Bestandsaufnahme und Überblick über aktuelle IT und Datenschutzkonzepte
- Schritt 2: Bedarfsanalyse für Ihre IT-Sicherheit
- Schritt 3: Gesetzliche Regelungen für den individuellen Arbeitsbereich beachten
- Schritt 4: Prüfung von vorhandenen Datenschutzkonzepten und Vergleich mit Bedarf und Anforderungen
- Schritt 5: Nötige Maßnahmen für den Datenschutz planen und durchführen ggf. durch Einsatz eines Datenschutzbeauftragten oder externer Beratung
- Schritt 6: Prüfung und Weiterentwicklung des Datenschutzkonzepts sowie erneute Durchführung der Schritte
Das Thema Datenschutz in der Cloud ist ein äußerst umfassendes und komplexes, das mit zunehmender Digitalisierung immer relevanter wird. Ein angemessenes Sicherheitskonzept für die eigenen Daten ist zentral für ein effektives Unternehmen. Insbesondere bei der Nutzung von Cloud-Systemen sollten Sie sich über die rechtlichen Bestimmungen im Klaren sein und bei der Auswahl eines Cloud-Anbieters unterschiedliche Aspekte gründlich beachten und prüfen.