Umzug in die Cloud

Umzug in die Cloud: Das sollten Sie bei Datenschutz und IT-Sicherheit beachten

Clouds und Datenschutz – passt das zusammen? Viele Datenschützer:innen stehen der Nutzung von Cloud-Diensten kritisch gegenüber. Zumal die Nicht-Einhaltung der DSGVO teure Bußgelder nach sich ziehen kann. Genauso wie jede Software ist auch ein Cloud-Dienst nie zu einhundert Prozent sicher.

Dennoch können Sie wichtige Maßnahmen ergreifen, um den Umzug in die Cloud möglichst sicher und datenschutzkonform zu gestalten und von den Vorteilen des Cloud Computing profitieren.

Wir haben für Sie zusammengefasst, welche Aspekte aus dem Datenschutz und der IT-Sicherheit Sie bei dem Umzug in die Cloud berücksichtigen sollten. 

Risikoanalyse durchführen

Jedes Unternehmen ist anders und ist somit auch unterschiedlichen Risiken ausgesetzt. Welche Anforderungen Sie an einen Cloud-Dienst haben, hängt unter anderem von Ihren individuellen Risiken und der Art der Cloud-Nutzung ab. Je nachdem, ob Sie lediglich Software as a Service oder ganze Infrastrukturen nutzen, kommen andere Anforderungen in Bezug auf Datenschutz und IT-Sicherheit auf Sie zu.

Daher sollten Sie zu Beginn eine Risikoanalyse durchführen und sich u.a. folgende Fragen stellen: Welche Verarbeitungen von personenbezogenen Daten sind durch die Nutzung des Cloud-Dienstes betroffen? Welche Kategorien personenbezogener Daten will ich in der Cloud verarbeiten? Welcher Schaden entsteht bei Verlust, Nicht-Verfügbarkeit oder Veränderung der Daten oder Anwendungen für die Betroffenen? Wo und auf welchem Weg können Unbefugte auf die Informationen zugreifen? 

Darauf und auf Ihrer bereits bestehenden Sicherheits- und Risikoanalyse aufbauend können Sie Ihre Anforderungen und die benötigten technischen und organisatorischen Maßnahmen zur Einhaltung überprüfen und genauer bestimmen. 

Papiere mit Grafen, auf denen eine Lupe, eine Brille, Stifte und ein Laptop liegen

Das BSI empfiehlt allerdings mindestens die Maßnahmen aus der Zertifizierung C5 zu verlangen. Worum es dabei geht, erfahren Sie im nächsten Absatz.

Zertifizierungen prüfen

Bei der Auswahl eines geeigneten Dienstes können Zertifizierungen helfen. Im Folgenden stellen wir Ihnen drei gängige Zertifizierungen vor.

Eine mögliche Zertifizierung ist das Trusted Cloud Label, das im Technologieprogramm Trusted Cloud des Bundesministeriums für Wirtschaft und Energie entwickelt wurde und vor allem kleineren Unternehmen einen Bewertungsmaßstab für den geeigneten Einsatz von Cloud-Lösungen zur Verfügung stellen soll. Dabei werden sowohl Sicherheits- als auch Datenschutz-Kriterien berücksichtigt.

Auch die ISO 27018 – eine Erweiterung der ISO 27001 – ist ein guter Indikator für die Sicherheit und Datenschutzkonformität eines Cloud-Dienstes, da sie den Umgang mit personenbezogenen Daten in einer Cloud regelt. Ein Hauptaugenmerk liegt dabei auf Transparenz seitens des Dienstes: Dieser muss seinen Standort offenlegen, bei der Einsicht der Daten durch Dritte informieren sowie Konzepte zur Datenverfügbarkeit und zum Vorgehen bei Datenpannen vorlegen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit C5 (Cloud Computing Compliance Controls Catalogue) zusätzlich einen Kriterienkatalog entwickelt, der sich hauptsächlich mit der Sicherheit von Cloud-Lösungen beschäftigt. Dabei werden vor allem die technischen und organisatorischen Maßnahmen des Dienstes in Bezug auf die Organisation der Informationssicherheit, das Personal, die physische Sicherheit, kryptographische Maßnahmen, Change-Management und den Umgang mit Sicherheitsvorfällen geregelt. Dabei geht der Katalog speziell auf die Anforderungen im Cloud-Umfeld ein.

Idealerweise würde ein Cloud-Dienst sowohl die Vorgaben der ISO 27018 erfüllen als auch die des C5 des BSI. Dass ein Dienst beide Zertifizierungen vorweisen kann, ist allerdings unwahrscheinlich. Dennoch bieten Ihnen die Kriterien einen guten Ansatz, um mögliche Cloud-Dienste zu überprüfen. Die Kriterien aus der ISO 27018 können Sie sich zudem vertraglich zusichern lassen. 

Datenschutzkonform in die Ausbildung

Machen Sie Ihre Azubis fit im Datenschutz! Reduzieren Sie Ihr Risiko für Datenschutzverletzungen mit unserem kurzweiligen Web-Seminar speziell für die junge Zielgruppe.

Jetzt anmelden

Cloud-Dienst auswählen

Server mit grauen und blauen Kabeln

Die Auswahl eines geeigneten Cloud-Dienstes kann sehr komplex sein. Neben den eigenen Zielvorstellungen und Anforderungen sollten Sie unbedingt auch die Themen Datenschutz und IT-Sicherheit bedenken. Möchten Sie personenbezogene Daten in der Cloud erheben, verarbeiten und speichern, muss diese zwingend DSGVO-konform sein. Zur Bewertung können Sie die zuvor skizzierten Zertifizierungen heranziehen.

Außerdem sollten Sie Cloud-Dienste mit Standort in der EU oder sogar Deutschland bevorzugen. Dabei sollten Sie nicht nur den eigentlichen Cloud-Dienst, sondern auch potentielle Unterauftragehmer:innen überprüfen. Stellen Sie außerdem sicher, dass der Dienst einen Notfallplan hat. 

Bei der Wahl eines Cloud-Dienstes empfiehlt der Landesbeauftragte für Datenschutz in der Informationsfreiheit Nordrhein-Westfalen (LDI), darauf zu achten, dass dieser offene, transparente und detaillierte Informationen zur Verfügung stellt.

Diese sollten für technische, organisatorische und rechtliche Rahmenbedingungen inklusive eines Sicherheitskonzeptes sowie für die vertraglichen Regelungen der Datenverarbeitungen vorliegen. Laut LDI sollten Sie außerdem aktuelle Zertifizierungen und Audits berücksichtigen.

Zudem sollten Sie darauf achten, dass Sie die gesetzlichen Regelungen wie das Mitbestimmungsrecht der Personalvertretung einhalten. Dies gilt auch schon für die eventuell vorgelagerten Tests des Cloud-Dienstes.

Nach der Auswahl eines geeigneten Dienstes startet Ihr Migrationsprojekt. Wie Sie den Umzug projektieren und dabei stets Ihre Zielvorstellungen im Blick behalten, können Sie hier nachlesen: Umzug in die Cloud: So managen Sie das Großprojekt in 7 Schritten

Auftragsverarbeitungsvertrag schließen

Cloud-Dienste gelten als Auftragsverarbeiter. Daher sollten Sie unbedingt einen Auftragsverarbeitungsvertrag mit dem Cloud-Dienst schließen, wenn Sie in die Cloud ziehen. Lassen Sie vorab von Ihrem Datenschutz-Team prüfen, ob dieser konform zu Art. 28 und Art. 32 DSGVO ist. Außerdem sollte überprüft werden, ob der Cloud-Dienst die erforderlichen technischen und organisatorischen Maßnahmen beschrieben hat und ob eine Drittlandübermittlung vorliegt. Auch die Kontrollrechte werden an dieser Stelle festgehalten, sodass Sie als Verantwortliche:r die Datenschutzkonformität des Cloud-Dienstes überprüfen können.

Sicherheitskonzept anpassen

Bei der Nutzung von Cloud-Lösungen sollten Sie nicht nur auf das Sicherheitskonzept des Dienstes achten, sondern auch Ihr eigenes Konzept unter die Lupe nehmen und anpassen. Aus den zuvor ermittelten Risiken können Sie die benötigten Maßnahmen ableiten und in Ihr Konzept einfließen lassen. Die beschlossenen Maßnahmen sollten Sie dokumentieren, kommunizieren und den betroffenen Mitarbeitenden zur Verfügung stellen.

Folgende Punkte sollten Sie in Ihrem Konzept regeln:

  • Sichere Cloud-Administration (Vier-Augen-Prinzip)
  • Sicherer Cloud Zugang (2-Faktor Authentifizierung)
  • Betriebsprozesse und Prozesse im Sicherheitsmanagement
  • Überwachung der Service-Erbringung und Berichtswesen
  • Verschlüsselung der Informationen bei Speicherung und Übertragung
  • Vergabe und Entzug von Berechtigungen
  • Datensicherungen
  • Löschkonzept
  • Archivierung
  • Incident-Management

Wie genau Ihre IT-Abteilung die neuen Anforderungen umsetzen kann, haben wir hier für Sie zusammengefasst: Umzug in die Cloud: Das sollten Sie bei der Anpassung Ihrer IT beachten

Hand hält Handy, auf dem "VPN Protected" steht mit Pflanze im Hintergrund

Datenschutzerklärung anpassen

Wenn Sie personenbezogene Daten in einer Cloud speichern, ist dies je nach Cloud-Service auch in Ihrer Datenschutzerklärung aufzuführen – ganz nach dem Grundsatz der Transparenz.

Sowohl aus Sicht des Datenschutzes als auch der IT-Sicherheit gibt es beim Umzug in die Cloud also viel zu beachten. Damit der Umzug rechtssicher gelingt, sollten Ihre Datenschutz- und IT-Abteilungen eng zusammenarbeiten. Außerdem bietet es sich in vielen Fällen an, externe Unterstützung in Anspruch zu nehmen und von der Expertise erfahrener Datenschutz- und Informationssicherheitsbeauftragter zu profitieren.

Sie möchten in die Cloud umziehen und benötigen Unterstützung bei der Einschätzung von Datenschutz- oder IT-Sicherheits-Risiken oder der anschließenden Konzeptionierung?

Sprechen Sie uns an!

Sie wollen up to date bleiben?

In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Und Sie sind konstant auf dem Laufenden!

Newsletter Anmeldung

Quellen

Bundesamt für Sicherheit in der Informationstechnik (2016): „Sichere Nutzung von Cloud-Diensten. Schritt für Schritt von der Strategie bis zum Vertragsende“, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Sichere_Nutzung_Cloud_Dienste.pdf?__blob=publicationFile&v=1, letzter Zugriff am 29. Juli 2021.

Landesbeauftrage für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (2011): „Datenschutzkonforme Gestaltung und Nutzung von Cloud-Computing“, https://www.ldi.nrw.de/mainmenu_Service/submenu_Entschliessungsarchiv/Inhalt/Entschliessungen_Datenschutzkonferenz/Inhalt/82__Konferenz/Cloud/Cloud.php, letzter Zugriff am 29. Juli 2021.

Reichlin, Maximilian (2021): „DSGVO konforme Cloud: 23 Anbieter im Vergleich“, trusted, 26. Juli 2021, https://trusted.de/cloud-speicher-mit-dsgvo, letzter Zugriff am 29. Juli 2021.

Trusted Cloud (o. J.): „Trusted Cloud-Datenschutzprofil für Cloud-Dienste (TCDP)”, https://www.trusted-cloud.de/de/artikel/trusted-cloud-datenschutzprofil-fuer-cloud-dienste-tcdp, letzter Zugriff am 29. Juli 2021. 

Wir verwenden Cookies
Cookie-Einstellungen
Unten finden Sie Informationen über die Zwecke, für welche wir und unsere Partner Cookies verwenden und Daten verarbeiten. Sie können Ihre Einstellungen der Datenverarbeitung ändern und/oder detaillierte Informationen dazu auf der Website unserer Partner finden.
Analytische Cookies Alle deaktivieren
Funktionelle Cookies
Andere Cookies
Wir verwenden technische Cookies, um die Inhalte und Funktionen unserer Webseite darzustellen und Ihren Besuch bei uns zu erleichtern. Analytische Cookies werden nur mit Ihrer Zustimmung verwendet. Mehr über unsere Cookie-Verwendung
Einstellungen ändern Alle akzeptieren
Cookies