GDPR-konforme Cloud

DSGVO-konforme Cloud: Die Auswirkungen der GDPR

15.03.2023

Was bedeutet GDPR?

GDPR steht für General Data Protection Regulation. In Deutschland kennen wir das primär unter dem Begriff der Datenschutz-Grundverordnung (DSGVO). Die Ausdrücke werden dementsprechend in diesem Artikel synonym verwendet.

Es ist eine Verordnung der Europäischen Union, die am 25. Mai 2018 in Kraft getreten ist. Sie legt fest, wie personenbezogene Daten von natürlichen Personen innerhalb der EU verarbeitet werden dürfen und soll den Schutz der Privatsphäre stärken. Es geht dabei also um Datenschutz als Grundrecht für die Menschen.

Die GDPR bzw. DSGVO und damit unter anderem der Datenschutz bei Cloud-Anbietern und deren Lösungen gilt für alle Unternehmen und Organisationen, die personenbezogene Daten von EU-Bürger:innen verarbeiten. Unabhängig davon, wo das Unternehmen sitzt. Das heißt, dass sich auch Firmen außerhalb der Europäischen Union daran halten müssen, sobald Daten von Personen aus der EU erhoben und verarbeitet werden.

Was ist eine Cloud?

Die Inhalte der Verordnung zum Datenschutz gelten für alle Bereiche und Angebote, demnach auch für Cloud-Anwendungen. Vor allem deshalb ist die Frage nach einer dsgvo-konformen Cloud und den Auswirkungen der GDPR auf solche Dienste wichtig, denn sehr viele Personen in der EU nutzen sie!

Cloud-Anbieter müssen sicherstellen, dass sie eine DSGVO-konforme Cloud anbieten.

Eine Cloud ist ein Netzwerk von Servern. Dieser Server stellen Daten, verschiedenste Anwendungen und andere Ressourcen bereit und machen sie über das Internet zugänglich.

Statt sich auf lokale Hardware oder eigene Server zu verlassen, können Unternehmen und Nutzer:innen auf die Cloud zugreifen. Sowohl zur Datenspeicherung und zum Datenaustausch als auch um diverse Anwendungen über die Cloud auszuführen.

𝚆𝚊𝚜 𝚍𝚊𝚜 𝚖𝚒𝚝 𝚜𝚒𝚌𝚑 𝚋𝚛𝚒𝚗𝚐𝚝?
𝙵𝚕𝚎𝚡𝚒𝚋𝚒𝚕𝚒𝚝ä𝚝 𝚞𝚗𝚍 𝚂𝚔𝚊𝚕𝚒𝚎𝚛𝚋𝚊𝚛𝚔𝚎𝚒𝚝!

Cloud-Technologien machen es möglich, Ressourcen genau dann zu nutzen, wenn sie benötigt werden. Außerdem können sie unkompliziert an die jeweiligen Bedürfnisse angepasst werden, sollten sie sich ändern. Das kann in Unternehmen natürlich jederzeit und vor allem auch immer wieder vorkommen.

Umgangssprachlich wird meist von der Cloud gesprochen, es gibt aber natürlich nicht die eine Cloud, sondern verschiedene Arten von Cloud-Diensten. Zum Beispiel Software as a Service (SaaS), Platform as a Service (PaaS) und Infrastructure as a Service (IaaS).

Mehr Informationen zu verschiedenen Cloud-Speichern, die Sicherheit von Cloud-Diensten gibt es in unserem Text über Cloud-Computing - auch als mögliche Lösung fürs Home-Office.

Software as a Service (SaaS)

Software as a Service (SaaS) ist ein Modell, bei dem einzelne Anwendungen über das Internet bereitgestellt werden.

Im Gegensatz zu herkömmlichen Softwares, die lokal auf den Computern der Nutzer:innen installiert werden müssen, wird die Software bei SaaS auf einem entfernten Server gehostet. Man kann über einen Webbrowser oder eine mobile App auf die Software zugreifen. In der Regel muss dafür eine monatliche oder jährliche Gebühr gezahlt werden.

SaaS bietet eine Reihe von Vorteilen. Darunter die Möglichkeit, von jedem Ort aus auf die Software zugreifen zu können, keine Installationen durchführen zu müssen und automatische Updates zu bekommen.

Platform as a Service (PaaS)

BBei Platform as a Service (PaaS) wird keine einzelne Software, sondern eine Plattform bereitgestellt.

Auf dieser Plattform können Entwickler:innen sowohl Anwendungen erstellen als auch bereitstellen. Typischerweise umfasst eine solche Plattform Betriebssysteme, Datenbanken, Entwicklungswerkzeuge und andere Ressourcen, die dafür gebraucht werden.

Ein weiteres Merkmal von PaaS ist es, dass der Anbieter die Verwaltung der Infrastruktur übernimmt. So können sich Entwickler:innen vollkommen auf die Programmierung konzentrieren und müssen sich nicht auch noch um die Infrastruktur kümmern. Das sieht bei Infrastructure as a Service (IaaS) anders aus.

Infrastructure as a Service (IaaS)

Beim Modell Infrastructure as a Service (IaaS) stellt ein Anbieter die Infrastruktur für die IT bereit. Dazu gehören beispielsweise Server, Speicher und Netzwerkkomponenten. Die Verwaltung wird an die Nutzer:innen abgegeben.

Sie können also via Internet auf die Infrastruktur zugreifen und sie nach Bedarf nutzen. Die Software und die Anwendungen, die auf dieser Infrastruktur ausgeführt werden, müssen allerdings selbst verwaltet werden. Ein Gegensatz zu Platform as a Service (PaaS) und Software as a Service (SaaS), wo der Anbieter die Verwaltung übernimmt.

IaaS bietet Unternehmen die Möglichkeit, IT-Ressourcen zu nutzen, ohne sie selbst zu besitzen. So kann die eigene IT-Infrastruktur schnell und einfach skaliert werden.

Auswirkungen der General Data Protection Regulation (GDPR)

Die General Data Protection Regulation hat weitreichende Auswirkungen auf Unternehmen, die personenbezogene Daten von EU-Bürger:innen verarbeiten. Genauer gesagt auf die Art und Weise, wie solche Firmen und Organisationen mit den Daten umgehen.

Die GDPR verlangt einige Maßnahmen, die zum Schutz der Privatsphäre natürlicher Personen ergriffen werden müssen. Wie eingangs erwähnt, gilt die Verordnung unabhängig davon, wo sich das Unternehmen befindet. Sobald es um Daten von EU-Bürgerinnen und -Bürgern geht, müssen die Regeln eingehalten werden.

Unternehmen müssen sicherstellen, dass sie die Anforderungen der GDPR erfüllen. Das können sie durch verschiedene Maßnahmen und Mittel erreichen.

  • Wichtig ist es, die Einwilligung der betroffenen Personen einzuholen, wenn das für die Verarbeitung von Daten erforderlich ist - und das ist es mittlerweile so gut wie immer.
  • Es sollte sichergestellt werden, dass wirklich nur notwendige personenbezogenen Daten erhoben und verarbeitet werden. So kann das Risiko von Verstößen minimiert werden.
  • Unternehmen sollten betroffene Personen immer über ihre Rechte informieren und sicherstellen, dass diese sie auch ausüben können. Denn nicht jeder Mensch ist automatisch dazu in der Lage.
  • Jedes Unternehmen kann eine Datenschutz-Folgenabschätzung durchführen, um Verstöße gegen die Datenschutzrichtlinien zu vermeiden. So eine Risikoabschätzung hilft dabei festzustellen, welche Auswirkungen die Verarbeitung von Daten auf die Rechte und Freiheiten der betroffenen Personen hat.
  • Es sollten sowohl technische als auch organisatorische Maßnahmen getroffen werden, um den Schutz personenbezogener Daten zu gewährleisten.

Wer die Anforderungen der GDPR nicht erfüllt, riskiert Bußgelder, deren Höhe für ein Unternehmen ziemlich schmerzhaft sein können. Wie teuer solche Verstöße werden können, hängt vom Einzelfall und von verschiedenen Faktoren ab. Unter anderem davon, wie schwerwiegend der Verstoß ist und wie hoch der Umsatz des betroffenen Unternehmens.

Es kann so ziemlich alles an Geldbeträgen dabei sein, was man sich vorstellen kann. Nicht allzu schlimme Verstöße können einige Hundert bis Tausende Euro kosten. Manche Zehntausende oder eine halbe Million Euro, besonders schwere Verstöße sogar bis zu 20 Millionen Euro.

Grundsätzlich sind nach oben aber keine Grenzen gesetzt. Ein Unternehmen wie Meta, was entsprechende Umsätze generiert, ist von der irischen Datenschutzbehörde auch schon mit einem DSGVO-Bußgeld in Höhe von 390 Millionen Euro belegt worden - für Verstöße in den sozialen Medien Facebook und Instagram.

Wie bekomme ich eine DSGVO-konforme Cloud?

Eine DSGVO-konforme Cloud braucht eine Cloud-Plattform, die den Anforderungen der GDPR entspricht. Sie stellt sicher, dass die Verarbeitung personenbezogener Daten den aktuellen Datenschutzgesetzen folgt.

Um den Cloud-Datenschutz zu gewährleisten, können Sie bei der Auswahl Ihres Cloud-Anbieters unter anderem auf folgende Punkte achten:

  1. Wählen Sie einen Anbieter, der sich offiziell und somit für alle sichtbar dazu verpflichtet, die Anforderungen der GDPR zu erfüllen. Viele Cloud-Anbieter machen in ihren Nutzungsbedingungen oder Datenschutzbestimmungen klare Angaben darüber, wie sie die Datenschutz-Anforderungen erfüllen.
  2. Halten Sie ggf. vertraglich fest, dass die Anforderungen der GDPR erfüllt werden. Das kann in Form von Dienstleistungsvereinbarungen oder Datenschutzklauseln in den Nutzungsbedingungen passieren.
  3. Stellen Sie sicher, dass der Anbieter klare Bestimmungen zur Datenspeicherung und -verarbeitung hat. Diese sollten festlegen, wo die Daten gespeichert werden, wie lange sie gespeichert werden und wer Zugriff darauf hat.
  4. Prüfen Sie, ob der Cloud-Anbieter umfangreiche Sicherheitsmaßnahmen hat, die den Schutz Ihrer Daten gewährleisten. Dazu gehören zum Beispiel Verschlüsselung, Zugriffskontrollen und regelmäßige Sicherheitsüberprüfungen.
  5. Achten Sie darauf, dass der Anbieter transparent ist und klare Informationen darüber gibt, wie er mit den Daten umgeht. Er sollte bereit sein, Ihnen auf Anfrage Informationen über die Verarbeitung Ihrer Daten zu geben.
  6. Stellen Sie sicher, dass der Cloud-Anbieter regelmäßig überprüft wird. So kann man sicher sein, dass er den Anforderungen der GDPR auch langfristig entspricht.

Fazit

Die General Data Protection Regulation oder auch Datenschutz-Grundverordnung ist eine Verordnung der Europäischen Union, um den Schutz personenbezogener Daten von EU-Bürger:innen zu stärken. Sie wurde am 27. April 2016 beschlossen und am 25. Mai 2018 umgesetzt.

Seitdem legt die Verordnung fest, wie Unternehmen und Organisationen innerhalb der EU mit personenbezogenen Daten umgehen müssen. Sie gilt für alle Unternehmen und Organisationen, die solche Daten von EU-Bürgerinnen und -Bürgern erheben und verarbeiten. Und zwar unabhängig davon, wo der Firmensitz ist.

Unternehmen müssen sicherstellen, dass sie die Anforderungen der GDPR erfüllen, um Bußgelder zu vermeiden. Diese können in einem Bereich von wenigen Hundert bis mehreren Millionen Euro liegen, je nach Verstoß.

Dadurch hat die DSGVO natürlich auch Konsequenzen für die Wahl einer Cloud-Plattform. Anbieter müssen sicherstellen, dass die Cloud-Plattform den Anforderungen der GDPR entspricht, um keine unvorhergesehenen Probleme zu bekommen.

Da solche Probleme letztendlich auch Sie betreffen könnten, sollten Sie sich vorab also ausführlich darüber erkundigen, ob der Cloud-Anbieter Ihrer Wahl sich an die Datenschutzbestimmungen hält.

Mehr Informationen?

Weißes Männchen vor einem hellblauen Informations-i. Auf der Brust das hellblaue Logo unserer Firma.

Sie interessieren sich für Cloud-Computing? Sie haben Fragen oder benötigen eine Anwendung oder Software für Ihr Unternehmen? Wir sind Ihr Partner für die individuelle Softwareentwicklung und informieren Sie gerne über alles, was Sie rund um das ganze Thema wissen möchten und müssen.

Schreiben Sie uns eine Mail, nutzen Sie unser Kontaktformular oder rufen Sie uns einfach an, um einen Termin zu vereinbaren. Wir erstellen Ihnen gerne ein Angebot – selbstverständlich kostenlos und unverbindlich!