Cloud Computing klingt klasse, dennoch frage ich mich, wie viele Leute denken, dass es wirklich eine Wolke gibt, die all unsere Daten speichert?
Cloud-Dienste sind das beste Beispiel für geschicktes Marketing – die angebotenen Dienste gab es so oder ähnlich alle schon. Aber mit der Cloud, diesem wolkigen Etwas, generierte Amazon 2017 immerhin 31 Prozent seines Umsatzes. Damit lässt sich also viel Geld verdienen.
Heutzutage läuft alles in der Cloud, oder besser gesagt, auf fremden Servern, ob die eigene Internetseite, Google Analytics, die private Datensicherung oder Kundendaten. Und weil alles über die Cloud läuft, ist die Beachtung der DSGVO so wichtig.
Sie als Cloud-Nutzer sollten wissen: Datenschutzrechtlich handelt es sich auch beim Cloud Computing um sogenannte Auftragsverarbeitung, also um die Verarbeitung personenbezogener Daten durch den Cloud-Anbieter im Auftrag des Cloud-Nutzers. Die DSGVO (Artikel 28) verlangt, dass der Cloud-Nutzer nur mit Cloud-Anbietern zusammenarbeitet, „die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet“.
Hier stellt sich für den Cloud-Nutzer die Frage: Was kann als entsprechende Garantie verstanden werden? Was sollte man bei der Cloud-Wahl beachten, um die Anforderungen der DSGVO zu erfüllen? Und haben etwa bei US-amerikanischen Anbietern die Behörden des Landes potenziell Zugriff auf die Daten?
Daher zuerst einmal die relevante Frage: Wo stehen diese Server? Sie stehen nicht in der Wolke, sondern irgendwo ganz real. Wir halten es aus datenschutzrechtlichen Gründen für empfehlenswert, dass diese Server in Europa oder besser noch in Deutschland stehen.
So bietet etwa Amazon zwar diverse Einstellungsmöglichkeiten an. Doch haben US-Behörden das Recht, über die Amazon-Admins in den USA auf Cloud-Daten zuzugreifen.
Dagegen hat Microsoft mit seiner Office 365-Anwendung die Deutsche Telekom beauftragt, Daten deutscher Kunden treuhänderisch zu verwalten, ohne Zugriffsmöglichkeit aus den USA.
Widmen wir uns nach der Standort-Frage nun auch dem Vertragswerk: Offeriert Ihr Cloud-Betreiber einen sogenannten Vertrag zur Auftragsdatenverarbeitung (ADV)? Für die Deutsche Telekom und viele andere (deutsche) Cloud-Anbieter ist dies Standard; sogar in Google Analytics findet sich die Möglichkeit zum Abschluss einer ADV.
Das Thema ist komplex und muss immer im Einzelfall betrachtet werden. Wir unterstützen Sie dabei gern – damit Ihre Korrespondenz sicher und DSGVO-gerecht in der Cloud abgelegt wird.