Suchen

Folgen fehlender Transparenz Cloud oder nicht Cloud? Wer ist für die Daten verantwortlich?

| Autor / Redakteur: Andreas Martens und Alexander Scharf* / Ulrike Ostler

Großrechner sowie Serversysteme in eigener Verantwortung erfreuen sich immer noch sehr großer Beliebtheit. Nach aktuellen Schätzungen laufen zum Beispiel noch immer etwa 85 Prozent aller Kreditkartentransaktionen auf solchen Rechnern. Warum ist das so? Warum migrieren nicht alle Unternehmen ihre Daten massiv in die Cloud?

Firma zum Thema

Wie Schutz und Transparenz zusammengehören, wenn es um die Datenmigration geht, erläutern Dr. Alexander Scharf und Dr. Andreas Martens.
Wie Schutz und Transparenz zusammengehören, wenn es um die Datenmigration geht, erläutern Dr. Alexander Scharf und Dr. Andreas Martens.
(Bild: misterfarmer auf Pixabay )

Die Vorteile der Cloud sind so offensichtlich. Angefangen bei der zeitnahen Skalierbarkeit der IT-Leistung und damit der leichteren Reaktion auf Lastspitzen, der hohen Zuverlässigkeit der IT-Infrastruktur und den geringen Verwaltungskosten bis hin zur Einsparung von Investitionskosten für die Beschaffung leistungsfähiger Server-Hardware.

Für das Zögern vieler Unternehmen gibt es mehrere Gründe. Einer davon ist immer noch das mangelnde Vertrauen in Cloud-Anbieter. Unternehmen, die hochsensible Informationen verarbeiten, sind zu Recht besonders vorsichtig.

Oftmals ist es aber auch so, dass die Unternehmen selbst nicht wissen, wo, welche und wie sie die sensiblen Informationen halten und verarbeiten. Und das ist der eigentliche Grund für das Zögern. Das darf aber kein Grund sein, denn dies liegt in der Hand des Unternehmens.

Licht ins Dunkel

Im Zusammenhang mit der Cloud wird heute der Begriff „shared responsibility model“ verwendet. Das bedeutet, dass die Cloud-Anbieter die Sicherheit der Cloud garantieren, während die Unternehmen die Sicherheit ihrer Daten in der Cloud sicherstellen.

Um mehr Klarheit in der Frage der Datenmigration in die Cloud zu erhalten, muss zu-nächst der Ist-Zustand ermittelt werden. Es sollte daher eine interaktive Landkarte mit sensiblen Daten erstellt werden, die dann als Entscheidungsgrundlage dafür dient, welche Daten (anonymisiert?) in die Cloud migriert werden und welche auf den Servern des Unternehmens verbleiben sollen. Wenn die Erhebung und Entpersonalisierung sensibler Daten dann auch noch auf der Basis maschinell lernender Algorithmen erfolgt, kann dies wesentlich genauer, schneller und kostengünstiger erfolgen als bei einer manuellen Vorgehensweise.

Aus rechtlicher Sicht ist hier zum einen zu prüfen, ob das Speichern von Daten in einer Cloud datenschutzrechtlich erlaubt ist und welche Rechte der so genannten betroffenen Personen (die Menschen, deren Daten sie in der Cloud speichern) berücksichtigt werden müssen.

Der Auftragsverarbeiter

Ein Cloud-Speicherdienst ist in aller Regel ein so genannter Auftragsverarbeiter (früher auch Auftragsdatenverarbeiter genannt). Dieser Auftragsverarbeiter wird nach Art. 28 DSGVO (Datenschutzgrundverordnung) nur - wie der Name schon sagt - im Auftrag des Verantwortlichen tätig. Er arbeitet auf Grundlage eines Vertrages und nur streng auf Weisung des Verantwortlichen, was vor allem bedeutet, dass er

  • die Daten nicht an ein Drittland übermittelt
  • gewährleistet, dass nur befugte Personen die Daten verarbeiten und sich diese vor-her zur Vertraulichkeit verpflichtet haben
  • den Verantwortlichen bei der Beantwortung von Anträgen auf Wahrnehmung der Betroffenenrechte unterstützt
  • nach Abschluss der Verarbeitungstätigkeiten die Daten entweder löscht oder dem Verantwortlichen zurückgibt
  • nur mit Zustimmung des Verantwortlichen Unter-Auftragsverarbeiter einsetzt
  • Überprüfungen und Inspektionen durch den Verantwortlichen bei sich zulässt.

Dr. Andreas Martens, Qurix Technology GmbH, beschäftigt sich mit Fragen der Datenmigration.
Dr. Andreas Martens, Qurix Technology GmbH, beschäftigt sich mit Fragen der Datenmigration.
(Bild: Andreas Martens )

Wesentliche Voraussetzung für die Rechtmäßigkeit einer Auftragsverarbeitung ist es, dass der Verantwortliche und der Auftragsverarbeiter neben dem Dienstleistungsvertrag eine Auftragsverarbeitungsvertrag schließen. Hinzu kommt, dass der Verantwortliche gemäß den Artikeln 13 und 14 DSGVO verpflichtet ist, den betroffenen Personen mitzuteilen, dass und wofür er Auftragsverarbeiter einsetzt.

Unsere Empfehlung wäre - haben Sie keine Angst vor Cloud. Schaffen Sie Transparenz in Ihren Daten und in gesetzlichen Rahmenbedingungen; Erarbeiten Sie eine Strategie für den Einsatz der Cloud-Technologie in Ihrem Unternehmen. Machen Sie eine Marktanalyse und entscheiden Sie sich für Ihren Cloud-Provider.

*Die Autoren sind Dr. Alexander Scharf, er arbeitet bei der Kanzlei Rechtsanwälte Scharf & Wolter PartGmbB, und Dr. Andreas Martens. Er leitet die Qurix Technology GmbH und hat sie gegründet.

Artikelfiles und Artikellinks

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 46488683)