Gratis-Download

Bestimmt ist Ihr Unternehmen im Internet vertreten, vielleicht wird eine eigene Webseite betrieben oder gar ein Onlineshop. Wird gegen...

Jetzt downloaden

Nachschlag: Personenbezogene Daten in der Cloud

0 Beurteilungen

Von Wolfram von Gagern,

Noch mehr Informationen zum Thema Cloud nach einigen Leseranfragen.

Wenn Sie personenbezogene Daten in einer Cloud speichern möchten, müssen Sie die folgenden grundsätzlichen Punkte beachten:

Checkliste: Datenspeicherung in einer Cloud

  • Datenspeicherung innerhalb der EU.
  • Anbieter ist zertifiziert (TÜV, ISO 27001).
  • Verschlüsselung der Daten ist sichergestellt. Verschlüsselung erfolgt vor der Speicherung in der Cloud.
  • Passwörter und Verschlüsselungs-Keys werden sicher verwahrt.

Zum Thema „Datenspeicherung in der EU“ erhielt ich den Hinweis, dass man nach wohl überwiegender Ansicht sogar ein Dienst wie Dropbox benutzen könne, wenn die Daten (ordentlich) verschlüsselt werden, bevor Sie bei externen Dienstleistern abgespeichert werden.

 

US-Anbieter und -Töchter zur Datenherausgabe an US-Behörden verpflichtet

Aus rein rechtlicher Sicht mag dies zulässig sein, ich habe an dieser Stelle allerdings schon früher darauf hingewiesen, dass US-Anbieter von Cloud-Diensten auf Anforderung Daten aus der Cloud an das FBI oder andere US-Behörden weitergeben müssen.

Und auch die Niederlassungen von US-Firmen in anderen Ländern, also auch in der EU, müssen sich daran halten. Ich würde daher beispielsweise vom US-Anbieter Dropbox als Cloud-Lösung für sensible Unternehmensdaten abraten. Mein Hinweis auf EU-Länder von letzter Woche ging deshalb eigentlich sogar nicht weit genug, weil es sich am besten auch um EU-Firmen (und keine US-Tochterfirmen) handeln sollte. Danke auch für die entsprechende Leserzuschrift.

Mir persönlich wäre jedenfalls nicht wohl dabei, wenn ich wüsste, dass US-Behörden auf sensible Daten in meiner Cloud zugreifen dürfen. Und für Firmen spielt hier natürlich auch das Thema Industriespionage eine Rolle. Ob Sie den US-Behörden diesbezüglich trauen, müssen Sie selbst entscheiden …

Zertifizierung in der Kritik…

Zum Thema „Anbieter ist zertifiziert (TÜV, ISO 27001)“ bekam ich den Hinweis, dass diese Zertifizierung kontrovers diskutiert werde, da sie nicht zwingend alle Bereiche, die der Datenschutz erfordert, abdecke. Ich möchte dem gar nicht widersprechen, denke aber, dass diese aus mehr als 130 Punkten bestehende Zertifizierung jedenfalls ein gutes Maß an Sicherheit mit sich bringt und ein alternatives Gütesiegel (noch) nicht vorhanden ist.

Dennoch kann natürlich auch eine Cloud-Lösung ohne diese Zertifizierung empfehlenswert sein. Die Prüfung, ob diese Cloud sicher ist, müssen Sie dann aber selbst übernehmen, was für viele vor allem kleinere Unternehmen wenig praktikabel erscheint.

Konkurrenz erwächst dem ISO-Zertifikat derzeit aus dem EuroCloud SaaS Star Audit, eine Art Cloud-TÜV, der 3 bis 5 Sterne vergibt. Die Zertifizierung durch den EuroCloud Deutschland_eco e.V. steht im Vergleich zu altbewährten ISO-27001-Norm zwar noch am Anfang. Sie hat aber durchaus das Zeug, sich zu einem „Cloud-TÜV-Siegel“ zu entwickeln, und zwar europaweit.

Nicht blind auf Zertifikate vertrauen

Achtung: Vertrauen Sie nicht blind auf Zertifikate. Manchmal gelten diese nur Teile des Angebotes und umfassen nicht die komplette Cloud-Lösung. Und manche Zertifikate sind auch schon längst abgelaufen …

Der Vollständigkeit halber möchte ich noch das SAS-70-Zertifikat des American Institute of Certified Public Accountants (AICPA) erwähnen, das allerdings nur im angelsächsischen Raum von Bedeutung ist. Der Schwerpunkt von SAS 70 liegt in der Einhaltung von Compliance-Regelungen wie SOX (Sarbanes Oxley Act) im Rahmen des Cloud-Computings.

Dies gilt also besonders für Finanzdaten. Eine SAS-Zertifizierung kommt also vor allem dann in Frage, wenn Sie IT-Services an einen Cloud-Service-Provider auslagern, die mit dem Financial Reporting in Zusammenhang stehen. Für US-Cloud-Anbieter gilt natürlich auch hier das oben schon gesagte.

Datenschutz-Ticker

Mit jeder Ausgabe neue Tipps, Anregungen, Hinweise auf aktuelle Urteile und Gesetzesänderungen, aber auch auf so manche vorteilhafte Gestaltungsmöglichkeit, die sich Ihnen als Datenschutzbeauftragten bietet.

Datenschutz

Anzeige

Produktempfehlungen

Ihr starker Berater für ein rechtssicheres Online-Marketing

Praxisnahes Wissen zur Verbesserung und Erleichterung Ihrer Arbeit als betrieblicher Datenschutzbeauftragter!

Schnelle und einfache Mitarbeiterschulung

Umfassender Überblick für Datenschutzbeauftragte

Damit Sie auch die neuen Herausforderungen des betrieblichen Datenschutzes erfolgreich meistern!