Umzug in die Cloud: Das sollten Sie bei Datenschutz und IT-Sicherheit beachten

Cloud und Datenschutz – passt das zusammen? Viele Datenschützer:innen stehen der Nutzung von Cloud-Diensten kritisch gegenüber. Zumal die Nicht-Einhaltung der DSGVO teure Bußgelder nach sich ziehen kann. Genauso wie jede Software ist auch ein Cloud-Dienst nie zu einhundert Prozent sicher.

Dennoch können Sie wichtige Maßnahmen ergreifen, um den Umzug in die Cloud möglichst sicher und datenschutzkonform zu gestalten und von den Vorteilen des Cloud Computing profitieren.

Wir haben für Sie zusammengefasst, welche Aspekte aus dem Datenschutz und der IT-Sicherheit Sie bei dem Umzug in die Cloud berücksichtigen sollten. 

Jedes Unternehmen ist anders und somit auch unterschiedlichen Risiken ausgesetzt. Welche Anforderungen Sie an einen Cloud-Dienst haben, hängt unter anderem von Ihren individuellen Risiken und der Art der Cloud-Nutzung ab. Je nachdem, ob Sie lediglich Software as a Service oder ganze Infrastrukturen nutzen, kommen andere Anforderungen in Bezug auf Datenschutz und IT-Sicherheit auf Sie zu.

Daher sollten Sie zu Beginn eine Risikoanalyse durchführen und sich u.a. folgende Fragen stellen: Welche Verarbeitungen von personenbezogenen Daten sind durch die Nutzung des Cloud-Dienstes betroffen? Welche Kategorien personenbezogener Daten will ich in der Cloud verarbeiten? Welcher Schaden entsteht bei Verlust, Nicht-Verfügbarkeit oder Veränderung der Daten oder Anwendungen für die Betroffenen? Wo und auf welchem Weg können Unbefugte auf die Informationen zugreifen?

Darauf und auf Ihrer bereits bestehenden Sicherheits- und Risikoanalyse aufbauend können Sie Ihre Anforderungen und die benötigten technischen und organisatorischen Maßnahmen zur Einhaltung überprüfen und genauer bestimmen.

Das BSI empfiehlt allerdings mindestens die Maßnahmen aus der Zertifizierung C5 zu verlangen. Worum es dabei geht, erfahren Sie im nächsten Absatz. 

Bei der Auswahl eines geeigneten Dienstes können Zertifizierungen helfen. Im Folgenden stellen wir Ihnen drei gängige Zertifizierungen vor.

Eine mögliche Zertifizierung ist das Trusted Cloud Label, das im Technologieprogramm Trusted Cloud des Bundesministeriums für Wirtschaft und Energie entwickelt wurde und vor allem kleineren Unternehmen einen Bewertungsmaßstab für den geeigneten Einsatz von Cloud-Lösungen zur Verfügung stellen soll. Dabei werden sowohl Sicherheits- als auch Datenschutz-Kriterien berücksichtigt.

Auch die ISO 27018 – eine Erweiterung der ISO 27001 – ist ein guter Indikator für die Sicherheit und Datenschutzkonformität eines Cloud-Dienstes, da sie den Umgang mit personenbezogenen Daten in einer Cloud regelt. Ein Hauptaugenmerk liegt dabei auf Transparenz seitens des Dienstes: Dieser muss seinen Standort offenlegen, bei der Einsicht der Daten durch Dritte informieren sowie Konzepte zur Datenverfügbarkeit und zum Vorgehen bei Datenpannen vorlegen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit C5 (Cloud Computing Compliance Controls Catalogue) zusätzlich einen Kriterienkatalog entwickelt, der sich hauptsächlich mit der Sicherheit von Cloud-Lösungen beschäftigt. Dabei werden vor allem die technischen und organisatorischen Maßnahmen des Dienstes in Bezug auf die Organisation der Informationssicherheit, das Personal, die physische Sicherheit, kryptographische Maßnahmen, Change-Management und den Umgang mit Sicherheitsvorfällen geregelt. Dabei geht der Katalog speziell auf die Anforderungen im Cloud-Umfeld ein.

Idealerweise würde ein Cloud-Dienst sowohl die Vorgaben der ISO 27018 erfüllen als auch die des C5 des BSI. Dass ein Dienst beide Zertifizierungen vorweisen kann, ist allerdings unwahrscheinlich. Dennoch bieten Ihnen die Kriterien einen guten Ansatz, um mögliche Cloud-Dienste zu überprüfen. Die Kriterien aus der ISO 27018 können Sie sich zudem vertraglich zusichern lassen. 

Die Auswahl eines geeigneten Cloud-Dienstes kann sehr komplex sein. Neben den eigenen Zielvorstellungen und Anforderungen sollten Sie unbedingt auch die Themen Datenschutz und IT-Sicherheit bedenken. Möchten Sie personenbezogene Daten in der Cloud erheben, verarbeiten und speichern, muss diese zwingend DSGVO-konform sein. Zur Bewertung können Sie die zuvor skizzierten Zertifizierungen heranziehen.

Außerdem sollten Sie Cloud-Dienste mit Standort in der EU oder sogar Deutschland bevorzugen. Dabei sollten Sie nicht nur den eigentlichen Cloud-Dienst, sondern auch potenzielle Unterauftragehmer:innen überprüfen. Stellen Sie außerdem sicher, dass der Dienst einen Notfallplan hat.

Bei der Wahl eines Cloud-Dienstes empfiehlt der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI), darauf zu achten, dass dieser offene, transparente und detaillierte Informationen zur Verfügung stellt. 

Diese sollten für technische, organisatorische und rechtliche Rahmenbedingungen inklusive eines Sicherheitskonzeptes sowie für die vertraglichen Regelungen der Datenverarbeitungen vorliegen. Laut LDI sollten Sie außerdem aktuelle Zertifizierungen und Audits berücksichtigen.

Zudem sollten Sie darauf achten, dass Sie die gesetzlichen Regelungen wie das Mitbestimmungsrecht der Personalvertretung einhalten. Dies gilt auch schon für die eventuell vorgelagerten Tests des Cloud-Dienstes. 

Cloud-Dienste gelten als Auftragsverarbeiter. Daher sollten Sie unbedingt einen Auftragsverarbeitungsvertrag mit dem Cloud-Dienst schließen, wenn Sie in die Cloud ziehen. Lassen Sie vorab von Ihrem Datenschutz-Team prüfen, ob dieser konform zu Art. 28 und Art. 32 DSGVO ist. Außerdem sollte überprüft werden, ob der Cloud-Dienst die erforderlichen technischen und organisatorischen Maßnahmen beschrieben hat und ob eine Drittlandübermittlung vorliegt. Auch die Kontrollrechte werden an dieser Stelle festgehalten, sodass Sie als Verantwortliche:r die Datenschutzkonformität des Cloud-Dienstes überprüfen können.

Bei der Nutzung von Cloud-Lösungen sollten Sie nicht nur auf das Sicherheitskonzept des Dienstes achten, sondern auch Ihr eigenes Konzept unter die Lupe nehmen und anpassen. Aus den zuvor ermittelten Risiken können Sie die benötigten Maßnahmen ableiten und in Ihr Konzept einfließen lassen. Die beschlossenen Maßnahmen sollten Sie dokumentieren, kommunizieren und den betroffenen Mitarbeitenden zur Verfügung stellen.

Folgende Punkte sollten Sie in Ihrem Konzept regeln: 

• Sichere Cloud-Administration (Vier-Augen-Prinzip)
• Sicherer Cloud Zugang (2-Faktor Authentisierung)
• Betriebsprozesse und Prozesse im Sicherheitsmanagement
• Überwachung der Service-Erbringung und Berichtswesen
• Verschlüsselung der Informationen bei Speicherung und Übertragung
• Vergabe und Entzug von Berechtigungen
• Datensicherungen
• Löschkonzept
• Archivierung
• Incident-Management  

Wenn Sie personenbezogene Daten in einer Cloud speichern, ist dies je nach Cloud-Service auch in Ihrer Datenschutzerklärung aufzuführen – ganz nach dem Grundsatz der Transparenz.

Sowohl aus Sicht des Datenschutzes als auch der IT-Sicherheit gibt es beim Umzug in die Cloud also viel zu beachten. Damit der Umzug rechtssicher gelingt, sollten Ihre Datenschutz- und IT-Abteilungen eng zusammenarbeiten. Außerdem bietet es sich in vielen Fällen an, externe Unterstützung in Anspruch zu nehmen und von der Expertise erfahrener Datenschutz- und Informationssicherheitsbeauftragter zu profitieren. 

Bundesamt für Sicherheit in der Informationstechnik (2016): „Sichere Nutzung von Cloud-Diensten. Schritt für Schritt von der Strategie bis zum Vertragsende“, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Sichere_Nutzung_Cloud_Dienste.pdf?__blob=publicationFile&v=1, letzter Zugriff am 28. März 2023.

Reichlin, Maximilian (2023): „DSGVO konforme Cloud: 23 Anbieter im Vergleich“, trusted, 13. Februar 2023, https://trusted.de/cloud-speicher-mit-dsgvo, letzter Zugriff am 28. März 2023.
Trusted Cloud (o. J.): Trusted Cloud, https://www.trusted-cloud.de/, letzter Zugriff am 28. März 2023.