idgard logo small
Glossar

DSGVO-konforme Cloud-Lösungen: Was Unternehmen wissen sollten

Wer auf Cloud-Dienste setzt, steht vor einer Herausforderung: Denn die Datenschutz-Grundverordnung (DSGVO) verpflichtet Unternehmen in der EU dazu, (personenbezogene) Daten rechtskonform zu speichern und zu verarbeiten. Um diese Anforderungen zu erfüllen, gilt es, auf DSGVO-konforme Cloud-Lösungen zu setzen. Doch was genau macht eine DSGVO-Cloud aus, und wie stellen Unternehmen sicher, dass ihre Daten geschützt sind? Dieser Beitrag verrät, was Sie über DSGVO-konforme Clouds wissen müssen.

Keyfacts

  • Eine DSGVO-Cloud ist eine Cloud-basierte Lösung, die die Anforderungen der Datenschutz-Grundverordnung (DSGVO) erfüllt.
  • Faktoren für DSGVO-konforme Clouds sind unter anderem zertifizierte DSGVO-Konformität, ein sicherer Serverstandort und Zugangskontrollen.
  • Vorteile von DSGVO-Clouds: Rechtssicherheit, neueste Sicherheitstechnologien, verbessertes Unternehmensimage und stärkeres Kundenvertrauen.

👉 Maximale Datensicherheit in der Cloud – so geht’s! DSGVO-konforme Cloud-Lösungen setzen auf höchste Sicherheitsstandards, um sensible Daten vor unbefugtem Zugriff zu schützen. Wie das mit der patentierten Sealed-Cloud-Technologie gelingt und warum sie selbst strengste Datenschutzanforderungen erfüllt, erfahren Sie in unserem Whitepaper “Technische und organisatorische Maßnahmen hinter idgard“. Jetzt herunterladen!

Inhaltsverzeichnis

  1. Welche Datenschutzherausforderungen (DSGVO) gibt es beim Cloud Computing?

  2. Welche Anforderungen stellt die DSGVO an Cloud-Dienste?

  3. Was macht einen Cloud-Dienst DSGVO-konform?

  4. Was sind die Vorteile von DSGVO-konformen Cloud-Lösungen?

  5. Welche Datenschutzmaßnahmen sind zu treffen, damit die Cloud DSGVO-konform ist?

  6. Was sind die Konsequenzen einer nicht DSGVO-konformen Cloud-Lösung?

  7. FAQs

1. Welche Datenschutzherausforderungen (DSGVO) gibt es beim Cloud Computing?

Die Nutzung von Cloud-Diensten bringt zahlreiche Vorteile mit sich – aber auch große Herausforderungen, vor allem in Sachen Datenschutz. Insbesondere die Verarbeitung personenbezogener Daten in der Cloud muss DSGVO-konform erfolgen, damit das Unternehmen nicht Gefahr läuft, gegen geltendes Recht zu verstoßen und hohe Bußgelder auferlegt zu bekommen. Insbesondere diese Aspekte gilt es daher zu beachten:

1. Rechtskonformität und Datenkontrolle

Unternehmen müssen sicherstellen, dass die Verarbeitung personenbezogener Daten in der Cloud rechtmäßig erfolgt und sie die Kontrolle über diese Daten behalten (Datensouveränität). Um DSGVO-konform zu sein, gilt es, klare Vereinbarungen mit Cloud-Anbietern hinsichtlich der Datenverarbeitung und -speicherung zu treffen. Hierzu gehören zum Beispiel ein sicherer Speicherort in der EU oder einem Land mit gleichwertigen Datenschutzbedingungen. Zudem müssen betroffene Personen ihre Rechte – wie das Recht auf Auskunft oder Löschung – problemlos ausüben können. Dies erfordert transparente Löschkonzepte sowie technische und organisatorische Maßnahmen wie Verschlüsselung und strenge Zugriffskontrollen, die unbefugten Zugriff verhindern.

2. Datensicherheit und Stand der Technik

Die DSGVO verlangt, dass technische und organisatorische Maßnahmen (TOM) dem aktuellen Stand der Technik entsprechen, damit die Sicherheit der verarbeiteten Daten gewährleistet ist. Zu den TOM gehören beispielsweise Vorkehrungen, die vertrauliche Informationen vor unbefugtem Zugriff schützen oder solche, die Datenverlust und -kompromittierung verhindern.

👉 Sie möchten mehr zum Thema Datensicherheit erfahren? In diesem Whitepaper verraten wir, wie Sie sensible geschäftskritische Daten bestmöglich schützen. Jetzt Whitepaper Datensicherheit herunterladen!

3. Privacy by Design

Der Datenschutz sollte schon bei der Entwicklung neuer Technologien Berücksichtigung finden (Privacy by Design). Ziel ist es, Nutzer automatisch vor möglichen Beeinträchtigungen ihrer Rechte und Freiheiten zu schützen, ohne dass sie selbst aktiv etwas dafür tun müssen. Daher müssen Sicherheits- und Datenschutzvorgaben bereits bei der Konzeption und Programmierung von Software, Hardware und digitalen Anwendungen eine zentrale Rolle spielen und sicherstellen, dass personenbezogene Daten von vornherein umfassend geschützt sind. Dieser Ansatz wurde bereits 2010 von der internationalen Konferenz für Datenschutz als globaler Standard festgelegt. Auch die DSGVO fordert dieses Prinzip in Artikel 25 unter dem Begriff „Datenschutz durch Technikgestaltung“.

4. Privacy by Default

Neben „Datenschutz durch Technikgestaltung“ fordert die DSGVO in Artikel 25 auch „Datenschutz durch datenschutzfreundliche Voreinstellungen“ (Privacy by Default). Das bedeutet, dass die Werkeinstellungen datenverarbeitender Technologien datenschutzfreundlich auszugestalten sind. So etwa müssen Anwendungen standardmäßig so konfiguriert sein, dass nur die für den jeweiligen Zweck notwendigen Informationen erhoben und verarbeitet werden.

5. Rechenschaftspflicht und Nachweisführung

Unternehmen sind verpflichtet, die Einhaltung der DSGVO nachzuweisen – auch in Bezug auf die Nutzung von Cloud-Speichern. Dies erfordert eine umfassende Dokumentation der Datenverarbeitungsprozesse sowie gegebenenfalls die Durchführung von Datenschutz-Folgenabschätzungen.

6. Auftragsverarbeitung & Verantwortlichkeiten

Unternehmen bleiben laut DSGVO trotz Auslagerung der Daten in die Cloud für den Schutz ihrer Daten verantwortlich. Deshalb erfordert die Inanspruchnahme eines Cloud-Dienstes einen DSGVO-konformen Auftragsverarbeitungsvertrag (AVV), in dem die Pflichten des Cloud-Anbieters geregelt sind. Dabei sind folgende Punkte besonders wichtig:

  • Subunternehmer: Der Cloud-Anbieter muss offenlegen, welche Subunternehmen er nutzt. Für den Fall, dass er in Zukunft weitere Unterhändler hinzuzieht, ist dem Cloud-Nutzer im Sinne der DSGVO ein Widerspruchsrecht einzuräumen, das es ihm erlaubt, vom Vertrag zurückzutreten.
  • Kontrollrechte: Der Cloud-Nutzer muss seine Kontrollrechte gemäß DSGVO wahrnehmen können. Ist eine Kontrolle direkt vor Ort nicht möglich, kann der Anbieter die Einhaltung der DSGVO auch durch entsprechende Audits oder Zertifikate nachweisen. Letztere muss der Anwender jedoch prüfen und dies entsprechend dokumentieren.
  • Datenlöschung: Nach Beendigung der Auftragsverarbeitung muss der Cloud-Anbieter personenbezogene Daten löschen oder herausgeben.

7. Datenübermittlung in Drittstaaten

Der Großteil der Anbieter nutzt Cloud-Speicher außerhalb des europäischen Wirtschaftsraums (EWR), sodass personenbezogene Daten in Staaten außerhalb des EWR gelangen könnten. Dies wirft nicht nur Fragen hinsichtlich des Datenschutzniveaus in diesen Ländern auf, sondern führt auch dazu, dass ein AVV unter Umständen nicht mehr ausreicht und somit die Rechtsgrundlage für die Datenübermittlung fehlt. Sinnvoll ist daher die Unterzeichnung einer EU-Standardvertragsklausel beider Parteien. Doch auch dann besteht aufgrund nationaler Gesetze, wie beispielsweise dem US CLOUD Act, kein 100-prozentiger Schutz vor Fremdzugriffen.

☝ Schon gewusst?

Risiko für den Datenschutz

⚡  Der 2018 verabschiedete US CLOUD Act ermöglicht US-Behörden den Zugriff auf Daten von US-Unternehmen – selbst dann, wenn diese auf Servern außerhalb der USA gespeichert sind. Damit unterliegen auch europäische Rechenzentren US-amerikanischem Recht, wenn sie von US-Anbietern betrieben werden.

⚡  Die DSGVO hingegen fordert den Schutz personenbezogener Daten vor unbefugtem Zugriff, was zum Problem wird, wenn der CLOUD Act greift.

Damit steht der CLOUD Act im direkten Widerspruch zur DSGVO, da er ausländischen Behörden Zugriff auf personenbezogene Daten ermöglicht.

👉 Expertentipp: Um Datenschutzrisiken zu vermeiden, sollten Unternehmen bevorzugt europäische Cloud-Anbieter nutzen oder sicherstellen, dass ihre Daten außerhalb des direkten Zugriffsbereichs US-amerikanischer Unternehmen gespeichert werden. Cloud-Dienste “Made in Germany” mit patentierten und zertifizierten Verfahren wie der Sealed-Cloud-Technologie und Serverstandorten ausschließlich in Deutschland können hier einfache Abhilfe schaffen.

2. Welche Anforderungen stellt die DSGVO an Cloud-Dienste?

Die meisten Cloud-Dienste verarbeiten täglich große Mengen personenbezogener Daten, wodurch sie unmittelbar den Vorgaben der DSGVO unterliegen. Um Datenschutz und Datensicherheit zu gewährleisten, müssen Cloud-Anbieter und Unternehmen, die solche Dienste nutzen, sowohl die sieben grundlegenden Datenschutzprinzipien der DSGVO als auch deren konkrete Anforderungen an die Datenverarbeitung beachten:

Die sieben Hauptprinzipien der DSGVO

Die Datenschutz-Grundverordnung legt einheitliche Regeln für den Schutz personenbezogener Daten in der EU fest. Die DSGVO verpflichtet sowohl Unternehmen als auch Cloud-Anbieter dazu, technische und organisatorische Maßnahmen zum Datenschutz zu treffen. Dabei beruhen alle Vorgaben auf sieben zentralen Datenschutzprinzipien, die auch für Cloud-Dienste relevant sind.

  1. Transparenz: Cloud-Anbieter müssen offenlegen, wie, wo und zu welchem Zweck sie personenbezogene Daten verarbeiten. Unternehmen, die Cloud-Dienste nutzen, sind verpflichtet, ihre Kunden oder Mitarbeiter darüber zu informieren.
  2. Datenminimierung: Unternehmen dürfen nur unbedingt notwendige personenbezogene Daten erheben und speichern. Der Cloud-Provider sollte Funktionen zur Anonymisierung oder Pseudonymisierung zur Verfügung stellen.
  3. Zweckbindung: Daten dürfen nur für den ursprünglichen Zweck verwendet werden. Cloud-Anbieter, die DSGVO-konform sein wollen, müssen garantieren, dass sie die übermittelten Daten weder für andere Zwecke analysieren noch an Dritte weitergeben.
  4. Richtigkeit: Personenbezogene Daten müssen stets aktuell sein. Hierzu sind die Cloud-Dienste angehalten, Funktionen zur Datenaktualisierung und -korrektur bereitzustellen.
  5. Speicherbegrenzung: Ebenso ist keine unbegrenzte Vorhaltung der Daten erlaubt. Um die Anforderungen der DSGVO zu erfüllen, sollte der Cloud-Anbieter daher automatische Löschkonzepte und Speicherfristen bereitstellen.
  6. Integrität und Vertraulichkeit: Cloud-Provider sind angehalten, technische Schutzmaßnahmen wie Verschlüsselung, Zugriffskontrollen und sichere Authentifizierungsverfahren zu implementieren, die die Vertraulichkeit der Daten gewährleisten.
  7. Rechenschaftspflicht: Unternehmen, die Cloud-Dienste nutzen, müssen nachweisen können, dass sie die DSGVO einhalten. Dazu gehören Verträge zur Auftragsverarbeitung (AVV) sowie regelmäßige Sicherheitsaudits und Datenschutz-Folgenabschätzungen.

Konkrete Anforderungen der DSGVO an Cloud-Dienste

  • Datenverarbeitung & -speicherung: Unternehmen müssen wissen, wo ihre Daten gespeichert und verarbeitet werden. Serverstandorte außerhalb der EU/des EWR erfordern zusätzliche Schutzmaßnahmen. Dazu gehören Standardvertragsklauseln (SCCs) oder ein gültiger Angemessenheitsbeschluss, wie aktuell der Datenschutzrahmen EU-USA. Allerdings kann es je nach Drittland und Datenkategorie erforderlich sein, zusätzliche technische und organisatorische Schutzmaßnahmen zu ergreifen, um das Datenschutzniveau der EU zu gewährleisten.
  • Einwilligung der Betroffenen: Die Verarbeitung personenbezogener Daten in der Cloud darf laut DSGVO nur dann erfolgen, wenn die betroffene Person dieser aktiv zustimmt oder eine andere Rechtsgrundlage vorliegt. Hierzu gehören beispielsweise rechtliche Verpflichtungen, die Daten zu speichern oder ein gültiger Vertrag, für dessen Erfüllung die Daten erforderlich sind. Insbesondere für Tracking, Analysen und Profiling durch Cloud-Anbieter ist jedoch eine freiwillige, spezifische, informierte, unmissverständliche und jederzeit widerrufbare Einwilligung des Nutzers erforderlich.
  • Rechte der Betroffenen: Cloud-Dienste müssen sicherstellen, dass Nutzer ihre Daten einsehen, korrigieren oder löschen lassen können (zum Beispiel durch ein nutzerfreundliches Löschkonzept). Weitere Rechte, die die betroffenen Personen haben, sind Recht auf Auskunft, Einschränkung der Daten und die Datenübertragbarkeit, die einen einfachen Wechsel zu einem anderen Anbieter erlauben soll.
  • Meldung von Datenschutzverletzungen: Verantwortliche sind verpflichtet, Datenschutzverstöße innerhalb von 72 Stunden den Aufsichtsbehörden zu melden und betroffene Unternehmen oder Personen zu informieren. Wird eine Datenschutzverletzung bekannt, muss der Cloud-Anbieter als Auftragsverarbeiter gemäß DSGVO die verantwortliche Stelle unverzüglich darüber in Kenntnis setzen. Zudem sollte er sicherstellen, dass es klare Notfall- und Incident-Response-Prozesse gibt.

☝ Schon gewusst?

Ein Angemessenheitsbeschluss ist ein Instrument der Datenschutz-Grundverordnung, das es ermöglicht, personenbezogene Daten aus der EU in Drittländer zu übermitteln, wenn diese ein vergleichbares Schutzniveau gewährleisten. Daten können dann ohne zusätzliche Maßnahmen wie SCCs übertragen werden. Ein Drittland muss ein „der Sache nach gleichwertiges“ Datenschutzniveau bieten. Dies wird anhand folgender Aspekte geprüft:

✅ Datenschutzgrundsätze

✅ Individuelle Rechte der Betroffenen

✅ Unabhängige Aufsicht

✅ Wirksame Rechtsbehelfe

Ein Beispiel für einen solchen Angemessenheitsbeschluss ist der Datenschutzrahmen EU-USA. Dieser erlaubt die sichere und ungehinderte Datenübermittlung an US-Unternehmen, die am Datenschutzrahmen teilnehmen.

3. Was macht einen Cloud-Dienst DSGVO-konform?

Um sicherzustellen, dass ein Cloud-Dienst die strengen Anforderungen der DSGVO erfüllt, sollten Unternehmen auf folgende Merkmale achten:

  • Geprüfte Sicherheit: Zertifikate und Nachweise

Entsprechende Zertifikate belegen die DSGVO-Konformität von Cloud-Diensten. Besonders relevant sind etwa TCDP (Trusted Cloud Datenschutz-Profil), AUDITOR oder das Trusted-Cloud-Siegel, das in Zusammenarbeit vom Bundesministerium für Wirtschaft und Energie mit der Stiftung Datenschutz entwickelt wurde.

Tipp: Achten Sie auf Zertifizierungen, die explizit den Datenschutz in der Cloud abdecken. Ein ISO/IEC-27001-Zertifikat garantiert zwar hohe IT-Sicherheitsstandards,ist jedoch kein Beweis für DSGVO-Konformität.

  • Rechenzentren an sicheren Standorten

Die DSGVO verlangt, dass personenbezogene Daten nur innerhalb der EU oder in Ländern mit einem vergleichbaren Datenschutzniveau verarbeitet werden. Cloud-Dienste mit Rechenzentren innerhalb der EU unterliegen der DSGVO und sind daher meist unproblematisch. Ist der Serverstandort jedoch außerhalb der EU, sind zusätzliche Schutzmaßnahmen wie der Abschluss von Standardvertragsklauseln oder Angemessenheitsbeschlüssen erforderlich.

  • Datenschutz durch Technik: Verschlüsselung und Sicherheitsvorkehrungen

Ein DSGVO-konformer Cloud-Dienst muss personenbezogene Daten umfassend vor unbefugtem Zugriff schützen. Hierzu gehören nicht nur die regelmäßige Aktualisierung von Firewalls und Virenschutzprogrammen, sondern auch eine starke Verschlüsselung der Daten[AS1]  – sowohl während ihrer Übertragung (“Data in Transit”) und Speicherung (“Data at Rest”) als auch während ihrer Bearbeitung (“Data in Use”).

👉 Expertentipp: Wählen Sie einen Cloud-Anbieter, der auf Technologien wie die Sealed Cloud setzt: Diese schützt die Daten durch spezielle Verschlüsselungsverfahren und eine sichere Schlüsselverwaltung vor unautorisierten Zugriffen – und schließt selbst den Cloud-Anbieter technisch vollständig aus (Betreiberausschluss).

  • Geschützter Zugriff: Zugangskontrollen und Authentifizierung

Ebenfalls wichtig ist es, starke Zugangskontrollen wie Multi-Faktor-Authentifizierung (MFA) und rollenbasierte Zugriffsrechte einzurichten und diese in regelmäßigen Abständen auf den Prüfstand zu stellen. So können nur autorisierte Personen auf sensible Informationen zugreifen, was Sicherheitsrisiken minimiert.

  • Klare Regeln: Transparenz und Nutzungsbedingungen

Cloud-Anbieter müssen klare und transparente Nutzungsbedingungen bereitstellen, in denen sie detailliert beschreiben, wie sie personenbezogene Daten verarbeiten und schützen. Um der DSGVO zu entsprechen, sollten diese Bedingungen für die Cloud-Nutzer leicht zugänglich und verständlich sein.

Datenschutzzertifizierung von Cloud-Diensten

In diesem Whitepaper erfahren Sie,
– wie Sie als Unternehmen Ihren Schutzbedarf ermitteln,
– was der Standard 27018 und das TCDP-Zertifikat beinhalten,
– nach welchen Kriterien Unternehmen Cloud-Dienste auswählen und wie Sie persönlich profitieren.
Jetzt Whitepaper „Datenschutzzertifizierung von Cloud-Diensten“ herunterladen!

4. Was sind die Vorteile von DSGVO-konformen Cloud-Lösungen?

DSGVO-konforme Cloud-Lösungen bieten Unternehmen zahlreiche Vorteile, die über die reine Einhaltung gesetzlicher Vorschriften hinausgehen:

  1. Rechtssicherheit

    Mit einer DSGVO-konformen Cloud-Lösung erfüllen Unternehmen die gesetzlichen Anforderungen und vermeiden empfindliche Strafen. So etwa setzen DSGVO-konforme Cloud-Dienste auf datenschutzfreundliche Technikgestaltung (Privacy by Design) und voreingestellte Datenschutzmaßnahmen (Privacy by Default).
  2. Stets aktuelle Sicherheitstechnologien

    Anbieter DSGVO-konformer Clouds investieren kontinuierlich in Sicherheitsmaßnahmen. Damit profitieren Unternehmen automatisch von neuesten Sicherheitsstandards.
  3. Datensouveränität

    Die DSGVO gibt klare Regeln zur Verarbeitung und Speicherung personenbezogener Daten vor. Rechenzentren in der EU, deren Betreiber ebenfalls in der EU ansässig sind,bieten mehr Kontrolle über die Daten, da sie nicht unter den US CLOUD Act oder andere Drittstaatengesetze fallen. Das stärkt die Datensouveränität von Unternehmen und reduziert die Gefahr von Datenschutzverstößen.
  4. Transparenz und Nachweisbarkeit (Rechenschaftspflicht)

    DSGVO-konforme Cloud-Anbieter sind verpflichtet, Unternehmen transparente Informationen über die Datenverarbeitung bereitzustellen. Dadurch können Unternehmen ihren eigenen Rechenschaftspflichten leichter nachkommen und das Risiko von Datenschutzverstößen minimieren. Durch klare vertragliche Regelungen (wie etwa AVV) behalten Unternehmen die Kontrolle über ihre Datenflüsse und können Compliance-Anforderungen nachweislich erfüllen.
  5. Zertifizierungen als Qualitätsnachweis

    Anbieter von DSGVO-konformen Cloud-Diensten können ihre Sicherheitsstandards durch unabhängige Zertifizierungen (beispielsweise nach TCDP) belegen. Dies erleichtert es Unternehmen, eventuellen Audits standzuhalten.
  6. Stärkung des Unternehmensimages und des Kundenvertrauens

    Unternehmen, die auf eine DSGVO-konforme Cloud setzen, signalisieren ihren Kunden, und Partnern, dass sie den Datenschutz und die Datensicherheit ernst nehmen. Besonders in sensiblen Branchen wie dem Finanzsektor, dem Gesundheitswesen oder der Rechtsberatung wird dies zunehmend zu einem entscheidenden Wettbewerbsfaktor.

5. Welche Datenschutzmaßnahmen sind zu treffen, damit die Cloud DSGVO-konform ist?

Bei der DSGVO-konformen Nutzung von Cloud-Diensten spielen insbesondere diese Maßnahmen eine entscheidende Rolle:

Compliance-Evaluierung

Je nach Branche können neben DSGVO und Bundesdatenschutzgesetz (BDSG) weitere Richtlinien gelten, zum Beispiel aus dem Wettbewerbs- oder Finanzrecht. Hier gilt es zu klären, wo das eigene Unternehmen steht und welche Regulierungen es befolgen muss.

Risikobewertung

Eine frühzeitige Risikobewertung hilft, den Schutzbedarf der Daten zu bestimmen. Einfache Faustregel: Je schutzbedürftiger die erhobenen oder zu verarbeitenden Daten sind, desto aufwändiger müssen die Maßnahmen zu ihrem Schutz ausfallen. Sinnvoll ist es daher, eine Datenklassifizierung durchzuführen, die die Daten in unterschiedliche Kategorien hinsichtlich ihrer Kritikalität und Sensibilität einstuft.

👉 Sie möchten mehr zum Thema Datenklassifizierung erfahren? Hier geht’s zum Guide „Schutz kritischer Geschäftsinformationen – So klassifizieren Sie Ihre Daten richtig“! 

Technische Maßnahmen zur Datensicherheit

Technische Maßnahmen sind essenziell, wenn es darum geht, den unbefugten Zugriff auf sensible Daten zu verhindern. Dazu gehören:

  • Firewalls und Antivirensoftware: Zum Schutz des Unternehmensnetzwerks vor Cyberangriffen gilt es, auf modernste Technologien zu setzen, die einen unautorisierten Zugang verhindern.
  • Passwortschutz: Alle unternehmensinternen Rechner und Systeme sollten mit sicheren Passwörtern geschützt sein.
  • Verschlüsselung: Moderne Verschlüsselungsverfahren schützen sensible Daten sowohl bei der Übertragung als auch bei der Speicherung und Bearbeitung. Ausreichend verschlüsselte Daten sind selbst im Falle eines Datenverlusts für Angreifer ohne den passenden Schlüssel nicht les- oder verwertbar. Aus diesem Grund wird Verschlüsselung in der DSGVO ausdrücklich als Datenschutzmaßnahme empfohlen.
  • Sicherungskopien (Backups): Um Datenverluste durch technische Defekte oder Benutzerfehler zu vermeiden (Data Loss Prevention), gilt es, regelmäßige Backups zu erstellen – auch von den Daten, die sich in der Cloud befinden.
  • Pseudonymisierung: Bei der Pseudonymisierung von personenbezogenen Daten werden gezielt identifizierende Informationen entfernt und durch zufällig generierte Zeichenketten ersetzt. Dies reduziert das Risiko bei Datenverlust oder -diebstahl.
  • Virtuelle Datenräume: Für besonders sensible Daten bietet sich die Nutzung eines virtuellen Datenraums an. Die bei solchen Plattformen zum Einsatz kommenden Schutzmaßnahmen gehen weit über diejenigen herkömmlicher File-Sharing-Dienste und Public-Cloud-Lösungen hinaus und lassen sich auch mit hohem Aufwand nicht austricksen. Somit eignen sich virtuelle Datenräume für den sicheren Austausch von Daten, Informationen und Dokumenten zwischen verschiedenen Parteien (etwa Kollegen, Kunden und Partnern).

☝ Schon gewusst?

Bei der Verarbeitung müssen die Daten zwar unverschlüsselt vorliegen, können aber durch entsprechende Infrastrukturen so geschützt werden, als wären sie weiterhin verschlüsselt. Beim Confidential Computing oder Sealed Computing erfolgt die Verarbeitung in speziell versiegelten Hardware-Umgebungen, die einen unbefugten Zugriff auf unverschlüsselte Daten zuverlässig ausschließen.

Organisatorische Maßnahmen zur Datensicherheit

Neben technischen Vorkehrungen sind auch organisatorische Maßnahmen erforderlich. Hierzu gehören:

  • Zugangskontrollen und Verhaltensrichtlinien: Je weniger Personen Zugriff auf sensible Daten haben, desto geringer ist das Risiko von versehentlichen oder vorsätzlichen Datenschutzverletzungen oder Datenverlusten. Daher ist es sinnvoll, eine klare Datenschutzrichtlinie zu erstellen, die Rollen und Verantwortlichkeiten der involvierten Mitarbeiter definiert. Dies stellt sicher, dass nur vertrauenswürdige Mitarbeiter mit einer hinreichenden Begründung Zugang zu sensiblen Daten.
  • Mitarbeitersensibilisierung: Der Faktor Mensch ist nach wie vor eines der größten Risiken für den Schutz sensibler Daten. Regelmäßige Security-Awareness-Schulungen helfen, das Bewusstsein der Mitarbeiter für Datenschutzmaßnahmen im Unternehmen zu stärken und einen unsachgemäßen Umgang mit den Daten zu verhindern.
  • Löschung: Laut DSGVO sind Unternehmen dazu verpflichtet, die Daten zu löschen, die sie nicht benötigen und sollten daher ein entsprechendes Löschkonzept inklusive Löschfristen und Laufzeiten aufstellen.
  • Dokumentation der Datenverarbeitung: Die Protokollierung, wer wann und wo welche Daten verarbeitet hat, erlaubt es, vorgenommene Modifikationen an den Daten nachzuvollziehen.
  • Schutz besonders sensibler Unterlagen: Besonders vertrauliche Informationen, wie Kunden-, Patienten- oder Mandantenakten, sind sicher aufzubewahren.

Versäumnisse beim Datenschutz können schnell teuer werden.

In diesem Whitepaper erfahren Sie,
– welche essenziellen Datenschutzmaßnahmen für Unternehmen es gibt,
– welche davon für Ihr Unternehmen relevant sind und
– wie Sie bei der Umsetzung am besten vorgehen
Jetzt Whitepaper Datenschutz Essentials herunterladen!

6 Was sind die Konsequenzen einer nicht DSGVO-konformen Cloud-Lösung?

Kommen bei der Verarbeitung personenbezogener Daten nicht DSGVO-konforme Cloud-Dienste zum Einsatz, drohen schwerwiegende Konsequenzen, die über finanzielle Strafen hinausgehen. Zu den Folgen einer Datenschutzverletzung zählen:

  1. Bußgelder

    Bei Verstößen gegen die DSGVO drohen Bußgelder bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzesje nachdem, welcher Betrag höher ist. Zudem können weitere Sanktionen wie Abmahnungen, Anweisungen zur Datenverarbeitung oder sogar ein Verbot der Datenverarbeitung folgen, was den Betrieb eines Unternehmens erheblich beeinträchtigen kann.
  2. Reputationsverlust

    Ein Verstoß gegen die DSGVO kann auch zu einem massiven Reputationsverlust führen. Kunden und Geschäftspartner verlieren möglicherweise das Vertrauen in ein Unternehmen, das nicht in der Lage ist, die Sicherheit ihrer Daten zu gewährleisten.
  3. Rechtliche Schritte

    Betroffene Personen können das Unternehmen auf Schadensersatz verklagen, was zu erheblichen finanziellen Belastungen führen kann.

7. FAQs

Was genau ist die DSGVO?

Die Europäische Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, die seit dem 25. Mai 2018 in Kraft ist. Sie regelt den Umgang mit Daten – insbesondere solche mit Personenbezug – und zielt darauf ab, einheitliche Datenschutzstandards in allen EU-Mitgliedstaaten zu etablieren. Die DSGVO stärkt die Rechte von Einzelpersonen hinsichtlich ihrer Daten und verlangt von Unternehmen, die Verarbeitung und Speicherung dieser Daten transparent und sicher zu gestalten. Zudem regelt die DSGVO, dass Daten nicht ohne Einwilligung der Dateninhaber an Dritte weitergegeben werden. Aus diesem Grund betrifft die DSGVO auch Daten in der Cloud.

Welche Rechte haben betroffene Personen gemäß DSGVO?

Die DSGVO gewährt betroffenen Personen eine Reihe von Rechten, die ihnen mehr Kontrolle über ihre personenbezogenen Daten geben. Dazu zählen

o   das Recht auf Löschung (Recht auf Vergessenwerden)

o   das Recht auf Zugang zu persönlichen Daten

o   das Recht auf Richtigstellung

o   das Recht auf Einschränkung der Datenverarbeitung.

Zudem können Betroffene der Verarbeitung ihrer Daten widersprechen oder verlangen, dass ihnen die Daten in einem für Drittanbieter nutzbaren Format ausgehändigt werden (Recht auf Datenübertragbarkeit)

Woran erkenne ich einen DSGVO-konformen Cloud-Dienst?

Ein DSGVO-konformer Cloud-Dienst weist mehrere Merkmale auf:

    Geprüfte Sicherheit: Zertifikate wie TCDP oder das Trusted-Cloud-Siegel bestätigen die Einhaltung der DSGVO-Vorgaben.
    Rechenzentren in sicheren Regionen: Die Datenverarbeitung erfolgt innerhalb der EU oder in Ländern mit vergleichbarem Datenschutzniveau.
    Datenschutz durch Technik: Robuste Sicherheitsmaßnahmen wie Verschlüsselung, regelmäßige Backups und Sicherheitsupdates schützen die Daten.
    Geschützter Zugriff: Starke Zugangskontrollen, etwa durch Multi-Faktor-Authentifizierung und rollenbasierte Zugriffsrechte, sichern den Zugang zu Daten.
    Klare Regeln: Transparente und verständliche Nutzungsbedingungen beschreiben die Datenverarbeitung und Sicherheitsvorkehrungen des Anbieters.

Was passiert, wenn ein Cloud-Dienst nicht DSGVO-konform ist?

Wenn ein Cloud-Dienst nicht DSGVO-konform ist, können Unternehmen mit empfindlichen Bußgeldern belegt werden, die bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes betragen können. Darüber hinaus drohen ein Imageverlust sowie eine nachhaltige Schädigung des Vertrauens von Kunden und Partnern.

Muss die Cloud in jedem Fall DSGVO-konform sein?

Nein. Wird die Cloud zu rein privaten Zwecken genutzt oder werden keine personenbezogenen Daten hochgeladen, greift die DSGVO nicht.

In diesem Whitepaper erfahren Sie,

welche essenziellen Datenschutz-Maßnahmen für Unternehmen es gibt, welche davon für Ihr Unternehmen relevant sind und wie Sie bei der Umsetzung am besten vorgehen.
Jetzt Whitepaper Datenschutz Essentials herunterladen
Das könnte Sie auch interessieren:
Weitere beliebte Artikel:

Möchten Sie weitere verwandte Inhalte lesen?

Was ist ein virtueller Datenraum?

Ob Finanzdaten, Gesundheitsdaten oder personenbezogene Mandanteninformationen – viele Daten sind nicht für die Augen Unbefugter bestimmt. Genau hier kommt virtuelle Datenraum Software ins Spiel, die durch technologische Maßnahmen einen sicheren Austausch auch hochsensibler Informationen ermöglicht. Was genau ein Datenraum ist, verrät unser Beitrag. Mehr erfahren >

Secure Content Collaboration

Secure Content Collaboration – das sichere Zusammenarbeiten und Austauschen von Daten in einer digitalen Umgebung – ist eine der zentralen Herausforderungen in der heutigen Arbeitswelt. Doch wie gelingt es Ihnen, die Content Collaboration für Ihr Unternehmen so sicher wie möglich zu gestalten? Und worauf müssen Sie dabei achten? Antworten auf diese Fragen erhalten Sie in unserem Glossarbeitrag. Mehr erfahren >

Data Loss Prevention: Strategien und Technologien für Unternehmen

Mit zunehmender Digitalisierung und dem Einsatz von Cloud-Technologien steigt das Risiko von Datenverlusten, sei es durch menschliches Versagen, Cyberangriffe oder technische Fehler. Data Loss Prevention (DLP) soll dabei helfen, den Verlust solcher Daten zu verhindern und die Einhaltung von Datenschutzvorschriften sicherzustellen. Dieser Beitrag gibt eine Einführung in die Grundlagen von DLP, beleuchtet relevante Technologien und zeigt praxisnahe Lösungen zur Umsetzung auf. Mehr erfahren >