Vertraut mit der Cloud?
Das Leben in der Wolke birgt aber auch Risiken, beispielsweise der viel diskutierte Zugriff auf die Daten seitens des Cloud-Anbieters, Dritter oder Geheimdienste, oder die Themen Datenverlust und Datenmanipulation sowie vorübergehende Nicht-Verfügbarkeit des Dienstes einschließlich möglicher Folgeprobleme des Ausfalls. In letzter Zeit mehren sich vor allem Meldungen zu Cyberattacken, infolgedessen es zu Datenabflüssen oder durch Verschlüsselungen zu einer Nicht-Verfügbarkeit der Daten kommt.
Möchten Unternehmen ihre Daten in der Cloud verarbeiten, müssen diese im Einklang mit den geltenden Bestimmungen geschützt sein. Dabei kommen vor allem Vorgaben aus der Datenschutz-Grundverordnung (DSGVO) in Betracht, je nach Art der Daten könnten aber auch andere Gesetze zu beachten sein, etwa die Abgabenordnung bei der Verarbeitung steuerrechtlicher Daten oder das Handelsgesetzbuch bei der Verarbeitung buchführungsrelevanter Daten. Die Compliance-Verantwortung liegt bei den Unternehmen, die die Cloud-Dienste verwenden. Verstöße können zu Geldstrafen führen oder sogar strafrechtliche Konsequenzen haben. Vorstände oder Geschäftsführer haften unter Umständen sogar persönlich.
"Die Compliance-Verantwortung liegt bei den Unternehmen, die die Cloud-Dienste verwenden. Verstöße können zu Geldstrafen führen oder sogar strafrechtliche Konsequenzen haben."
Der Weg zu mehr Sicherheit
Um die Risiken so niedrig wie möglich zu halten, hat beispielsweise das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue) erstellt, den Unternehmen als Orientierung heranziehen können. Daneben haben auch Datenschutzaufsichtsbehörden eine Orientierungshilfe zum Thema Cloud-Computing veröffentlicht. Diese ist zwar schon aus dem Jahr 2014, die Kernelemente haben sich dies bezüglich aber nicht wesentlich verändert. Auch damals war schon die Frage potenzieller Zugriffe durch ausländische Nachrichtendienste ein Thema. Insbesondere Verschlüsselungstechniken scheinen hier der Weg für die Zukunft zu sein.
Fazit
Melanie Ludolph ist Rechtsanwältin bei Fieldfisher, einer internationalen Wirtschaftskanzlei mit besonderer Expertise im Technologie-, IT- und Datenschutzrecht. Zuvor hat sie mehrere Jahre für ein spezialisiertes Beratungsunternehmen gearbeitet und dort Unternehmen und internationale Konzerne aus unterschiedlichen Branchen zu allen Themen des Datenschutzrechts und angrenzender Rechtsgebiete beraten. Für com! professional stellt Melanie Ludolph jeden Monat aktuelle Themen aus dem IT- und Datenschutzrecht vor.
Kommentar
Cloud-Computing: Ab in die Wolken - aber sicher!
Cloud-Computing ist in der heutigen Zeit nicht mehr wegzudenken. Angepasst an das jeweilige Geschäftsmodell sind Unternehmen flexibel und Prozesse sind durch Cloud-Dienste schier unendlich skalierbar. Doch auf der anderen Seite der Medaille stehen sich häufende Meldungen über Cyberattacken oder Zugriffen von ausländischen Behörden auf Daten in der Cloud. Unternehmen können und müssen handeln.
Beim Cloud-Computing werden Datenverarbeitungen an externe Unternehmen ausgelagert, so dass sich Anwendungen (und Daten) nicht mehr im eigenen Netzwerk, sondern eben in der Cloud befinden. Mittels Fernzugriff, dem sogenannten Remote Access, können Unternehmen dann weltweit auf ihre Daten zugreifen. Besonders beliebt sind SaaS-Lösungen (Software as a Service) wie Microsoft 365, Google Workspace oder die CRM-Management-Werkzeuge von Salesforce. Etwa neun von zehn deutschen Unternehmen sind bereits Cloud-Kunden, Tendenz steigend. Am meisten profitieren von diesem Trend - wie die vorherige Aufzählung schon vermuten lässt - vor allem US-Unternehmen, denn etwa die Hälfte des Umsatzes wird von US-Playern erwirtschaftet. Im Ranking kommt danach China, europäische oder gar deutsche Unternehmen sind nicht so umsatzstark.