Los gehts!
Cloud-Dienste DSGVO-konform: So lagerst du Daten sicher in der Wolke

Cloud-Dienste DSGVO-konform: So lagerst du Daten sicher in der Wolke

Cloud-Dienste DSGVO-konform: Worauf du bei Verträgen, Serverstandorten und Schutzmaßnahmen achten musst.

Die Auslagerung von Daten in die Cloud ist verlockend: weniger Hardwarekosten, mehr Flexibilität. Doch wie bleibt das Cloud-Computing sicher und Cloud-Dienste DSGVO-konform? In diesem Artikel erfährst du, welche Kriterien bei der Anbieterauswahl wichtig sind (z. B. Serverstandort in der EU), warum du einen Auftragsverarbeitungsvertrag (AVV) brauchst und wie du durch Verschlüsselung, Rollenverwaltung und Monitoring die Datenhoheit behältst. Gerade bei US-Clouds gelten nach dem Schrems-II-Urteil strengere Anforderungen. Mit den richtigen Schritten lassen sich Cloud-Vorteile nutzen, ohne gegen die DSGVO zu verstoßen.

Effektiver Datenschutz durch die Datenschutzgrundverordnung DSGVO – dgal-consulting.de
Erfahren Sie alles Wichtige zur Datenschutzgrundverordnung (DSGVO) und erhalten Sie nützliche Tipps zur Umsetzung. Lesen Sie den Artikel jetzt!

Bulletpoints – Cloud-Dienste DSGVO-konform nutzen

  • Auftragsverarbeitungsvertrag mit Cloud-Anbieter abschließen
  • Server in EU bevorzugt (oder ausreichende Garantien)
  • Verschlüsselung (Transport + at rest)
  • Rollen- und Rechtemanagement in der Cloud
Auftragsdatenverarbeitungsvertrag (ADV): Sorglos Daten auslagern, DSGVO einhalten
Auftragsdatenverarbeitungsvertrag (ADV): Sorglos Daten auslagern, DSGVO einhalten
Auftragsdatenverarbeitungsvertrag (ADV): Kläre Haftung, Sicherheit und Weisungsrechte eindeutig.

1. Warum Cloud-Computing?

  • Skalierbarkeit: Rechne- und Speicherressourcen jederzeit erweiterbar.
  • Kostensenkung: Keine teuren Serverinfrastrukturen im eigenen Haus.
  • Ortsunabhängiger Zugriff: Mitarbeiter können weltweit auf Daten zugreifen.

Doch Datenschutzrechtlich bedeutet das, dass du einen externen Anbieter in deine Datenverarbeitung einbindest. Somit brauchst du Auftragsverarbeitung (Art. 28 DSGVO).

2. Wesentliche Kriterien für DSGVO-Konformität

  1. Serverstandort: Achte auf Hoster innerhalb des EWR oder auf sichere Drittstaaten mit Standardvertragsklauseln.
  2. Auftragsverarbeitungsvertrag (AVV): Regelt Art, Umfang, Zweck der Datenverarbeitung und Subunternehmer-Einsatz.
  3. Technische Sicherheit: Verschlüsselung at rest und in transit, Zugriffsmanagement, redundante Backups.
  4. Rechenschaftspflicht: Der Anbieter sollte Auditberichte oder Zertifikate (ISO 27001) vorweisen können.

3. US-Clouds nach Schrems II

Das EuGH-Urteil „Schrems II“ hat das Privacy Shield zwischen EU und USA gekippt. Nun sind Standardvertragsklauseln oft die Basis. Allerdings muss der Anbieter zusätzliche Garantien bieten, falls US-Behörden Zugriff fordern können. Du als Verantwortlicher solltest prüfen, ob der Anbieter End-to-End-Verschlüsselung anbietet oder ob es spezielle EU-Regionen gibt, in denen Daten gehostet werden.

4. Praktische Umsetzung

  • Verzeichnis von Verarbeitungstätigkeiten: Liste die Cloud-Dienstleistung auf, samt Rechtsgrundlage.
  • Klar definierte Zugriffsrechte: Wer in deinem Team darf was sehen/ändern?
  • Löschkonzept: Was passiert, wenn du kündigst oder Daten veraltet sind?
  • Monitoring: Behalte Logs im Blick, erstelle Alarmmechanismen für ungewöhnliche Zugriffe.
Webseite BfDI Bundesdatenschutzbeauftragter
Link: BfDI Datenschutzbeauftragter des Bundes Webseite

FAQ – Cloud-Dienste DSGVO-konform nutzen

1. Ist Amazon Web Services (AWS) DSGVO-konform?

AWS bietet EU-Regionen und Standardvertragsklauseln an. Du musst dennoch dein eigenes Audit machen und den AVV abschließen.

2. Darf ich Dropbox/Google Drive für Kundendaten nutzen?

Rein rechtlich möglich, wenn du die DSGVO-Vorgaben einhältst (z. B. ADV, verschlüsselte Übertragung, ggf. Business-Accounts mit EU-Servern).

3. Was ist mit Cloud-Backups?

Auch hier gelten die gleichen Regeln: AVV, Datenschutzkonzept, Löschfristen beachten.

Tags

Related Posts