Skip to content
Privacy in der maja.cloud

Privacy Shield ungültig? Sichere Nutzung von internationalen Clouds

Internationale Clouds sicher nutzen. Für viele ein Widerspruch in sich. Doch gibt es Mittel und Wege, datenschutzkonform mit internationalen Cloudsoftwares zu arbeiten. Etwa durch die Zusammenarbeit mit einem deutschen Cloud Service Provider, der die Weiterleitung personenbezogener Informationen in nicht-EU Länder unterbindet. Was das Kippen des EU-US Privacy Shield durch den EuGH bedeutet und was Du als Unternehmer nun tun kannst, erfährst Du in diesem Beitrag.

CLOUD Act vs. DSGVO – Was steckt hinter dem Daten Deal?

Im Mai 2018 war die neu in Kraft getretene DSGVO in aller Munde. In erster Linie verfolgt man mit der Verordnung das Ziel, dass Daten mit Personenbezug, die in der Europäischen Union gesichert wurden, nicht ohne ein entsprechendes Rechtshilfeabkommen übergeben werden. Die Strafen für einen Verstoß gehen weit in den zweistelligen Millionenbereich.

Die Datenschutzverordnung bringt viele Vorteile – besonders mit Blick auf die Sicherheit von Cloud Computing: Der Schutz persönlicher Daten findet Beachtung. Datensicherheit rückt in den Fokus europäischer Unternehmen. Jede personenbezogene Information wird vertraulich behandelt. Ein angemessenes Datenschutzniveau ist gefunden.

Soweit so gut, könnte man meinen. Doch nur wenige Wochen bevor die DSGVO in Kraft trat, wurde der Clarifying Lawful Overseas Use of Data Act –  kurz CLOUD Act – durch den amtierenden US-Präsidenten unterzeichnet. Mit ihm tritt ein Gesetz in Kraft, das datenschutzrechtliche Anforderungen aus der Europäischen Union einfach aushebelt. Denn: Das Gesetz erlaubt US-Behörden den Zugriff auf im Ausland gespeicherte Daten – vorausgesetzt die betroffenen Server sind in der Hand von US-Unternehmen. Und gerade in den USA sind die größten Hersteller von Cloud-Lösungen vertreten. Allem voran Microsoft und Apple. Aber auch andere etablierte Anbieter von Unternehmenssoftware in der Cloud. Es kommt noch schlimmer: Sollten die US-Firmen Daten mit Personenbezug hinausgeben (müssen), müssen die Betroffenen darüber nicht informiert werden.

Der CLOUD Act und die DSGVO stehen somit in direktem Widerspruch zueinander. Unternehmer erscheinen hilflos – entweder sie verletzen das eine oder das andere Recht. Noch ist keine Lösung zwischen USA und EU-Kommission gefunden.

Gesetzte DSGVO auf einem Laptop in der cloud

Bisher bot das EU-US Privacy Shield eine Lösung. Die informelle Absprache zwischen den USA und den Staaten der Europäischen Union regelte den Schutz personenbezogener Daten und bot einen Rahmen, der europäischen Datenschutzstandards entspricht. Das Problem: Das Privacy Shield Abkommen – eine 2016 getroffene Vereinbarung, in der der Datenaustausch zwischen EU-Staaten und USA festgelegt wurde – wurde im Juli 2020 durch den Europäischen Gerichtshof (EuGH) für ungültig erklärt.

Für europäische Nutzer bedeutete die Ungültigkeit des Privacy Shield Abkommens: Sollten deine persönlichen Daten auf Servern in den USA liegen, sind sie vor fremdem Zugriff (etwa durch die Geheimdienste) nicht geschützt. Mit Blick auf US-Multis wie Google, Twitter oder Facebook sind das alarmierende Nachrichten. Private Nutzer fragen sich: Sind meine Daten in der Cloud sicher?

Meeting Unternehmen Security in der maja.cloud

Unternehmen müssen sich hingegen mit ihren Cloud Computing Anwendungen auseinandersetzen. Sie stehen vor einer besonders großen Herausforderung, da sie eine Bestandsaufnahme ihrer genutzten Anbieter vornehmen und überprüfen müssen, ob personenbezogene Daten in die USA gelangen. Sollte tatsächlich eine unberechtigte Übertragung der Daten stattfinden, drohen empfindliche Bußgelder.

Kein Privacy Shield mehr - Wie eigene Unternehmensdaten schützen?

Die DSGVO untersagt die Datenübermittlung personenbezogener Informationen an Dritte. Der CLOUD Act verlangt ihn. Das war ein Problem – doch dank des Privacy Shield gab es noch ein Fangnetz für Unternehmer, die Salesforce, Slack, Zoom und andere Cloud Software US-amerikanischer Anbieter nutzen. Seit dem 16. Juli 2020 ist das Privacy Shield Geschichte. Die Übertragung von personenbezogenen Daten in die USA seitdem illegal.

Das Urteil des EuGH zum EU-US-Privacy-Shield hat vor allen Dingen bei Unternehmern für Aufruhr gesorgt. Was kannst Du tun, damit ein angemessenes Datenschutzniveau erreicht wird und keine unberechtigte Datenübermittlung stattfindet?

  1. Ausschließlich Cloud Services made in Germany nutzen. Wer gezielt Cloud-Dienste bzw. Cloud-Provider mit Sitz in Deutschland für eine Zusammenarbeit wählt, kann davon ausgehen, dass die Sicherheit personenbezogener Daten oberste Priorität hat. Doch nicht nur ein Blick auf den Sitz der Anbieter lohnt sich. Auch sollte jedes Rechenzentrum des Cloud Computing Anbieters in Deutschland – oder zumindest innerhalb der EU – seinen Standort haben.
  2. Eine Sicherheitsbasis schaffen und eine verschlüsselte End-to-End-Cloud-Architektur aufzubauen. So schaffst Du selbst ein angemessenes Datenschutzniveau in Ihrem Unternehmen. Doch bedeutet das auch einen hohen Verwaltungsaufwand. Mit einem Cloud-Anbieter wie maja.cloud hast Du allerdings die Möglichkeit, auf eine sichere Cloud-Infrastruktur zuzugreifen.
  3. Geeignete Schutzmaßnahmen implementieren. Deine Sicherheitsbasis liefert den Grundstein. Nun gilt es, entsprechende Sichterheitsstandards einzuführen. Etwa eine verschlüsselte E-Mail Kommunikation mit digitalen Signaturen. Oder das Versehen von sensiblen Daten mit einem digitalen Fingerabdruck. Das Ziel: Nur autorisierte Nutzer haben Zugriff auf die Informationen.

EU Datenschutz - Was dürfen Unternehmen noch?

Die Bußgelder bis zu 20 Millionen Euro treffen Unternehmen hart. Ein Grund mehr sich intensiv mit der DSGVO, Datensicherheit und Deinen Möglichkeiten als Unternehmer zu beschäftigen.

Die Datenschutz-Grundverordnung regelt europaweit das Datenschutzrecht und mit ihm den Umgang mit personenbezogenen Informationen. Für Unternehmen erst einmal eine gute Sache. Denn so gelten innerhalb der gesamten EU die gleichen Vorgaben gegenüber der Sicherheit personenbezogener Daten. Zudem bringt die DSGVO die Datenhoheit zurück an den Nutzer. Die empfindlichen Strafen sollte Cloud Anbieter dazu bringen, Datensicherheit nicht auf die leichte Schulter zu nehmen.

Das Problem: Die Datenschutz-Grundverordnung betrifft jedes in der EU ansässige Unternehmen – auch KMUs und kleinste Betriebe.

Was bedeutet das für Dich? Du musst bei der Erhebung und Speicherung personenbezogener Daten äußerste Vorsicht walten lassen. Jede Information, die sich in irgendeiner Weise auf eine identifizierbare Person bezieht, fällt darunter.

Was musst Du beachten?

  • Du darfst nur personenbezogene Daten sammeln, die Du wirklich benötigst.
  • Du darfst die Daten nur für den Zweck nutzen, für die Sie gesammelt wurden.
  • Du musst die Daten auf dem aktuellen Stand halten.

Sichere Cloudsoftware - Nutzung bei maja.cloud

Eine Möglichkeit, nicht auf die Vorzüge von Cloud Computing verzichten zu müssen und zugleich der DSGVO zu entsprechen ist maja.cloud. Mit dem modular aufgebauten, skalierbaren Cloud Service lässt sich JEDE Software in der Cloud nutzen. So können Sie Ihre komplette IT in die Cloud verlagern.

Der Clou: maja.cloud ist ein deutsches Unternehmen, das dem deutschem Recht unterliegt. Du bringst Deine IT somit in ein Rechenzentrum, das die Daten gemäß Datenschutzverordnung speichert. Alle Daten bleiben in Sicherheit, ohne dass teure Abmahnungen drohen.

Deine Vorteile auf einen Blick:

  • Zusammenarbeit mit einem deutschen Cloud Computing Profi
  • Sichere Datenübermittlung und Speicherung der Daten in einem geschützten Rechenzentrum
  • Deutscher Support. Telefonisch, per E-Mail, Chat oder via Ticketsystem
  • 60-tägige kostenfreie Testversion ohne automatischen Verlängerung

Exklusive maja.cloud Checkliste - so wählst Du den richtigen Cloud-Anbieter

Sicherheit und Kontrolle sind das, worauf Du als Nutzer in der Cloud wertlegen solltest. Und beides ist möglich – wenn Du den richtigen Cloud-Anbieter wählst. Folgende Kriterien sollte der Cloud Computing Dienstleister erfüllen:

Es sollte klar ersichtlich sein, wo der Cloud Provider Daten speichert. Ein Standort in der EU ist ein Pluspunkt. Innerhalb Deutschlands ist der Standort ideal.

Folgt der Sicherheitsarchitektur ein schlüssiges Konzept? Gibt es ausreichend Informationen zur Nutzersicherheit, zum Rechenzentrum und der im Einsatz befindlichen Verschlüsselungstechnologien?

Sollten Daten mit Personenbezug gesammelt, gespeichert und / oder verarbeitet werden, muss der Anbieter die Richtlinien der DSGVO berücksichtigen. Natürlich solltest auch Du als Anwender checken, ob die für Dich geltenden Pflichten zur Datenübermittlung bei Zusammenarbeit mit dem Anbieter eingehalten werden können.

Ein Unternehmen, das auf die Arbeit in der Cloud angewiesen ist, kann nur so gut funktionieren wie seine IT. Der Anbieter sollte also eine extrem hohe Verfügbarkeit garantieren und einen zuverlässigen Support vorzeigen können.

Möchte eine Person erfahren, wie ein Unternehmen an ihre Daten gelangt ist und wie diese verarbeitet wurden, kommt die Transparenzpflicht ins Spiel. Jedem EU-Bürger steht es rechtlich zu zu erfahren, wie Unternehmen an seine personenbezogenen Daten herankommen konnten, wie diese Daten verarbeitet wurden und wo sie gespeichert sind. Das Unternehmen muss der Person also transparent den Prozess der Verarbeitung darlegen können. Ziel ist, den betroffenen Personen Auskunft darüber geben zu können, unter welchem Umständen ihre Daten verarbeitet wurden.

Wir von maja.cloud nehmen die Transparenzpflicht ernst und arbeiten dementsprechend. Sollte eine betroffene Person weitere Informationen zu der Verarbeitung ihrer Daten wünschen, können wir lückenlos darlegen, zu welchem Zweck welche Daten gesammelt, gespeichert und wie diese verarbeitet wurden.

Bezüglich der Verantwortlichkeit im Sinne der DSGVO herrscht große Unsicherheit. Dabei wird der Verantwortliche in der Verordnung genau definiert:

Im Sinne dieser Verordnung bezeichnet der Ausdruck […] „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden 

(Artikel 4, 7 DSGVO)

Es können auch mehrere Personen oder Unternehmen Verantwortliche sein. Für Dich bedeutet das: Wenn Du mit maja.cloud zusammenarbeitest, führen wir Verarbeitungsvorgänge in Deinem Auftrag durch. Doch keine Sorge: Da wir den deutschen Datenschutzrichtlinien unterliegen, handeln wir stets im Sinne der EU-DSGVO.

Wie das Problem mit den USA bezüglich der Privacy Shield Absprachen zeigt, hört Datenschutz nicht an der eigenen Ländergrenze auf. Die Übermittlung von personenbezogenen Daten an ein Drittland außerhalb der EU unterliegt besonderen Regelungen.

In erster Linie ist entscheidend, ob in dem Drittland ein angemessenes Datenschutzniveau herrscht. Ob es sich um ein angemessenes Niveau handelt, legt die EU-Kommission fest. Zudem ist die Datenübermittlung an ein Drittland möglich, wenn Datensender und -verarbeiter geeignete Garantien zur Gewährleistung eines angemessenen Schutzniveaus geben können. Auch gibt es einige weitere Ausnahmefälle.

Wenn Du dich für eine Zusammenarbeit mit maja.cloud entscheidest, musst Du dich um den Datentransfer an Drittländer gar keine Gedanken machen. Alle über uns verarbeiteten Daten bleiben in Deutschland!

Geschäftsgeheimnisse sind wertvolle Informationen, die durch die Datenschutzverordnung zusätzlich geschützt werden. Denn Unternehmen, die frühzeitig gehandelt haben und den Vorgaben der Datenschutzverordnung bereits entsprechen, haben gegenüber anderen Unternehmen die Nase vorne. Nur wer die strengen technischen und organisatorischen Maßnahmen, wie sie in der Datenschutzgrundverordnung vorgesehen sind, auch umsetzt, kann den Schutz von Geschäftsgeheimnissen garantieren. Zu solchen Maßnahmen gehören:

  • die Verschlüsselung sensibler Dokumente, E-Mails und weiterer digitaler Unterlagen
  • der Einsatz starker Passwörter und der regelmäßige Wechsel dieser Passwörter
  • sinnvolle Berechtigungskonzepte, die jedem Mitarbeitenden entsprechend seiner Befugnisse Zugriff auch konkrete Daten gewähren

Grundsätzlich gilt: Was zum Schutz personenbezogener Daten beiträgt, trägt auch zum Schutz von Geschäftsgeheimnissen bei.

Die EU-DSGVO regelt in einer ganzen Reihe von Artikeln, wie mit Altdaten umzugehen ist. Da wäre etwa Artikel 17, der ein Recht auf Löschung proklamiert.

 

Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft: 

 

  1. a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.

 

[…]

 

  1. d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.

 

(Artikel 17, 1a & 1d DSGVO) 

Neben dem Recht auf Löschung ist auch die Weiterverwendung personenbezogener Daten in der DSGVO geregelt. Die Weiterverwendung ist nur rechtmäßig, wenn Daten, die vor Inkrafttreten der DSGVO erhoben wurden auch in der Weiterverwendung den Vorgaben der Verordnung entsprechen.

 

Sei es der Umgang mit Altdaten und Geschäftsgeheimnissen, der datenschutzkonforme Umgang mit Daten in Deinem Auftrag oder die Datenhaltung innerhalb der EU – maja.cloud hält sich als deutsches Unternehmen an die Vorgaben. So bist Du – selbst in der Cloud – immer auf der sicheren Seite.

Das sagen unsere Kunden über uns:

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden