Vier Kriterien für die Auswahl eines Cloud-Anbieters

1. Sitz des Cloud-Anbieters

Im Regelfall stellt die Nutzung eines Cloud-Dienstes eine Auftragsverarbeitung nach Art. 28 Datenschutz-Grundverordnung (DSGVO) dar. Dieses Instrument erleichtert die rechtliche Ausgestaltung der Beauftragung des Anbieters deutlich und erspart einiges an Zeit und Mühen. Nach geltendem europäischem Recht ist die Auftragsverarbeitung jedoch nur mit Anbietern möglich, deren Sitz innerhalb der EU bzw. des EWR liegt und deren Administration innerhalb der EU bzw. des EWR erfolgt.

Sitzt der Anbieter in einem Drittstaat, ist bei jeder Weitergabe der Daten an den Cloud-Anbieter zu prüfen, ob diese von einer Rechtsgrundlage gedeckt ist. Liegt eine solche nicht vor, stellt dies einen gravierenden Verstoß gegen Datenschutzrecht dar und kann mit einem hohen Bußgeld belegt werden. Daher sollten nur solche Cloud-Anbieter gewählt werden, deren Datenverarbeitung und Administration ausschließlich von europäischem Boden aus erfolgt.

2. Zertifikate des Cloud-Anbieters

Cloud-Anbieter müssen vor Beginn der Datenverarbeitung und sodann regelmäßig auf die getroffenen technisch-organisatorischen Maßnahmen zum Schutz der Daten des Auftraggebers überprüft werden. Oftmals ist eine Vor-Ort-Kontrolle der Cloud-Anbieter nur mit großem Aufwand möglich und daher nicht praktikabel. Daher sollte der Cloud-Anbieter über entsprechende Zertifikate und Gütesiegel verfügen, die ihm einen angemessenen Umgang mit Daten der Auftraggeber bescheinigen. Denn das Vorhandensein entsprechender Zertifikate kann eine Vor-Ort-Kontrolle ersetzen. Dabei sollte stets darauf geachtet werden, dass die entsprechenden Zertifikate auch den Bereich Datenschutz abdecken.

Verfügt der Cloud-Anbieter beispielsweise über eine ISO 27001 Zertifizierung, so ist dies zwar sehr positiv, aber noch kein für sich allein ausreichender Nachweis für einen rechtskonformen Umgang mit personenbezogenen Daten. Bei jedem Zertifikat sollten daher sowohl die Vertrauenswürdigkeit des Ausstellers als auch die zum Erhalt des Zertifikates nötigen Voraussetzungen geprüft und analysiert werden. Nur wenn für den Erhalt des Zertifikates ein absolut rechtskonformer Umgang mit personenbezogenen Daten Voraussetzung ist, kann das Zertifikat allein als Nachweis genügen. Eine Auflistung entsprechend genügender Zertifikate existiert aufgrund der Individualität der Aufträge und der damit geforderten Schutzstandards jedoch nicht.

3. Portabilität der Daten von Cloud zu Cloud

Ein wesentliches Augenmerk sollte auf die Portabilität der Daten gerichtet werden. Dies bedeutet, dass Daten von einem Anbieter zu einem anderen migriert werden können, und letzterer diese Daten auch in gleichem Maße verarbeiten kann. Oftmals bestehen bei der Datenverarbeitung große Inkompatibilitäten, beispielsweise werden unterschiedliche Zeichensätze wie ACII oder UTF-8 verwendet. Auch kann es unterschiedliche Maximallängen der Datei- und Verzeichnisnamen geben oder verschiedene erlaubte Dateigrößen. Daher sollte stets darauf geachtet werden, dass Cloud-Anbieter Daten nur in der Form verarbeiten, dass diese auch von anderen Anbietern verwertet werden können.

4. Referenzen des Cloud-Anbieters

Darüber hinaus ist die Zuverlässigkeit des Cloud-Anbieters ein wichtiges Auswahlkriterium. Denn die Weitergabe der eigenen Daten an Dritte ist für Unternehmen und die Betroffenen oft mit großem Risiko verbunden. Daher ist insbesondere darauf zu achten, dass der Cloud-Anbieter entsprechende Referenzen vorweisen kann, die ihm ausreichende Erfahrung im Umgang mit den Daten bescheinigen können.

Im Idealfall handelt es sich bei den Referenzen um solche aus derselben Branche oder zumindest um Daten mit demselben Schutzbedarf wie die eigenen Daten. Denn die Sicherheitsanforderungen, die der Cloud-Anbieter erfüllen muss, richten sich stets nach dem Schutzbedarf der weitergegebenen Daten.

Dieser aktualisierte Artikel erschien zuerst am 16. Februar 2015.