Wie sicher ist es, Firmendaten in der Cloud zu speichern?

 

Arbeiten in der Cloud gehört heutzutage zum Standard moderner Unternehmen. Immer mehr Selbstständige und Angestellte nutzen die zahlreichen Angebote aus der Cloud wie Speicherplätze, Bildbearbeitungs-Programme und Büroanwendungen ganz selbstverständlich. Sie teilen PDF-Dokumente mit Cloud-Angeboten, verkleinern Bilder, kürzen Musikdateien und überprüfen verdächtige Dateien mit Virenscannern aus der Internetwolke.

Auch privat spielt die Cloud eine große Rolle, nicht zuletzt für alle, die gerne Spiele am Computer zocken oder sich in Chats tummeln. Umso erstaunlicher ist es, dass trotz der hohen Cloudnutzung immer noch Bedenken gegenüber der Internetwolke bestehen.

Mehrheit der Firmeneigner sieht Sicherheitsrisiken in der Cloud

In einer aktuellen Studie der KPMG AG in Zusammenarbeit mit der Bitkom Research GmbH gaben 70 % der Befragten in Unternehmen an, sie fürchteten sich davor, dass Unberechtigte in der Datenwolke auf sensible Firmendaten zugreifen könnten. Auch der mögliche Verlust wichtiger Dokumente in der Cloud und die unsichere Rechtslage sorgten bei mehr als 50 % der Unternehmer für ein mulmiges Gefühl.

Diese Sicherheitsbedenken sind ausgesprochen nachvollziehbar – schließlich hängt der Erfolg jedes Unternehmens von Wissen und Expertise ab, die nicht in fremde Hände gelangen dürfen. In Zeiten von Hacker-Angriffen, Viren-Attacken und Datenklau kann IT-Sicherheit gar nicht wichtig genug genommen werden.

Cloud: Viel mehr statt weniger Sicherheit

Hier stellt sich die Frage, ob nicht gerade die Cloud-Dienste für eine höhere Sicherheit sorgen, als es ein einzelnes Unternehmen je abbilden könnte. Sind nicht insbesondere die Wolkenanbieter und ihre Rechenzentren mit zahlreichen IT-Sicherheitsexperten wesentlich besser gegen kriminelle Internet-Machenschaften geschützt, als die meisten unternehmenseigenen Systeme? Seriöse Cloud-Anbieter haben biometrische Zugangskontrollen, sind stets auf dem aktuellen Stand der Technik, nutzen Notstromaggregate und Katastrophenschutz. – All das bildet die Basis ihres Geschäftsmodells. Ohne diese hohen Standards an Sicherheit könnten Cloudanbieter nicht überleben.

Unsere Info-Grafik geht diesen Fragen nach. Sie liefert:

• Hintergrundwissen zur Cloud,
• skizziert die vielschichtigen Bedenken von Unternehmern und
• listet Fakten rund um die Sicherheit von Cloud-Computing auf.

Löschung von Daten

Den Umgang und die Löschung von sensiblen Unternehmensdaten wie z.B. personenbezogene Daten regelt die Datenschutz-Grundverordnung (DSGVO). Neben den technischen Löschverfahren sind organisatorische Prozesse wichtig, damit die Betroffenenrechte eingehalten werden können. Besonders für den Datenschutzbeauftragten und die Verantwortlichen im Unternehmen ist die Einhaltung der Datenlöschung eine besondere Verpflichtung.

Allerdings sind dabei gesetzliche Aufbewahrungspflichten nicht außer Acht zu lassen. So können verschiedene rechtliche und vertragliche Verpflichtungen dazu führen, dass personenbezogene Daten für eine bestimmte Zeit aufzubewahren sind. Erst nach dieser Zeitspanne greift die Verpflichtung, die Daten zu löschen.

In Artikel 18 DSGVO (Recht auf Einschränkung der Verarbeitung) hat eine betroffene Person unter bestimmten Bedingungen das Recht auf die Einschränkung der Verarbeitung. Beispielsweise verlangt ein Kunde, dass man ihn nicht mehr kontaktiert und ihn aus der Datenbank löschen soll. Da für diesen Kunden der gesetzlich vorgeschriebene Aufbewahrungszeitraum jedoch noch nicht verjährt ist, können die Stammdaten nicht einfach gelöscht werden. In den Stammdaten sollte die Möglichkeit bestehen, den Kunde auf „inaktiv“ zu setzen, so dass er zum Beispiel in Kundenlisten nicht mehr zur Verfügung steht.

Sicheres Löschen von Daten nach DSGVO

Unternehmen müssen personenbezogene Daten so speichern, dass sie eine Person nur so lange identifizieren können, wie es für den Verarbeitungszweck notwendig ist. Das bedeutet, dass es wichtig ist, den Zweck darzulegen, wie Sie als Unternehmen Daten verarbeiten. Alle anderen „vermeintlichen“ Zwecke führen dazu, die Daten unzulässig zu nutzen.

Fällt also dieser Zweck weg, etwa weil etwas verjährt ist oder das Vertragsverhältnis endet, sind die Daten zu löschen. Doch Vorsicht! Es müssen immer die gesetzlichen Vorgaben in Bezug auf die Aufbewahrungs- oder Dokumentationspflichten beachtet werden. Hier ist es gut, wenn die Verantwortlichen im Unternehmen oder der Beauftragte für den Datenschutz vor der Löschung genau prüft, ob die Löschung rechtens ist.

Löschung von Daten in der Cloud

Ähnlich wie bei der gesetzlich geregelten Löschung von sensiblen personenbezogenen Unternehmensdaten, die in der DSGVO geregelt sind, gilt für Cloud-Services der im Bundesdatenschutzgesetz (BDSG) verankerte Grundsatz der Datensparsamkeit. Somit sollten Sie nicht mehr benötigte Daten löschen.

Um Daten aus dem Cloud-Speicher zu löschen, legen viele Cloud-Dienste diese zunächst in einem virtuellen Papierkorb ab. Aus diesem lassen sich die Daten einige Tage lang wiederherstellen. Erst mit der endgültigen Löschung werden die Daten unwiederbringlich entfernt.

Da es bei Cloud-Speichern keinen physischen Zugang zu den Datenträgern gibt, müssen Sie den jeweiligen Diensten vertrauen, dass sie Ihre Daten nach dem endgültigen Löschen auch tatsächlich gelöscht haben. Nachprüfen können Sie das nicht. Gehen Sie daher auf Nummer sicher und verschlüsseln Sie Ihre Daten. Weitere Informationen zu Löschvorgaben finden Sie im Bundesdatenschutzgesetz.

Unser Spezial „Mit Sicherheit in die Cloud“

Das Thema Cloudtechnologie ist in aller Munde. Die Erleichterungen, die ein flexibler Zugriff auf Informationen, Daten und Dokumente mit sich bringt, ist charmant wie nie – genauso wie die damit einhergehenden Arbeitserleichterungen.

Dennoch muss man sich mit einigen Anforderungen an Datensicherheit und Datenschutz auseinandersetzen. Neben den Haftungsanforderungen beleuchten wir für Sie auch andere wichtige Aspekte:

• Wer übernimmt die Haftung bei Buchhaltung in der Cloud?
• Rechtliche Aspekte des Cloud-Computings
• Buchhaltung: Cloud oder Server – welche Lösung ist für Sie die richtige?
• Groß oder klein? Für welche Unternehmen eignet sich die Cloud?