Cloud Computing nach der Datenschutz-Grundverordnung (eBook)
343 Seiten
O'Reilly Verlag
978-3-96010-316-5 (ISBN)
Rechtliche Fragen und typische Probleme verständlich erklärt
- liefert konkrete Datenschutz-Empfehlungen und Checklisten
- fokussiert sich auf die beliebten und in der Praxis wichtigen Cloud-Services von AWS, Google oder Microsoft
- gibt Expertenwissen - verständlich und praxisnah aufbereitet
Unternehmen, die Cloud-Computing-Angebote von Hyperscalern wie Amazon Web Services (AWS), Google und Microsoft nutzen, sehen sich durch die Anforderungen der Datenschutz-Grundverordnung (DSGVO) mit vielen Fragen konfrontiert. Dieser verständliche Praxisleitfaden erläutert die wichtigsten Rechtsgrundlagen und führt in die relevanten rechtlichen Aspekte ein.
Unterstützt durch verständliche Erläuterungen, FAQs, Checklisten, Infografiken und zahlreiche Hinweisboxen erwerben Entscheider:innen sowie Datenschutzbeauftragte das erforderliche Problembewusstsein und Wissen. Die erläuterten Aspekte lassen sich auch auf Clouds zahlreicher anderer Anbieter übertragen.
Themen dieses Buchs sind u.a.:
- Cloud Computing und Datenschutz: Zentrale Begriffe und Zusammenhänge kompakt erklärt
- Auftragsverarbeitungsvertrag (AV-Vertrag) und relevante Rechtsgrundlagen: Die wichtigsten Rechtsgrundlagen mit Hinweisen für die praktische Umsetzung
- Datensicherheit und Zertifizierungen: Technische und organisatorische Maßnahmen (TOMs) für Ihren IT-Stack und gängige Zertifizierungen
- Internationale Datentransfers: Wissenswertes zu Datentransfers in Drittländer - mit Hinweisen zu Angemessenheitsbeschlüssen, Standardvertragsklauseln und Transfer Impact Assessment (TIA)
- U.S. CLOUD Act: Hintergründe und Umgang mit diesem US-Gesetz im Rahmen einer Risikobewertung
- Lifecycle einer Cloud-Nutzung: Alle Phasen der Laufzeit im Überblick - von der Auswahl eines Cloud-Anbieters bis zu Fragen des Exits und der Migration
Der Praxisleitfaden beschreibt die rechtlichen Fragen und typischen Probleme im Zusammenhang mit der Nutzung der von Cloud-Providern bereitgestellten Anwendungen im Allgemeinen wie beispielsweise Auswahl, Vorbereitung und konkrete rechtliche Umsetzung einer Auslagerung von Daten und Prozessen in eine Cloud, aber auch Fragen eines Exits, wie eine Datenmigration. Er geht aber auch ganz konkret auf einzelne Anwendungen ein und unterstützt hierzu mit konkreten Empfehlungen und Checklisten. Es werden keine Vorkenntnisse im Datenschutz oder in Bezug auf Cloud-Anwendungen vorausgesetzt.
Dr. Thorsten Hennrich ist Rechtsanwalt mit den Schwerpunkten Informationstechnologie- und Datenschutzrecht. Er ist ein technikaffiner Jurist, der »beide Welten« bestens kennt: als Rechtsanwalt im IT- und Datenschutzrecht, als Leiter der Rechtsabteilung eines Cloud-Anbieters sowie als langjähriger Geschäftsfu?hrer eines Cloud- und IT-Infrastruktur-Anbieters mit Rechenzentren in Frankfurt am Main und Amsterdam. Er blickt auf über 20 Jahre umfassende Praxiserfahrung zurück.
Dr. Thorsten Hennrich ist Rechtsanwalt mit den Schwerpunkten Informationstechnologie- und Datenschutzrecht. Er ist ein technikaffiner Jurist, der »beide Welten« bestens kennt: als Rechtsanwalt im IT- und Datenschutzrecht, als Leiter der Rechtsabteilung eines Cloud-Anbieters sowie als langjähriger Geschäftsführer eines Cloud- und IT-Infrastruktur-Anbieters mit Rechenzentren in Frankfurt am Main und Amsterdam. Er blickt auf über 20 Jahre umfassende Praxiserfahrung zurück.
KAPITEL 1
Einleitung
Amazon Web Services (AWS), Google und Microsoft gelten gegenwärtig als die beliebtesten und marktführenden Cloud-Anbieter. Die drei US-amerikanischen Unternehmen, die aufgrund der massiven Skalierbarkeit ihrer global verteilten Ressourcen auch als Hyperscaler bezeichnet werden, dominieren seit über einem Jahrzehnt den weiterhin rasant wachsenden und äußerst dynamischen Cloud-Markt. Sie sind bei vielen Nutzern erste Wahl, wenn es um die digitale Transformation in die Cloud geht. Daneben gibt es weltweit zahlreiche weitere spezialisierte Anbieter Cloud-basierter Lösungen in den Bereichen IT-Infrastruktur und Software.
Vor allem die Coronapandemie hat Leistungen aus der Cloud noch einmal einen besonderen Schub gegeben. Selbst Unternehmen, die bis dahin der Cloud gegenüber eher skeptisch eingestellt waren, wurden durch Lockdown und Homeoffice quasi von heute auf morgen dazu gezwungen, Workloads in die Cloud zu verlagern und Cloud-basierte Anwendungen einzusetzen.
Für die Nutzerinnen und Nutzer ist es meist nicht einfach, das überaus breite und vielfältige Leistungs- und Produktportfolio am Markt sowie die verschiedenen Abrechnungs- und Nutzungsvarianten zu überblicken und zu bewerten. Gleiches gilt für grundlegende Innovationen, Updates und Änderungen an den Leistungen der einzelnen Anbieter. Sie erfolgen mitunter im Wochenrhythmus und kennzeichnen seit vielen Jahren die hohe Dynamik der Cloud-Branche.
Zu diesen bereits an sich sehr komplexen und anspruchsvollen technischen und kommerziellen Entscheidungskriterien ist spätestens mit Einführung der Datenschutz-Grundverordnung (DSGVO) und der damit verbundenen Verschärfung des datenschutzrechtlichen Bußgeldrahmens ein weiteres Thema hinzugekommen, das Unternehmen jeder Größe betrifft und mittlerweile ebenfalls äußerst entscheidungsrelevant geworden ist: der Datenschutz.
1.1 Cloud Computing und Datenschutz im Spannungsfeld
Eine datenschutzrechtliche Compliance – also die Einhaltung datenschutzrechtlicher Regelungen – ist im Cloud Computing nicht immer einfach. Denn im Spannungsfeld mit dem Datenschutz »prallen zwei Welten aufeinander«, die unterschiedlicher nicht sein könnten:
- auf der einen Seite die technisch komplexe und vielfältige Welt von Public-, Private- und Multi-Cloud-Szenarien zahlreicher Anbieter, die vor Ländergrenzen und einzelnen Rechtsordnungen nicht haltmacht und in ihrer größten Ausprägung eine globale Verteilung sämtlicher IT-Ressourcen aufweisen kann, und
- auf der anderen Seite der auf EU-Recht und nationalen Rechtsordnungen basierende geltende Rechtsrahmen für Datenschutz, dessen Ziel und Zweck es ist, den Einzelnen vor einer missbräuchlichen Verwendung seiner personenbezogenen Daten (wie Name, E-Mail-Adresse, Telefonnummer, Geburtsdatum) und in seinem Recht auf informationelle Selbstbestimmung zu schützen.
In einer technisch komplexen Cloud-Welt ist es mehr denn je eine Herausforderung, den Schutz der informationellen Selbstbestimmung des Einzelnen über seine personenbezogenen Daten zu bewahren, damit dieser selbst darüber entscheiden kann, wie seine Daten erhoben, verarbeitet und gespeichert werden. Das erfordert nicht nur datenschutzrechtliches Know-how, sondern auch ein Verständnis der jeweiligen Cloud-Services.
Zugleich ist es mit Blick auf den Bußgeldrahmen der DSGVO keine Lösung, sich dem Thema Datenschutz einfach zu verschließen und zu hoffen, dass »schon nichts passieren wird«. Ein 50-Millionen-Euro-Bußgeld gegen Google oder ein 35-Millionen-Euro-Bußgeld gegen das Modehaus H&M zeigen, dass Bußgelder nach der DSGVO erheblich sein können. In vielen Fällen hat es auch kleinere Unternehmen getroffen, bei denen es sich nicht mal um ein Millionen-Bußgeld handeln muss, um bereits Wirkung zu zeigen. Und auch andere Folgen einer Datenschutzverletzung (wie z. B. eine Rufschädigung) gilt es zu verhindern.
Wie wichtig und weitreichend das Thema Datenschutz heutzutage ist, hat sich etwa im Juli 2020 am Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) gezeigt. Der EuGH kippte damit das EU-U.S. Privacy Shield, das bis dahin eine wichtige Grundlage für Datentransfers zwischen der EU und den USA bildete (hierzu später mehr in Abschnitt 12.5.2). Das Urteil hatte weitreichende Auswirkungen auf Datentransfers in Drittländer und betraf direkt oder indirekt quasi alle international tätigen Unternehmen.
1.2 Cloud Computing: flexible Nutzung von IT
Blicken wir aber zunächst auf das Cloud Computing, den im vergangenen Jahrzehnt zusammen mit Machine Learning und künstlicher Intelligenz wohl schillerndsten und meistverwendeten Begriff in der IT-Branche. Gerade in den Anfangsjahren überschlugen sich nur so die Superlative über das disruptive Potenzial der Materie. Die Rede war von nichts Geringerem als einer neuen Ära in der Informationstechnologie und der nächsten digitalen Revolution.
Der mit diesem wolkigen wie zugleich griffigen Schlagwort verknüpfte Wandel steht bis heute für eine grundlegende Abkehr von konventionellen IT-Bereitstellungs- und Nutzungsszenarien (wie dem Client-Server-Modell). Er hat das Geschäftsleben und die Informationsgesellschaft nachhaltig verändert, insbesondere die Beziehungen zwischen Anbieter und Kunde. Denn im Cloud Computing stehen sämtliche IT-Leistungen (von Hardware bis Software) jederzeit und an jedem Ort quasi wie »Strom aus der Steckdose«1 vollkommen flexibel, bedarfsgerecht und standardisiert über das Internet zur Verfügung.
Ein Nutzer kann hierdurch Rechenleistung, Speicherkapazitäten und Software einfach nach Bedarf anmieten. Die Abrechnung erfolgt rein nutzungsbasiert (on Demand, Pay per Use, as a Service). Der Nutzer zahlt folglich nur noch für das, was er nutzt, und für die Dauer der Nutzung. Gerade bei einem nicht gleichmäßig wiederkehrenden Bedarf (z. B. bei Streaming-Diensten, einmaligen Einsatzzwecken oder den Lastspitzen eines Onlineshops während des Weihnachtsgeschäfts) können auf diesem Weg erhebliche Kosten eingespart werden. Zudem entstehen keine weiteren Anschaffungs-, Betriebs- und Wartungskosten, und es bleibt auch keine Hardoder Software ungenutzt oder nicht voll ausgelastet zurück.
Zu den wirtschaftlichen Profiteuren zählen daher vor allem auch kleine und mittelständische Unternehmen. Durch eine nutzungsbasierte Bereitstellung und Abrechnung stehen ihnen innovative und marktführende Technologielösungen auf dem technisch neuesten Stand zur Verfügung, die im Rahmen klassischer Abrechnungsmodelle für sie bisher nicht erschwinglich waren. Sie können sich somit verstärkt auf ihr Kerngeschäft konzentrieren und die dortige Effizienz und Wettbewerbsfähigkeit weiter verbessern.
Auch lassen sich Cloud-Ressourcen meist über administrative Verwaltungsoberflächen komfortabel bedienen und mit wenigen Mausklicks im Wege des Self-Service bzw. Self-Provisioning hinzubuchen oder reduzieren. Dies erleichtert vor allem die Arbeit von IT-Administratoren und lässt die Zeiten schwarzer Konsolenfenster zur Verwaltung von IT-Systemen zunehmend der Vergangenheit angehören. In der Coronapandemie konnten Unternehmen, die mit ihrer internen IT dahin gehend bereits gut aufgestellt waren und entsprechendes Know-how aufgebaut hatten, schnell reagieren und die für ein Homeoffice in der Cloud benötigten Ressourcen flexibel und unkompliziert hinzubuchen. In zahlreichen Unternehmen ist es meist auch nicht das Management, sondern es sind vor allem die IT-Abteilungen, die Cloud-Strategien vorantreiben.
Wirtschaftlichkeit und Innovation Das enorme wirtschaftliche Potenzial einer bedarfsbasierten Nutzung und Abrechnung ließ Cloud Computing vor allem ab dem Jahr 2009 in rasanter Geschwindigkeit und binnen kürzester Zeit zum weltweit maßgeblichen Trend in der Bereitstellung von Informationstechnologie avancieren. Und bis heute – über ein Jahrzehnt später – ist die Innovationsgeschwindigkeit der digitalen Welt der Datenwolken noch immer ungebremst. Im Zuge der fortschreitenden Digitalisierung ist sie sogar noch schneller und agiler, aber auch deutlich komplexer geworden. Zugleich optimieren Anbieter fortlaufend ihre bestehenden Bereitstellungs- und Abrechnungsmodelle, damit Unternehmen noch schneller und flexibler auf kurzfristig geänderte Anforderungen reagieren können.
Integraler Bestandteil von IT-Outsourcing-Szenarien Cloud-Strategien sind heutzutage integraler Bestandteil von IT-Outsourcing-Projekten jeder Größe. Cloud-Infrastrukturen und Cloud-Technologien bilden zudem die zentrale Grundlage für IoT-Applikationen im Internet der Dinge (Internet of Things), die Digitalisierung im Kontext von Industrie 4.0 oder für die künstliche Intelligenz. Zum Einsatz gelangen vermehrt hybride Cloud-Architekturen oder komplexe Multi-Cloud-Szenarien aus verschiedenen Cloud-Stacks. In der...
| Erscheint lt. Verlag | 7.12.2022 |
|---|---|
| Reihe/Serie | Animals |
| Verlagsort | Heidelberg |
| Sprache | deutsch |
| Themenwelt | Mathematik / Informatik ► Informatik |
| Schlagworte | Amazon Web Services • AWS • Azure • Datenschutzbeauftragter • Datenschutzrecht • Dropbox • IT-Outsourcing • IT-Sicherheit • Microsoft Office 363 • Salesforce.com |
| ISBN-10 | 3-96010-316-6 / 3960103166 |
| ISBN-13 | 978-3-96010-316-5 / 9783960103165 |
| Haben Sie eine Frage zum Produkt? |
EPUB (Wasserzeichen)Größe: 11,1 MB
DRM: Digitales Wasserzeichen
Dieses eBook enthält ein digitales Wasserzeichen und ist damit für Sie personalisiert. Bei einer missbräuchlichen Weitergabe des eBooks an Dritte ist eine Rückverfolgung an die Quelle möglich.
Dateiformat: EPUB (Electronic Publication)
EPUB ist ein offener Standard für eBooks und eignet sich besonders zur Darstellung von Belletristik und Sachbüchern. Der Fließtext wird dynamisch an die Display- und Schriftgröße angepasst. Auch für mobile Lesegeräte ist EPUB daher gut geeignet.
Systemvoraussetzungen:
PC/Mac: Mit einem PC oder Mac können Sie dieses eBook lesen. Sie benötigen dafür die kostenlose Software Adobe Digital Editions.
eReader: Dieses eBook kann mit (fast) allen eBook-Readern gelesen werden. Mit dem amazon-Kindle ist es aber nicht kompatibel.
Smartphone/Tablet: Egal ob Apple oder Android, dieses eBook können Sie lesen. Sie benötigen dafür eine kostenlose App.
Geräteliste und zusätzliche Hinweise
Buying eBooks from abroad
For tax law reasons we can sell eBooks just within Germany and Switzerland. Regrettably we cannot fulfill eBook-orders from other countries.
aus dem Bereich
