DSGVO und BaaS/PaaS

[Marandsch]

Hallo zusammen,

mir geht es um das Thema deutscher Datenschutz in Kombination mit Datenbanken und Diensten in der Cloud. Ich plane gerade ein neues Projekt, die Kunden werden ausschließlich aus Deutschland kommen. Soweit ich es richtig verstanden habe, ist der Standort der Daten bzw. das Rechenzentrum des Cloudanbieters von großer Relevanz für das Einhalten der DSGVO?! Primär wären BaaS-Anbieter mit Fokus auf mobile Anwendungen interessant.

Gibt es eine Übersicht von Cloudanbietern mit BaaS-Angebot, welche im Hinblick auf DSGVO brauchbar sind? In der Start-Up Szene wird in diesem Zusammenhang viel Werbung für Microsoft Azure gemacht. Sind auch Dienste wie z.B. Google Firebase nutzbar? Wie ist eure persönliche Meinung zu dem Thema? Welche Anbieter nutzt ihr?

Danke und viele Grüße,

Martin

 

 

 

[Whiz-zarD]

Wir selber benutzen Microsoft Azure, da wir sowieso mit C# entwickeln. Sowohl in Azure als auch in Firebase kannst du den Server-Standort wählen. Server in Europa müssen eh die DSGVO-Richtlinien einhalten.

Microsoft bot vor einiger Zeit auch eine sog. Deutschland Cloud an, die T-Systems betrieb aber die wurde wegen mäßigen Erfolg abgeschaltet (und wohlmöglich auch weil T-Systems viel zu langsam agiert).

Letztendlich ist es aber auch entscheidend, wie ihr mit personenbezogenen Daten umgeht. Es bringt nichts, wenn die Infrastruktur zwar DSGVO-Konform ist, aber eure Anwendung nicht.

[pr0gg3r]

vor 54 Minuten schrieb Marandsch:

Sind auch Dienste wie z.B. Google Firebase nutzbar?

Bei Firebase musst du beachten, dass (noch) nicht jedes Feature für jede Zone verfügbar ist. Je nachdem, was du benötigst kann es sein, dass für dich eine europäische Zone (am besten Frankfurt für eine deutsche Zone) ausreicht, aber alleine die Cloudfunctions machen dir da einen Strich durch die Rechnung und die benötigt man so gut wie bei jedem Projekt. Es gibt aber noch andere europäische Zonen.

Aus meiner Erfahrung raus wirst du als Nutzer/Anbieter von Cloud-Diensten nicht um einen Anwalt herum kommen, der dir deine Datenschutzerklärung macht. Am besten auch im Vorfall die Sachen mit den externen Diensten abklären. Wenn du Daten an andere Dienste Daten weiter gibst, ist das Stichwort hierfür "Auftragsdatenverarbeitung" (ADV). 

 

[Marandsch]

Besten Dank für die Informationen und eure Einschätzung! 

Ich hatte zum Erstellen der Vorabversion des Lastenheftes nur den Artikel auf Wikipedia hergenommen: https://de.wikipedia.org/wiki/Backend_as_a_Service

Ganz unten steht bei Standort-RZ für Firebase: "Weltweit (nicht wählbar)". Demnach ist der Artikel bei Wikipedia fehlerhaft bzw. veraltet und Google rüstet Infrastruktur auch in Europa nach und lässt des Kunden mittlerweile auch das RZ wählen?!

Hast du eine Quelle für mich wo Firebase (oder andere Anbieter) genau über dieses Thema berichten/aufklären bzw. in Hinblick auf RZ-Standort? Oder noch besser, wo das Thema Datenschutz + Cloud im Ganzen betrachtet wird. Ich konnte nur allgemeine Informationen finden.

[pr0gg3r]

vor 11 Minuten schrieb Marandsch:

Hast du eine Quelle für mich wo Firebase (oder andere Anbieter) genau über dieses Thema berichten/aufklären bzw. in Hinblick auf RZ-Standort?

https://cloud.google.com/about/locations/?hl=de&region=europe#region

vor 11 Minuten schrieb Marandsch:

Oder noch besser, wo das Thema Datenschutz + Cloud

https://support.google.com/firebase/answer/9019185?hl=de

vor 12 Minuten schrieb Marandsch:

Ich konnte nur allgemeine Informationen finden.

Glaub mir, ein Gang zum Anwalt wird dir definitiv nicht erspart bleiben. Du musst dir bewusst sein, dass dich das ganze einige tausend Euro kosten wird. Aber alleine, ohne juristisches Wissen im Bezug Datenschutz und Digitales wirst du nicht weit kommen und Halbwissen aus dem Internet ist eher schädlich als förderlich.