Wer in Zukunft Cloud-Dienste verwenden will, muss die Vorgaben der EU-Datenschutzgrundverordnung (kurz: EU-DSGVO) beachten. Doch was ändert sich im Vergleich zu heute?
Aus Auftragsdatenverarbeitung wird Auftragsverarbeitung
Cloud Computing, also die Nutzung von IT-Ressourcen wie Rechenleistung, Applika-tionen und Speicherkapazität über das Internet, wird immer beliebter. Zwei von drei Unternehmen haben in Deutschland im Jahr 2016 Cloud Computing eingesetzt, so der Digitalverband Bitkom. Wenn in Kürze die Zahlen für 2017 vorliegen, wird zweifel-los eine weitere Steigerung festzustellen sein.
EU-DSGVO - Was ändert sich für Cloud-Nutzer? |
Aus Sicht des Datenschutzes handelt es sich bei Cloud Computing in der Regel um eine Auftragsdatenverarbeitung. Diesen Begriff findet man in der Datenschutz-Grundverordnung (EU-DSGVO/GDPR), die ab 25. Mai 2018 anzuwenden ist, nicht mehr. Dort spricht man nur noch von Auftragsverarbeitung. Ist dies die einzige Änderung im Datenschutz, die Cloud-Nutzer kennen sollten? Nein, das ist sie nicht.
Cloud-Nutzer bleiben in der Verantwortung, aber ...
Umfragen unter Cloud-Anwendern zeigen regelmäßig, dass nicht wenige Unterneh-men die Verantwortung für den Schutz der Daten in der Cloud beim jeweiligen Cloud-Betreiber sehen, nicht aber bei sich. Tatsächlich ist und bleibt es so, dass das Unternehmen als Cloud-Nutzer und damit die verantwortliche Stelle im Unternehmen für den angemessenen Datenschutz Sorge tragen muss. So muss das Unternehmen un-ter anderem geeignete technisch-organisatorische Maßnahmen für den Schutz der Cloud-Daten mit dem Cloud-Betreiber vertraglich vereinbaren.
Durch die EU-DSGVO neu hinzu kommt, dass ein Cloud-Betreiber als Auftragsverarbeiter auch zum Verantwortlichen wird, wenn er gegen die Vorgaben des Datenschutzes verstößt, also die Daten zum Beispiel zweckentfremdet. Dadurch wird aber nicht etwa die Verantwortung vom Cloud-Nutzer auf den Cloud-Betreiber übertragen. Vielmehr bleibt auch der Cloud-Nutzer verantwortlich. Aus der Verantwortung des Cloud-Nutzers ergibt sich, dass er wie bisher nicht einfach einen beliebigen Cloud-Anbieter auswählen sollte.
Cloud-Anbieter bei Auswahl genau prüfen
Die EU-DSGVO fordert von Cloud-Nutzern, dass sie nur solche Cloud-Anbieter beauftra-gen, die hinreichende Garantien dafür bieten, dass sie geeignete technische und or-ganisatorische Maßnahmen so durchführen, dass die Verarbeitung im Einklang mit den Anforderungen der EU-DSGVO erfolgt und die Rechte der betroffenen Person schützt.
Neu ist die Möglichkeit unter der EU-DSGVO, dass sich die Einhaltung genehmigter Verhaltensregeln oder eines genehmigten Zertifizierungsverfahrens durch einen Auftragsverarbeiter als Faktor heranziehen lässt, um hinreichende Garantien nachzuweisen, wie es die Verordnung sagt. Das bedeutet insbesondere, dass man als Cloud-Nutzer auf Cloud-Zertifizierungen beim Cloud-Betreiber achten sollte, die den Vorgaben der EU-DSGVO entsprechen. In Zukunft können also geeignete Cloud-Zertifikate zu einer wichtigen Hilfe bei der Auswahl werden.
Angemessenes Datenschutzniveau ist entscheidend
Viele Clouds werden außerhalb der EU betrieben. Dann liegt eine Datenübermittlung in Drittstaaten vor, wenn personenbezogene Daten in die Cloud übertragen werden. Gleich ob es sich um die USA oder einen anderen Drittstaat handelt: Es muss grundsätzlich geprüft werden, ob das dortige Datenschutzniveau dem der EU-DSGVO entspricht. Hierfür gibt es verschiedene Instrumente. Darunter eine Angemessenheitsentscheidung der EU-Kommission für bestimmte Länder und die sogenannte Privacy-Shield-Vereinbarung mit den USA.
Da gegenwärtig gerichtliche Prüfungen auf EU-Ebene in diesem Bereich bevorstehen, sollten Sie jeweils aktuell bei Ihrer Datenschutzbeauftragten oder Ihrem Datenschutzbeauftragten fragen, welche Grundlage für eine Datenübermittlung in Drittstaaten gilt.
Datenpannen können auch in Clouds passieren
Wird der Datenschutz verletzt, kommt es also zu einer Datenpanne, haben viele Unternehmen Schwierigkeiten, dies zeitnah festzustellen. Die verschärften Meldepflichten bei Datenschutzverletzungen (Vgl. hierzu unseren Beitrag "Nur noch 72 Stunden - EU-DSGVO bringt neue Spielregeln für den Umgang mit Datenpannen") vergrößern diese Probleme. Im Fall einer Cloud ist es für den Cloud-Nutzer meist sogar noch schwieriger, eine Datenpanne zu ermitteln, als es im eigenen Netzwerk schon der Fall wäre. Die EU-DSGVO sieht deshalb vor, dass der Cloud-Betreiber Datenschutzverletzungen unverzüglich dem Cloud-Nutzer als der verantwortlichen Stelle mitteilen muss. Hierzu sollten Cloud-Nutzer aber entsprechende Meldewege mit dem Cloud-Anbieter vereinbaren. Es gibt also einiges zu tun, damit die Cloud-Nutzung in Zukunft der Datenschutz-Grundverordnung Genüge tut.
Ist Ihr Unternehmen bereit für die EU-DSGVO? Jetzt Fördermittel nutzen!
Als Berater in Sachen Datenschutz & Informationssicherheit und mit der Erfahrung als ISO-27001-zertifiziertes Systemhaus analysieren wir gemeinsam mit Ihnen den Reifegrad Ihres Datenschutzkonzeptes im Hinblick auf die EU-DSGVO.
Das erfolgreiche yourIT Beratungskonzept Datenschutz in 4 Phasen |
Als Ergebnis erhalten Sie einen ausführlichen Beratungsbericht, in dem wir alle gefundenen Schwachstellen in Ihrem Unternehmen in Bezug auf Datenschutz & Informationssicherheit aufführen, diese bewerten, Belegen, weshalb es sich um eine Schwachstelle handelt, wo wir diese entdeckt haben. Wir nennen diesen Datenschutz-Beratungsbericht auch das "Datenschutz-Pflichtenheft", weil wir Ihnen zu jeder Schwachstelle zudem Handlungsempfehlungen geben, wie Sie diese beheben.
Und jetzt das Beste: Für mittelständische Unternehmen wurde unsere Beratungsleistung in Sachen Datenschutz & Informationssicherheit als förderungswürdig eingestuft. Wenn Ihr Unternehmen die Förderbedingungen einhält, haben Sie Anspruch auf 1.500 EUR Fördermittel.
Gerne prüfen wir mit Ihnen, ob auch Ihrem Unternehmen Fördermittel zustehen. das dauert nur wenige Minuten.
Ich freue mich auf Ihre Anfragen.
Ihr Thomas Ströbele