EU-Datenschutz

Wie Sie die DSGVO in der Cloud umsetzen


29. Mai 2017, von in Cloud-Lösungen

Am 25. Mai 2018 ist Stichtag. Dann tritt die Datenschutz-Grundverordnung (DSGVO) in Kraft – Cloud Computing nicht ausgenommen. Wie können Sie diesen neuen EU-Datenschutz in der Cloud-Umgebung einhalten? Das stellt besondere Anforderungen an gleich zwei Parteien: den Cloud-Nutzer und -Anbieter. Was Sie in Ihrem Unternehmen beachten müssen, damit Sie auch in der Cloud die DSGVO einhalten, erfahren Sie hier.

EU-Datenschutz: Änderungen

Gerade die Cloud-Umgebung stellt eine besondere Herausforderung dar, wenn es darum geht, den EU-Datenschutz einzuhalten. Wie wichtig in diesem Zusammenhang Zertifizierungen werden, wie die Datenverarbeitung angepasst werden muss und wer letztendlich die Verantwortung für Datenpannen trägt, darauf wird im Folgenden eingegangen. Allgemeine Hinweise zu grundsätzlichen Änderungen durch die DSGVO finden Sie im Blogbeitrag Europäische Datenschutzverordnung – Tipps zur Umsetzung.

EU-Datenschutzrecht

EU-Datenschutz einhalten. Auch in der Cloud gilt die europäische Datenschutz-Grundverordnung.

Europäisches Datenschutzrecht einhalten – Rollenverteilung

Das Nutzen von Cloud-Lösungen ist nach europäischen Datenschutzrecht als Auftragsverarbeitung geregelt. Die Rollenverteilung: der Cloud-Nutzer ist der Auftraggeber, der Cloud-Anbieter Auftragsverarbeiter. Auch bei der Datenschutz-Grundverordnung ist letztendlich der Cloud-Nutzer verantwortlich für die Einhaltung des EU-Datenschutzrechts. Er ist nach Artikel 28 Absatz 1 der DSGVO dazu verpflichtet, nur solche Cloud-Anbieter zu beauftragen, „die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet“.

Der Cloud-Nutzer muss also das Datenschutzniveau und die Datensicherheit des Cloud-Anbieters prüfen. Werden zum Beispiel Subunternehmen eingesetzt oder werden die Daten in oder durch Drittstaaten übermittelt? Für Cloud-Nutzer, die die europäischen Datenschutzrichtlinien sicher einhalten möchten, bleibt meist nur die Möglichkeit, europäische Cloud-Anbieter mit einem Rechenzentrum innerhalb der EU zu wählen.

Datenschutz-Grundverordnung: Zertifizierung wird wichtiger

Die Datenschutz-Grundverordnung sieht für die Wahl eines Cloud-Anbieters Zertifizierungen als hilfreich an. So heißt es, dass  die „Einhaltung genehmigter Verhaltensregeln oder eines genehmigten Zertifizierungsverfahrens durch einen Auftragsverarbeiter als Faktor herangezogen werden kann.“ Es geht darum, dass der Cloud-Anbieter Datenschutz und -sicherheit in der Cloud garantieren und nachweisen kann – nach DSGVO-Vorgaben versteht sich (Artikel 43). Doch wie man es von Bio- oder Textil-Produkten kennt: Nur weil zertifiziert drauf steht, muss es nicht bedeuten, dass die Cloud auch hinsichtlich EU-Datenschutz zertifiziert ist.

Mehr zum konkreten Punkt der Auftragsdatenverarbeitung (ADV) und ADV-Verträgen lesen Sie im Blogbeitrag Auftragsdatenverarbeitung – Rechtskonformer ADV-Vertrag trotz DSGVO

DSGVO: Welche Cloud ist vertrauenswürdig?

Das Bundesministeriums für Wirtschaft und Energie (BMWi) hat bereits Gütesiegel für vertrauenswürdige Cloud Services etabliert: Trusted Cloud. Das Trusted Cloud Datenschutz-Profil (TCDP) ist ein Prüfstandard für die Datenschutz-Zertifizierung von Cloud-Diensten. Die Bundesregierung hat im Frühjahr 2017 die Verwaltung des Trusted Cloud-Datenschutzprofils der Bundesstiftung für den Datenschutz übertragen. Gleichzeitig wird der TCDP-Standard von einem Konsortium an die neuen europäischen Vorgaben der Datenschutz-Grundverordnung angepasst. All dies soll gewährleisten, dass in der Menge der Cloud-Anbieter diejenigen vom Nutzer ausgewählt werden, die DSGVO-konform sind.

EU-Datenschutz: Cloud-Anbieter trägt Mitverantwortung

Kommt es jedoch zu Datenpannen, die eindeutig der Cloud-Anbieter, beziehungsweise -Betreiber zu verantworten hat, haftet laut EU-Datenschutz auch er. Das ist zum Beispiel der Fall, wenn zur Verfügung stehende Updates nicht eingespielt werden. Kommt es zu einer Datenschutzverletzung, liegt die Meldepflicht daher nicht nur beim Cloud-Nutzer. Auch der Cloud-Anbieter muss gemäß DSGVO den Cloud-Nutzer unverzüglich benachrichtigen, sobald ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird. Die Frage, die dabei aufkommt: Können Sie als Cloud-Nutzer Ihrer Meldefrist in maximal  72 Stunden überhaupt nachkommen, wenn Sie Ihr Cloud-Anbieter gar nicht informiert?

EU-Datenschutzrecht

Das EU-Datenschutzrecht setzt Sicherheitsstandards – auch in der Cloud.

Wie für Datensicherheit nach DSGVO sorgen?

Zusammenfassend kann gesagt werden: Der Cloud-Anbieter muss für Datenschutz- und Sicherheit garantieren, der Cloud-Nutzer muss das überprüfen. Überprüfung meint in diesem Zusammenhang nicht, sich bei einem Ortstermin blinkende Lämpchen in Serverräumen eines Rechenzentrums anzusehen. Wichtiger ist die Kontrolle der eigentlichen Arbeitsprozesse und organisatorischen Abläufe. Regelmäßige Audits sind daher sinnvoll. Diese sollten Sie sich vertraglich zusichern lassen, genauso wie folgende Punkte:

  • Pseudonymisierung und Verschlüsselung personenbezogener Daten
  • Dauerhafte Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung
  • Verfügbarkeit und Zugang der personenbezogenen Daten sowie die rasche Wiederherstellung bei einem physischen oder technischen Zwischenfall
  • Umsetzung eines Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen, um die Sicherheit der (Daten)Verarbeitung zu gewährleisten.

EU-Datenschutzrecht – Löschpflicht in der Cloud

Die nach EU-Datenschutzrecht verschärfte Forderung nach dem Recht auf Vergessenwerden gestaltet sich vor allem in der Cloud-Umgebung komplexer: Denn das bedeutet, dass nicht nur die Daten gelöscht werden müssen, sondern auch Links auf die betreffenden Daten und Datenkopien in der Cloud. Das setzt natürlich voraus, dass Ihr Unternehmen überhaupt weiß, wo sich seine zu löschenden Daten befinden und wohin sie überall noch übertragen worden sind. Gleichzeitig ist natürlich auch Ihr Cloud-Anbieter in der Pflicht Ihre eigenen Daten sofort zu löschen, wenn sie den Vertrag oder das Abo kündigen. Laut einer Untersuchung von Skyhigh Networks löschen 84 Prozent der Cloud-Services die betreffenden Kundendaten nicht sofort, wenn der Vertrag oder das Abonnement endet.

Anbieterwechsel nach Datenschutz-Grundverordnung

Das neue Recht auf Datenübertragbarkeit in der DSGVO bedeutet, dass Cloud-Nutzern ein Anbieterwechsel möglich sein muss. Die Daten müssen also von einer Cloud in die andere. Der bisherige Cloud-Anbieter muss den Umzug beziehungsweise Migration unterstützen – soweit es technisch machbar ist. Das setzt zwei Dinge voraus: Auch der Nutzer muss wissen, wo sich welche Daten befinden und der Anbieter braucht für die Übertragung der Daten ein strukturiertes, gängiges und maschinenlesbares Format.

EU-Datenschutzrecht

Bis das EU-Datenschutz in Kraft tritt, gibt’s noch viel zu tun für Cloud-Nutzer und -Anbieter.

EU-Datenschutz – Was Sie tun müssen

  • Verschaffen Sie sich einen Überblick über Ihre Unternehmensdaten
    • Erstellen Sie ein Verfahrensverzeichnis, in der sie die Verarbeitungsprozesse sämtlicher Datenarten dokumentieren.
  • Stimmen Sie Ihre Datenverarbeitung mit der Ihres Cloud-Anbieters ab
    • Vergleichen Sie ihr Verfahrensverzeichnis mit dem des Cloud-Anbieters. Inwieweit stimmen Ihre Verarbeitungsarten und Sicherheitsstandards überein?
  • Schulen Sie Ihre Mitarbeiter und legen Sie Verhaltensregeln fest
    • Verwalten Sie die Zugriffsrechte Ihrer Mitarbeiter gewissenhafter: Auf welche Datenarten und vor allem von welchen Geräten hat wer in Ihrem Unternehmen Zugriff?
    • Sensibilisieren Sie Ihre Mitarbeiter für das Thema Datensicherheit und legen Sie Verhaltensregeln fest.

EU-Datenschutz: Ihr Wettbewerbsvorteil

Der neue EU-Datenschutz wird mit der DSGVO am 25. Mai 2018 eingeführt. Momentan sehen Sie für Ihr Unternehmen sicherlich mehr Herausforderungen als Chancen. Langfristig, so sagen Experten, biete die Umsetzung dieser Datenschutz-Grundverordnung Ihrem Unternehmen jedoch die Möglichkeit, sich mit Ihren Grundsätzen zur Datenverarbeitung von Ihren Wettbewerbern abzuheben und Ihren Kundenkreis zu erweitern. Wenn Sie bei der Wahl des passenden Cloud-Anbieters unschlüssig sind, hilft Ihnen das IT-SERVICE.NETWORK gern. Unsere IT-Dienstleister beraten Sie kompetent und finden für Sie die richtige Cloud-Lösung.


Lesen noch weitere interessante Tipps und Informationen zur DSGVO – natürlich hier bei uns im Blog.


Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.