EU-Datenschutz

Wie Sie die DSGVO in der Cloud umsetzen

Von in Cloud-Lösungen
29
Mai
'17

Am 25. Mai 2018 war Stichtag. An dem Tag trat die Datenschutz-Grundverordnung (DSGVO) in Kraft – Cloud-Computing war dabei nicht ausgenommen. Das stellt besondere Anforderungen an gleich zwei Parteien: den Cloud-Nutzer und den -Anbieter.

Wie Sie diesen neuen EU-Datenschutz in der Cloud-Umgebung einhalten, erfahren Sie hier.

EU-Datenschutz: Änderungen zur Cloud

Gerade die Cloud-Umgebung stellt eine besondere Herausforderung dar, wenn es darum geht, den EU-Datenschutz einzuhalten. Wie wichtig in diesem Zusammenhang Zertifizierungen sind, wie die Datenverarbeitung angepasst werden muss und wer letztendlich die Verantwortung für Datenpannen trägt, darauf wird im Folgenden eingegangen. Lesen Sie unseren Blogpost zu den grundsätzlichen Änderungen durch die DSGVO für die grundlegenden Informationen.

EU-Datenschutzrecht

EU-Datenschutz einhalten. Auch in der Cloud gilt die europäische Datenschutz-Grundverordnung.

Europäisches Datenschutzrecht einhalten – Rollenverteilung

Das Nutzen von Cloud-Lösungen ist nach europäischen Datenschutzrecht als Auftragsverarbeitung geregelt. Die Rollenverteilung: der Cloud-Nutzer ist der Auftraggeber, der Cloud-Anbieter Auftragsverarbeiter. Auch bei der Datenschutz-Grundverordnung ist letztendlich der Cloud-Nutzer für die Einhaltung des EU-Datenschutzrechts verantwortlich. Er ist nach Artikel 28 Absatz 1 der DSGVO dazu verpflichtet, nur solche Cloud-Anbieter zu beauftragen, „die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet“.

Der Cloud-Nutzer muss also das Datenschutzniveau und die Datensicherheit des Cloud-Anbieters prüfen. Werden zum Beispiel Subunternehmen eingesetzt oder werden die Daten in oder durch Drittstaaten übermittelt? Für Cloud-Nutzer, die die europäischen Datenschutzrichtlinien sicher einhalten möchten, bleibt meist nur die Möglichkeit, mit einem Rechenzentrum innerhalb der EU europäische Cloud-Anbieter zu wählen.

Datenschutz-Grundverordnung: Zertifizierung wird wichtiger

Die Datenschutz-Grundverordnung sieht für die Wahl eines Cloud-Anbieters Zertifizierungen als hilfreich an. So heißt es, dass die „Einhaltung genehmigter Verhaltensregeln oder eines genehmigten Zertifizierungsverfahrens durch einen Auftragsverarbeiter als Faktor herangezogen werden kann.“ Es geht darum, dass der Cloud-Anbieter Datenschutz und -sicherheit in der Cloud garantieren und nachweisen kann – nach DSGVO-Vorgaben versteht sich (Artikel 43). Doch wie man es von Bio- oder Textil-Produkten kennt: Nur weil zertifiziert drauf steht, muss es nicht bedeuten, dass die Cloud auch hinsichtlich EU-Datenschutz zertifiziert ist.

Mehr zum konkreten Punkt der Auftragsdatenverarbeitung (ADV) und ADV-Verträgen lesen Sie in unserem Blogbeitrag zur Auftragsdatenverarbeitung.

DSGVO: Welche Cloud ist vertrauenswürdig?

Das Bundesministeriums für Wirtschaft und Energie (BMWi) hat bereits seit Mitte 2015 Gütesiegel für vertrauenswürdige Cloud-Services etabliert: Trusted Cloud. Das Trusted Cloud Datenschutz-Profil (TCDP) ist ein Prüfstandard für die Datenschutz-Zertifizierung von Cloud-Diensten. Die Bundesregierung hat im Frühjahr 2017 die Verwaltung des Trusted Cloud-Datenschutzprofils der Bundesstiftung für den Datenschutz übertragen. Gleichzeitig wird der TCDP-Standard von einem Konsortium an die neuen europäischen Vorgaben der Datenschutz-Grundverordnung angepasst. All dies soll gewährleisten, dass in der Menge der Cloud-Anbieter diejenigen vom Nutzer ausgewählt werden, die DSGVO-konform sind.

EU-Datenschutz: Cloud-Anbieter trägt Mitverantwortung

Kommt es jedoch zu Datenpannen, die eindeutig der Cloud-Anbieter beziehungsweise -Betreiber zu verantworten hat, haftet laut EU-Datenschutz auch er. Das ist zum Beispiel der Fall, wenn zur Verfügung stehende Updates nicht eingespielt werden. Kommt es zu einer Datenschutzverletzung, liegt die Meldepflicht daher nicht nur beim Cloud-Nutzer. Auch der Cloud-Anbieter muss gemäß DSGVO den Cloud-Nutzer unverzüglich benachrichtigen, sobald ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird. Die Frage, die dabei aufkommt: Können Sie als Cloud-Nutzer Ihrer Meldefrist in maximal 72 Stunden überhaupt nachkommen, wenn Sie Ihr Cloud-Anbieter gar nicht informiert?

EU-Datenschutzrecht

Das EU-Datenschutzrecht setzt Sicherheitsstandards – auch in der Cloud.

Wie für Datensicherheit nach DSGVO sorgen?

Zusammenfassend kann gesagt werden: Der Cloud-Anbieter muss für Datenschutz und Sicherheit garantieren, der Cloud-Nutzer muss das überprüfen. Überprüfung meint in diesem Zusammenhang nicht, sich bei einem Ortstermin blinkende Lämpchen in Serverräumen eines Rechenzentrums anzusehen. Wichtiger ist die Kontrolle der eigentlichen Arbeitsprozesse und organisatorischen Abläufe. Regelmäßige Audits sind daher sinnvoll. Diese sollten Sie sich vertraglich zusichern lassen, genauso wie folgende Punkte:

  • Pseudonymisierung und Verschlüsselung personenbezogener Daten
  • Dauerhafte Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung
  • Verfügbarkeit und Zugang der personenbezogenen Daten sowie die rasche Wiederherstellung bei einem physischen oder technischen Zwischenfall
  • Umsetzung eines Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen, um die Sicherheit der (Daten)Verarbeitung zu gewährleisten.

EU-Datenschutzrecht – Löschpflicht in der Cloud

Die nach EU-Datenschutzrecht verschärfte Forderung nach dem Recht auf Vergessenwerden gestaltet sich vor allem in der Cloud-Umgebung komplexer: Denn das bedeutet, dass nicht nur die Daten gelöscht werden müssen sondern auch Links auf die betreffenden Daten und Datenkopien in der Cloud. Das setzt natürlich voraus, dass Ihr Unternehmen überhaupt weiß, wo sich seine zu löschenden Daten befinden und wohin sie überall noch übertragen worden sind. Gleichzeitig ist natürlich auch Ihr Cloud-Anbieter in der Pflicht, Ihre eigenen Daten sofort zu löschen, wenn sie den Vertrag oder das Abo kündigen. Laut einer Untersuchung von Skyhigh Networks löschen 84 Prozent der Cloud-Services die betreffenden Kundendaten nicht sofort, wenn der Vertrag oder das Abonnement endet.

Anbieterwechsel nach Datenschutz-Grundverordnung

Das neue Recht auf Datenübertragbarkeit in der DSGVO bedeutet, dass Cloud-Nutzern ein Anbieterwechsel möglich sein muss. Die Daten müssen also von einer Cloud in die andere. Der bisherige Cloud-Anbieter muss den Umzug beziehungsweise die Migration unterstützen – soweit es technisch machbar ist. Das setzt zwei Dinge voraus: Auch der Nutzer muss wissen, wo sich welche Daten befinden und der Anbieter braucht für die Übertragung der Daten ein strukturiertes, gängiges und maschinenlesbares Format.

EU-Datenschutzrecht

Auch nachdem der EU-Datenschutz in Kraft getreten ist, gibt es noch viel zu tun für Cloud-Nutzer und -Anbieter.

EU-Datenschutz – Was Sie tun müssen

  • Verschaffen Sie sich einen Überblick über Ihre Unternehmensdaten
    • Erstellen Sie ein Verfahrensverzeichnis, in der sie die Verarbeitungsprozesse sämtlicher Datenarten dokumentieren.
  • Stimmen Sie Ihre Datenverarbeitung mit der Ihres Cloud-Anbieters ab
    • Vergleichen Sie ihr Verfahrensverzeichnis mit dem des Cloud-Anbieters. Inwieweit stimmen Ihre Verarbeitungsarten und Sicherheitsstandards überein?
  • Schulen Sie Ihre Mitarbeiter und legen Sie Verhaltensregeln fest
    • Verwalten Sie die Zugriffsrechte Ihrer Mitarbeiter gewissenhafter: Auf welche Datenarten und vor allem von welchen Geräten hat in Ihrem Unternehmen wer Zugriff?
    • Sensibilisieren Sie Ihre Mitarbeiter für das Thema Datensicherheit und legen Sie Verhaltensregeln fest.

EU-Datenschutz: Ihr Wettbewerbsvorteil

Der neue EU-Datenschutz wurde mit der DSGVO am 25. Mai 2018 eingeführt. Viele Unternehmen sahen anfangs sicherlich mehr Herausforderungen als Chancen. Langfristig, so sagen Experten, biete die Umsetzung dieser Datenschutz-Grundverordnung Ihrem Unternehmen jedoch die Möglichkeit, sich mit Ihren Grundsätzen zur Datenverarbeitung von Ihren Wettbewerbern abzuheben und Ihren Kundenkreis zu erweitern. Wenn Sie bei der Wahl des passenden Cloud-Anbieters unschlüssig sind, hilft Ihnen das IT-SERVICE.NETWORK gern weiter. Unsere IT-Dienstleister beraten Sie kompetent und finden für Sie die richtige Cloud-Lösung.


Am 25. Mai 2018 ist die DSGVO in Kraft getreten, lesen Sie in unserem Blog weitere interessante und relevante Artikel dazu.


Linda Boegelein

Fragen zum Artikel? Frag den Autor

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.