{"id":879,"date":"2017-05-29T15:30:23","date_gmt":"2017-05-29T13:30:23","guid":{"rendered":"https:\/\/it-service.network\/blog\/?p=879"},"modified":"2021-11-22T14:01:34","modified_gmt":"2021-11-22T13:01:34","slug":"eu-datenschutz-dsgvo-gdpr","status":"publish","type":"post","link":"https:\/\/it-service.network\/blog\/2017\/05\/29\/eu-datenschutz-dsgvo-gdpr\/","title":{"rendered":"EU-Datenschutz ## Wie Sie die DSGVO in der Cloud umsetzen"},"content":{"rendered":"

Am 25. Mai 2018 war Stichtag. An dem Tag trat die Datenschutz-Grundverordnung (DSGVO) in Kraft \u2013 Cloud-Computing war dabei nicht ausgenommen. Das stellt besondere Anforderungen an gleich zwei Parteien: den Cloud-Nutzer und den -Anbieter.<\/strong><\/p>\n

Wie Sie diesen neuen EU-Datenschutz in der Cloud-Umgebung einhalten, erfahren Sie hier.
\n<\/p>\n

EU-Datenschutz: \u00c4nderungen zur Cloud<\/h3>\n

Gerade die\u00a0Cloud-Umgebung stellt\u00a0eine besondere Herausforderung dar, wenn es darum geht, den EU-Datenschutz<\/strong> einzuhalten. Wie wichtig in diesem Zusammenhang Zertifizierungen sind, wie die Datenverarbeitung angepasst werden muss und wer letztendlich die Verantwortung f\u00fcr Datenpannen tr\u00e4gt, darauf wird im Folgenden eingegangen.<\/p>\n

Lesen Sie unseren Blogpost zu den grunds\u00e4tzlichen \u00c4nderungen durch die DSGVO<\/strong><\/a> f\u00fcr die grundlegenden Informationen.<\/p>\n

\"EU-Datenschutzrecht\"

EU-Datenschutz einhalten. Auch in der Cloud gilt die europ\u00e4ische Datenschutz-Grundverordnung.<\/p><\/div>\n

Europ\u00e4isches Datenschutzrecht einhalten \u2013 Rollenverteilung<\/h3>\n

Das Nutzen von Cloud-L\u00f6sungen ist nach europ\u00e4ischen Datenschutzrecht<\/strong> als Auftragsverarbeitung geregelt. Die Rollenverteilung: der Cloud-Nutzer ist der Auftraggeber, der Cloud-Anbieter Auftragsverarbeiter. Auch bei der Datenschutz-Grundverordnung<\/strong> ist letztendlich der Cloud-Nutzer f\u00fcr die Einhaltung des EU-Datenschutzrechts verantwortlich.<\/p>\n

Er ist nach Artikel 28 Absatz 1 der DSGVO<\/a>\u00a0dazu verpflichtet,\u00a0nur solche Cloud-Anbieter zu beauftragen, \u201edie hinreichend Garantien daf\u00fcr bieten, dass geeignete technische und organisatorische Ma\u00dfnahmen so durchgef\u00fchrt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO<\/strong> erfolgt und den Schutz der Rechte der betroffenen Person gew\u00e4hrleistet\u201c.<\/p>\n

Der Cloud-Nutzer muss also das Datenschutzniveau und die Datensicherheit des Cloud-Anbieters pr\u00fcfen. Werden zum Beispiel Subunternehmen eingesetzt oder werden die Daten in oder durch Drittstaaten \u00fcbermittelt? F\u00fcr Cloud-Nutzer, die die europ\u00e4ischen Datenschutzrichtlinien sicher einhalten m\u00f6chten, bleibt meist nur die M\u00f6glichkeit, mit einem Rechenzentrum innerhalb der EU europ\u00e4ische Cloud-Anbieter zu w\u00e4hlen.<\/p>\n

Datenschutz-Grundverordnung: Zertifizierung wird wichtiger<\/h3>\n

Die Datenschutz-Grundverordnung<\/strong> sieht f\u00fcr die Wahl eines Cloud-Anbieters Zertifizierungen als hilfreich an. So hei\u00dft es, dass die \u201eEinhaltung genehmigter Verhaltensregeln oder eines genehmigten Zertifizierungsverfahrens durch einen Auftragsverarbeiter als Faktor herangezogen werden kann.\u201c Es geht darum, dass der Cloud-Anbieter Datenschutz und -sicherheit in der Cloud garantieren und nachweisen kann \u2013 nach DSGVO-Vorgaben versteht sich (Artikel 43<\/a>).<\/p>\n

Doch wie man es von Bio- oder Textil-Produkten kennt: Nur weil zertifiziert drauf steht, muss es nicht bedeuten, dass die Cloud auch hinsichtlich\u00a0EU-Datenschutz<\/strong> zertifiziert ist. Mehr zum konkreten Punkt der Auftragsdatenverarbeitung (ADV) und ADV-Vertr\u00e4gen lesen Sie in unserem Blogbeitrag zur Auftragsdatenverarbeitung<\/a>.<\/p>\n

DSGVO:\u00a0Welche Cloud ist vertrauensw\u00fcrdig?<\/h3>\n

Das Bundesministeriums f\u00fcr Wirtschaft und Energie (BMWi) hat bereits seit Mitte 2015 G\u00fctesiegel f\u00fcr vertrauensw\u00fcrdige Cloud-Services etabliert: Trusted Cloud. Das Trusted Cloud Datenschutz-Profil (TCDP) ist ein Pru\u0308fstandard f\u00fcr die Datenschutz-Zertifizierung von Cloud-Diensten. Die Bundesregierung hat im Fr\u00fchjahr 2017 die Verwaltung des Trusted Cloud-Datenschutzprofils der Bundesstiftung f\u00fcr den Datenschutz<\/a> \u00fcbertragen.<\/p>\n

Gleichzeitig wird der TCDP-Standard von einem Konsortium an die neuen europ\u00e4ischen Vorgaben der Datenschutz-Grundverordnung<\/strong> angepasst.\u00a0All dies soll gew\u00e4hrleisten, dass in der Menge der Cloud-Anbieter diejenigen vom Nutzer ausgew\u00e4hlt werden, die\u00a0DSGVO-konform sind.<\/p>\n

EU-Datenschutz: Cloud-Anbieter tr\u00e4gt Mitverantwortung<\/h3>\n

Kommt es jedoch zu Datenpannen, die eindeutig der Cloud-Anbieter beziehungsweise -Betreiber zu verantworten hat, haftet laut EU-Datenschutz<\/strong> auch er. Das ist zum Beispiel der Fall, wenn zur Verf\u00fcgung stehende Updates nicht eingespielt werden. Kommt es zu einer Datenschutzverletzung, liegt die Meldepflicht daher nicht nur beim Cloud-Nutzer.<\/p>\n

Auch der Cloud-Anbieter muss gem\u00e4\u00df DSGVO<\/strong> den Cloud-Nutzer unverz\u00fcglich benachrichtigen, sobald ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird. Die Frage, die dabei aufkommt: K\u00f6nnen Sie als Cloud-Nutzer Ihrer Meldefrist in maximal 72 Stunden \u00fcberhaupt nachkommen, wenn Sie Ihr Cloud-Anbieter gar nicht informiert?<\/p>\n

\"EU-Datenschutzrecht\"

Das EU-Datenschutzrecht setzt Sicherheitsstandards \u2013 auch in der Cloud.<\/p><\/div>\n

Wie f\u00fcr Datensicherheit nach DSGVO sorgen?<\/h3>\n

Zusammenfassend kann gesagt werden: Der Cloud-Anbieter muss f\u00fcr Datenschutz und Sicherheit garantieren, der Cloud-Nutzer muss das \u00fcberpr\u00fcfen. \u00dcberpr\u00fcfung meint in diesem Zusammenhang nicht, sich bei einem Ortstermin blinkende L\u00e4mpchen in Serverr\u00e4umen eines Rechenzentrums anzusehen.<\/p>\n

Wichtiger ist die Kontrolle der eigentlichen Arbeitsprozesse und organisatorischen Abl\u00e4ufe. Regelm\u00e4\u00dfige Audits sind daher sinnvoll. Diese sollten Sie sich vertraglich zusichern lassen, genauso wie folgende Punkte:<\/p>\n