Zehn Fragen an den Bundesverband der Datenschutzbeauftragten

Selbstverpflichtung ist nur der erste Schritt zu mehr Sicherheit in der Cloud

| Autor / Redakteur: Götz Piwinger, Bundesverband Deutscher Rechenzentren / Elke Witmer-Goßner

Der BvD bewertet das unabhängige Gütesiegel für Cloudanbieter „German Cloud“ als gute Lösung, solange es kein Audit-Gesetz im Sinne des Bundesdatenschutzgesetzes §9a gibt.
Der BvD bewertet das unabhängige Gütesiegel für Cloudanbieter „German Cloud“ als gute Lösung, solange es kein Audit-Gesetz im Sinne des Bundesdatenschutzgesetzes §9a gibt. (Bild: German Cloud)

In seiner Reihe „Zehn Fragen an…“ befragt der Bundesverband Deutscher Rechenzentren regelmäßig Persönlichkeiten mit tiefgehendem Branchenwissen in Sachen Cloud. Das aktuelle Interview führte Götz Piwinger, Geschäftsführer des Verbands mit Thomas Spaeing und Jürgen Hartz, Vorstände des Bundesverbands der Datenschutzbeauftragten Deutschlands (BvD).

Götz Piwinger: Der deutsche Mittelstand geht vorsichtig dazu über, Firmendaten in der Cloud zu verarbeiten. Haben Sie den Eindruck, dass diese Unternehmen wissen, wonach sie fragen müssen, wenn es um den Schutz und die Sicherheit ihrer Daten geht?

Jürgen Hartz: Unserer Erfahrung nach sind gerade kleinere mittelständische Unternehmen noch nicht so weit, die richtigen Fragen zu Datenschutz und Datensicherheit zu stellen. Meist geht es um den Preis und mögliche Einsparungen beim Betrieb der IT-Systeme. Es fehlt an der fachlichen Beratung und Kompetenz. Hier ist auch der Anbieter gefordert, durch umfassende Beratung als Teil seiner Dienstleistung zu unterstützen und von seiner Seite Datenschutz und -sicherheit zu gewährleisten.

Das Deutsche Bundesdatenschutzgesetz regelt unter anderem die Weitergabe von Daten und die Benennung des Speicherortes. Welche Rolle spielt die technische Verschlüsselung der Daten?

Thomas Spaeing: Verschlüsselung ist eine der angemessenen und gebotenen technischen Maßnahmen zum Datenschutz. Sie sollte immer dann eine Rolle spielen, wenn personenbezogene Daten verarbeitet werden. Dabei gilt, je sensibler die Daten, desto sicherer muss die Verschlüsselung sein. Gelangen, wie erst kürzlich bei Krankenhäusern geschehen, sensible Gesundheitsdaten in falsche Hände, trifft den Verantwortlichen die Pflicht zur Information nach §42a BDSG [Bundesdatenschutzgesetz; Anm. d. Red.]. Er muss die Aufsichtsbehörden und die Betroffenen über die Datenpanne informieren. Damit soll vor allem ein möglicher Schaden für Betroffene eingegrenzt werden. Wie sich derartige Vorfälle auf die Reputation eines verantwortlichen Unternehmens auswirken, kann sich jeder leicht vorstellen.

Selbst wenn die Daten verschlüsselt sind, aber im Ausland verarbeitet werden, so dürfen verschlüsselte Daten in anderen europäischen und nicht-europäischen Ländern weitergegeben werden. Die Entschlüsselungskünstler wachsen mit den Aufgaben. Ist es sicherer, die Daten innerhalb Deutschlands zu belassen?

Thomas Spaeing, Vorstandsvorsitzender des Berufsverbands der Datenschutzbeauftragten (BvD) e.V.
Thomas Spaeing, Vorstandsvorsitzender des Berufsverbands der Datenschutzbeauftragten (BvD) e.V. (Bild: BvD)

Spaeing: Achtung! Die Verschlüsselung der Daten ist keine Allheilmittel. Es gibt Länder, in denen die Verschlüsselung von Daten sogar verboten ist! Dort muss ein Masterschlüssel bei den zuständigen Behörden hinterlegt werden. Damit sind die Daten aber nicht mehr sicher vor unbefugtem Zugriff. Wenn die Daten in Deutschland oder zumindest in der EU gehostet werden, ist die Umsetzung und Prüfung der Vorgaben des §11 BDSG – das sind die Vorschriften zur Datenverarbeitung im Auftrag von personenbezogenen Daten – zumindest leichter möglich und umzusetzen. Innerhalb der EU gilt das angenommene sichere Datenschutzniveau und es gibt gemeinsame rechtliche Grundlagen zum Datenschutz wie die EU Richtlinie 95/46/EG von 1995. Sie beschreibt Mindeststandards für den Datenschutz, die in allen Mitgliedstaaten der Europäischen Union durch nationale Gesetze sichergestellt werden müssen.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 36850090 / Recht und Datenschutz)