Datenschutz-Grundverordnung (DSGVO): Die Cloud als Auftragsverarbeitung[Gesponsert]

Welche Bedeutung die DSGVO für die Cloud-Auswahl hat

| Autor: Oliver Schonschek

Cloud-Datenschutz ist vor allem auch eine Standort-Frage.
Cloud-Datenschutz ist vor allem auch eine Standort-Frage. (Bild: gemeinfrei (TheDigitalArtist / pixabay) / CC0)

Datenschutz spielt für die Wahl der Cloud-Lösung eine zentrale Rolle. Mit der Datenschutz-Grundverordnung (DSGVO / GDPR) kommen neue und verschärfte Anforderungen dazu. Worauf sollten Cloud-Nutzer nun besonders achten?

Die Bedeutung von Cloud Computing ist unbestritten: Die Cloud ist Basistechnologie der Digitalisierung und verspricht zahlreiche, wirtschaftliche Vorteile. Dennoch zögern Unternehmen in Deutschland, wenn es um die Entscheidung für Cloud Computing geht. Der wesentliche Grund dafür ist, dass diese Unternehmen nicht wissen, wie die Datensicherheit und der Datenschutz in der Cloud gewährleistet werden kann. So sehen laut der eco-Studie IT-Sicherheit 2017 (PDF) über die Hälfte (57 Prozent) der Unternehmen die Gefahr, dass sich ihre IT-Sicherheit durch die Nutzung von Cloud-Diensten verschlechtern könnte.

Tatsächlich aber zeigt die gleiche Studie, dass die Cloud nicht automatisch unsicherer ist als die intern betriebene Unternehmens-IT, im Gegenteil: Die Cloud-Sicherheit kann die interne IT-Sicherheit übertreffen, vorausgesetzt, die Unternehmen achten bereits bei der Suche nach der richtigen Cloud-Lösung auf Datenschutz und IT-Sicherheit. Fehler in der Cloud-Auswahl sollte und kann man sich nicht leisten.

Resultieren daraus Mängel im Datenschutz, drohen bereits heute Bußgelder, Sanktionen und Image-Schäden bei Kunden. Mit der Datenschutz-Grundverordnung (DSGVO), die ab 25. Mai 2018 unmittelbar anzuwenden ist, verschärft sich diese Lage noch: Nicht nur die möglichen Bußgelder bei Datenschutzverletzungen steigen beträchtlich an, auch die Forderungen an den Cloud-Datenschutz werden höher. Die Mehrheit der Unternehmen in Deutschland ist sich noch nicht bewusst, was die DSGVO genau für sie bedeutet und wie sie die Einhaltung (Compliance) erreichen kann. Das muss sich ändern, damit die Digitalisierung datenschutzkonform fortschreiten kann.

Cloud Computing muss Forderungen an Auftragsverarbeitung erfüllen

Cloud-Nutzer sollten deshalb wissen: Datenschutzrechtlich handelt es sich bei Cloud Computing um sogenannte Auftragsverarbeitung, also um die Verarbeitung personenbezogener Daten im Auftrag des Cloud-Nutzers durch den Cloud-Anbieter. Die DSGVO (Artikel 28) verlangt, dass der Cloud-Nutzer nur mit Cloud-Anbietern zusammenarbeitet, „die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet“.

Hier stellt sich für den Cloud-Nutzer die Frage: Was kann als entsprechende Garantie verstanden werden? Was muss bei der Cloud-Wahl beachtet werden, um die Anforderungen der DSGVO zu erfüllen?

Zu den Garantien sagt die DSGVO: „Die Einhaltung genehmigter Verhaltensregeln (Artikel 40) oder eines genehmigten Zertifizierungsverfahrens (Artikel 42) durch einen Auftragsverarbeiter kann als Faktor herangezogen werden, um hinreichende Garantien nachzuweisen.“ Konkret bedeutet dies, dass Cloud-Nutzer bei der Wahl ihrer Cloud-Lösung darauf achten sollten, ob der Cloud-Anbieter für sein Cloud-Angebot über eine Datenschutz-Zertifizierung nach DSGVO verfügt. Die Zertifizierung nach „Trusted Cloud Datenschutz-Profil für Cloud-Dienste (TCDP)“ zum Beispiel wird gegenwärtig auf die DSGVO angepasst und soll dann in einer Version 2.0 als Garantie für eine datenschutzkonforme Cloud genutzt werden können.

Cloud-Datenschutz ist eine Standort-Frage, aber nicht nur das

Für die Rechtmäßigkeit einer Auftragsverarbeitung und damit der Cloud-Nutzung ist es wichtig, dass am Standort des Cloud-Betreibers ein angemessenes Schutzniveau für die Cloud-Daten gewährleistet wird. Befindet sich der Cloud-Standort außerhalb der Europäischen Union (EU), besteht ein angemessenes Schutzniveau nur dann, wenn in dem Drittland auf Grundlage seiner innerstaatlichen Rechtsvorschriften und deren Anwendung, der Existenz und der wirksamen Funktionsweise einer oder mehrerer unabhängiger Aufsichtsbehörden sowie seiner eingegangenen internationalen Verpflichtungen ein Schutzniveau existiert, welches dem in der DSGVO gewährten Schutzniveau gleichwertig ist.

Im Fall eines Cloud-Standortes in den USA finden sich die internationalen Verpflichtungen für die Sicherstellung des Datenschutzniveaus in den Vereinbarungen zum sogenannten Privacy Shield. Eine Alternative zu Privacy Shield bieten bisher Cloud-Verträge auf Basis der EU-Standardvertragsklauseln. Gegenwärtig steht jedoch eine Entscheidung des Europäischen Gerichtshofes (EuGH) aus, ob die bestehenden EU-Standardvertragsklauseln wirklich geeignet sind, das notwendige Datenschutzniveau sicherzustellen. Eine Entscheidung des EuGH, dass dem nicht so ist, kann auch Auswirkungen auf Privacy Shield haben, da in beiden Fällen ähnliche Verfahren für die Einhaltung des Datenschutzniveaus sorgen sollen.

Diese rechtliche Unsicherheit können Unternehmen dadurch umgehen, indem sie eine Cloud-Lösung auswählen, deren Betreiber der Datenschutz-Grundverordnung unmittelbar unterliegt. Doch nicht jede Cloud, die innerhalb der EU betrieben wird, ermöglicht automatisch, dass der Cloud-Nutzer den Verpflichtungen aus der DSGVO gerecht wird. Betreibt zum Beispiel ein US-Cloud-Anbieter innerhalb der EU eine Cloud, muss ausgeschlossen werden können, dass Zugriffe von Behörden aus den USA auf die Cloud-Daten möglich sind, die das geforderte Datenschutzniveau unterlaufen.

Datenschutz-Zertifizierungen nach DSGVO wie TCDP werden dies in den Blick nehmen und auch in Zukunft Cloud-Nutzern wertvolle Orientierung bei der Cloud-Auswahl sein. Nur solche Cloud-Anbieter werden eine Zertifizierung erhalten, die für das notwendige Datenschutzniveau sorgen. Alleine ein Cloud-Standort in der EU reicht für eine Zertifizierung nicht aus und sollte nicht alleiniger Maßstab bei der Cloud-Wahl sein.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44977242 / DSGVO - Datenschutz Grundverordnung)