Datenschutz-Grundverordnung: Was Cloud-Nutzer beachten sollten

Der Datenschutz zählt zu den größten Herausforderungen bei Cloud Computing. Cloud-Nutzer müssen die Datenschutzvorgaben genau kennen und umsetzen. Mit der von der EU verabschiedeten Datenschutz-Grundverordnung (DSGVO) kommen einige neue Punkte hinzu.

Aktuelle Umfragen von Bitkom und eco zeigen, dass sich Cloud Computing in Deutschland immer weiter ausbreitet, viele sagen sogar, es führe kein Weg mehr daran vorbei. Es wäre allerdings falsch, daraus zu schließen, die bisherigen Hemmnisse für Cloud Computing seien Vergangenheit. Datenschutz und Datensicherheit sind weiterhin entscheidende Themen für Cloud-Nutzer und Cloud-Anbieter.

So besteht eine große Unsicherheit, wer im Datenschutz bei Cloud Computing für welche Aufgabe zuständig ist. Ein Aufklärungsbedarf besteht hier auch in den nächsten Jahren, denn es gibt entscheidende Entwicklungen im Datenschutzrecht, die Datenschutz-Grundverordnung (DSGVO) kommt.

Datenschutz (Bild: Shutterstock)

Die nächsten zwei Jahre: BDSG gilt noch, DSGVO bedarf der Vorbereitung

Wie bereits umfangreich berichtet wurde, ist die DSGVO nicht nur beschlossene Sache, auch der Stichtag ist bekannt, ab dem das Bundesdatenschutzgesetz (BDSG) und andere deutsche Datenschutzgesetze durch die DSGVO abgelöst werden. Auch wenn es bereits eine offizielle deutsche Übersetzung (PDF) der Datenschutz-Grundverordnung gibt, sind noch viele Punkte zu klären. Die sogenannten Öffnungsklauseln in der DSGVO lassen zahlreiche Anpassungen auf nationaler Ebene zu.

Nicht alles kann somit zum gegenwärtigen Zeitpunkt verbindlich im Voraus geklärt werden, um sich auf das kommende EU-Datenschutzrecht vorzubereiten. Viele Punkte jedoch sind bereits bekannt und können nicht nur von Cloud-Nutzern in den Blick genommen werden, sie sollten es auch.

HIGHLIGHT

Admin-Tipps für Office 365

Office 365 ermöglicht vielfältige Einstellungsmöglichkeiten für Anwender und Administratoren. Kostenlose Zusatztools und die PowerShell helfen dabei, Office 365 optimal zu konfigurieren.

Cloud-Datenschutz: vieles bleibt, vieles ändert sich aber auch

Cloud-Nutzer werden in der Datenschutz-Grundverordnung auf viele bekannte Datenschutzvorgaben stoßen. Zu den Vorgaben, die aus dem BDSG bereits vertraut sein sollten, gehören Datenschutz-Prinzipien wie „Verbot mit Erlaubnisvorbehalt“, Datenvermeidung und Datensparsamkeit, Zweckbindung und Transparenz der Verarbeitung personenbezogener Daten.

Aus diesen Prinzipien leitet sich insbesondere ab, dass es wie bisher eine rechtliche Grundlage für die Datenverarbeitung geben muss, dass nur die erforderlichen Daten erhoben werden sollen, dass die Daten nur für ihren Erhebungszweck verarbeitet werden, wenn eine Zweckänderung nicht explizit rechtlich oder vertraglich erlaubt ist, und dass die betroffenen Personen eine Reihe von Informationsrechten haben, was mit welchen ihrer Daten genau geschehen soll.

Ebenfalls von grundlegender Bedeutung ist die Datensicherheit in der Cloud. Hier fordert die DSGVO, dass der Cloud-Nutzer als Auftraggeber und verantwortliche Stelle und ebenso der Cloud-Anbieter geeignete Schutzmaßnahmen ergreifen müssen, jeweils unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, der Umstände und Zweck der Datenverarbeitung, aber auch der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risiko.

Cloud Computing und Datenübermittlung in Drittstaaten

Besonders wichtig bei Cloud Computing ist natürlich die Frage nach der Übermittlung von personenbezogenen Daten in ein Drittland. Rechtliche Voraussetzungen dafür nach DSGVO werden insbesondere sein, dass die Europäische Kommission entschieden hat, dass ein angemessenes Schutzniveau besteht, oder dass der Verantwortliche oder der Auftragsdatenverarbeiter personenbezogene Daten in ein Drittland nur dann übermitteln, sofern er geeignete Garantien vorgesehen hat und durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen, wie unternehmensinterne Datenschutzvorschriften, sog. „Binding Corporate Rules“, oder Standarddatenschutzklauseln, die von der Kommission oder der zuständigen Aufsichtsbehörde angenommen werden.

Cloud-Zertifizierung bekommt neuen Stellenwert

Der Cloud-Nutzer als verantwortliche Stelle hat bislang große Schwierigkeiten, seinen Kontrollpflichten gegenüber den Cloud-Anbietern gerecht zu werden, wie diese bei Auftragsdatenverarbeitung nach BDSG gefordert sind. Hier sieht die DSGVO neue Instrumente vor, die Cloud-Nutzer kennen und richtig bewerten sollten. So können die technisch-organisatorischen Maßnahmen des Auftragnehmers (Cloud-Anbieters) durch die Einhaltung geeigneter, genehmigter Verhaltensregeln (Code of Conduct) oder durch eine Zertifizierung nach DSGVO nachgewiesen werden.

Das ist sehr hilfreich für die weitere Ausbreitung des Cloud Computing, vorausgesetzt, die Cloud-Nutzer beachten, dass es nicht beliebige Verhaltensregeln und Cloud-Zertifizierungen sein dürfen, auf die sich die Cloud-Anbieter stützen. Die Verhaltensregeln müssen durch die Aufsichtsbehörde bzw. den sogenannten Europäischen Datenschutzausschuss genehmigt und veröffentlicht sein. Es wird ein Register aller genehmigten Verhaltensregeln geben. Verarbeitungsvorgänge können auch einer Zertifizierung unterzogen werden, um den Nachweis einer datenschutzkonformen Verarbeitung zu erbringen. Zertifizieren werden die Aufsichtsbehörden oder entsprechend akkreditierte Stellen. Nicht jedes Cloud-Zertifikat hat also automatisch die gewünschte Rechtswirkung!

Cloud-Migration muss möglich sein

Ein häufig genanntes Problem bei Cloud Computing ist auch die Sorge, dass man zu abhängig von dem Cloud-Anbieter werden könnte und den Anbieter nicht wechseln kann (Cloud Lock-In). Diese Anbieterabhängigkeit kann durch die DSGVO dann gemindert werden, wenn es um die Verarbeitung personenbezogener Daten geht. Das neue Recht auf Datenübertragbarkeit sieht unter bestimmten Voraussetzungen vor, dass Nutzer einen Anspruch darauf haben, eine Kopie ihrer Daten in einem marktüblichen und maschinenlesbaren Format zu erhalten. Der Cloud-Nutzer muss also im gewissen Rahmen dabei unterstützt werden, seine Daten zu einem anderen Cloud-Anbieter mitzunehmen.

EU-Datenschutz auch für ausländische Anbieter

Ausländische Cloud-Anbieter, die einen Service innerhalb der EU anbieten wollen, müssen die Vorgaben der DSGVO ebenso beachten wie die Anbieter aus der EU selbst (Marktortprinzip). Andernfalls sollen Nicht-EU-Anbieter keinen Zugang zum EU-Markt erhalten.

Auch die Festlegung, welche Aufsichtsbehörde bei grenzüberschreitendem Datenverkehr zuständig ist, unterliegt einem neuen Mechanismus, der One-Stop-Shop genannt wird. Für Unternehmen, die Niederlassungen in mehreren EU-Mitgliedstaaten führen und dort Datenverarbeitung betreiben, wird bei grenzüberschreitenden Datenverarbeitungen nur die Aufsichtsbehörde an ihrem Hauptsitz zuständig sein, sodass sie einen zentralen Ansprechpartner haben.

Tipp: Schon jetzt Cloud-Angebote mit Blick auf die DSGVO prüfen

Bereits diese Punkte zeigen, dass der Cloud-Datenschutz in der nächsten Zeit einer genaueren Betrachtung unterzogen werden sollte, um das BDSG (weiterhin) einzuhalten und um sich auf die DSGVO so früh wie möglich vorzubereiten. Dabei ist es für Cloud-Nutzer zum Beispiel besonders wichtig, in Zukunft potenzielle Cloud-Anbieter nach Cloud-Zertifizierungen in Hinblick auf die DSGVO zu befragen und auf die Möglichkeiten zu achten, die für einen späteren Cloud-Umzug verfügbar sein werden.

Bei Nicht-EU-Anbietern sollte zudem gefragt werden, wie sie die Einhaltung der DSGVO gewährleisten werden, wie also um Beispiel die rechtliche Grundlage für eine Datenübermittlung in ihre Cloud aussehen wird. Es gibt also bereits im Vorfeld der DSGVO einiges zu tun, wenn Cloud-Services ausgewählt werden, aus Sicht des BDSG und zur Vorbereitung auf die DSGVO.

Weitere Artikel zur EU-Datenschutz-Grundverordnung:

Themenseiten: Cloud by HPE, Datenschutz, Datenschutz-Grundverordnung

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen: