Zusammenfassung der Kriterien für die Auswahl eines Cloud-Anbieters
- Definition der zu verarbeitenden Daten
- Feststellung der technischen und organisatorischen Maßnahmen beim Dienstleister
- Risikobestimmung für Betroffene
- Vorlage einer Zertifizierung im Bereich Cloud-Hoster und Datenschutz
- Datentransfer nur innerhalb der EU oder auch darüber hinaus
- Vorhandensein eines dezidierten Löschkonzeptes
- Portabilität der Daten
Welche meiner Daten sind bei Cloud-Computing betroffen?
Die DSGVO greift in dem Moment, wenn es sich bei den Informationen, die in der Cloud abgelegt werden, um personenbezogene Daten handelt. Dies sind neben Namen und Adressen auch Telefonnummern und digitale Kennungen wie IP- oder E-Mail-Adressen und Standortdaten. Eine spezielle Kategorie im Bereich personenbezogener Daten sind Angaben zu Religion, Sexualität oder politische Anschauungen. Die Verarbeitung dieser speziellen Daten ist grundsätzlich untersagt. Ausnahmen können bestehen, wenn die Verarbeitung zum Schutz „lebenswichtiger Interessen der betroffenen Person“ dient.
Bestimmung des Risikos
Wer Daten zu verarbeiten hat, setzt als Auftraggeber auf entsprechende Dienstleister. Laut Art. 28 der DSGVO darf nur mit Anbietern von Cloud-Lösungen zusammengearbeitet werden, die „hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Personen gewährleistet.“ Die Schwere des Risikos für Rechte und Freiheit und der Stand der Technik sind ausschlaggebend für die Auswahl der Maßnahmen und des Schutzniveaus.
Auf der anderen Seite muss aus der Sicht der betroffenen Personen (nicht wie vor der DSGVO aus der des Auftraggebers) das Risiko bestimmt werden, dass durch die Weitergabe der Daten in die Cloud entsteht. Somit erhöhen sich in Fällen der Verarbeitung vertraulicher Daten die Anforderungen an die IT-Sicherheit erheblich.
Zu ergreifende Maßnahmen
Wichtig ist für den Auftraggeber die Wahrnehmung der aktiven Prüf- und Kontrollpflichten bei dem gewählten Dienstleister. Nicht nur die Vorgaben der IT-Sicherheit kommen hier zum Tragen, auch die Weitergabe der Daten an Staaten jenseits der EU ist ein zu klärender Faktor, da hier Subunternehmer, bzw. weitere Auftragsverarbeiter ins Spiel kommen. Im Auftragsverarbeitungsvertrag müssen also sowohl alle Pflichten des Cloud-Anbieters wie auch ggf. vorhandener Subunternehmer vermerkt werden. Ein Verzeichnis der technischen und organisatorischen Maßnahmen (TOM) ist ebenfalls anzufertigen.
Zertifikate zur Absicherung
Wie können seriöse Cloud-Anbieter gefunden werden? Es ist in der Realität für den Auftraggeber schwer möglich, die technischen und organisatorischen Maßnahmen des Dienstleisters zu überprüfen. Eine Orientierung können Zertifizierungen bieten, beispielsweise seien hier die Gütesiegel des TÜV Trust IT, TÜV Rheinland „Certified Cloud Service“ und EuroCloud SaaS Star genannt.
Mehr Verantwortung für den Hoster
Während bis 2018 ausschließlich der Auftraggeber für die Datennutzung verantwortlich war, ging mit der DSGVO die Ausweitung der Verantwortlichkeiten auf den Hoster einher. Nach Art. 82 haftet dieser nun gemeinsam mit dem Auftraggeber gegenüber Betroffenen für materielle und immaterielle Schäden.
Löschkonzept und Datenübertragbarkeit
Weitere wichtige Punkte bei der Zusammenarbeit mit einem Cloud-Anbieter sind das Löschkonzept und die Möglichkeiten der Datenübertragung im Fall der Beendigung der Zusammenarbeit. Bezüglich des Löschens gilt: Ist der Grund für die Nutzung von Daten hinfällig, wird die Einwilligung widerrufen oder erfolgte die NUtzung zu Unrecht, müssen die Informationen unverzüglich gelöscht werden. Hier ist Erarbeitung eines Löschkonzeptes in Zusammenarbeit mit Cloud-Anbieter und Auftraggeber eine der dringendsten Aufgaben. Es ist zu empfehlen den Datenschutzbeauftragten mit in das Löschkonzept einzubinden.
Auch die Datenübertragbarkeit stellt Auftraggeber häufig vor Probleme. Laut Art. 20 der DSGVO müssen die Daten auf Wunsch in einem gängigen und transportablen Format übergeben werden können. Bei der Auswahl eines Cloud-Anbieters sollte also auch die Portabilität der Daten ein Kriterium sein.
Strengere Meldepflichten
Nach Art. 33 und 34 sind Verletzungen des Schutzes personenbezogener Daten idealerweise binnen 72 Stunden zu melden. Auch die Art der Datenpanne sowie ihre Auswirkungen muss schriftlich festgehalten werden. Besteht ein Risiko für die betroffenen Personen, müssen diese bei Datenunfällen ebenfalls informiert werden. Somit ergibt sich mit dem Vorhandensein von Strukturen für den Umgang mit solchen Vorfällen ein weiterer wichtiger Faktor bei der Auswahl des Hosting-Anbieters.
Bitte beachten Sie auch unseren Artikel zu den 10 Neuerungen im Bereich Cloud Computing.