Tipps für den Einsatz von Cloud-Lösungen und Anforderungen beim Datenschutz

Das Arbeiten mit Cloud-Lösungen bietet für die Datenspeicherung große Vorteile: Unbegrenzter Speicherplatz, Zugriff von überall, problemlose Zusammenarbeit über Grenzen hinweg und das leidige Thema Backup ist ebenfalls abgehakt. Doch bevor Sie sich für einen Anbieter entscheiden, gibt es in Punkto Datenschutz Einiges zu beachten. Auch die Überprüfung des aktuellen Dienstleisters empfehlen wir.

Zusammenfassung der Kriterien für die Auswahl eines Cloud-Anbieters

  • Definition der zu verarbeitenden Daten
  • Feststellung der technischen und organisatorischen Maßnahmen beim Dienstleister
  • Risikobestimmung für Betroffene
  • Vorlage einer Zertifizierung im Bereich Cloud-Hoster und Datenschutz
  • Datentransfer nur innerhalb der EU oder auch darüber hinaus
  • Vorhandensein eines dezidierten Löschkonzeptes
  • Portabilität der Daten

Welche meiner Daten sind bei Cloud-Computing betroffen?

Die DSGVO greift in dem Moment, wenn es sich bei den Informationen, die in der Cloud abgelegt werden, um personenbezogene Daten handelt. Dies sind neben Namen und Adressen auch Telefonnummern und digitale Kennungen wie IP- oder E-Mail-Adressen und Standortdaten. Eine spezielle Kategorie im Bereich personenbezogener Daten sind Angaben zu Religion, Sexualität oder politische Anschauungen. Die Verarbeitung dieser speziellen Daten ist grundsätzlich untersagt. Ausnahmen können bestehen, wenn die Verarbeitung zum Schutz „lebenswichtiger Interessen der betroffenen Person“ dient.

Bestimmung des Risikos

Wer Daten zu verarbeiten hat, setzt als Auftraggeber auf entsprechende Dienstleister. Laut Art. 28 der DSGVO darf nur mit Anbietern von Cloud-Lösungen zusammengearbeitet werden, die „hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Personen gewährleistet.“ Die Schwere des Risikos für Rechte und Freiheit und der Stand der Technik sind ausschlaggebend für die Auswahl der Maßnahmen und des Schutzniveaus. 

Auf der anderen Seite muss aus der Sicht der betroffenen Personen (nicht wie vor der DSGVO aus der des Auftraggebers) das Risiko bestimmt werden, dass durch die Weitergabe der Daten in die Cloud entsteht. Somit erhöhen sich in Fällen der Verarbeitung vertraulicher Daten die Anforderungen an die IT-Sicherheit erheblich.

Zu ergreifende Maßnahmen

Wichtig ist für den Auftraggeber die Wahrnehmung der aktiven Prüf- und Kontrollpflichten bei dem gewählten Dienstleister. Nicht nur die Vorgaben der IT-Sicherheit kommen hier zum Tragen, auch die Weitergabe der Daten an Staaten jenseits der EU ist ein zu klärender Faktor, da hier Subunternehmer, bzw. weitere Auftragsverarbeiter ins Spiel kommen. Im Auftragsverarbeitungsvertrag müssen also sowohl alle Pflichten des Cloud-Anbieters wie auch ggf. vorhandener Subunternehmer vermerkt werden. Ein Verzeichnis der technischen und organisatorischen Maßnahmen (TOM) ist ebenfalls anzufertigen.

Zertifikate zur Absicherung

Wie können seriöse Cloud-Anbieter gefunden werden? Es ist in der Realität für den Auftraggeber schwer möglich, die technischen und organisatorischen Maßnahmen des Dienstleisters zu überprüfen. Eine Orientierung können Zertifizierungen bieten, beispielsweise seien hier die Gütesiegel des TÜV Trust IT, TÜV Rheinland „Certified Cloud Service“ und EuroCloud SaaS Star genannt. 

Mehr Verantwortung für den Hoster

Während bis 2018 ausschließlich der Auftraggeber für die Datennutzung verantwortlich war, ging mit der DSGVO die Ausweitung der Verantwortlichkeiten auf den Hoster einher. Nach Art. 82 haftet dieser nun gemeinsam mit dem Auftraggeber gegenüber Betroffenen für materielle und immaterielle Schäden.

Löschkonzept und Datenübertragbarkeit

Weitere wichtige Punkte bei der Zusammenarbeit mit einem Cloud-Anbieter sind das Löschkonzept und die Möglichkeiten der Datenübertragung im Fall der Beendigung der Zusammenarbeit. Bezüglich des Löschens gilt: Ist der Grund für die Nutzung von Daten hinfällig, wird die Einwilligung widerrufen oder erfolgte die NUtzung zu Unrecht, müssen die Informationen unverzüglich gelöscht werden. Hier ist Erarbeitung eines Löschkonzeptes in Zusammenarbeit mit Cloud-Anbieter und Auftraggeber eine der dringendsten Aufgaben. Es ist zu empfehlen den Datenschutzbeauftragten mit in das Löschkonzept einzubinden.

Auch die Datenübertragbarkeit stellt Auftraggeber häufig vor Probleme. Laut Art. 20 der DSGVO müssen die Daten auf Wunsch in einem gängigen und transportablen Format übergeben werden können. Bei der Auswahl eines Cloud-Anbieters sollte also auch die Portabilität der Daten ein Kriterium sein.

Strengere Meldepflichten

Nach Art. 33 und 34 sind Verletzungen des Schutzes personenbezogener Daten idealerweise binnen 72 Stunden zu melden. Auch die Art der Datenpanne sowie ihre Auswirkungen muss schriftlich festgehalten werden. Besteht ein Risiko für die betroffenen Personen, müssen diese bei Datenunfällen ebenfalls informiert werden. Somit ergibt sich mit dem Vorhandensein von Strukturen für den Umgang mit solchen Vorfällen ein weiterer wichtiger Faktor bei der Auswahl des Hosting-Anbieters.

Bitte beachten Sie auch unseren Artikel zu den 10 Neuerungen im Bereich Cloud Computing.

Von Pioneers empfohlen

alphin
Dialogshift
ibelsa
Salto Systems Logo

Förderpartner für Nachhaltigkeit und Digitalisierung

Logo Proptech1 Ventures
196+ Forum München
Linkedin

Newslettter Anmeldung

Hier klicken
Impressum | Datenschutz

Berichte

Belästigendes oder schikanierendes Verhalten (z. B. Mobbing)
Enthält beleidigende oder herabsetzende Inhalte
Enthält irreführende oder falsche Informationen
Enthält Inhalte für Erwachsene oder sensible Inhalte
Enthält Spam, gefälschte Inhalte oder potenzielle Malware

Alle Mitglieder

Um die Seite zu nutzen, melden Sie sich an.

Du kannst nicht mehr:

  • Beiträge des gesperrten Mitglieds sehen
  • Erwähne dieses Mitglied in Beiträgen
  • Dieses Mitglied zu Gruppen einladen
  • Nachricht an dieses Mitglied
  • Dieses Mitglied als Freund hinzufügen

Bitte beachten: Diese Aktion entfernt das Mitglied auch aus deinen Verbindungen und sendet einen Bericht an den Administrator der Website. Dieser Vorgang kann einige Minuten dauern.

Berichte

Du bist bereits eingeloggt. .

Stay in the loop

Verpasse keine Einladung zu Events und weiteren Aktivitäten in der Community.