Bedeutung der Datenschutz-Grundverordnung (DSGVO) für die Cloud
Die Datenschutz-Grundverordnung (DSGVO) ist in allen EU-Mitgliedstaaten ab dem 25.Mai 2018 anzuwenden. Für Cloud-Nutzer ergeben sich neue, verschärfte Anforderungen. Doch was ist wirklich wichtig als Cloud-Nutzer?
Cloud Computing ist die Grundlage der Digitalisierung und bietet wirtschaftlichen Vorteile. Dennoch wissen viele Unternehmen nicht, wie Datenschutz oder Datensicherheit in der Cloud gewährleistet wird und sehen ihre IT-Sicherheit durch Nutzung von Diensten aus der Cloud gefährdet. Cloud-Dienste sind nicht immer unsicherer als die im Unternehmen betriebene IT, im Gegenteil: oft übertreffen diese die eigenen Sicherheitsstandards.
Dennoch: Fehler in der Cloud-Auswahl sollte man sich nicht leisten. Treten Mängel bezüglich Datenschutz auf, resultieren daraus bereits heute hohe Bußgelder, Sanktionen, oder Imageschäden. Durch die DSGVO wird die Situation weiter verschärft. Bußgelder und Anforderungen an Datenschutz innerhalb der Cloud steigen.
Nutzer von Cloud-Diensten sollten sich bewusst sein: Cloud-Computing ist eine Auftragsdatenverarbeitung, eine Verarbeitung personenbezogener Daten durch den Cloud-Anbieter, im Auftrag des Cloud-Nutzers. Artikel 28 (1) der DSGVO verlangt eine enge Zusammenarbeit von Auftraggeber und -nehmer: „die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“
Aber: Was sind hinreichende Garantien? Was ist bei der Cloud-Auswahl zu beachten um der DSGVO gerecht zu werden? Es können „genehmigte Verhaltensregeln“ (Artikel 40) oder „genehmigte Zertifizierungsverfahren“ (Artikel 42) durch den Auftragsverarbeiter herangezogen werden um ausreichenden Schutz nachzuweisen. Der Cloud-Anbieter sollte eine Datenschutz-Zertifizierung nach DSGVO oder TCDP besitzen.
Der Standort des Cloud-Anbieters sollte ein angemessenes Schutzniveau für die Daten gewährleisten. Befindet er sich außerhalb der Europäischen Union (EU), besteht ein angemessenes Schutzniveau nur dann, wenn das Drittland auf Grund innerstaatlicher Rechtsvorschriften und deren Anwendung dem der DSGVO gleichwertig ist. Diese Unsicherheit kann dadurch umgangen werden, indem ein Cloud-Anbieter ausgewählt wird, welcher der DSGVO unmittelbar unterliegt.
Alleinig der Standort reicht für eine Bewertung des Anbieters letztendlich nicht aus, es sollten auch entsprechende Zertifizierungen vorliegen.
DSGVO konforme Webhoster (AV-Vereinbarung + kostenloses SSL Zertifikat)
