Datenschutz in der Cloud

Sicherheit für personenbezogene Daten

| Autor / Redakteur: Bertram Dorn / Peter Schmitz

Das Recht an den eigenen Daten ist kein ausschließliches Thema der IT, sondern ein allgemeines, wenngleich die Wahrung der „digitalen“ Persönlichkeitsrechte des Einzelnen in der Diskussion heute dominierend ist.
Das Recht an den eigenen Daten ist kein ausschließliches Thema der IT, sondern ein allgemeines, wenngleich die Wahrung der „digitalen“ Persönlichkeitsrechte des Einzelnen in der Diskussion heute dominierend ist. (Bild: Pixabay / CC0)

Datenschutz – oder genauer, der Schutz personenbezogener Daten, ergibt sich direkt aus den ersten beiden Artikeln des Grundgesetzes. Das sich daraus ableitende Recht zur informationellen Selbstbestimmung berührt die Menschenwürde ebenso wie das Recht zur freien Entfaltung der Persönlichkeit.

Rahmenbedingungen für Unternehmen schaffen vor allem das deutsche Datenschutzgesetz und die europäische Datenschutzgrundverordnung, die im Mai 2018 in Kraft tritt. In den meisten Fällen werden die darin gesetzten Vorgaben allerdings von Personen in die Tat umgesetzt, die nur selten eine juristische Vorbildung haben. Speziell Rechts- und IT-Abteilungen von Unternehmen, die personenbezogene Daten digital verarbeiten müssen also gemeinsam daran arbeiten, ihre Mitarbeiter für diese Themen zu qualifizieren, zu sensibilisieren und beispielsweise zu klären, was einen personenbezogenen Datensatz überhaupt ausmacht.

Ein Datensatz ist dann personenbezogen, wenn damit eine einzelne Person identifiziert werden könnte. Das reicht von der klassischen Kombination von Name und Adresse über Geburtsdatum und -ort bis hin zu eher technischen Kennzahlen wie Strom- oder Wasserverbrauch. Im Zweifelsfall sollte die IT-Abteilung die Definition weit auslegen und davon ausgehen, dass in jedem Datensatz personenbezogene Daten enthalten sind.

Der Schutzbedarf

Der Umgang mit personenbezogenen Daten ist streng beschränkt, sie dürfen nur für den Zweck verarbeitet werden, für den sie erhoben wurden. Die DSGVO legt den Verarbeitungsbegriff weit aus und definiert ihn als „das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“. Das Gesetz macht auch keinen Unterschied zwischen automatisierter und manueller Verarbeitung.

Die Einbeziehung von Drittparteien

Das exponentielle Datenwachstum der letzten Jahre hat dazu geführt, dass die meisten Firmen erhobene personenbezogene Daten nicht mehr alleine verarbeiten, sondern an spezialisierte Drittanbieter, sogenannte Auftragsdatenverarbeiter, auslagern. Damit der Datenschutz auch hier gewährleistet ist, muss ein Vertrag zwischen der verantwortlichen Stelle und dem Verarbeiter geschlossen werden.

Cloud-Anbieter wie AWS werden gerne für die Verarbeitung großer Datenmengen genutzt. Wenn solche Datenmengen personenbezogene Daten enthalten, müssen Cloud-Nutzer hierfür mit ihrem Cloud-Anbieter eine Auftragsdatenvereinbarung abschließen. Diese definiert unter anderem die technischen und organisatorischen Maßnahmen, die beide Seiten treffen müssen, um den Datenschutz zu wahren. Ebenso werden vertragliche Bedingungen für die Auftragsdatenverarbeitung geregelt.

Fazit

Der Schutz personenbezogener Daten ist ein Grundrecht, das nicht auf die leichte Schulter genommen werden darf. Vor allem IT- und Rechtsabteilung müssen an einem Strang ziehen. Werden Daten zur Verarbeitung ausgelagert, muss feststehen, welche Partei welche Sicherungsmaßnahmen umsetzt.

Über den Autor: Bertram Dorn ist Solutions Architect Security and Compliance bei Amazon Web Services.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44935330 / Compliance und Datenschutz )