Ratgeber von Uniscon

Wann ein Cloud-Dienst DSGVO-konform ist

| Redakteur: Florian Karlstetter

Ab dem 25. Mai gilt in allen EU-Mitgliedsstaaten die neue Datenschutz-Grundverordnung. Welche Punkte Cloud-Anbieter in diesem Zusammenhang erfüllen müssen und was das für Cloud-Nutzer bedeutet, erklärt Uniscon in einem Ratgeber.
Ab dem 25. Mai gilt in allen EU-Mitgliedsstaaten die neue Datenschutz-Grundverordnung. Welche Punkte Cloud-Anbieter in diesem Zusammenhang erfüllen müssen und was das für Cloud-Nutzer bedeutet, erklärt Uniscon in einem Ratgeber. (Bild: gemeinfrei (Macedo_Media / pixabay) / CC0)

Cloud-Anbieter werden mit der Datenschutz-Grundverordnung (DSGVO) weitaus stärker in die Pflicht genommen als bisher. Doch was genau bedeutet das für Sie als Cloud-Nutzer? Woran erkennen Sie, ob ein Dienst oder Anbieter die Anforderungen der DSGVO erfüllt? Und wann gilt ein Cloud-Dienst eigentlich als DSGVO-konform? Unsicon klärt auf.

Ab dem 25. Mai 2018 gilt die neue Verordnung zur Verarbeitung personenbezogener Daten. Was genau das für Cloud-Nutzer bedeutet und auf welche Aspekte man bei einem Cloud-Dienst achten muss, damit dieser DSGVO-konform ist, hat Uniscon in einem Ratgeber zusammengefasst.

Die Grundsätze für die Verarbeitung personenbezogener Daten sind zunächst in Artikel 5, Absatz 1 der DSGVO geregelt; weitere Regelungen finden sich u.a. in den Artikeln 25 und 32. Die wichtigsten Forderungen - vor allem im Hinblick auf Cloud-Dienste erläutert das zum TÜV Süd gehörende Unternehmen Uniscon.

Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz (Art. 5 (1)(a) DSGVO)

Die Verarbeitung von personenbezogenen Daten in der Cloud ist nur dann rechtmäßig, wenn die Betroffenen dieser zugestimmt haben oder wenn eine andere Rechtsgrundlage besteht. Die Datenverarbeitung muss auf eine für die betroffene Person nachvollziehbare Weise stattfinden, das heißt der Cloud-Anbieter muss klare Garantien abgeben können.

Vertraulichkeit, Integrität und Verfügbarkeit (Art. 5 (1)(f) & Art. 32 DSGVO)

Die Daten sind auf eine Weise zu verarbeiten, die eine angemessene Sicherheit der Daten gewährleistet, einschließlich Schutz vor unrechtmäßiger Verarbeitung, Verlust oder Schädigung. Darüber hinaus darf durch die Verarbeitung keine Verletzung der Würde der Betroffenen oder eine Einschränkung ihrer Freiheiten zu erwarten sein.

Sicherheit und Stand der Technik (Art. 32 DSGVO)

Bei der Verarbeitung muss eine genügend hohe Sicherheit gewährleistet sein. Der Gesetzgeber verlangt, dass das Sicherheitsniveau laufend verbessert wird und sich stets am so genannten „Stand der Technik“ orientiert.

Privacy by Design und Privacy by Default (Art. 25 DSGVO)

Der Datenschutz muss durch datenschutzfreundliche Technikgestaltung (Privacy by Design) und datenschutzfreundliche Voreinstellungen (Privacy by Default) gewährleistet sein.

Rechenschaftspflicht (Art. 5 (2), Art. 28, Art. 30 & Art. 35 DSGVO)

Grundsätzlich ist der Cloud-Nutzer für die Einhaltung aller genannten Anforderungen verantwortlich und muss diese bereits im Vorhinein nachweisen können (Rechenschaftspflicht). Er muss die Verarbeitung in der Cloud in sein Verzeichnis der Verarbeitungstätigkeiten aufnehmen und.gegebenenfalls eine Risikoanalyse – eine so genannte Datenschutzfolgenabschätzung – vornehmen.

Diese Verantwortung teilt sich der Nutzer nun mit dem Cloud Anbieter, der seinerseits ebenfalls hinreichend Garantien dafür bieten muss, dass die Anforderungen der DSGVO eingehalten werden.

Auftragsverarbeitung (Art. 28 DSGVO)

Beim Cloud Computing erteilt der Nutzer dem Anbieter den Auftrag, die Daten zu verarbeiten. Damit der Cloud-Nutzer seiner Verantwortung den Betroffenen gegenüber auch in diesem Fall gerecht werden kann, sichert er sich mit einer Vereinbarung zur Auftragsverarbeitung mit dem Cloud-Anbieter ab, dass dieser ebenfalls die Anforderungen der DSGVO erfüllt. Teil einer solchen Vereinbarung muss sein, dass der Cloud-Anbieter alle erforderlichen Informationen zum Nachweis der Einhaltung der Anforderungen zur Verfügung stellt.

Nachweis durch Zertifikate

Dr. Hubert Jäger ist CTO und Geschäftsführer der Uniscon GmbH. Er war in leitenden Funktionen der Produktentwicklung, des Innovations- und Produktmanagements sowie des Vertriebs bei großen High-Tech-Unternehmen tätig. Er ist Erfinder und Autor zahlreicher Patente.
Dr. Hubert Jäger ist CTO und Geschäftsführer der Uniscon GmbH. Er war in leitenden Funktionen der Produktentwicklung, des Innovations- und Produktmanagements sowie des Vertriebs bei großen High-Tech-Unternehmen tätig. Er ist Erfinder und Autor zahlreicher Patente. (Bild: Uniscon GmbH)

Freilich ist es als Cloud-Nutzer schwierig und nahezu unzumutbar, die Einhaltung dieser Forderungen selbst zu überprüfen. Da ist es hilfreich, dass Cloud-Anbieter ein „genehmigtes Zertifizierungsverfahren gemäß Artikel 42“ heranziehen können, um die Erfüllung der genannten Anforderungen nachzuweisen.

„Mit dem passenden Zertifikat können sich sowohl Cloud-Anbieter als auch -Nutzer rechtlich absichern. Die Anbieter können ihren Kunden gegenüber belegen, die rechtlichen Anforderungen an sichere Cloud-Dienste zu erfüllen und erleichtern es damit den Cloud-Nutzern, ihrer Rechenschaftspflicht nachzukommen.“, erklärt Dr. Hubert Jäger, Cloud-Security-Experte und CTO der Münchner TÜV SÜD-Tochter Uniscon GmbH.

Bislang ist zwar noch kein „genehmigtes“ Zertifikat vorhanden, das bedeutet aber nicht, dass speziell auf die Anforderungen der DSGVO ausgerichtete Zertifikate nicht bereits als Nachweis der DSGVO-Konformität genutzt werden könnten. Das Trusted Cloud Datenschutzprofil (TCDP) beispielsweise wurde in Hinblick auf die DSGVO entwickelt. Zertifizierungen nach dem TCDP sollen nach Erweiterung des Verfahrens und Prüfstandards in Zertifikate nach dem DSGVO-Standard umgewandelt werden.

Cloud Zertifikate - Was sind C5 und TCDP?

Sicherheit in der Cloud

Cloud Zertifikate - Was sind C5 und TCDP?

11.01.18 - Mit dem passenden Zertifikat oder Testat können sich Cloud-Nutzer und -Anbieter in Deutschland rechtlich absichern: Anbieter können nachweisen, die gesetzlichen Anforderungen an sichere Cloud-Dienste erfüllt zu haben und Nutzer kommen ihrer Sorgfaltspflicht nach. lesen

Mit dem Forschungsprojekt „AUDITOR“ existiert außerdem ein Nachfolgeprojekt zum TCDP, dessen Ziel die Konzeptionierung und Umsetzung einer anwendbaren EU-weiten Datenschutzzertifizierung von Cloud-Diensten ist. Ein erster Katalog mit Zertifizierungskriterien soll bis Ende April 2018 fertiggestellt sein.

„AUDITOR“ will Cloud-Dienste europaweit zertifizieren

Interdisziplinäres Projekt für mehr Rechtssicherheit und Datenschutz

„AUDITOR“ will Cloud-Dienste europaweit zertifizieren

15.12.17 - Die Cloud-Nutzung boomt weltweit und mit ihr die Fülle an Cloud-Service-Anbietern und Zertifizierungsstellen. Daher gleicht der gegenwärtige Markt einem Dschungel an Angeboten und Zertifizierungen. Zusätzlich steigen die Anforderungen durch das Inkrafttreten der neuen EU-Datenschutz-Grundverordnung. lesen

Wenn Sie also einen Cloud-Dienst wählen, der nach dem TCDP zertifiziert ist, sind Sie bereits auf der sicheren Seite; ab dem Stichtag am 25. Mai sollten Sie zusätzlich darauf achten, dass die Umwandlung in ein Zertifikat nach dem DSGVO-Standard auch tatsächlich stattfindet bzw. dass der Dienst mit einem anderen geeigneten Zertifikat (z.B. AUDITOR) die Einhaltung der DSGVO nachweist.

Dienste, die bereits jetzt den Anforderungen der DSGVO entsprechen und nach dem TCDP zertifiziert sind, können der Webseite des TCDP entnommen werden.

Dazu zählt auch der Datenaustauschdienst iDGARD der Uniscon GmbH. Der Dienst erfüllt schon heute die Grundsätze für die Verarbeitung personenbezogener Daten gemäß der aufgeführten Artikel 5, 25 und 32 der DSGVO. (siehe untenstehenden Link EU-DSGVO-konform mit iDGARD).

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45167485 / Compliance und Datenschutz )