Die neue Verordnung zur Verarbeitung personenbezogener Daten tritt am 25. Mai 2018 in Kraft. Cloudmagazin hat die wichtigsten Aspekte für Cloud-Anbieter und -Nutzer zusammengestellt.
Die Datenschutz-Grundverordnung (DSGVO) bringt grundsätzlich strengere Datenschutz-Anforderungen für Unternehmen mit sich. Davon sind auch Cloud-Anbieter nicht ausgeschlossen. Ein Blick in die wichtigsten Abschnitte der neuen Verordnung verschafft Klarheit bezüglich der Neuerungen auch für Cloud-Nutzer – auch, wie die DSGVO-(Un-)Tauglichkeit von Anbietern erkannt werden kann.
Fokus auf die Cloud-relevanten Artikel der DSGVO
Artikel 5 (1) der DSGVO regelt die Rechtmäßigkeit und Transparenz der Datenverarbeitung. Die Verarbeitung von personenbezogenen Daten in der Cloud ist nur dann rechtmäßig, wenn die Betroffenen dieser zugestimmt haben oder wenn eine andere Rechtsgrundlage besteht. Die Datenverarbeitung muss auf eine für die betroffene Person nachvollziehbare Weise stattfinden, d.h. der Cloud-Anbieter muss klare Garantien abgeben können. Außerdem in Artikel 5 (1), aber auch in Artikel 32 sind die neuen Standards zur Vertraulichkeit und Verfügbarkeit festgehalten.
Demnach sind Daten auf eine Weise zu verarbeiten, die eine angemessene Sicherheit der Daten gewährleistet, einschließlich Schutz vor unrechtmäßiger Verarbeitung, Verlust oder Schädigung. Darüber hinaus darf durch die Verarbeitung keine Verletzung der Würde der Betroffenen oder eine Einschränkung ihrer Freiheiten zu erwarten sein. Artikel 32 schreibt außerdem noch die Sicherheit und den Stand der Technik fest; Der Gesetzgeber verlangt, dass das Sicherheitsniveau laufend verbessert wird und sich stets am sogenannten „Stand der Technik“ orientiert.
Weitere Regelungen in den Artikeln 5 (2), Art. 25, Art. 28, Art. 30 & Art. 35 DSGVO
Grundsätzlich ist der Cloud-Nutzer für die Einhaltung aller genannten Anforderungen verantwortlich und muss diese bereits im Vorhinein nachweisen können (Rechenschaftspflicht). Er muss die Verarbeitung in der Cloud in sein Verzeichnis der Verarbeitungstätigkeiten aufnehmen und ggf. eine Risikoanalyse – eine so genannte Datenschutzfolgenabschätzung – vornehmen. Nach den Artikeln 5 (2), 28, 30 & 35 teilt sich diese Verantwortung der Nutzer nun mit dem Cloud Anbieter, der seinerseits ebenfalls hinreichend Garantien dafür bieten muss, dass die Anforderungen der DSGVO eingehalten werden. Genauere Regelungen zum Thema Privacy sind in Artikel 25 festgehalten: Der Datenschutz muss durch datenschutzfreundliche Technikgestaltung (Privacy by Design) und datenschutzfreundliche Voreinstellungen (Privacy by Default) gewährleistet sein.
Nachweis durch Zertifikate
Freilich ist es für Cloud-Nutzer schwierig und nahezu unzumutbar, die Einhaltung dieser Forderungen selbst zu überprüfen. Da ist es hilfreich, dass Cloud-Anbieter ein „genehmigtes Zertifizierungsverfahren gemäß Artikel 42“ heranziehen können, um die Erfüllung der genannten Anforderungen nachzuweisen. Bislang ist zwar noch kein „genehmigtes“ Zertifikat vorhanden, das bedeutet aber nicht, dass speziell auf die Anforderungen der DSGVO ausgerichtete Zertifikate nicht bereits als Nachweis der DSGVO-Konformität genutzt werden könnten.
Das Trusted Cloud Datenschutzprofil (TCDP) beispielsweise wurde in Hinblick auf die DSGVO entwickelt. Zertifizierungen nach dem TCDP sollen nach Erweiterung des Verfahrens und Prüfstandards in Zertifikate nach dem DSGVO-Standard umgewandelt werden. Wenn Sie also einen Cloud-Dienst wählen, der nach dem TCDP zertifiziert ist, sind Sie bereits auf der sicheren Seite; ab dem Stichtag am 25. Mai sollten Sie zusätzlich darauf achten, dass die Umwandlung in ein Zertifikat nach dem DSGVO-Standard auch tatsächlich stattfindet bzw. dass der Dienst mit einem anderen geeigneten Zertifikat (z.B. AUDITOR) die Einhaltung der DSGVO nachweist.
Dieser Beitrag basiert in Teilen auf einer Pressemitteilung der Unsicon GmbH.
Quelle Titelbild: iStock/#Urban-Photographer