MH - Fotolia

Cloud-Sicherheit und DSGVO: Cloud-Anbieter sind stärker in der Pflicht

Die Datenschutz-Grundverordnung enthält neue Verantwortlichkeiten bei Auftragsverarbeitung, die Cloud-Anbieter und Cloud-Nutzer beachten müssen.

Der größte Bremsklotz bei der weiteren Ausbreitung von Cloud Computing in Deutschland ist der Datenschutz, so kann man immer wieder in Umfrageergebnissen lesen. Eine weniger negative Beschreibung der Rolle des Datenschutzes im Cloud Computing wäre, dass es Nutzern besonders wichtig ist, dass ihre Daten in der Cloud nicht gefährdet sind. Ebenso ist es den Aufsichtsbehörden und Compliance-Organen sehr wichtig, dass der Datenschutz in der Cloud das gleiche Niveau erreicht wie bei anderen Formen der Datenverarbeitung, also insbesondere im eigenen Firmennetzwerk des Nutzers.

Ein wesentlicher Grund dafür, dass Nutzer Sorgen um den Datenschutz in der Cloud haben, kann man im Bild der Wolke für Cloud Computing sehen. Als Cloud-Nutzer weiß man ohne weiteres nicht so genau, wo die Daten liegen, im eigenen Netzwerk glaubt man zumindest, man wüsste es. Gleichzeitig betont der Datenschutz nach Bundesdatenschutzgesetz (§ 11 BDSG), dass der Nutzer als Auftraggeber in der Verantwortung für den Datenschutz ist und bleibt.

Deshalb muss der Anwender als Auftragsgeber auch den Datenschutz und die Datensicherheit bei dem von ihm genutzten Cloud-Anbieter kontrollieren. Eine solche Kontrolle erscheint bei Cloud-Diensten nicht nur schwierig, sie ist es auch. Aus diesem Grund verzichten so manche Unternehmen lieber auf die Vorteile der Cloud und ersparen sich so die Verantwortung und Kontrolle, die aus der Ferne und mangels Kenntnis des genauen Speicherortes sowieso kaum realisierbar erscheint.

Auftragsverarbeitung: DSGVO nennt neue Pflichten und Verantwortlichkeiten

Mit der Datenschutz-Grundverordnung (DSGVO) kommt aber Bewegung in die Frage der Verantwortung für Datenschutz und Datensicherheit in der Cloud, da es sich bei Cloud-Diensten in aller Regel um Auftragsverarbeitung (bisher Auftragsdatenverarbeitung genannt) handelt. Maßgeblich ist hier der Artikel 28 DSGVO, der unter anderem besagt, dass „ein Auftragsverarbeiter, der unter Verstoß gegen diese Verordnung die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf diese Verarbeitung als Verantwortlicher gilt“.

Anders ausgedrückt: Verarbeitet ein Auftragsverarbeiter die Daten des Kunden entgegen seinem Auftrag, trägt er für die Verarbeitung und somit auch für die Sicherheit der Daten selbst Verantwortung. Bei Datenschutzverletzung drohen somit für den Auftragsverarbeiter auch Haftungsansprüche der Betroffenen.

Ebenso müssen Cloud-Provider als Auftragsverarbeiter grundsätzlich Datenschutzverletzungen an ihre Kunden (die Auftraggeber) melden, sobald die Datenschutzpanne entdeckt wird. Als neue Verpflichtung kommt für Cloud-Dienstbetreiber als Auftragsverarbeiter mit der DSGVO hinzu, dass er ein eigenes Verzeichnis der Verarbeitungstätigkeiten führt, also ein eigenes Verfahrensverzeichnis für seine Auftragsverarbeitung (Artikel 30 DSGVO).

Cloud-Nutzer müssen Provider genau auswählen

Die Cloud-Nutzer bleiben als Auftraggeber in der Verantwortung und müssen wie bisher Verträge abschließen, die die Vertragspunkte enthalten, wie sie in Artikel 28 DSGVO (die ähnlich sind wie bei § 11 BDSG) genannt sind. Insbesondere dürfen sie eine Auftragsverarbeitung nur machen lassen, wenn die Auftragsverarbeiter „hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet“.

Für diese Garantien lässt die DSGVO jedoch eine wichtige Hilfe zu, sowohl für den Cloud-Anbieter als auch für den Cloud-Nutzer ist es eine Unterstützung: „Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 durch einen Auftragsverarbeiter kann als Faktor herangezogen werden, um hinreichende Garantien (…) nachzuweisen“. Datenschutzzertifikate, die den Vorgaben der DSGVO entsprechen, werden also dabei helfen können, den aus Datenschutzsicht passenden Cloud-Anbieter auszuwählen. Cloud-Anbieter können ihre Datenschutzmaßnahmen mit entsprechenden Zertifikaten nachweisen und sich am Markt vorteilhaft positionieren. Damit wird die DSGVO durchaus das Cloud-Geschäft voranbringen können. Datenschutz ist und bleibt eine entscheidende Grundlage für die Cloud und eben kein Bremsklotz.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Was Stand der Technik in der DSGVO bedeutet.

Datenschutz-Grundverordnung: Die eigene Datenschutzerklärung anpassen.

EU-Datenschutz: Betroffenenrechte nach EU-DSGVO rechtzeitig umsetzen.

Datenschutz-Grundverordnung: Was sich bei den Software-Einstellungen ändern muss.

Artikel wurde zuletzt im Dezember 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über SaaS-Sicherheit: Cloud-Services und -Systeme

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close