EU-Datenschutz-Grundverordnung: Was sich beim Cloud Computing ändert

Die EU-Datenschutz-Grundverordnung sieht bei entsprechendem Vertrag eine Aufteilung der Verantwortung für den Datenschutz beim Cloud Computing vor.

Dieser Artikel behandelt

Cloud-Sicherheit

Auch wenn die EU-Datenschutz-Grundverordnung (EU-DSGVO) das Entwurfsstadium noch nicht verlassen hat und weiterhin Beratungen und Verhandlungen in den verschiedenen EU-Gremien stattfinden: Die geplanten Änderungen für den Datenschutz werfen ihre Schatten voraus. Einige dieser Änderungen betreffen auch Bereiche, die im deutschen Datenschutzrecht, insbesondere im Bundesdatenschutzgesetz (BDSG), bisher deutlich anders geregelt sind. Dazu gehört auch die für das Cloud Computing so zentrale Auftragsdatenverarbeitung (ADV).

Kaum eine Empfehlung zum Datenschutz bei Cloud Computing kommt heute ohne den Hinweis aus, dass der Cloud-Nutzer der Auftraggeber der Auftragsdatenverarbeitung ist und damit die Verantwortung für den Schutz der zu verarbeitenden Daten trägt. Dabei ist es bisher so, dass sich diese Verantwortung für den Datenschutz nicht übertragen lässt, selbst wenn ein vollständiges Outsourcing für die Datenverarbeitung gewählt wird.

Die bleibende Verantwortung für den Datenschutz ist für viele Cloud-Nutzer ein wesentliches Problem: Wie soll man die Verantwortung übernehmen für etwas, das „irgendwo in der Wolke“ stattfindet, so das Gefühl der verunsicherten Nutzer. Die Verunsicherung darüber ist tatsächlich so groß, dass viele Anwender aus diesem Grund Abstand vom Cloud Computing nehmen.

Regelungen für die Auftragsdatenverarbeitung sollen sich ändern

Der Datenschutz beim Cloud Computing wird mehrfach von den neuen Regelungen der EU-Datenschutz-Grundverordnung betroffen sein. Wenig Beachtung in der laufenden Datenschutz-Diskussion haben die Artikel der Verordnung gefunden, die den Auftragsdatenverarbeiter und damit auch den Auftraggeber betreffen, wenn es um Cloud Computing geht.

Die EU-Datenschutz-Grundverordnung wird neue Möglichkeiten bieten, die Verantwortung für den Datenschutz in der Cloud zu regeln.

Der Artikel 22 (Entwurf EU-DSGVO) beschreibt die Pflichten des Verantwortlichen für die Verarbeitung und damit auch des Verantwortlichen für den Datenschutz. Dazu gehören Strategien und Maßnahmen, die sicherstellen, dass personenbezogene Daten in Übereinstimmung mit der DSGVO verarbeitet werden und der Nachweis dafür erbracht werden kann. Dies sind insbesondere die Dokumentationspflichten, die Maßnahmen für die Datensicherheit, die Datenschutz-Folgenabschätzung, das gegebenfalls notwendige Einholen von Genehmigungen bei der zuständigen Aufsichtsbehörde und die Benennung eines Datenschutzbeauftragten, jeweils unter bestimmten Bedingungen, die es zu beachten gilt.

Ebenso wählt der Verantwortliche gemäß Artikel 26 EU-DSGVO (Entwurf) einen Auftragsverarbeiter aus, der gewährleistet, dass die betreffenden technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der Verordnung erfolgt und dass der Schutz der Rechte der betroffenen Person durch geeignete technische Sicherheitsvorkehrungen und organisatorische Maßnahmen für die vorzunehmende Verarbeitung sichergestellt wird. Auch sorgt er dafür, dass diese Maßnahmen eingehalten werden.

Diese Pflichten und Vorgaben sind zum großen Teil bekannt für den kundigen Cloud-Nutzer, der sich bisher am BDSG orientiert, auch wenn die tatsächliche Umsetzung vielen Cloud-Nutzern Probleme bereitet. Anders sieht es aber aus, wenn es darum geht, wer genau die Verantwortung für die Verarbeitung und den Datenschutz trägt.

Die Verantwortung für den Datenschutz kann geteilt werden

Der Artikel 24 des Entwurfs der EU-Datenschutz-Grundverordnung sieht vor, dass es gemeinsam für die Verarbeitung Verantwortliche geben kann: Wenn der für die Verarbeitung Verantwortliche die Zwecke, Bedingungen und Mittel der Verarbeitung personenbezogener Daten gemeinsam mit anderen Personen festlegt, können diese Personen in einer Vereinbarung ebenfalls zu Verantwortlichen für die Verarbeitung und damit für den Datenschutz gemacht werden. Grundlegend ist dabei eine Vereinbarung, die genau festlegt, wer welche Aufgaben des für die Verarbeitung Verantwortlichen übernimmt. Die zuvor genannten Maßnahmen und Strategien für den Datenschutz werden somit genau zugeordnet und aufgeteilt.

Für das Cloud Computing bieten sich dadurch neue Möglichkeiten: An die Stelle der klassischen Auftragsdatenverarbeitung (ADV) nach BDSG kann eine Verarbeitung in der Cloud mit mehreren Verantwortlichen treten, wenn dies so vereinbart wird. Mehrere Stellen übernehmen dann Aufgaben und Verantwortlichkeiten von dem Cloud-Nutzer und helfen ihm so dabei, die gefühlten Hürden bei einem Einstieg ins Cloud Computing zu überwinden. 

Wichtig ist dabei aber eine konkrete Vereinbarung auf Basis der EU-Datenschutz-Grundverordnung, sobald diese verabschiedet und in Kraft ist. Dann ist der Cloud-Nutzer nicht mehr der, der alleine in der Verantwortung für die Datenverarbeitung steht. Für viele Cloud-Interessierte ist das dann zweifellos ein gutes Gefühl und für das Cloud-Business sicherlich ein hilfreicher Rückenwind.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Juni 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Cloud-Sicherheitsstandards

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close