Wann ist ein Cloud Dienst DSGVO konform?

Wann ist ein Cloud Dienst DSGVO geeignet?

Ist Ihr Cloud Dienst DSGVO konform? Seit dem 25. Mai 2018 findet die Datenschutz-Grundverordnung (DSGVO) in allen EU-Mitgliedsstaaten Anwendung. Damit haben sich auch die Regelungen für die Verarbeitung personenbezogener Daten geändert – doch was genau bedeutet das für Sie als Cloud-Nutzer? Woran erkennen Sie, ob ein Anbieter oder Dienst die Anforderungen der DSGVO erfüllt? Und wann ist ein Cloud Dienst DSGVO konform?

Die Grundsätze für die Verarbeitung personenbezogener Daten sind besonders in Artikel 5, Absatz 1 der DSGVO geregelt; weitere Regelungen finden sich unter anderen in den Artikeln 25 und 32.

Im Folgenden erläutern wir, was die wichtigsten Forderungen – vor allem in Bezug auf Cloud-Dienste – bedeuten.

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz (Art. 5 (1)(a) DSGVO)

Die Verarbeitung von personenbezogenen Daten in der Cloud ist nur dann rechtmäßig, wenn die Betroffenen dieser zugestimmt haben oder wenn eine andere Rechtsgrundlage (vgl. DSGVO Art. 6) besteht. Die Datenverarbeitung muss auf eine für die betroffene Person nachvollziehbare Weise stattfinden: Der Cloud-Anbieter muss klare Garantien abgeben können.

  • Vertraulichkeit, Integrität und Verfügbarkeit (Art. 5 (1)(f) & Art. 32 DSGVO)

Die Daten sind auf eine Weise zu verarbeiten, die eine angemessene Sicherheit der Daten gewährleistet – das schließt Schutz vor unrechtmäßiger Verarbeitung, Verlust oder Schädigung mit ein. Darüber hinaus darf durch die Verarbeitung keine Verletzung der Würde der Betroffenen oder eine Einschränkung ihrer Freiheiten zu erwarten sein.

  • Sicherheit und Stand der Technik (Art. 32 DSGVO)

Bei der Verarbeitung muss eine genügend hohe Sicherheit gewährleistet sein. Der Gesetzgeber verlangt hier, dass das Sicherheitsniveau laufend verbessert wird und sich stets am so genannten „Stand der Technik“ orientiert.

  • Privacy by Design und Privacy by Default (Art. 25 DSGVO)

Der Datenschutz muss durch datenschutzfreundliche Technikgestaltung (Privacy by Design) und datenschutzfreundliche Voreinstellungen (Privacy by Default) gewährleistet sein.

  • Rechenschaftspflicht (Art. 5 (2), Art. 28, Art. 30 & Art. 35 DSGVO)

Grundsätzlich ist der Cloud-Nutzer für die Einhaltung aller genannten Anforderungen verantwortlich und muss diese bereits im Vorhinein nachweisen können (Rechenschaftspflicht). Er muss die Verarbeitung in der Cloud in sein Verzeichnis der Verarbeitungstätigkeiten aufnehmen und gegebenenfalls eine Risikoanalyse vornehmen – eine Datenschutz-Folgenabschätzung.

Diese Verantwortung teilt sich der Nutzer nun mit dem Cloud-Anbieter, der seinerseits ebenfalls hinreichend Garantien dafür bieten muss, dass die Anforderungen der DSGVO eingehalten werden.

  • Auftragsverarbeitung (Art. 28 DSGVO)

Beim Cloud-Computing erteilt der Nutzer dem Anbieter den Auftrag, die Daten zu verarbeiten. Damit der Cloud-Nutzer seiner Verantwortung den Betroffenen gegenüber auch in diesem Fall gerecht werden kann, sichert er sich mit einer Vereinbarung zur Auftragsverarbeitung mit dem Cloud-Anbieter ab. Hiermit bestätigt der Cloud-Anbieter, dass er ebenfalls die Anforderungen der DSGVO erfüllt. Teil einer solchen Vereinbarung muss sein, dass der Cloud-Anbieter alle erforderlichen Informationen zum Nachweis der Einhaltung der Anforderungen zur Verfügung stellt.

Ist Ihr Cloud Dienst DSGVO konform? Nachweis durch rechtswirksame Zertifikate

Natürlich ist es für Sie als Cloud-Nutzer schwierig und geradezu unzumutbar, die Einhaltung dieser Forderungen selbst zu überprüfen. Woran also erkennen Sie, ob ein Cloud Dienst DSGVO konform ist?

Cloud-Anbieter können ein „genehmigtes Zertifizierungsverfahren gemäß Artikel 42“ (vgl. DSGVO Art. 32 (3)) heranziehen, um die Erfüllung der Anforderungen der DSGVO nachzuweisen.

Jaeger_UHL7102_small
Uniscon-CTO Dr. Hubert Jäger rät zu zertifizierten Cloud-Diensten.

„Mit dem passenden Zertifikat können sich sowohl Cloud-Anbieter als auch -Nutzer rechtlich absichern“, erklärt Cloud-Security-Experte und Uniscon-CTO Dr. Hubert Jäger. „Die Anbieter können ihren Kunden gegenüber belegen, die rechtlichen Anforderungen an sichere Cloud-Dienste zu erfüllen und erleichtern es damit den Cloud-Nutzern, ihrer Rechenschaftspflicht nachzukommen.“

Das Trusted Cloud Datenschutzprofil (TCDP) beispielsweise ist inhaltlich auf die Anforderungen der DSGVO ausgerichtet und wurde zur Pflege an die Stiftung Datenschutz übergeben. Zertifizierungen nach dem TCDP sollen nach Erweiterung des Verfahrens und Prüfstandards in Zertifikate nach dem DSGVO-Standard umgewandelt werden.

Mit dem Forschungsprojekt „AUDITOR“ existiert außerdem ein Nachfolgeprojekt zum TCDP, dessen Ziel die Konzeptionierung und Umsetzung einer anwendbaren EU-weiten Datenschutzzertifizierung von Cloud-Diensten ist. Ein erster Katalog mit Zertifizierungskriterien, an deren Formulierung die Uniscon GmbH als assoziiertes Projektmitglied beteiligt ist, soll bis Ende April 2018 fertiggestellt sein.

DSGVO-ready mit idgard®

Wenn Sie sich also für einen Cloud-Dienst entscheiden, der nach dem TCDP zertifiziert ist, sind Sie schon auf der sicheren Seite. Achten Sie ansonsten darauf, dass der Dienst mit einem anderen geeigneten Zertifikat (z.B. AUDITOR) die Einhaltung der DSGVO nachweist.

Zu den Diensten, die bereits jetzt den Anforderungen der DSGVO entsprechen und nach dem TCDP zertifiziert sind, zählt auch idgard®. Auf unserer Themenseite können Sie detailliert nachlesen, inwieweit idgard® den Anforderungen der DSGVO entspricht.

Jetzt kostenlos testen!

Sie sind neugierig geworden und möchten einen sicheren Cloud-Dienst testen, der den Vorschriften der DSGVO entspricht?

Dann melden Sie sich jetzt an und testen Sie iDGARD 14 Tage kostenlos.

  • Sie gehen kein Risiko ein: Der Test läuft automatisch aus.
  • Sie brauchen bei der Anmeldung zum Test keine Zahlungsdaten angeben.

Haben Sie Fragen oder möchten Sie uns Ihr Feedback mitteilen? Schreiben Sie uns an: support@idgard.de.

5 Datenschutz-Maßnahmen für Unternehmen, idgard Blog
DSGVO-Hilfe: 5 Datenschutz-Maßnahmen für Unternehmen Die Digitalisierung hat Hackern und anderen Cyberkriminellen zahlreiche neue Einfallstore geöffnet. Wir stellen Ihnen fünf essentielle Datenschutz-Maßnahmen für Unternehmen vor. Weiterlesen »
Sichere Collaboration dank Sealed Cloud
Cisco-Studie „Future of Secure Remote Work“ – Sichere Collaboration dank Sealed Cloud Eine aktuelle Cisco-Studie zeigt: Der Datenschutz im Home Office und sichere Collaboration sind die größten Sorgen der Befragten. Jörg Horn von der TÜV SÜD-Tochter uniscon zeigt, wie idgard® Abhilfe schafft. Weiterlesen »
Confidential Computing schließt die letzte Cloud-Sicherheitslücke
Was ist Confidential Computing und welche Vorteile bietet es Unternehmen? Confidential Computing ist gekommen, um zu bleiben. Wir erklären, was dahinter steckt und wie sich die Technologie im Unternehmensalltag produktiv nutzen lässt. Weiterlesen »
Wir halten Sie sicher auf dem Laufenden.