Wann ist ein Cloud-Dienst DSGVO-geeignet?

Bild: Pixabay
Für Cloud-Nutzer ist es oft nahezu unzumutbar, die Einhaltung der Forderungen selbst zu überprüfen. Genehmigte Zertifizierungsverfahren für Cloud-Anbieter können da einiges vereinfachen. Bild: Pixabay

Cloud-Anbieter werden mit der Datenschutz-Grundverordnung (DSGVO) weitaus stärker in die Pflicht genommen als bisher. Ab dem 25. Mai 2018 gilt die neue Verordnung zur Verarbeitung personenbezogener Daten – doch woher weiß ich, ob ein Cloud-Dienst DSGVO-konform ist? Worauf Sie achten müssen.

Die wichtigsten Grundsätze für die Verarbeitung personenbezogener Daten sind zunächst nach DSGVO Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz. Die Verarbeitung von personenbezogenen Daten in der Cloud ist nur dann rechtmäßig, wenn die Betroffenen dieser zugestimmt haben oder wenn eine andere Rechtsgrundlage besteht. Die Datenverarbeitung muss nachvollziehbar sein. Cloud-Anbieter müssen klare Garantien abgeben können. Vertraulichkeit, Integrität und Verfügbarkeit – Dass Datensicherheit gewährt sein muss ist, setzt jeder voraus um dessen Daten es geht. Die DSGVO sagt, dass auch Schutz vor unrechtmäßiger Verarbeitung, Verlust oder Schädigung gegeben sein muss. Und zwar will das Gesetz, dass das Sicherheitsniveau laufend verbessert wird und sich stets am „Stand der Technik“ orientiert.

Privacy by Design und Privacy by Default

Der Datenschutz muss durch datenschutzfreundliche Technikgestaltung (Privacy by Design) und datenschutzfreundliche Voreinstellungen (Privacy by Default) gewährleistet sein.  Grundsätzlich ist der Cloud-Nutzer für die Einhaltung aller genannten Anforderungen verantwortlich und muss diese bereits im Vorhinein nachweisen können (Rechenschaftspflicht). Er muss die Verarbeitung in der Cloud in sein Verzeichnis der Verarbeitungstätigkeiten aufnehmen und ggf. eine Risikoanalyse – eine so genannte Datenschutzfolgenabschätzung – vornehmen. Diese Verantwortung teilt sich der Nutzer nun mit dem Cloud Anbieter, der auch die DSGVO-Regeln einhalten muss.

Beim Cloud-Computing erteilt der Nutzer dem Anbieter den Auftrag, die Daten zu verarbeiten. Der Cloud-Nutzer muss sich in diesem Fall mit einer Vereinbarung zur Auftragsverarbeitung absichern. Da das für Cloud-Nutzer schwierig und nahezu unzumutbar ist, die Einhaltung dieser Forderungen selbst zu überprüfen gibt es ein „genehmigtes Zertifizierungsverfahren gemäß Artikel 42“.Dr. Hubert Jäger, Cloud-Security-Experte und CTO der Uniscon GmbH erklärt:

„Mit dem passenden Zertifikat können sich sowohl Cloud-Anbieter als auch -Nutzer rechtlich absichern.“

Mit dem Forschungsprojekt „AUDITOR“ existiert außerdem ein Nachfolgeprojekt zum TCDP, dessen Ziel die Konzeptionierung und Umsetzung einer anwendbaren EU-weiten Datenschutzzertifizierung von Cloud-Diensten ist. Ein erster Katalog mit Zertifizierungskriterien soll bis Ende April 2018 fertiggestellt sein. Wenn Sie also einen Cloud-Dienst wählen, der nach dem TCDP zertifiziert ist, sind Sie bereits auf der sicheren Seite.

Dienste, die bereits jetzt den Anforderungen der DSGVO entsprechen und nach dem TCDP zertifiziert sind, können Sie der Webseite des TCDP entnehmen. Dazu zählt auch der Datenaustauschdienst iDGARD der Uniscon GmbH. Der Dienst erfüllt schon heute die Grundsätze für die Verarbeitung personenbezogener Daten gemäß der aufgeführten Artikel der DSGVO.