Datenschutz-Grundverordnung (DSGVO): Was ändert sich für Cloud-Nutzer?

Ein Gastbeitrag von Christina Hansmeyer von der Kanzlei für Datenschutz & Datensicherheit, Hansmeyer Consult.

DSGVO – was ändert sich im Vergleich zu heute?

Wer in Zukunft Cloud-Dienste verwenden will, muss die Vorgaben der DSGVO) beachten. Doch was ändert sich im Vergleich zu heute? – Aus Auftragsdatenverarbeitung wird Auftragsverarbeitung!

Cloud Computing, also die Nutzung von IT-Ressourcen wie Rechenleistung, Applikationen und Speicherkapazität über das Internet, wird immer beliebter. Zwei von drei Unternehmen haben in Deutschland im Jahr 2016 Cloud Computing eingesetzt, so der Digitalverband Bitkom. Wenn in Kürze die Zahlen für 2017 vorliegen, wird zweifellos eine weitere Steigerung festzustellen sein. Aus Sicht des Datenschutzes handelt es sich bei Cloud Computing in der Regel um eine Auftragsdatenverarbeitung. Diesen Begriff findet man in der DSGVO, die ab 25. Mai 2018 anzuwenden ist, nicht mehr. Dort spricht man nur noch von Auftragsverarbeitung.

Wer ist Verantwortlich?

Ist dies die einzige Änderung im Datenschutz, die Cloud-Nutzer kennen sollten? Nein, das ist sie nicht. Cloud-Nutzer bleiben in der Verantwortung, aber Umfragen unter Cloud-Anwendern zeigen regelmäßig, dass nicht wenige Unternehmen die Verantwortung für den Schutz der Daten in der Cloud beim jeweiligen Cloud-Betreiber sehen, nicht aber bei sich. Tatsächlich ist und bleibt es so, dass das Unternehmen als Cloud-Nutzer und damit die verantwortliche Stelle im Unternehmen für den angemessenen Datenschutz Sorge tragen muss. So muss das Unternehmen unter anderem geeignete technisch-organisatorische Maßnahmen für den Schutz der Cloud- Daten mit dem Cloud-Betreiber vertraglich vereinbaren. Durch die DSGVO neu hinzu kommt, dass ein Cloud-Betreiber als Auftragsverarbeiter auch zum Verantwortlichen wird, wenn er gegen die Vorgaben des Datenschutzes verstößt, also die Daten zum Beispiel zweckentfremdet. Dadurch wird aber nicht etwa die Verantwortung vom Cloud-Nutzer auf den Cloud-Betreiber übertragen. Vielmehr bleibt auch der Cloud-Nutzer verantwortlich. Aus der Verantwortung des Cloud-Nutzers ergibt sich, dass er wie bisher nicht einfach einen beliebigen Cloud-Anbieter auswählen sollte.

Cloud-Anbieter bei Auswahl genau prüfen!

Die DSGVO fordert von Cloud-Nutzern, dass sie nur solche Cloud-Anbieter beauftragen, die hinreichende Garantien dafür bieten, dass sie geeignete technische und organisatorische Maßnahmen so durchführen, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und die Rechte der betroffenen Person schützt.

Neu ist die Möglichkeit unter der DSGVO, dass sich die Einhaltung genehmigter Verhaltensregeln oder eines genehmigten Zertifizierungsverfahrens durch einen Auftragsverarbeiter als Faktor heranziehen lässt, um hinreichende Garantien nachzuweisen, wie es die Verordnung sagt. Das bedeutet insbesondere, dass man als Cloud-Nutzer auf Cloud-Zertifizierungen beim Cloud-Betreiber achten sollte, die den Vorgaben der DSGVO entsprechen. In Zukunft können also geeignete Cloud-Zertifikate zu einer wichtigen Hilfe bei der Auswahl werden.

Angemessenes Datenschutzniveau ist entscheidend!

Viele Clouds werden außerhalb der EU betrieben. Dann liegt eine Datenübermittlung in Drittstaaten vor, wenn personenbezogene Daten in die Cloud übertragen werden. Gleich ob es sich um die USA oder einen anderen Drittstaat handelt: Es muss grundsätzlich geprüft werden, ob das dortige Datenschutzniveau dem der DSGVO entspricht. Hierfür gibt es verschiedene Instrumente. Darunter eine Angemessenheitsentscheidung der EU-Kommission für bestimmte Länder und die sogenannte Privacy-Shield-Vereinbarung mit den USA.

Da gegenwärtig gerichtliche Prüfungen auf EU-Ebene in diesem Bereich bevorstehen, sollten Sie jeweils aktuell bei Ihrer Datenschutzbeauftragten oder Ihrem Datenschutzbeauftragten fragen, welche Grundlage für eine Datenübermittlung in Drittstaaten gilt.

Datenpannen können auch in Clouds passieren!

Wird der Datenschutz verletzt, kommt es also zu einer Datenpanne, haben viele Unternehmen Schwierigkeiten, dies zeitnah festzustellen. Die verschärften Meldepflichten bei Datenschutzverletzungen (72-Stunden-Frist) vergrößern diese Probleme. Im Fall einer Cloud ist es für den Cloud-Nutzer meist sogar noch schwieriger, eine Datenpanne zu ermitteln, als es im eigenen Netzwerk schon der Fall wäre.

Die DSGVO sieht deshalb vor, dass der Cloud-Betreiber Datenschutzverletzungen unverzüglich dem Cloud-Nutzer als der verantwortlichen Stelle mitteilen muss. Hierzu sollten Cloud-Nutzer aber entsprechende Meldewege mit dem Cloud-Anbieter vereinbaren. Es gibt also einiges zu tun, damit die Cloud-Nutzung in Zukunft der Datenschutz-Grundverordnung Genüge tut.

Ein Gastbeitrag von Christina Hansmeyer
Kanzlei für Datenschutz & Datensicherheit, Hansmeyer Consult
Samlandweg 19
D-33719 Bielefeld
Tel.: +49 (521) 38 33 784
www.hansmeyerconsult.de

Antworten

Mit Eingabe und Absenden Ihrer Daten erklären Sie sich mit der Speicherung und Verarbeitung dieser Daten gem. unserer Datenschutzbestimmungen einverstanden.

Die mit * gekennzeichnete Felder sind Pflichtfelder. Ihre E-Mail-Adresse wird nicht veröffentlicht.
Wenn Sie die E-Mail-Adresse eingeben, die Sie bei Gravatar verwenden, erscheint Ihr Bild neben dem Kommentar.