Nützliche Brancheninformationen, aktuelle Presseartikel und Neuerungen zu unserem Cloud-Speicher & Datenraum-Dienst iDGARD erhalten Sie auch über RSS und unsere Seiten in den sozialen Netzwerken.
privacyblog newsletter Lieber das Neueste aus dem privacy blog per eMail erhalten? Melden Sie sich hier für unseren kostenlosen Newsletter an.
privacyblog rss feed Der privacy blog als RSS feed für Ihren Reader.
Folgen Sie uns: Uniscon on Twitter Uniscon on Facebook Uniscon on LinkedIn Uniscon on YouTube Uniscon on google+ Uniscon on Xing

Wann ist ein Cloud-Dienst DSGVO geeignet?

Ab dem 25. Mai 2018 findet die Datenschutz-Grundverordnung (DSGVO) in allen EU-Mitgliedsstaaten Anwendung. Damit ändern sich auch die Regelungen für die Verarbeitung personenbezogener Daten – doch was genau bedeutet das für Sie als Cloud-Nutzer? Woran erkennen Sie, ob ein Anbieter oder Dienst die Anforderungen der DSGVO erfüllt? Und wann gilt ein Cloud-Dienst eigentlich als DSGVO-konform?

Die Grundsätze für die Verarbeitung personenbezogener Daten sind besonders in Artikel 5, Absatz 1 der DSGVO geregelt; weitere Regelungen finden sich unter anderen in den Artikeln 25 und 32.

Im Folgenden erläutern wir, was die wichtigsten Forderungen – vor allem in Bezug auf Cloud-Dienste – bedeuten.

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz (Art. 5 (1)(a) DSGVO)

Die Verarbeitung von personenbezogenen Daten in der Cloud ist nur dann rechtmäßig, wenn die Betroffenen dieser zugestimmt haben oder wenn eine andere Rechtsgrundlage (vgl. DSGVO Art. 6) besteht. Die Datenverarbeitung muss auf eine für die betroffene Person nachvollziehbare Weise stattfinden: Der Cloud-Anbieter muss klare Garantien abgeben können.

  • Vertraulichkeit, Integrität und Verfügbarkeit (Art. 5 (1)(f) & Art. 32 DSGVO)

Die Daten sind auf eine Weise zu verarbeiten, die eine angemessene Sicherheit der Daten gewährleistet – das schließt Schutz vor unrechtmäßiger Verarbeitung, Verlust oder Schädigung mit ein. Darüber hinaus darf durch die Verarbeitung keine Verletzung der Würde der Betroffenen oder eine Einschränkung ihrer Freiheiten zu erwarten sein.

  • Sicherheit und Stand der Technik (Art. 32 DSGVO)

Bei der Verarbeitung muss eine genügend hohe Sicherheit gewährleistet sein. Der Gesetzgeber verlangt hier, dass das Sicherheitsniveau laufend verbessert wird und sich stets am so genannten „Stand der Technik“ orientiert.

  • Privacy by Design und Privacy by Default (Art. 25 DSGVO)

Der Datenschutz muss durch datenschutzfreundliche Technikgestaltung (Privacy by Design) und datenschutzfreundliche Voreinstellungen (Privacy by Default) gewährleistet sein.

  • Rechenschaftspflicht (Art. 5 (2), Art. 28, Art. 30 & Art. 35 DSGVO)

Grundsätzlich ist der Cloud-Nutzer für die Einhaltung aller genannten Anforderungen verantwortlich und muss diese bereits im Vorhinein nachweisen können (Rechenschaftspflicht). Er muss die Verarbeitung in der Cloud in sein Verzeichnis der Verarbeitungstätigkeiten aufnehmen und gegebenenfalls eine Risikoanalyse vornehmen – eine Datenschutzfolgenabschätzung.

Diese Verantwortung teilt sich der Nutzer nun mit dem Cloud Anbieter, der seinerseits ebenfalls hinreichend Garantien dafür bieten muss, dass die Anforderungen der DSGVO eingehalten werden.

  • Auftragsverarbeitung (Art. 28 DSGVO)

Beim Cloud-Computing erteilt der Nutzer dem Anbieter den Auftrag, die Daten zu verarbeiten. Damit der Cloud-Nutzer seiner Verantwortung den Betroffenen gegenüber auch in diesem Fall gerecht werden kann, sichert er sich mit einer Vereinbarung zur Auftragsverarbeitung mit dem Cloud-Anbieter ab. Hiermit bestätigt der Cloud-Anbieter, dass er ebenfalls die Anforderungen der DSGVO erfüllt. Teil einer solchen Vereinbarung muss sein, dass der Cloud-Anbieter alle erforderlichen Informationen zum Nachweis der Einhaltung der Anforderungen zur Verfügung stellt.

Nachweis durch rechtswirksame Zertifikate

Natürlich ist es für Sie als Cloud-Nutzer schwierig und geradezu unzumutbar, die Einhaltung dieser Forderungen selbst zu überprüfen. Da ist es hilfreich, dass Cloud-Anbieter ein „genehmigtes Zertifizierungsverfahren gemäß Artikel 42“ (vgl. DSGVO Art. 32 (3)) heranziehen können, um die Erfüllung der Anforderungen der DSGVO nachzuweisen.

Jaeger_UHL7102_small

Uniscon-CTO Dr. Hubert Jäger rät zu zertifizierten Cloud-Diensten.

„Mit dem passenden Zertifikat können sich sowohl Cloud-Anbieter als auch -Nutzer rechtlich absichern“, erklärt Cloud-Security-Experte und Uniscon-CTO Dr. Hubert Jäger. „Die Anbieter können ihren Kunden gegenüber belegen, die rechtlichen Anforderungen an sichere Cloud-Dienste zu erfüllen und erleichtern es damit den Cloud-Nutzern, ihrer Rechenschaftspflicht nachzukommen.“

Bislang ist zwar noch kein „genehmigtes“ Zertifikat vorhanden, doch speziell auf die Anforderungen der DSGVO ausgerichtete Zertifikate können trotzdem schon als Nachweis der DSGVO-Konformität genutzt werden.

Das Trusted Cloud Datenschutzprofil (TCDP) beispielsweise ist inhaltlich bereits auf die Anforderungen der DSGVO ausgerichtet und wurde zur Pflege an die Stiftung Datenschutz übergeben. Zertifizierungen nach dem TCDP sollen nach Erweiterung des Verfahrens und Prüfstandards in Zertifikate nach dem DSGVO-Standard umgewandelt werden.

Mit dem Forschungsprojekt „AUDITOR“ existiert außerdem ein Nachfolgeprojekt zum TCDP, dessen Ziel die Konzeptionierung und Umsetzung einer anwendbaren EU-weiten Datenschutzzertifizierung von Cloud-Diensten ist. Ein erster Katalog mit Zertifizierungskriterien, an deren Formulierung die Uniscon GmbH als assoziiertes Projektmitglied beteiligt ist, soll bis Ende April 2018 fertiggestellt sein.

DSGVO-ready mit iDGARD

Wenn Sie sich also für einen Cloud-Dienst entscheiden, der nach dem TCDP zertifiziert ist, sind Sie schon auf der sicheren Seite; ab dem Stichtag am 25. Mai sollten Sie außerdem darauf achten, dass die Umwandlung in ein Zertifikat nach dem DSGVO-Standard auch tatsächlich stattfindet bzw. dass der Dienst mit einem anderen geeigneten Zertifikat (z.B. AUDITOR) die Einhaltung der DSGVO nachweist.

Zu den Diensten, die bereits jetzt den Anforderungen der DSGVO entsprechen und nach dem TCDP zertifiziert sind, zählt auch iDGARD. Auf unserer Themenseite können Sie detailliert nachlesen, inwieweit iDGARD den Anforderungen der DSGVO entspricht.

Jetzt kostenlos testen!

Sie sind neugierig geworden und möchten einen sicheren Cloud-Dienst testen, der bereits jetzt den Vorschriften der DSGVO entspricht?

Dann melden Sie sich jetzt an und testen Sie iDGARD 14 Tage kostenlos.

  • Sie gehen kein Risiko ein: Der Test läuft automatisch aus.
  • Sie brauchen bei der Anmeldung zum Test keine Zahlungsdaten angeben.

Sie haben Fragen oder möchten uns Ihr Feedback mitteilen? Schreiben Sie uns an: support@idgard.de.

Leser dieses Artikels interessieren sich auch für folgende Inhalte:

Privacyblog: Was bedeuten die Forderungen der DSGVO?

White Paper: Datenschutzzertifizierung von Cloud-Diensten

Privacyblog: Was soll ein sicherer Cloud-Dienst haben? TCDP oder C5