EU-DSGVO-konform mit iDGARD

Mit dem Cloud-Speicher und Datenraum iDGARD erfüllen Sie schon heute die strengen Grundsätze für die Verarbeitung personenbezogener Daten gem. Artikel 5, 25 und 32 DSGVO.

Dabei beziehen wir uns auf den Deutschen Gesetzestext, den Sie auf der Seite der EU-Kommission einsehen können.

In Artikel 5 (1) DSGVO sind die Grundsätze für die Verarbeitung personenbezogener Daten aufgeführt. Diese unterteilen sich in die Punkte a – f, die wir hier nachfolgend aufgreifen:

Art. 5 (1) DSGVO

(Art. 5 (1)(a) DSGVO) Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz

Rechtmäßigkeit ist im Cloud-Computing primär durch die Rechtsgrundlage für die Verarbeitung der Daten durch den Cloud-Nutzer gegeben. Zusätzlich wird eine Vereinbarung zur Auftragsverarbeitung (AV) mit dem Cloud-Anbieter geschlossen. (nach BDSG-alt: ADV)

Gewährleistung der Transparenz durch Technik (data protection by design) und datenschutzfreundliche Voreinstellungen (data protection by default) (vgl. Art. 25 DSGVO, Erwägungsgrund 78)

Zertifizierungen gem. Art. 42 DSGVO stützen die Transparenz. iDGARD ist bereits nach dem TCDP zertifiziert, das auf die Anforderungen der DSGVO ausgerichtet ist. Allerdings liegen noch keine vom Datenschutzausschuss im Auftrag der EU-Kommission verabschiedeten Anforderungskataloge für Cloud-Computing vor. Das TCDP kommt den zu erwartenden Katalogen gegenwärtig am nächsten. Somit ist das TCDP ein Zertifizierungsverfahren, mit dem Unternehmen die Erfüllung der Anforderungen der DSGVO schon heute nachweisen können, obwohl es noch unter dem Regime des BDSG-alt erstellt wurde.

 

(Art. 5 (1)(b) DSGVO) Zweckbindung

Bei iDGARD findet keine Verarbeitung der Daten im System statt, ohne dass der Cloud-Nutzer diese angewiesen hat

 

(Art. 5 (1)(c) DSGVO) Datenminimierung

Bei iDGARD findet keine AV im eigentlichen Sinne statt, da kein Zugriff auf die verarbeiteten Daten möglich ist.

 

(Art. 5 (1)(d) DSGVO) Richtigkeit

Ein Prozess für die Richtigstellungen ist beim iDGARD-Kundenservice etabliert.

Außerdem sind Richtigstellungen auch im Self-Service im Cloud-Angebot möglich.

 

(Art. 5 (1)(e) DSGVO) Begrenzung der Speicherdauer (Speicherbegrenzung)

iDGARD unterstützt den Cloud-Nutzer, die Dauer der Speicherung zu begrenzen (z.B. automatische Löschung nach Zeit, Einstellbarkeit der Zugriffsdauer, etc.)

 

(Art. 5 (1)(f) DSGVO) Vertraulichkeit, Integrität und Verfügbarkeit

iDGARD bietet

  • technischen Schutz vor Hacker-Angriffen von außen.
  • technischen Schutz vor Insiderangriffen (Betreibersicherheit der Sealed Cloud).
  • Schutz vor unrechtmäßiger Verarbeitung sowie vor Verlust, Zerstörung oder Schädigung der Daten (Sealed-Backup-Funktion).
 

Art. 5 (2) DSGVO

Artikel 5 (2) bezieht sich auf die Rechenschaftspflicht des Cloud-Nutzers gegenüber den in Artikel 5 (1) aufgeführten Punkten a-f:

„Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).“

 

(Art. 5 (2) i.V.m. Art. 32 DSGVO) Rechenschaftspflicht und Stand der Technik

Wegen der Eigenschaft der Betreibersicherheit repräsentiert iDGARD den Stand der Technik. Damit können Cloud-Nutzer gem. Art. 5 (2) DSGVO nachweisen, dass Sie die Anforderung an die Sicherheit der Verarbeitung gem. Art. 32 DSGVO erfüllen.

 

Art. 25 DSGVO

Artikel 25 (1) verweist darauf, dass der Cloud-Nutzer bei der Auswahl des Dienstes organisatorische und technische Maßnahmen zu treffen hat, die den Anforderungen der DSGVO (u.a. Artikel 5) genügen und somit die Rechte der betroffenen Personen schützen. Diese Auswahl hat u.a. unter der Berücksichtigung des Stands der Technik, des Umfangs und den mit der Verarbeitung verbundenen Risiken zu erfolgen.

Artikel 25 (2) fordert darüber hinaus datenschutzfreundliche Voreinstellungen für die Menge der erhobenen Daten, den Umfang Ihrer Verarbeitung, sowie deren Speicherfrist.

 

(Art. 25 DSGVO) Privacy by Design und Privacy by Default

Zu Art. 25 (1): Schon bei der Konzipierung des Cloud-Dienstes wurden alle Anforderungen des Datenschutzes berücksichtigt (Privacy by Design).

Zu Art 25 (2): iDGARD unterstützt datenschutzfreundliche Voreinstellungen. Für verschiedene Schutzbedarfsklassen gemäß TCDP kann der Administrator durch einen einfachen Klick die entsprechenden Voreinstellungen vornehmen.

Zu Art 25 (3): Den Schutzbedarf für Ihre Datenverarbeitungsvorgänge können Sie mit diesem Schutzbedarfsrechner bestimmen.

 

Um die Anforderungen der Artikel 25 (1) und 25 (2) nachzuweisen, kann man laut Artikel 25 (3) DSGVO ein genehmigtes Zertifizierungsverfahren gemäß Artikel 42 heranziehen.

 

iDGARD ist zertifiziert nach dem Trusted Cloud Datenschutzprofil (TCDP)

Das TCDP ist ein Zertifizierungsverfahren, welches die Erfüllung der Anforderungen der DSGVO an die Datenverarbeitung bereits heute nachweisen kann.

„Zertifizierungen nach TCDP sollen nach Entwicklung eines entsprechenden Prüfstandards und Zertifizierungsverfahrens in Zertifikate nach einem DSGVO-Standard für Cloud-Dienste übergehen, wie es die Verfahrensordnung für Zertifizierungen nach TCDP vorsieht.“ (TCDP.de)

Das TCDP ist bereits auf die Anforderungen der DSGVO ausgerichtet. Zurzeit liegen noch keine vom Datenschutzausschuss im Auftrag der EU-Kommission genehmigten Anforderungskataloge für Cloud-Computing vor. Das TCDP kommt jedoch den zu erwartenden Katalogen gegenwärtig am nächsten. Somit ist das TCDP ein Zertifizierungsverfahren, mit dem die Erfüllung der Anforderungen der DSGVO bereits heute nachgewiesen werden kann, obwohl es noch unter dem Regime des BDSG-alt erstellt wurde. Sobald der Katalog an die wenigen zusätzlichen Anforderungen angepasst ist, wird die Re-Zertifizierung nach diesem Anforderungskatalog erfolgen.

Zu dieser Pflege wurde das TCDP an die Stiftung Datenschutz übergeben. Zusätzlich hat das BMWI das Projekt AUDITOR (Link http://auditor-cert.de/)  ins Leben gerufen, in welchem Uniscon als assoziiertes Mitglied mitwirkt.

Sie können davon ausgehen, dass die Zertifizierung des Dienstes iDGARD nach TCDP in der Schutzklasse 3 die nach DSGVO geforderte Dokumentation Ihrer Verarbeitungsvorgänge wesentlich erleichtert. 

 

Kontaktaufnahme

Wünschen Sie eine persönliche Beratung? Kontaktieren Sie uns.

Wir helfen Ihnen gern weiter.

Kostenloser Test

Testen Sie den vollen Funktionsumfang von iDGARD. Unverbindlich und ohne Abo!

In 1 Minute sind Sie online.

© Uniscon GmbH 2018