Mit dem Cloud-Speicher und Datenraum iDGARD erfüllen Sie schon heute die strengen Grundsätze für die Verarbeitung personenbezogener Daten gem. Artikel 5, 25 und 32 DSGVO.
Dabei beziehen wir uns auf den Deutschen Gesetzestext, die Sie auf der Seite der EU-Kommission einsehen können.
Im Artikel 5 (1) DSGVO werden die Grundsätze für die Verarbeitung personenbezogener Daten aufgeführt. Diese unterteilen sich in a – f und werden hier nachfolgend aufgegriffen:
ist im Cloud-Computing primär durch die Rechtsgrundlage für die Verarbeitung der Daten durch den Cloud-Nutzer gegeben. Zusätzlich soll eine Vereinbarung mit Cloud-Anbieter geschlossen werden. à AV (nach BDSG-alt: ADV)
Gewährleistung der Transparenz durch Technik (data protection by design) und datenschutzfreundliche Voreinstellungen (data protection by default) (vgl. Art. 25 DSGVO, Erwägungsgrund 78)
Zertifizierungen gem Art. 42 DSGVO stützen die Transparenz. iDGARD ist bereits nach dem TCDP zertifiziert, das bereits auf Anforderungen der DSGVO ausgerichtet ist. Es liegen noch keine vom Datenschutzausschuss im Auftrag der EU-Kommission verabschiedeten Anforderungskataloge für Cloud-Computing vor. Das TCDP kommt den zu erwartenden Katalogen gegenwärtig am nächsten. Somit ist TCDP ein Zertifizierungsverfahren, mit dem die Erfüllung der Anforderungen der DSGVO bereits heute nachgewiesen werden kann, obwohl es noch unter dem Regime des BDSG-alt erstellt wurde.
Bei iDGARD findet keine Verarbeitung der Daten ohne Weisung durch den Cloud-Nutzer im System statt.
Bei iDGARD findet keine AV i.e.S. statt, da kein Zugriff auf die verarbeiteten Daten möglich ist.
Prozess für Richtigstellungen beim iDGARD-Kundenservice etabliert
Richtigstellungen auch im Self-Service im Cloud-Angebot möglich
Der Cloud-Nutzer wird bei iDGARD unterstützt die Dauer der Speicherung zu begrenzen (z.B. automatische Löschung nach Zeit, Einstellbarkeit der Zugriffsdauer, etc.)
iDGARD bietet technischen Schutz vor Insiderangriffen (Betreibersicherheit der Sealed Cloud)
iDGARD bietet Schutz vor unrechtmäßiger Verarbeitung sowie vor Verlust, Zerstörung oder Schädigung der Daten (Sealed-Backup-Funktion).
Artikel 5 (2) bezieht sich auf die Rechenschaftspflicht des Cloud-Nutzers ggü. den in Artikel 5 (1) aufgeführten Punkten a-f:
„Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).“
iDARD bietet technischen Schutz vor Hacker-Angriffen von außen.
iDGARD bietet technischen Schutz vor Insiderangriffen (Betreibersicherheit der Sealed Cloud)
iDGARD bietet Schutz vor unrechtmäßiger Verarbeitung sowie vor Verlust, Zerstörung oder Schädigung der Daten (Sealed-Backup-Funktion).
Artikel 5 (2) bezieht sich auf die Rechenschaftspflicht des Cloud-Nutzers ggü. den in Artikel 5 (1) aufgeführten Punkten a-f:
„Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).“
iDGARD repräsentiert wegen der Eigenschaft der Betreibersicherheit den Stand der Technik. Damit können Sie als Cloud-Nutzer gem. Art. 5 (2) DSGVO nachweisen, dass Sie die Anforderung an die Sicherheit der Verarbeitung gem. Art. 32 DSGVO erfüllen.
Artikel 25 (1) verweist darauf, dass der Cloud-Nutzer bei der Auswahl des Dienstes organisatorsiche und technische Maßnahmen zu treffen hat, die den Anforderungen der DSGVO (u.a. Artikel 5) genügen und somit die Rechte der betroffenen Personen schützen. Diese Auswahl hat u.a. unter der Berücksichtigung des Stands der Technik, des Umfangs und den mit der Verarbeitung verbundenen Risiken zu erfolgen.
Artikel 25 (2) fordert darüber hinaus datenschutzfreundliche Voreinstellungen für die Menge der erhobenen Daten, den Umfang deren Ihrer Verarbeitung, sowie deren Speicherfrist.
Zu Art. 25 (1): Schon bei der Konzipierung des Cloud-Dienstes wurden alle Anforderungen des Datenschutzes berücksichtigt (Privacy by Design).
Zu Art 25 (2): Datenschutzfreundliche Einstellungen werden unterstützt. Für verschiedene Schutzbedarfsklassen gemäß TCDP kann der Administrator durch einfachen Klick die entsprechenden Voreinstellungen vornehmen.
Zu Art 25 (3): Den Schutzbedarf für Ihre Datenverarbeitungsvorgänge können Sie mit diesem Schutzbedarfsrechner bestimmen.
Um die Anforderungen der Artikel 25 (1) und 25 (2) nachzuweisen, kann lt. Artikel 25 (3) DSGVO ein genehmigtes Zertifizierungsverfahren gemäß Artikel 42 herangezogen werden.
iDGARD ist zertifiziert nach dem Trusted Cloud Datenschutzprofil (TCDP)
Das TCDP ist ein Zertifizierungsverfahren, welches die Erfüllung der Anforderungen der DSGVO an die Datenverarbeitung bereits heute nachweisen kann.
„Zertifizierungen nach TCDP sollen nach Entwicklung eines entsprechenden Prüfstandards und Zertifizierungsverfahrens in Zertifikate nach einem DSGVO-Standard für Cloud-Dienste übergehen, wie es die Verfahrensordnung für Zertifizierungen nach TCDP vorsieht.“ (TCDP.de)
TCDP ist bereits auf die Anforderungen der DSGVO ausgerichtet. Es liegen noch keine vom Datenschutzausschuss im Auftrag der EU-Kommission genehmigten Anforderungskataloge für Cloud-Computing vor. Das TCDP kommt jedoch den zu erwartenden Katalogen gegenwärtig am nächsten. Somit ist TCDP ein Zertifizierungsverfahren, mit dem die Erfüllung der Anforderungen der DSGVO bereits heute nachgewiesen werden kann, obwohl es noch unter dem Regime des BDSG-alt erstellt wurde. Sobald der Katalog an die wenigen zusätzlichen Anforderungen angepasst ist, wird die Re-Zertifizierung nach diesem Anforderungskatalog erfolgen.
Zu dieser Pflege wurde das TCDP an die Stiftung Datenschutz übergeben und zusätzlich hat das BMWI das Projekt AUDITOR ins Leben gerufen, in welchem Uniscon als assoziiertes Mitglied mitwirkt.
Sie können davon ausgehen, dass die Zertifizierung des Dienstes iDGARD nach TCDP in der Schutzklasse 3 die nach DSGVO geforderte Dokumentation Ihrer Verarbeitungsvorgänge wesentlich erleichtert.
