Wann ist ein Cloud-Dienst DSGVO geeignet?
Er muss die Anforderungen an die Verarbeitung personenbezogener Daten erfüllen.
Diese Grundsätze für die Verarbeitung personenbezogener Daten sind besonders in Artikel 5, Absatz 1 der DSGVO geregelt; weitere Regelungen finden sich unter anderen in den Artikeln 25 und 32.
Nachweis durch rechtswirksame Zertifikate
Das Trusted Cloud Datenschutzprofil (TCDP) beispielsweise ist inhaltlich bereits auf die Anforderungen der DSGVO ausgerichtet und wurde zur Pflege an die Stiftung Datenschutz übergeben. Zertifizierungen nach dem TCDP sollen nach Erweiterung des Verfahrens und Prüfstandards in Zertifikate nach dem DSGVO-Standard umgewandelt werden
Im Klartext heißt das:
Mit einem passenden Zertifikat gem. Art. 42 EU-DSGVO können Cloud-Anbieter nachweisen, die gesetzlichen Anforderungen an sichere Cloud-Dienste erfüllt zu haben. Nutzer wiederum kommen damit ihrer Kontrollpflicht nach.
Eine solche Zertifizierung durch eine akkreditierte Stelle setzt gemäß Art. 42 Abs. 5 EU-DSGVO voraus, dass die zuständigen Bundes- oder Landesdatenschutzbehörden oder der Europäische Datenschutzausschuss gemäß Art. 63 EU-DSGVO die Kriterien für die Zertifizierung – also das Zertifizierungsprogramm im Sinne der ISO/IEC 17065 i. V. m. ISO/IEC 17067 – genehmigt haben.
Aktuell existieren weder akkreditierte Zertifizierungsstellen noch genehmigte Zertifizierungsverfahren. An einem solchen Verfahren im Sinne der DSGVO arbeitet das von der Bundesregierung geförderte Projekt AUDITOR, an dem auch Uniscon mitwirkt.
Was bedeutet das für die Nutzung von Cloud-Diensten?
Treffen Sie schon heute eine Entscheidung, die auch nach dem Inkrafttreten der EU-DSGVO richtig ist und wählen Sie daher Dienste aus, die mit dem TCDP versehen sind.