DSGVO: Worauf müssen Nutzer bei der Auswahl des Cloud-Providers achten?
Garantien für den Datenschutz sind unverzichtbar:
Cloud Computing ist aus Datenschutzsicht in aller Regel eine Form der Auftragsverarbeitung, früher Auftragsdatenverarbeitung genannt. Wie bisher auch, bleibt es mit der DSGVO dabei, dass der Cloud-Nutzer als Auftraggeber verantwortlich bleibt für den Datenschutz, auch wenn sich seine Daten fernab in einer Cloud befinden.
Cloud-Nutzer sollen laut DSGVO nur solche Cloud-Anbieter beauftragen, "die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet".
Damit obliegen dem Cloud-Nutzer als Auftraggeber Prüfpflichten hinsichtlich des Datenschutzes und der Datensicherheit bei dem Cloud-Anbieter. Der Vertrag mit dem Cloud-Anbieter muss eine Reihe von Vorgaben erfüllen, die in Artikel 28 (Auftragsverarbeiter) der DSGVO aufgeführt sind. Geklärt werden muss insbesondere auch, ob eine Datenübermittlung in Drittstaaten vorgesehen ist, wie dann das erforderliche Datenschutzniveau gewährleistet werden soll und ob Subunternehmen eingesetzt werden.
Schon heute bereitet die Überprüfung des Cloud-Anbieters den Cloud-Nutzern große Schwierigkeiten. Hilfreich ist es deshalb, dass die DSGVO vorsieht, dass die "Einhaltung genehmigter Verhaltensregeln oder eines genehmigten Zertifizierungsverfahrens durch einen Auftragsverarbeiter als Faktor herangezogen werden kann", um hinreichende Garantien für den Datenschutz und die Datensicherheit in der Cloud nach DSGVO-Vorgaben nachzuweisen.
Entscheidend ist dabei, dass es sich um genehmigte Verhaltensregeln oder genehmigte Zertifizierungsverfahren handeln muss. Wie weiter unten ausgeführt wird, eignet sich nicht jedes Cloud-Zertifikat als entsprechender Nachweis.
- Was Unternehmen zur EU-Datenschutzreform beachten müssen
Es ist wohl nur noch eine Frage von Wochen und Monaten, bis die neue EU-Datenschutzverordnung in Kraft tritt. Was bedeutet das für die Unternehmen? Was müssen sie wissen? Marco Schmid, Country Manager DACH beim Webhoster Rackspace, gibt Tipps. - Einwilligung
Unternehmen müssen sicherstellen, dass sie über eine unmissverständliche Einwilligung zur Verarbeitung personenbezogener Daten verfügen, sowohl von Kunden als auch von Mitarbeitern. Von dieser Neuerung sind vor allem Firmen im Consumer-Bereich betroffen, die alle Daten aus ihren Kunden-Datenbanken löschen müssen, für die kein Einverständnis vorliegt. So ist es beispielsweise nicht zulässig, die Daten von Frau Mustermann, die vor zehn Jahren Socken für ihren Mann gekauft hat, weiterhin zu speichern. Marketingabteilungen müssen zukünftig in der Lage sein, Anfragen von Kunden zu berücksichtigen, die um die Löschung ihrer persönlichen Daten bitten oder wollen, dass ihre Daten nicht weiter genutzt werden. - "Recht auf Vergessen"
Die meisten Unternehmen konzentrieren sich erfolgreich darauf, Daten zu sammeln – aber die wenigsten darauf, sie auch wieder aus ihren Systemen zu löschen. Dies wird eine Herausforderung für viele Firmen, sobald Googles „Recht auf Vergessen“ zum Tragen kommt. Eventuell ist die Anonymisierung von Daten eine Alternative für Unternehmen, die es sich leisten können. - Technische und organisatorische Maßnahmen
Ein weiterer wichtiger Aspekt ist die Sicherheit der IT-Systeme vor ungewollten Zugriffen. Setzen Unternehmen geeignete Kontrollen ein, um Kunden- und Personaldaten zu schützen – und das solange es erforderlich ist und ohne dass die Gefahr eines unbeabsichtigten Verlusts entsteht? Ist überhaupt bekannt, warum solche Daten gespeichert werden – geschieht es einfach nur wegen der legitimen Absicht, sie weiter zu verarbeiten? Indem Unternehmen diese Fragen beantworten, bereiten sie sich technisch und organisatorisch auf die Einführung der neuen Datenschutz-Verordnung vor. - Anzeige bei Verstößen
Unternehmen, die Daten verarbeiten, sind dazu verpflichtet, Verstöße gegen die Datensicherheit den zuständigen Datenschutz-Behörden und den Betroffenen innerhalb von 72 Stunden zu melden, wenn der Verstoß zu hohen Risiken führt. Daher müssen Unternehmen zuverlässige Reaktionsprozesse zum Incident Management etablieren, mit denen sie dieser Verpflichtung nachkommen können. - Umsetzung und Strafen
Wenn ein Unternehmen aus irgendeinem Grund gegen die Datenschutz-Verordnung verstößt, kann die zuständige Behörde eine Strafe von bis zu einer Million Euro oder zwei Prozent des jährlichen Umsatzes fordern.
Welche neuen Risiken bestehen bei der Cloud-Nutzung?
Bei Verstößen drohen hohe Bußgelder:
Neben den bekannten Cloud-Risiken kommt mit der DSGVO insbesondere das Risiko hinzu, dass Cloud-Nutzer bei einer Datenschutzverletzung in der Cloud mit einem hohen Bußgeld belegt werden können. So findet man in der DSGVO: "Bei Nichtbefolgung einer Anweisung der Aufsichtsbehörde (…) werden (…) Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist." Damit werden Datenschutzverletzungen noch kritischer oder sogar existenzbedrohend für das verantwortliche Unternehmen.
Welche neuen Risiken bestehen für Cloud-Anbieter?
Cloud-Anbieter ebenfalls in der Verantwortung:
Die Verantwortung für den Datenschutz trägt der Cloud-Nutzer nicht alleine. Kommt es zu einer Datenschutzverletzung, die der Cloud-Anbieter zu verantworten hat, oder generell zu einem Verstoß gegen die DSGVO durch die Auftragsverarbeitung, wird der Cloud-Anbieter ebenfalls zum Verantwortlichen, mit entsprechenden Folgen im Bereich Haftung und Sanktionen.
Leider werden oft deutliche Lücken in der Datensicherheit bei Cloud-Anbietern sichtbar, die bei Anwendung der DSGVO hohe Bußgelder für den Provider bedeuten können. So sagte zum Beispiel der BSI-Präsident Arne Schönbohm im März 2017 (Bundesamt für Sicherheit in der Informationstechnik):
"Cloud-Betreiber sind für die Sicherheit ihrer Cloud verantwortlich und sollten mit dieser Verantwortung sorgsam umgehen. Der Betrieb von Clouds mit veralteten Software-Versionen, für die bereits seit langer Zeit Updates der Hersteller bereitstehen, ist fahrlässig und macht es Kriminellen viel zu leicht, sensible Daten zu stehlen oder Geschäftsprozesse zu beeinflussen."