Ab dem 25. Mai 2018 tritt die neue Datenschutz-Grundverordnung DSGVO oder engl. GDPR in Kraft. Sie soll das Recht auf den Schutz von personenbezogenen Daten gewährleisten. Doch mit der neuen Datenschutz-Grundverordnung kommen auch Neuregelungen für Nutzer von Cloud Services daher – zumindest, wenn sie in der Cloud personenbezogene Daten speichern. So regelt die GDPR regelt unter anderem, was ein zur Auftragsdatenverarbeitung verpflichteter Akteur zu beachten hat. Eine solche Auftragsdatenverarbeitung nimmt zum Beispiel in den meisten Fällen auch ein Anbieter von Cloud–Lösungen vor.
Was regelt die GDPR?
Die Aufgabe der Datenschutzverordnung der Europäischen Union ist der Schutz von Grundrechten und Grundfreiheiten natürlicher Personen sowie das Recht auf Schutz von personenbezogenen Daten. Diese Regelungen zum Datenschutz wurden bislang in den Ländern der EU individuell geregelt. Das Ziel der GDPR ist nun ein einheitliches Datenschutzrecht in der EU durchzusetzen. Die Datenschutz-Grundverordnung gilt dabei für alle öffentlichen Stellen (z. B. Behörden) sowie für Unternehmen in der EU. Darunter fallen beispielsweise auch Cloud–Anbieter, die für andere Unternehmen in der EU auch personenbezogene Daten verarbeiten.
GDPR bei der Nutzung von Cloud Services
Betrifft mich die Datenschutzgrundverordnung überhaupt, wenn ich Cloud-Dienste nutze? Wie steht es um den Datenschutz? Sind gespeicherte Kundendaten sicher? Mit diesen Fragen muss sich auch jeder Nutzer von Cloud-Lösungen beschäftigen. Jeder persönliche Datenverkehr oder auch die Datenverarbeitung von fremden Personen ist relevant für den Datenschutz. Mit dem Inkrafttreten der GDPR steht die Datensicherheit noch einmal stärker im Mittelpunkt.
Ein Datenverarbeiter sind Sie prinzipiell schon, wenn Sie nur die Kontaktdaten eines Kunden auf dem Smartphone speichern. Bereits bei diesem simplen Vorgang müssen Sie darauf achten, dass er datenschutzkonform ist. Das Speichern der Telefonnummer auf dem mobilen Endgerät ist in diesem Fall bereits eine Vorstufe des Cloud Computing. Denken Sie zum Beispiel daran, wenn ein Webservice, den Sie nutzen wollen, von Ihnen die Berechtigung zum Datenzugriff auf Ihre Kontakte im Mobiltelefon abfragt.
Kontakte werden zudem selten ausschließlich auf dem Telefon gespeichert, sondern abhängig von den Netzwerkeinstellungen gleichzeitig mit der Cloud synchronisiert. Schneller als Sie denken kommen Sie möglicherweise mit dem Datenschutz und den neuen Richtlinien der GDPR in Konflikte. Juristisch betrachtet ist jede Person zur Einhaltung der Datenschutzrichtlinien verpflichtet, unabhängig davon, ob es seine eigenen Daten oder Kundendaten sind und wo diese gespeichert werden.
Die neue Datenschutzgrundverordnung verlangt das Bewusstsein und die konsequente Umsetzung von Daten- und Netzwerksicherheit.
Datenschutz in der Unternehmens-Cloud
Firmen, die Daten in eine Cloud auslagern, müssen schnellstens prüfen, ob personenbezogene Daten in der Cloud gespeichert werden. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Das sind zum Beispiel Vorname und Nachname, aber auch die Steuernummer oder die Personalnummer. Es gibt viele Arten, auf deren Weise eine Person identifizierbar sind. Daher sollte bei der Prüfung, welche Daten in die Cloud ausgelagert sind, große Sorgfalt walten.
Personenbezogene Daten in der Cloud des Unternehmens
Kommt Ihr Unternehmen zum Schluss, dass personenbezogene Daten in eine Cloud ausgelagert sind, greift das Datenschutzrecht. Diese besonders sensiblen Daten, muss Ihr Unternehmen besonders schützen. Dazu gehört unter anderem der Abschluss eines Auftragsdatenverarbeitung-Vertrags (kurz: ADV-Vertrag). Hier wird geregelt, wie die Daten durch den Cloud-Anbieter verarbeitet werden dürfen. Darüber hinaus besteht für Sie die Pflicht, regelmäßig die technischen und organisatorischen Maßnahmen (TOMs) des Cloud-Anbieters zum Datenschutz zu prüfen.
Cloud-Anbieter in der EU und sichere Drittstaaten
Wenn Sie personenbezogene Daten in einer Cloud speichern sollten Sie so schnell wie möglich überprüfen, wo Ihr Cloud-Anbieter seinen Firmensitz hat bzw. wo er sein Rechenzentrum hat. Ist der Cloud-Anbieter in der EU, so haben Sie nichts weiter zu tun, als einen ADV-Vertrag abzuschließen. Für einige Drittenstaaten gelten die selben Bedingungen, wie für Cloud-Lösungsanbieter in der EU. Diese Staaten sind laut einer Liste der Europäischen Kommission:
- Andorra
- Argentinien
- Färöer Inseln
- Guernsey
- Island
- Isle of Man
- Israel
- Jersey
- Kanada
- Lichtenstein
- Neuseeland
- Norwegen
- Schweiz
- Uruguay
Sonderfall: Cloud in den USA
Wenn Ihr Cloud-Anbieter in den USA sitzt gibt es zwei Möglichkeiten. Die US–Handelsbehörde führt eine Liste, der von der EU anerkannten sicheren Unternehmen. Mit Unternehmen, die auf dieser Liste stehen, können Sie einfache ADV-Verträge schließen, als wäre das Unternehmen in der Europäischen Union. Befindet sich das Unternehmen nicht auf dieser Liste der US-Handelsbehörde, so müssen Sie das betreffende Unternehmen behandeln, als wäre es ein Unternehmen aus einem unsicheren Drittland.
Cloud-Services in unsicheren Drittstaaten
Alle Staaten, die nicht der EU angehören oder durch die Europäische Kommission als sicheres Drittland anerkannt wurden, gelten als unsichere Drittstaaten. Natürlich ist es erlaubt, mit Unternehmen in diesen Staaten Daten auszutauschen, aber im Falle personenbezogener Daten müssen Sie viele Hürden überwinden. Sie müssen vertraglich mit dem Unternehmen des unsicheren Drittstaates vertraglich ein Schutzniveau auf Höhe der Europäischen Datenschutz-Grundverordnung vereinbaren. Und sie müssen die Einhaltung des hohen, europäischen Datenschutzniveaus überwachen.
Auswahl eines Anbieters von Cloud-Services
Achten Sie bei der Auswahl eines Cloud-Services Anbieters darauf, dass der Anbieter in Deutschland oder der Europäischen Union sitzt. Dies spart Ihnen eine Menge unnötigen Aufwand. Darüber hinaus sollten Sie einen ADV-Vertrag mit dem Anbieter abschließen und regelmäßig die Einhaltung des Vertrags überprüfen.
Nutzen Sie jetzt die sichere Cloud von TeamDrive!
