Weitere Artikel
  • 12.12.2017, 08:40 Uhr
  • |
  • Deutschland
Daten in der Cloud

Neue Datenschutzverordnung: Besondere Vorgaben für Daten in der Cloud

Wie müssen Unternehmen mit (Kunden-)Daten umgehen, die sie in der Cloud speichern, um die neue EU-Datenschutzgrundverordnung (DSGVO) einzuhalten? Wir erklären, wer laut der neuen Datenschutzverordnung zuständig für welche Sicherheitsaspekte ist und worauf Cloud-Nutzer sowie -Anbieter achten müssen.


Bildrechte: Flickr Cloud Security - Secure Data - Cyber Security Blue Coat Photos CC BY-SA 2.0 Bestimmte Rechte vorbehalten

Eine Cloud wird in der entsprechenden Richtlinie als digitaler Dienst definiert, der "einen Zugang zu einem Pool gemeinsam genutzter Rechenressourcen" ermöglicht. Die meisten Unternehmen dürften in den von ihnen genutzten Clouds personenbezogene Daten speichern. Denn der Begriff der personenbezogenen Daten ist in der Verordnung weit gefasst und meint auch solche Angaben, die auf indirektem Wege Personen zugeordnet werden können. Als Alternative zur Umsetzung der DSGVO wird die Pseudonymisierung der Daten als "technisch-organisatorische Maßnahme" genannt, wodurch sie keiner Person mehr zugeordnet werden können. Auf diese Daten müssen die Richtlinien der DSGVO nicht mehr angewendet werden. In allen anderen Fällen müssen Maßnahmen umgesetzt werden, um die Daten ausreichend zu schützen.

Ausreichender Datenschutz von zwei Seiten

Zunächst müssen Unternehmen beziehungsweise der Datenschutzbeauftragte von Unternehmen, die eine Cloud für die beschriebenen Zwecke nutzen, die Frage der Verantwortlichkeiten klären. Generell verteilt sich die Verantwortlichkeit für den Datenschutz in der Cloud auf beide Parteien: den Anbieter der Cloud-Infrastruktur und den Kunden (also das Unternehmen). Cloud Service Provider gelten dabei üblicherweise als Auftragsverarbeiter der Daten. Als solche tragen sie eigene Verantwortlichkeiten beim Schutz der Daten bei allen ihnen übertragenen Aufgaben.

Der Auftraggeber, also das Unternehmen, das die Cloud nutzt, muss dabei sicherstellen, dass er einen Verarbeiter wählt, der die Verordnung einhält und "geeignete technische und organisatorische Maßnahmen" zum Schutz persönlicher Daten in der Cloud garantiert, wie es beispielsweise ProfitBricks tut. Der Cloud-Anbieter ist beispielsweise verpflichtet, ein Verzeichnis zu führen, in dem er alle Tätigkeiten auflistet, die er ausführt, um die Daten seiner Auftraggeber zu verarbeiten. Sowohl dem Verarbeiter als auch dem Auftraggeber drohen Sanktionen, wenn sie die personenbezogenen Daten in der Cloud nicht ausreichend geschützt haben. Die rechtskonforme Umsetzung wird von den jeweils zuständigen Datenschutzaufsichtsbehörden überprüft.

Aufteilung der Verantwortung

IT-Fachjournalist Oliver Schonschek vom Magazin Datenschutz Praxis empfiehlt, bei der Aufteilung der Verantwortung für den Datenschutz auf zwei Komponenten zu setzen. Auf der einen Seite verschlüsselt das verantwortliche Unternehmen seine Daten, die es in der Cloud lagert, mit einem Verschlüsselungssystem eines providerunabhängigen Anbieters. Auf der anderen Seite ist der Cloud-Anbieter für die Verschlüsselung der Daten auf dem Weg vom Unternehmensserver in die Cloud und umgekehrt zuständig.

(Redaktion)


 


 

Cloud
Anbieter
Auftraggeber
Verantwortlichkeit
Datenschutzverordnung
Maßnahme

Passende Artikel suchen

Finden Sie weitere Artikel zum Thema "Cloud" - jetzt Suche starten:

Entdecken Sie business-on.de: