Bildrechte: Flickr Cloud Security – Secure Data – Cyber Security Blue Coat Photos CC BY-SA 2.0 Bestimmte Rechte vorbehalten
Eine Cloud wird in der entsprechenden Richtlinie als digitaler Dienst definiert, der „einen Zugang zu einem Pool gemeinsam genutzter Rechenressourcen“ ermöglicht. Die meisten Unternehmen dürften in den von ihnen genutzten Clouds personenbezogene Daten speichern. Denn der Begriff der personenbezogenen Daten ist in der Verordnung weit gefasst und meint auch solche Angaben, die auf indirektem Wege Personen zugeordnet werden können. Als Alternative zur Umsetzung der DSGVO wird die Pseudonymisierung der Daten als „technisch-organisatorische Maßnahme“ genannt, wodurch sie keiner Person mehr zugeordnet werden können. Auf diese Daten müssen die Richtlinien der DSGVO nicht mehr angewendet werden. In allen anderen Fällen müssen Maßnahmen umgesetzt werden, um die Daten ausreichend zu schützen.
Ausreichender Datenschutz von zwei Seiten
Zunächst müssen Unternehmen beziehungsweise der Datenschutzbeauftragte von Unternehmen, die eine Cloud für die beschriebenen Zwecke nutzen, die Frage der Verantwortlichkeiten klären. Generell verteilt sich die Verantwortlichkeit für den Datenschutz in der Cloud auf beide Parteien: den Anbieter der Cloud-Infrastruktur und den Kunden (also das Unternehmen). Cloud Service Provider gelten dabei üblicherweise als Auftragsverarbeiter der Daten. Als solche tragen sie eigene Verantwortlichkeiten beim Schutz der Daten bei allen ihnen übertragenen Aufgaben.
Der Auftraggeber, also das Unternehmen, das die Cloud nutzt, muss dabei sicherstellen, dass er einen Verarbeiter wählt, der die Verordnung einhält und „geeignete technische und organisatorische Maßnahmen“ zum Schutz persönlicher Daten in der Cloud garantiert, wie es beispielsweise ProfitBricks tut. Der Cloud-Anbieter ist beispielsweise verpflichtet, ein Verzeichnis zu führen, in dem er alle Tätigkeiten auflistet, die er ausführt, um die Daten seiner Auftraggeber zu verarbeiten. Sowohl dem Verarbeiter als auch dem Auftraggeber drohen Sanktionen, wenn sie die personenbezogenen Daten in der Cloud nicht ausreichend geschützt haben. Die rechtskonforme Umsetzung wird von den jeweils zuständigen Datenschutzaufsichtsbehörden überprüft.
Aufteilung der Verantwortung
IT-Fachjournalist Oliver Schonschek vom Magazin Datenschutz Praxis empfiehlt, bei der Aufteilung der Verantwortung für den Datenschutz auf zwei Komponenten zu setzen. Auf der einen Seite verschlüsselt das verantwortliche Unternehmen seine Daten, die es in der Cloud lagert, mit einem Verschlüsselungssystem eines providerunabhängigen Anbieters. Auf der anderen Seite ist der Cloud-Anbieter für die Verschlüsselung der Daten auf dem Weg vom Unternehmensserver in die Cloud und umgekehrt zuständig.
