Cloud-Services nicht vergessen

Sinnvoll ist es, nicht einen großen Wurf zur Umsetzung der Verordnung zu versuchen, sondern mit dem Kunden konkrete erste Schritte zu erarbeiten, die zeitnah durchgeführt werden können. Es gilt, Datensicherheit und Datenschutz als Prozess zu vermitteln, der schrittweise immer weiter optimiert wird. Am Anfang kann beispielsweise eine Erfassung und Klassifizierung der Unternehmensdaten stehen, bei der ermittelt wird, welche personenbezogenen Daten im Unternehmen vorliegen. Wichtig ist es hierbei, den kompletten Bestand mit einzubeziehen und nicht nur das, was in Datenbanken lagert, also auch unstrukturierte Daten auf den Systemen der Mitarbeiter und auf Netzlaufwerken sowie Daten die bei Cloud-Anbietern oder auf Geräten der Schatten-IT gespeichert sind.

Anschließend muss geklärt werden, auf welcher Rechtsgrundlage und wie die Daten erhoben wurden, ob eine Einwilligung der Betroffenen zur Speicherung und Verarbeitung vorliegt und wie lange die Daten gespeichert werden dürfen. Das alles gilt es zu dokumentieren und Prozesse für künftige Datenerfassungen aufzusetzen. Denn nach der DSGVO haben Verbraucher ein Auskunftsrecht sowie ein Recht auf Löschung ihrer Daten, das sogenannte »Recht auf Vergessenwerden«. Speziell letzteres ist gar nicht so leicht umzusetzen, da die personenbezogenen Daten zumeist auch in Backups stecken und oft an Cloud-Anbieter weitergereicht wurden. Hier braucht es ein definiertes Prozedere, um den Cloud-Anbieter zu informieren, denn als Auftragsdatenverarbeiter ist er nach der Verordnung verpflichtet, einer solchen Löschanforderung nachzukommen – selbst wenn er keinen Sitz in der EU hat und auch seine Systeme außerhalb des Staatenverbundes stehen. Um unter die Regelungen der DSGVO zu fallen, reicht es, Dienste für EU-Bürger anzubieten beziehungsweise deren Daten zu erfassen oder zu verarbeiten.