Startseite > Office & Kommunikation > Partnerschaft für Datenschutz in der Cloud

Auftragsdatenverarbeitung

Partnerschaft für Datenschutz in der Cloud

9. Oktober 2017, 15:01 Uhr | Autor: Philipp Alsdorf / Redaktion: Axel Pomper

Der Datenschutz wird europäisch und aufwendiger. Ende Mai 2018 müssen die Unternehmen die Verordnung der EU umgesetzt haben. Dabei müssen Unternehmen und ihre Provider partnerschaftlich zusammenarbeiten.

Am 25. Mai 2018 ist der Stichtag, ab dann gilt die EU-Datenschutz-Grundverordnung (DSGVO). Sie bringt einige neue Anforderungen an die technische und organisatorische Umsetzung des Datenschutzes, die nur durch Anpassungen an Prozessen und IT-Infrastruktur erreicht werden können. Die Zeit drängt, die Unternehmen müssen bereits jetzt mit Hochdruck an der Umsetzung der Verordnung arbeiten. Viele Firmen sind aber noch nicht so weit: Nach aktuellen Zahlen hat etwa jedes zweite Unternehmen noch überhaupt nicht mit der Umsetzung der Maßnahmen begonnen und kann gar nicht abschätzen, welcher Aufwand dafür notwendig ist.

Das ist fast schon fahrlässig, denn der Aufwand kann relativ hoch sein. Die Verordnung des Rates und des europäischen Parlaments vereinheitlicht den Datenschutz in Europa und führt neue Regeln ein. Kern der Neuerungen sind die stärkeren Rechte der Nutzer. Sie haben zukünftig das Recht zu erfahren, welche Daten über sie gesammelt werden. Darüber hinaus müssen die Unternehmen den Nutzern klare und leicht verständliche Informationen geben, welche Daten zu welchem Zweck und auf welche Weise verarbeitet werden. Dazu gehört auch eine intensivere Information im Falle von Cyberangriffen und Sicherheitsbrüchen.

Grundsätze des Datenschutzes nach DSGVO

Es ist sehr wichtig, die bei den neuen Datenschutzregeln im Vordergrund stehende Perspektive des Verbrauchers umzukehren. Denn aus Sicht der Unternehmen entstehen hier neue Aufgaben für die IT-Organisation. Die DSGVO verwirklicht eine Reihe von teils neuen, teils altbekannten Datenschutzgrundsätzen, die unterschiedliche Konsequenzen für die Verarbeitung und Speicherung von Daten haben. Der folgende Überblick zeigt deutlich, dass viele Details beachtet werden müssen:

Daten sollen ausschließlich zweckgebunden gespeichert und verarbeitet werden und zwar nur die notwendigen Daten. Sie müssen zudem sachlich richtig und auf dem neuesten Stand sein.
Daten sind grundsätzlich nur so lange zu speichern, wie es für die Verarbeitungszwecke erforderlich ist. Dies bedeutet, dass nicht mehr notwendige Daten gelöscht werden müssen.
Die DSGVO erfordert ein transparentes Zugriffsmanagement, sodass sich die Datenverarbeitung lückenlos verfolgen lässt.
Die Grundsätze der Integrität und Vertraulichkeit von Daten erfordern ein Identity & Access-Management (IAM), bei dem nur zulässige Zugriffe anhand von Rollenkonzepten möglich sind.
Die IT-Organisation muss darüber hinaus in der Lage sein, die Daten zu pseudonymisieren, zu verschlüsseln, Auskünfte über die gespeicherten Daten zu geben und sie auch wieder zu löschen.

Diese Grundsätze sind entweder bereits Bestandteil des alten Bundesdatenschutzgesetzes gewesen oder entsprechen den Anforderungen für Datensicherheit - die meisten Unternehmen werden also bereits in weiten Teilen DSGVO-konform vorgehen. Doch es gibt einige Neuerungen, die nicht zu unterschätzen sind, beispielsweise die Auskunfts- und Löschrechte. Die IT muss sich auf entsprechende Anfragen einstellen und die Prozesse und technischen Vorkehrungen dafür schaffen. Es ist davon auszugehen, dass nach Mai 2018 allmählich, aber zunehmend Anfragen dieser Art an die Unternehmen gestellt werden. Allerdings ist im Moment noch nicht absehbar, wie viele Kunden eines Unternehmens ihre neuen Rechte auch tatsächlich nutzen wollen. Hier ist es wichtig, in Zusammenarbeit mit dem Rechenzentrum frühzeitig vorzusorgen und eine möglichst leicht skalierbare Lösung zu schaffen.