EU-DSGVO

Worauf bei Cloud-Diensten zu achten ist

5. Februar 2018, 11:31 Uhr | Sabine Narloch

Was bedeutet die EU-Datenschutz-Grundverordnung eigentlich für Cloud-Nutzer? Uniscon, ein Unternehmen der TÜV SÜD Gruppe, gibt darauf Antworten.

Im Folgenden erläutert Uniscon, was die wichtigsten Forderungen – vor allem in Bezug auf Cloud-Dienste – bedeuten. Die Grundsätze für die Verarbeitung personenbezogener Daten sind zunächst in Artikel 5, Absatz 1 der DSGVO geregelt; weitere Regelungen finden sich unter anderem in den Artikeln 25 und 32.

Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
(Art. 5 (1)(a) DSGVO)
Die Verarbeitung von personenbezogenen Daten in der Cloud ist nur dann rechtmäßig, wenn die Betroffenen dieser zugestimmt haben oder wenn eine andere Rechtsgrundlage besteht. Die Datenverarbeitung muss auf eine für die betroffene Person nachvollziehbare Weise stattfinden, das heißt der Cloud-Anbieter muss klare Garantien abgeben können.

Vertraulichkeit, Integrität und Verfügbarkeit (Art. 5 (1)(f) & Art. 32 DSGVO)
Die Daten sind auf eine Weise zu verarbeiten, die eine angemessene Sicherheit der Daten gewährleistet, einschließlich Schutz vor unrechtmäßiger Verarbeitung, Verlust oder Schädigung. Darüber hinaus darf durch die Verarbeitung keine Verletzung der Würde der Betroffenen oder eine Einschränkung ihrer Freiheiten zu erwarten sein.

Sicherheit und Stand der Technik (Art. 32 DSGVO)
Bei der Verarbeitung muss eine genügend hohe Sicherheit gewährleistet sein. Der Gesetzgeber verlangt, dass das Sicherheitsniveau laufend verbessert wird und sich stets am so genannten „Stand der Technik“ orientiert.

Privacy by Design und Privacy by Default (Art. 25 DSGVO)
Der Datenschutz muss durch datenschutzfreundliche Technikgestaltung (Privacy by Design) und datenschutzfreundliche Voreinstellungen (Privacy by Default) gewährleistet sein.

Rechenschaftspflicht (Art. 5 (2), Art. 28, Art. 30 & Art. 35 DSGVO)
Grundsätzlich ist der Cloud-Nutzer für die Einhaltung aller genannten Anforderungen verantwortlich und muss diese bereits im Vorhinein nachweisen können (Rechenschaftspflicht). Er muss die Verarbeitung in der Cloud in sein Verzeichnis der Verarbeitungstätigkeiten aufnehmen und gegebenenfalls eine Risikoanalyse – eine so genannte Datenschutzfolgenabschätzung – vornehmen.
Diese Verantwortung teilt sich der Nutzer nun mit dem Cloud-Anbieter, der seinerseits ebenfalls hinreichend Garantien dafür bieten muss, dass die Anforderungen der DSGVO eingehalten werden.

Auftragsverarbeitung (Art. 28 DSGVO)
Beim Cloud-Computing erteilt der Nutzer dem Anbieter den Auftrag, die Daten zu verarbeiten. Damit der Cloud-Nutzer seiner Verantwortung den Betroffenen gegenüber auch in diesem Fall gerecht werden kann, sichert er sich mit einer Vereinbarung zur Auftragsverarbeitung mit dem Cloud-Anbieter ab, dass dieser ebenfalls die Anforderungen der DSGVO erfüllt. Teil einer solchen Vereinbarung muss sein, dass der Cloud-Anbieter alle erforderlichen Informationen zum Nachweis der Einhaltung der Anforderungen zur Verfügung stellt.

Nachweis durch Zertifikate
Es ist für Cloud-Nutzer schwierig, die Einhaltung dieser Forderungen selbst zu überprüfen. Hilfreich ist, dass Cloud-Anbieter ein „genehmigtes Zertifizierungsverfahren gemäß Artikel 42“ heranziehen können, um die Erfüllung der genannten Anforderungen nachzuweisen.

Hubert Jäger, Cloud-Security-Experte und CTO der Münchner TÜV SÜD-Tochter Uniscon GmbH, erklärt dazu: „Mit dem passenden Zertifikat können sich sowohl Cloud-Anbieter als auch -Nutzer rechtlich absichern.” So könnten Anbieter ihren Kunden gegenüber belegen, “die rechtlichen Anforderungen an sichere Cloud-Dienste zu erfüllen”. Das erleichtere es den Cloud-Nutzern, “ihrer Rechenschaftspflicht nachzukommen“.

Bislang sei zwar noch kein „genehmigtes“ Zertifikat vorhanden, das bedeute aber nicht, dass speziell auf die Anforderungen der DSGVO ausgerichtete Zertifikate nicht bereits als Nachweis der DSGVO-Konformität genutzt werden könnten. So wurde das Trusted Cloud Datenschutzprofil (TCDP) im Hinblick auf die DSGVO entwickelt. Zertifizierungen nach dem TCDP sollen nach Erweiterung des Verfahrens und Prüfstandards in Zertifikate nach dem DSGVO-Standard umgewandelt werden.

Mit dem Forschungsprojekt „Auditor“ existiert ein Nachfolgeprojekt zum TCDP, dessen Ziel die Konzeptionierung und Umsetzung einer anwendbaren EU-weiten Datenschutzzertifizierung von Cloud-Diensten ist. Ein erster Katalog mit Zertifizierungskriterien soll bis Ende April 2018 fertiggestellt sein.

Laut Uniscon ist auf der sicheren Seite, wer einen Cloud-Dienst wählt, der nach dem TCDP zertifiziert ist; ab dem Stichtag am 25. Mai sollte man zusätzlich darauf achten, dass die Umwandlung in ein Zertifikat nach dem DSGVO-Standard auch tatsächlich stattfindet beziehungsweise dass der Dienst mit einem anderen geeigneten Zertifikat (z.B. Auditor) die Einhaltung der DSGVO nachweist.