BIT 2–2018 | 27
Uniscon: Wann sind Cloud-Dienste DSGVO-geeignet?
Sichere Cloud
Cloud-Anbieter werden mit der Datenschutz-Grundverordnung
weitaus stärker in die Pflicht genommen als bisher.
Doch was bedeutet das genau? Woran erkennt man, ob ein
Dienst oder Anbieter die Anforderungen der DSGVO erfüllt?
Wann gilt ein Cloud-Dienst als DSGVO-konform?
Die Grundsätze für die Verarbeitung
personenbezogener Daten sind in Artikel
5, Absatz 1 der DSGVO geregelt;
weitere Regelungen finden sich u. a. in
den Artikeln 25 und 32. Im Folgenden
wird erläutert, was die wichtigsten
Forderungen – vor allem in Bezug
auf Cloud-Dienste – bedeuten.
• Rechtmäßigkeit, Verarbeitung nach
Treu und Glauben, Transparenz (Art.
5, 1a): Die Verarbeitung von personenbezogenen
Daten in der Cloud ist nur
dann rechtmäßig, wenn die Betroffenen
dieser zugestimmt haben oder
wenn eine andere Rechtsgrundlage
besteht. Die Datenverarbeitung muss
auf eine für die betroffene Person
nachvollziehbare Weise stattfinden,
d. h. der Cloud-Anbieter muss klare
Garantien abgeben können.
• Vertraulichkeit, Integrität und Verfügbarkeit
(Art. 5, 1f & Art. 32): Die
Daten sind auf eine Weise zu verarbeiten,
die eine angemessene Sicherheit
der Daten gewährleistet, einschließ -
lich Schutz vor unrechtmäßiger Verarbeitung,
Verlust oder Schädigung. Darüber
hinaus darf durch die Verarbeitung
keine Verletzung der Würde der
Betroffenen oder eine Einschränkung
ihrer Freiheiten zu erwarten sein.
• Sicherheit und Stand der Technik
(Art. 32): Bei der Verarbeitung muss
eine genügend hohe Sicherheit gewährleistet
sein. Der Gesetzgeber
verlangt, dass das Sicherheitsniveau
laufend verbessert wird und sich stets
am „Stand der Technik“ orientiert.
• Privacy by Design und Privacy by
Default (Art. 25): Der Datenschutz
muss durch datenschutzfreundliche
Technikgestaltung und datenschutzfreundliche
Voreinstellungen gewährleistet
sein.
• Rechenschaftspflicht (Art. 5, 2, Art.
28, Art. 30 und Art. 35): Grundsätzlich
ist der Cloud-Nutzer für die Einhaltung
aller genannten Anforderungen
verantwortlich und muss diese bereits
im Vorhinein nachweisen können
(Rechenschaftspflicht). Er muss die
Verarbeitung in der Cloud in sein Verzeichnis
der Verarbeitungstätigkeiten
aufnehmen und ggf. eine Risikoanalyse
(Datenschutzfolgenabschätzung) vornehmen.
Diese Verantwortung teilt
sich der Nutzer nun mit dem Cloud
Anbieter, der seinerseits ebenfalls hinreichend
Garantien dafür bieten muss,
dass die Anforderungen der DSGVO
eingehalten werden.
• Auftragsverarbeitung (Art. 28): Beim
Cloud-Computing erteilt der Nutzer
dem Anbieter den Auftrag, die Daten
zu verarbeiten. Damit der Cloud-Nutzer
seiner Verantwortung den Betroffenen
gegenüber auch in diesem Fall gerecht
werden kann, sichert er sich mit
einer Vereinbarung zur Auftragsverarbeitung
mit dem Cloud-Anbieter ab,
dass dieser ebenfalls die Anforderungen
der DSGVO erfüllt. Teil der Vereinbarung
muss sein, dass der Cloud-Anbieter
alle erforderlichen Informationen
zum Nachweis der Einhaltung der
Anforderungen zur Verfügung stellt.
Zertifikate als Nachweis
Es ist für Cloud-Nutzer schwierig und
nahezu unzumutbar, die Einhaltung
dieser Forderungen selbst zu überprüfen.
Da ist es hilfreich, dass Cloud-
Anbieter ein „genehmigtes Zertifizierungsverfahren
gemäß Artikel 42“
heranziehen können, um die Erfüllung
der Anforderungen nachzuweisen.
„Mit dem passenden Zertifikat können
sich sowohl Cloud-Anbieter als auch
-Nutzer rechtlich absichern. Die An -
bieter können ihren Kunden gegenüber
belegen, die rechtlichen Anforderungen
an sichere Cloud-Dienste zu
erfüllen und erleichtern es damit den
Cloud-Nutzern, ihrer Rechenschaftspflicht
nachzukommen.“, erklärt
Dr. Hubert Jäger, Cloud-Security-
Experte und CTO der Uniscon GmbH.
Bislang ist zwar noch kein „genehmigtes“
Zertifikat vorhanden, das bedeutet
aber nicht, dass speziell auf die
Anforderungen der DSGVO ausgerichtete
Zertifikate nicht bereits als Nachweis
der DSGVO-Konformität genutzt
werden könnten. Das Trusted Cloud
Datenschutzprofil (TCDP) z. B. wurde
in Hinblick auf die DSGVO entwickelt.
Mit dem Forschungsprojekt „Auditor“
existiert außerdem ein Nachfolgeprojekt
zum TCDP, dessen Ziel die Konzeptionierung
und Umsetzung einer
anwendbaren EU-weiten Datenschutzzertifizierung
von Cloud-Diensten ist.
Ein erster Katalog mit Zertifizierungskriterien
soll bis Ende April 2018
fertiggestellt sein. (www.uniscon.de)
In puncto DSGVO
können Sich sowohl
Cloud-Anbieter
als auch -Nutzer
mit dem passenden
Zertifikat rechtlich
absichern.
Abb.: Pixabay.