Pflichten für die Verarbeitung von personenbezogenen Daten
Mit der Einführung der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 rückt der Schutz personenbezogener Daten stärker denn je in den Vordergrund. Die DSGVO-Änderungen, die mit der Einführung einhergehen, sind vor allem bei der Verarbeitung personenbezogener Daten von Bedeutung. Worauf Sie als Unternehmen und Auftraggeber achten müssen, wenn sie Ihre Daten DSGVO-konform in der Cloud ablegen, haben wir in dem folgenden Beitrag erläutert.
Der Auftragsverarbeitungsvertrag nach DSGVO (AVV)
Grundsätzlich muss ein Auftragsverarbeitungsvertrag abgeschlossen werden, sobald personenbezogene Daten im Auftrag an Dritte weitergegeben und von ihnen verarbeitet werden. Dieser Vertrag legt sowohl organisatorische als auch technische Maßnahmen fest, die von Unternehmen und Cloud Anbieter (Auftragsverarbeiter) zu ergreifen sind, um den Datenschutz zu gewährleisten.
In Art. 28 der Datenschutzvereinbarung (DSGVO) wird dabei genau geregelt, dass ausschließlich mit Auftragsverarbeitern zusammengearbeitet werden darf, „[...] die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen [der DSGVO] erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet“.
Dokumentationspflicht nach der DSGVO
Werden in der Cloud personenbezogene Daten gespeichert, die besonders schutzwürdig sind, gelten nochmals strengere Anforderungen an den Datenschutz und die Datensicherheit.
Um die Datenverarbeitung möglichst nachvollziehbar zu gestalten, ist daher eine Dokumentationspflicht auf beiden Seiten – sowohl vom Auftraggeber als auch vom Auftragsverarbeiter – unerlässlich. Diese dient nicht nur zur Selbstkontrolle, sondern schafft auch Transparenz bei Kontrollen durch Behörden.
Die Inhalte dieser sogenannten Verarbeitungsverzeichnisse sind für Unternehmen und Organisationen in Art. 30 Abs. 1 und für Auftragsverarbeiter in Abs. 2 geregelt. Eine detaillierte Gegenüberstellung der Pflichten finden Sie weiter unten in unserem Cloud Whitepaper.
Die Grundsätze des DatenschutzesIm Zentrum der EU-Datenschutz-Grundverordnung stehen nach Art. 5 Abs. 1 DSGVO sieben Grundsätze. Diese Grundsätze stellen die Grundregeln für die rechtskonforme Speicherung und Verarbeitung personenbezogener Daten dar und unterstützen bei der Auslegung der Regelungen der DSGVO. Unternehmen und Organisationen müssen die Grundsätze nach der sogenannten Rechenschaftspflicht einhalten und deren Einhaltung nachweisen können. Hierfür eignet sich das eben beschriebene Verarbeitungsverzeichnis nach Art. 30.
Cloud Computing: Auftragsverarbeiter tragen nach DSGVO Verantwortung für die Daten
Der Cloud-Anbieter ist für die Verarbeitung personenbezogener Daten mitverantwortlich und muss gewährleisten, dass sich beteiligte Personen als vertraulich verpflichtet haben oder sie einer entsprechenden Verschwiegenheitspflicht unterliegen. Darüber hinaus muss der Anbieter das Unternehmen oder die Organisation informieren, wenn er ein Subunternehmen in den Verarbeitungsprozess einbeziehen möchte und benötigt dafür eine schriftliche Genehmigung des jeweiligen Verantwortlichen.
Nach Beendigung der Leistungserbringung müssen alle Daten an das Unternehmen weitergegeben und jegliche angefertigte Kopien gelöscht werden - sofern nicht anders durch das EU-Recht vorgeschrieben.
Cloud Server sollten innerhalb der EU stehen
Die Speicherung und Verarbeitung personenbezogener Daten ist nur innerhalb der EU entsprechend der DSGVO-Vorgaben problemlos möglich. Cloud Provider aus Drittstaaten, die über einen Serverstandort in Deutschland verfügen, können nicht prinzipiell ausgeschlossen werden, erfordern aber eine besondere Vorsicht. Die größten international agierenden Cloud-Anbieter stellen zwar Rechenzentren innerhalb der EU zur Verfügung, sind jedoch häufig nicht vollkommen für eine DSGVO-konforme Datenverarbeitung geeignet, da sich die Gesetzeslage in den jeweiligen Ländern ggf. deutlich von den EU-Vereinbarungen unterscheidet. Die Zusammenarbeit mit europäischen Cloud Providern erweist sich daher in rechtlicher Hinsicht häufig als unproblematischer und transparenter.
Erfahren Sie mehr in unserem Cloud Whitepaper
In unserem Cloud Whitepaper vermitteln wir im Detail die Eignung von Cloud-Modellen für die Verarbeitung von personenbezogenen Daten unter Berücksichtigung der europäischen Datenschutz-Grundverordnung (DSGVO). Dabei erläutern wir Vor- und Nachteile wie Flexibilität, Skalierbarkeit, Kosten und kennzeichnende Sicherheitsaspekte der Public Cloud, der Private Cloud und bei einer Kombination aus beiden Cloud Modellen, der Hybrid Cloud.
Basierend auf dieser Auswertung und den erlangten Erkenntnissen der Datenschutzregelungen geben wir abschließend eine Einschätzung zur Eignung von Cloud-Modellen für die Verarbeitung personenbezogener Daten ab. Laden Sie sich das kostenlose Cloud Whitepaper jetzt herunter.