Cloud-Prüfsiegel für mehr Datenschutz
Für mehr Datenschutz
von Konstantin Pfliegl - 09.11.2017
Vor allem in Hinblick auf die Europäische Datenschutz-Grundverordnung (DSGVO), deren Umsetzung europäische Unternehmen bis zum 25. Mai kommenden Jahres erledigt haben sollen, steht das Thema Datenschutz laut Frank Strecker aktuell im Vordergrund. Seiner Ansicht nach werden Kunden auf Garantien und Nachweise bestehen, dass der Cloud-Anbieter die Datenschutzregularien einhält. „IT-Sicherheits- sowie Datenschutzbeauftragte haben dank Cloud-Zertifikaten die Chance, die gewissenhafte Auswahl eines Anbieters nachzuweisen. Nach aktuellem Stand der Technik, mit einer vertraglichen Regelung der verpflichtenden Auftragsdatenverarbeitung (ADV).“
Als Auftragsdatenverarbeitung bezeichnet man die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Dienstleister. Welche Rechte, Pflichten und Maßnahmen im Einzelnen durch einen Vertrag zwischen Auftraggeber und Auftragnehmer, also etwa einem Cloud-Dienstleister, zu treffen sind, regeln §11 des Bundesdatenschutzgesetzes (BDSG) und Art. 28 der Europäischen Datenschutz-Grundverordnung.
Was man nämlich wissen muss: Auch wenn ein Unternehmen seine Daten von einem externen Cloud-Dienstleister verarbeiten lässt, so ist das Unternehmen nach wie vor die verantwortliche Stelle, die gewährleisten muss, dass die einschlägigen Datenschutzgesetze eingehalten werden. So muss ein Unternehmen nach §11 Abs. 2 des BDSG den Cloud-Dienstleister auf die Einhaltung von geeigneten technischen und organisatorischen Maßnahmen zur IT-Sicherheit überprüfen. Theoretisch würde das bedeuten, dass der Cloud-Dienstleister jedem Kunden im Rahmen der Überprüfung Zugang zum Rechenzentrum gewähren muss. Das ist natürlich weder organisatorisch und zeitlich noch personell machbar. Hinzu kommt, dass es einem Unternehmen bei einem Besuch im Rechenzentrum in der Regel dennoch nicht möglich wäre, die korrekte Einhaltung der Datenschutzanforderungen zu überprüfen.
Hier kommen die Zertifikate ins Spiel: Es gibt Zertifikate, die zeigen, dass ein Cloud-Anbieter die Datenschutzregeln bezüglich des Bundesdatenschutzgesetzes und der Datenschutz-Grundverordnung sorgfältig einhält.