DSGVO und Cloud Computing: Wer ist verantwortlich?
Cloud Service Provider und andere Auftragsverarbeiter werden mit der Datenschutz-Grundverordnung (DSGVO / GDPR) stärker in die Pflicht genommen. Sie nehmen dem Auftraggeber aber keine Verantwortung ab, sondern werden selbst auch verantwortlich. Was heißt das konkret?
Die Datenschutz-Grundverordnung (DSGVO / GDPR) macht zur Frage der Verantwortung klare Vorgaben:
- Der Verantwortliche ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
- Der Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
- Erfolgt eine Verarbeitung im Auftrag, so arbeitet der Verantwortliche nur mit Auftragsverarbeitern zusammen, die geeignete technische und organisatorische Maßnahmen garantieren, um die Verarbeitung im Einklang mit den Anforderungen der Grundverordnung durchzuführen und den Schutz der Rechte der betroffenen Person zu gewährleisten.
- Der Auftragsverarbeiter und jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten. Ausnahme: Sie sind nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet.
Spannende Umfrage-Ergebnisse: Wer ist für die Cloud verantwortlich? Eigentlich ein gutes Ergebnis für den Datenschutz im Cloud Computing: Die meisten Unternehmen (60,2 Prozent) sehen sich im Datenschutz auch selbst in der Pflicht. Dass die Verantwortung für den Datenschutz sowohl beim Cloud-Anbieter als auch beim Unternehmen liegt, halten 60 Prozent der Befragten für richtig. Lediglich 20,1 Prozent schieben dem Cloud-Anbieter die alleinige Verantwortung zu, so die Studie „Cloud Insights“ von T-Systems. |
Auch Auftragsverarbeiter tragen nach DSGVO Verantwortung
Nach Artikel 28 DSGVO gilt, dass „ein Auftragsverarbeiter, der unter Verstoß gegen diese Verordnung die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf diese Verarbeitung als Verantwortlicher gilt“. Zudem gibt es spezielle Haftungsregelungen, wenn Auftragsverarbeiter den Datenschutz verletzen.
Nicht zuletzt verpflichtet die DSGVO Auftragsverarbeiter dazu, künftig ebenfalls ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Es muss alle Kategorien von Verarbeitungen abdecken, die ein Unternehmen im Auftrag eines Verantwortlichen durchführt.
Dieses Verzeichnis muss ein Auftragnehmer bei Kontrollen der Datenschutzaufsicht auf Anfrage zur Verfügung stellen.
Cloud Computing: Technische Umsetzung der Verantwortung
Abgesehen davon, dass sich der Auftraggeber von den Garantien für den Datenschutz beim Auftragsverarbeiter überzeugen muss, ist es technisch keineswegs leicht, die Verantwortung zu übernehmen für die Cloud.
Denn die technischen Verfahren für das Cloud Computing führt nun einmal der Cloud Service Provider (CSP) durch.
Im Cloud Computing bietet sich technisch gesehen aber ein Modell der Shared Responsibility an. Dabei wird rechtlich die Verantwortung nicht einfach abgegeben.
Zentral: Verschlüsselung der Cloud-Daten und der Datenübertragung
Cloud Provider sagen häufig, sie seien verantwortlich für die Cloud, die Cloud-Nutzer aber seien dafür verantwortlich, was in der Cloud passiert.
Diese technische Verantwortung für die Datensicherheit in der Cloud lässt sich am besten mit einer providerunabhängigen Verschlüsselung der Cloud-Daten erreichen.
Davon unabhängig verschlüsselt der Cloud-Provider ebenfalls, und zwar die Datenübertragung von der Cloud und in die Cloud.
Beispiele Verschlüsselungs-Anbieter
Beispiele für Cloud-Verschlüsselungen, die providerunabhängig arbeiten, gibt es reichlich, darunter:
- Boxcryptor
- DriveLock
- Eperi
- Fabasoft
- Gemalto
- Sophos
- Tresorit
Technisch teilt man sich so die Aufgaben, wobei die Verantwortung selbst nicht geteilt wird. Denn es kann nur weitere Verantwortliche im Datenschutz geben, nicht etwa Halbverantwortliche.