Cloud Computing und Datenschutz

Informationstechnologie und Datenschutz

Das Cloud Computing wird als ein wichtiger Zukunftstrend der. Die Verarbeitung personenbezogener Daten im Rahmen von Cloud Computing wirft rechtliche und technische Fragen auf, die bisher nur aufgetreten sind. Das Cloud Computing stellt Anbieter und Nutzer oft vor Herausforderungen in Bezug auf den Datenschutz. Im Rahmen der Konferenz der Datenschutzbeauftragten von Bund und Ländern werden Cloud-Anbieter aufgefordert, ihre Dienste datenschutzkonform zu gestalten.

Informationstechnologie und Datenschutz

Das Cloud Computing wird in der Regel als Bestelldatenverarbeitung nach dem Datenschutzrecht durchlaufen. Eine notwendige Steuerung des Cloud-Providers durch den Cloud-Anwender erfolgt am besten durch eine Datenschutzzertifizierung des Cloud-Providers. Die Grundsätze und Zielsetzungen der Datenschutzzertifizierung von Cloud Services werden im Rahmen des Konzepts der Arbeitsgruppe "Rechtliche Rahmenbedingungen für Cloud Computing" und im Modellprojekt "Datenschutzzertifizierung von Cloud Services" des BW.

Die Autorin leitet die Arbeitsgruppe "Legal Framework of Cloud Computing" und das Pilotprojekt. Es ist ein Überblick über den Inhalt des Abonnements zur Überprüfung des Zugriffs. Die Vorschau kann nicht angezeigt werden. Vorschau-PDF herunterladen.

Datenverarbeitung

Das Outsourcing von IT-Lösungen an Internet Service Provider bringt für die Verarbeitungsabteilungen von Personendaten weitere juristische und technische/organisatorische Anforderungen mit sich. Die Erstellung von transparenten, detaillierten und eindeutigen vertraglichen Regeln für die Cloud-basierte Informationsverarbeitung ist für die gesetzeskonforme Implementierung unerlässlich. Es muss auch dafür gesorgt werden, dass koordinierte Sicherheits- und Datenschutzmassnahmen von Cloud-Anbietern und -Nutzern auch wirklich durchgesetzt werden.

Der Orientierungsleitfaden "Cloud-Computing" der Arbeitsgruppen Technologie und Media der Tagung der Bundes- und Landesdatenschutzbeauftragten gibt einen inhaltlichen Einblick und stellt die spezifischen operativen und fachlichen Gefahren für die Rechte und Freiheiten der Betroffenen dar. Grundsätzlich werden sie auch nach dem 25. Mai 2018, dem Inkrafttreten der DSGVO, von großer Tragweite sein.

Allerdings stimmen die gesetzlichen Bestimmungen und Verweise der Richtlinie noch mit dem bisherigen Datenschutzgesetz überein, das bis zum 24.05.2018 gültig war. Ein neues Leitfaden, der den Erfordernissen der DSGVO, vor allem den Bestimmungen zur Vertragsdatenverarbeitung ( 28), Rechnung trägt, wird zurzeit von den Bundesdatenschutzbehörden erstellt.

Datensicherung für Cloud-Computing-Dienste nach DSGVO

Gemäß Artikel 4 Nr. 19 der Richtlinie 2016/1148/EWG (NIS-Richtlinie) sind Cloud-Computing-Dienste Digital Services, die den Zugriff auf einen Fundus an gemeinsamen Computerressourcen erlauben. Der Einsatz von Cloud Services ist im Geschäftsverkehr sehr weit verbreitet, aber wie wirkt sich der Datenschutz auf die in der Cloud abgelegten Informationen aus?

Nach Auslaufen der Durchführungsfrist der Datenschutz-Grundverordnung im Monat Juli 2018 wird es erforderlich sein, die Zuständigkeiten zwischen Kunde und Auftragnehmer zu überprüfen, wie dies bei Cloud-Providern der Fall ist. 4 Nr. 7 DSGVO verlangt eine Einzelfallanalyse der Aufstellung Cloud Kunde und Cloud Provider. Der für die Auftragsabwicklung verantwortliche Personen ist davon abhängig, wer die Mittel und den Zweck der Auftragsdatenverarbeitung bestimmt.

1 ] Die Gesellschaften sollten klar und deutlich angeben, wer die "gemeinsamen Zweckbestimmungen und Verarbeitungsmethoden" bestimmt, um die Verpflichtungen des Kontrolleurs im Sinne von 26 DSGVO und des beauftragten Datenverarbeiters im Sinne von 28 DSGVO zu erfuellen. Dadurch können Cloud-Kunde und Cloud-Provider auch gemeinschaftlich als Verantwortungsträger zur Verantwortung gezogen werden.

Grundsätzlich gilt für alle personenbezogenen Angaben das Datenschutzgesetz. Allerdings ist es möglich, den persönlichen Hinweis für die in der Cloud abgelegten Inhalte permanent zu löschen und damit die Geltung des Datenschutzgesetzes zu unterdrücken. Die persönliche Referenz kann permanent und ausreichend gelöscht werden (Anonymisierung) und/oder vorübergehend und abnehmbar sein (Pseudonymisierung oder Verschlüsselung). Wenn der persönliche Bezug mit hinreichender Anonymität aufgehoben wird, kann die Geltung der DSGVO gemäß Erwägung 26 ausgenommen werden.

Das heißt für Cloud Computing, dass zum einen das Datenschutzgesetz in seiner Gesamtheit ausgeklammert werden kann oder dass die Ablage von personenbezogenen Merkmalen in der Cloud durch Technologiedesign, wie beispielsweise durch Verschlüsselung, gesetzeskonform ist. Zusätzlich zur Chiffrierung ist es auch möglich, die Informationen zu anonymisieren und damit den persönlichen Bezug vorübergehend aufzuheben. Erstmalig wird in der Grundverordnung zum Datenschutz die pseudonymisierte Darstellung nach 32 DSGVO als technische und organisatorische Massnahme aufgeführt.

Die Nichteinhaltung der entsprechenden Pflichten im Zusammenhang mit dem Schutz personenbezogener Nutzerdaten kann mit einer Geldstrafe von bis zu 10.000.000 oder bis zu 2% des weltweiten Umsatzes des vergangenen Geschäftsjahrs geahndet werden (§ 83 Abs. 4 DSGVO). Im Bedarfsfall sind nach 83 Abs. 5 DSGVO noch strengere Bußgelder möglich.

1 ] Hofmann, Forderungen von DS-GVO und NIS-RL für Cloud Computing, z. B. z. B. ZD-Aktuell 2017, 05488, BECK-Online. 1 ] Baumgartner/Gausling: Datenschutz durch technicgestaltung und data schutzfreundliche Einstellungen, ZD 2017, p. 308. [3] Heidrich/Wegener, Cloud Computing, in: In: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, 2nd ed. 2017, marginal 36f. 4 ] Baumgartner/Gausling: Datenschutz durch techn. gestaltung und datenschutzff. liche Einstellungen, ZD 2017, p. 310 [5] Heidrich/Wegener, Cloud Computing, in: forgó/ hilfrich/schneider, Betrieblicher Datenschutz, in: 2nd ed. 2017, marginal der Rn. der Aufklärung, im Folgenden, Rn. der Begriff, im Bild.

Auch interessant

Mehr zum Thema