boscorelli - Fotolia

DSGVO/GDPR: Leitlinien für die Auswahl von Cloud Storage

Der Europäische Datenschutzbeauftragte hat Empfehlungen für Cloud Computing veröffentlicht, die in Zeiten der Datenschutz-Grundverordnung bei der Suche nach Cloud-Storage helfen.

Der Datenschutz gilt bereits seit langem als eine der größten Herausforderungen für Unternehmen, die die Nutzung von Cloud Computing planen.

Auch im Fall von Cloud Storage spielt es für den Datenschutz zum Beispiel eine Rolle, wo sich die Cloud befindet, in der personenbezogene Daten gespeichert werden sollen. Die Herausforderungen bei Cloud Storage werden durch die Datenschutz-Grundverordnung (DSGVO/GDPR) nicht geringer werden, viele Unternehmen fürchten eher das Gegenteil.

Gleichzeitig kann ein datenschutzkonformes Cloud Storage aber bei der Umsetzung des Datenschutzes helfen, zum Beispiel dabei, die Verfügbarkeit der personenbezogenen Daten sicherzustellen, wie sie in den Grundsätzen der Verarbeitung personenbezogener Daten (Artikel 5 DSGVO) und für die Sicherheit der Verarbeitung (Artikel 32 DSGVO) gefordert wird. Wie aber findet man ein datenschutzgerechtes Cloud Storage, das zum Beispiel für ein Online-Backup eingesetzt werden kann?

Empfehlungen des Europäischen Datenschutzbeauftragten

Der Europäische Datenschutzbeauftragte hat kürzlich Leitlinien veröffentlicht, die sich an alle EU-Organe und -Einrichtungen richten, da der Europäische Datenschutzbeauftragte für diese als Kontrollbehörde fungiert. Dennoch sind die Leitlinien auch hilfreich für Unternehmen, die in der EU oder von EU-Bürgern personenbezogene Daten verarbeiten und die Datenschutz-Grundverordnung (DSGVO/GDPR) ab 25. Mai 2018 anzuwenden haben.

Bei den Leitlinien handelt es sich um die „Guidelines on the use of cloud computing services by the European institutions and bodies“. Die Leitlinien sind umfangreich, doch es lohnt sich, diese genauer anzusehen. Besonders hilfreiche Hinweise sollen an dieser Stelle erwähnt und auf Cloud Storage angewendet werden.

Grundprinzipien helfen bei der Lösungssuche

Die Vorgaben des Datenschutzrechts sind vielfältig und müssen auch vollumfänglich beachtet werden, wenn es abschließend zum Vertrag mit einem Anbieter von Cloud Storage kommt. Bereits an diesen Vertrag gibt es eine Reihe von Anforderungen, die sich insbesondere in Artikel 28 DSGVO (Auftragsverarbeitung) finden.

Dennoch sind bestimmte Prinzipien hilfreich, die bei der Suche nach Cloud Storage beachtet werden sollten. Solche Prinzipien oder Leitlinien nennt der Europäische Datenschutzbeauftragte in seiner Guideline für Cloud Computing:

  • Die Nutzung von Cloud-Storage muss zu dem gleichen hohen Schutzniveau für die personenbezogenen Daten führen wie die Verwendung jeder anderer Storage-Form. Das bedeutet: Wenn Cloud Storage zum Einsatz kommt, muss das Datenschutzniveau zum Beispiel dem einer Storage-Lösung innerhalb des Unternehmensnetzwerkes entsprechen. Es darf zum Beispiel nicht passieren, dass Löschfristen anders (länger) gewählt werden müssen, weil man sich für Cloud Storage entscheidet. Vor der Suche nach Cloud Storage müssen deshalb die internen Compliance-Konzepte wie das Löschkonzept vorhanden sein, andernfalls fehlt der interne Maßstab.
  • Entsprechend muss das Datensicherheitskonzept die besonderen Risiken von Cloud Storage berücksichtigen, da andernfalls kein gleich hohes Datenschutzniveau erzielt werden kann.
  • Das Unternehmen muss als verantwortliche Stelle für den Datenschutz die Kontrolle über die Datenverarbeitung behalten, auch wenn Cloud Storage zum Einsatz kommt.
  • Dazu gehört die verantwortliche Auswahl eines geeigneten Anbieters, der die notwendigen Garantien für den Datenschutz bieten kann. Dies kann in Zukunft ein Datenschutz-Zertifikat nach DSGVO
  • Die Datenschutzvorgaben müssen (wie bereits oben gesagt) Teil des rechtlich bindenden Vertrags sein. Zudem muss das Unternehmen die Einhaltung des Datenschutzes überwachen.

Der Europäische Datenschutzbeauftragte rät dazu, sich Unterstützung durch Experten einzuholen, um den Datenschutz beurteilen zu können (hier kommt die Datenschutzzertifizierung ins Spiel). Ebenso sollen sich Unternehmen vor der Beschaffung eines Cloud-Services wie Cloud Storage so vorbereiten, dass sie nicht nur die zukünftigen Nutzer entsprechend schulen, sondern dass sich auch die Entscheider mit den Datenschutzforderungen vor der Beauftragung vertraut machen.

Ebenfalls vorab muss eine Risikoanalyse erfolgen, die unter anderem die Frage nach dem Standort der Cloud und den möglichen Folgen beleuchtet.

Hohes Restrisiko: Verzicht auf die Cloud erwägen

Ein weiterer Hinweis des Europäischen Datenschutzbeauftragten sollte in den Blick genommen werden: Wenn nach der Risikoanalyse und der Definition der Maßnahmen zur Minderung der Risiken festgestellt wird, dass das restliche Risiko zu hoch erscheint, sollte entweder ein anderer Anbieter gesucht werden, die geplante Datenverarbeitung in der Cloud abgewandelt werden (weniger sensible Daten) oder aber ganz auf die Option Cloud Storage verzichtet werden.

Für die Entscheidung müssen viele weitere Fragen geklärt werden, darunter zum Beispiel, wie mit dem betreffenden Cloud-Service das neue Recht auf Datenübertragbarkeit umgesetzt werden kann. Bevor aber die einzelnen Anforderungen überprüft werden, müssen die grundsätzlichen Fragen geklärt sein, also Fragen wie die nach dem Cloud-Standort, da dieser Einfluss auf das Datenschutzniveau haben wird.

Folgen Sie SearchStorage.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Datenschutz-Grundverordnung: Welche IT-Sicherheit wird gefordert?

Kostenloses E-Handbook: Das müssen Firmen zur DSGVO wissen

Was sind eigentlich personenbezogene Daten?

Erfahren Sie mehr über Datenschutz und Compliance