pickup adobe
Was bei der Nutzung von Cloud-Diensten zu beachten ist
Die Datenschutzaufsichtsbehörden in der EU haben die Cloud-Nutzung insbesondere im öffentlichen Bereich geprüft und geben nun Hinweise zum notwendigen Datenschutz in der Cloud.
Schon seit Jahren gilt: Datenschutz bei Cloud Computing ist für Unternehmen wie auch für Behörden eine zentrale Fragestellung. Umfragen zeigen regelmäßig, dass Datenschutzbedenken die Cloud-Nutzung bremsen können und dass der Datenschutz zu den wichtigsten Auswahlkriterien bei der Suche nach einem Cloud-Anbieter gerechnet wird.
Nun gibt es neue Informationen zum Cloud-Datenschutz seitens der Aufsichtsbehörden. So hat der Europäische Datenschutzausschuss (EDSA) einen Bericht über die Ergebnisse seiner „ersten koordinierten Durchsetzungsmaßnahme“, also einer gemeinsamen Datenschutzprüfung veröffentlicht, die sich auf die Nutzung von Cloud-basierten Diensten durch den öffentlichen Sektor konzentrierte.
Der EDSA unterstreicht die Notwendigkeit für öffentliche Stellen, in voller Übereinstimmung mit der DSGVO zu handeln, und enthält Empfehlungen für Organisationen des öffentlichen Sektors bei der Nutzung von Cloud-basierten Produkten oder Diensten. Diese Empfehlungen sollten sich auch Unternehmen nicht entgehen lassen.
Andrea Jelinek, Vorsitzende des Europäischen Datenschutzausschusses, betonte: „In ganz Europa wenden sich Organisationen des öffentlichen Sektors Cloud-Diensten zu und haben Schwierigkeiten, DSGVO-konforme Dienste und Produkte zu erhalten. Personenbezogene Daten, die von öffentlichen Diensten verarbeitet werden, müssen mit größter Sorgfalt behandelt werden, insbesondere wenn sie von Dritten verarbeitet werden.“
Untersuchung der Cloud-Nutzung
Im Laufe des Jahres 2022 leiteten 22 Datenschutzbehörden im gesamten EWR (Europäischer Wirtschaftsraum) koordinierte Untersuchungen zur Nutzung Cloud-basierter Dienste durch den öffentlichen Sektor ein.
Insgesamt wurden rund 100 öffentliche Stellen im gesamten EWR angesprochen, darunter europäische Institutionen, die ein breites Spektrum von Sektoren abdecken (zum Beispiel Gesundheit, Finanzen, Steuern, Bildung, Käufer und Anbieter von IT-Dienstleistungen).
Professor Kelber, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), sieht sich durch die Ergebnisse der Untersuchung bestärkt: „Meine Behörde berät die Bundesregierung beispielsweise zum Thema souveräne Cloud, unter anderem in den Gremien des IT-Rats und des IT-Planungsrats. Wir betonen dabei immer wieder, dass gerade mit Blick auf die Schwierigkeiten internationaler Datentransfers bei Cloud-Projekten der Datenschutz von Anfang an mitgedacht werden muss. Der EDSA sorgt dafür, dass wir auch hier eine europaweit einheitliche Linie haben.“
Was die Aufsichtsbehörden zum Cloud-Datenschutz empfehlen
Auf Basis der EWR-weiten Untersuchung der Cloud-Nutzung durch den öffentlichen Bereich haben die Datenschutzaufsichtsbehörden Empfehlungen entwickelt, auf deren Basis es der öffentliche Bereich leichter schaffen soll, zu einer Cloud-Verwendung zu gelangen, die den Vorgaben der Datenschutz-Grundverordnung (DSGVO) entspricht.
Zu den Empfehlungen der Datenschutzaufsichtsbehörden, die auch für Unternehmen sehr hilfreich sein können, gehören insbesondere:
- Führen Sie eine DSFA (Datenschutzfolgenabschätzung) durch.
- Stellen Sie sicher, dass die Rollen der beteiligten Parteien klar und eindeutig festgelegt sind.
- Stellen Sie sicher, dass der CSP (Cloud Service Provider) nur im Namen und gemäß den dokumentierten Anweisungen des Verantwortlichen handelt (Auftragsverarbeitung nach DSGVO).
- Stellen Sie auch sicher, dass ein sinnvoller Widerspruch gegen neue Unterauftragsverarbeiter des Cloud Providers möglich ist.
- Sorgen Sie dafür, dass die personenbezogenen Daten in Bezug auf die Zwecke bestimmt werden, für die sie verarbeitet werden.
- Fördern Sie die Beteiligung des oder der Datenschutzbeauftragten (DSB).
- Arbeiten Sie bei Verhandlungen mit den Cloud Service Providern mit anderen öffentlichen Stellen zusammen.
- Führen Sie eine Überprüfung durch, um zu beurteilen, ob die Verarbeitung in Übereinstimmung mit der DSFA erfolgt.
- Sorgen Sie dafür, dass das Vergabeverfahren bereits alle notwendigen Anforderungen vorsieht, um die Einhaltung der DSGVO zu erreichen.
- Identifizieren Sie, welche Übermittlungen im Rahmen der routinemäßigen Bereitstellung von Diensten und im Falle der Verarbeitung personenbezogener Daten für die eigenen Geschäftszwecke der CSPs stattfinden können, und stellen Sie sicher, dass die Bestimmungen der DSGVO eingehalten werden, auch durch Identifizierung von und bei Bedarf dem Einsatz von ergänzenden Maßnahmen (siehe auch Die neuen Standardvertragsklauseln der EU).
- Analysieren Sie, ob eine Gesetzgebung eines Drittlandes für den CSP gelten würde und dazu führen würde, dass Zugriffsanfragen zu Daten bearbeitet werden können, die von dem CSP in der EU gespeichert werden (siehe auch Datentransfer erlaubt oder nicht).
- Prüfen Sie den Cloud-Vertrag genau und verhandeln Sie gegebenenfalls neu.
- Überprüfen Sie die Bedingungen, unter denen die öffentliche Stelle zu Audits zugelassen ist (DSGVO: Zertifizierung als Grundlage einer Datenübermittlung).
Fazit
Diese Empfehlungen der Aufsichtsbehörden entsprechen (natürlich) den Vorgaben der DSGVO, verändern sie also nicht, sondern sie zeigen, wo es weiterhin Handlungsbedarf für den Datenschutz bei Cloud-Nutzung geben kann und wie dieser am besten umgesetzt wird. Damit helfen die Empfehlungen auch, die Datenschutzbedenken, die viele Anwender bei der Cloud noch haben, besser zu berücksichtigen und die Auswahl der Cloud Provider noch besser nach dem Datenschutz auszurichten.