adrian_ilie825 - Fotolia

Datenschutz: Cloud Storage in den Verfahren dokumentieren

Unternehmen, die Cloud Storage einsetzen, müssen dies in der Dokumentation ihrer Verfahren berücksichtigen. Die Aufsichtsbehörden haben Muster veröffentlicht, die dabei helfen.

Das in Artikel 30 der Datenschutz-Grundverordnung (DSGVO/GDPR) geforderte „Verzeichnis von Verarbeitungstätigkeiten“ klingt sperrig und bürokratisch. Trotzdem sollte man sich als Unternehmen, das der DSGVO unterliegt, damit befassen, denn dieses Verzeichnis hat seinen Sinn.

So findet man in den Erwägungsgründen zur DSGVO: „Zum Nachweis der Einhaltung dieser Verordnung sollte der Verantwortliche oder der Auftragsverarbeiter ein Verzeichnis der Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, führen. Jeder Verantwortliche und jeder Auftragsverarbeiter sollte verpflichtet sein, mit der Aufsichtsbehörde zusammenzuarbeiten und dieser auf Anfrage das entsprechende Verzeichnis vorzulegen, damit die betreffenden Verarbeitungsvorgänge anhand dieser Verzeichnisse kontrolliert werden können.“

Das Verzeichnis von Verarbeitungstätigkeiten unterstützt also insbesondere bei der Kontrolle des Datenschutzes, einerseits durch die zuständige Aufsichtsbehörde, andererseits auch intern. Immerhin kann eine Kontrolle nur dann umfassend sein, wenn man einen Überblick über die Datenverarbeitung des Unternehmens hat, und genau darum geht es bei dem Verzeichnis.

Beispiel: Nutzung von Cloud Storage

Zur Übersicht über die Datenverarbeitung im Unternehmen gehört es natürlich auch, alle genutzten Cloud-Dienste zu berücksichtigen. Besonders häufig kommt hierbei Cloud Storage zum Einsatz. Deshalb wird es in vielen Unternehmen notwendig sein, auch das Thema Cloud Storage im Verzeichnis von Verarbeitungstätigkeiten zu behandeln.

Als Nutzer von Cloud Storage sollte man sich also die Vorgaben in Artikel 35 DSGVO ansehen. Zu einem Verzeichnis von Verarbeitungstätigkeiten gehören neben

  • Namen und Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten
  • den Zwecken der Verarbeitung
  • der Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
  • und, wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien

insbesondere

  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei Datenübermittlungen die Dokumentierung geeigneter Garantien
  • und, wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 DSGVO (Sicherheit der Verarbeitung).

Wird Cloud Storage genutzt, handelt es sich in aller Regel um eine Auftragsverarbeitung (Artikel 28 DSGVO), so dass geklärt und dokumentiert sein muss, wie das erforderliche Datenschutzniveau durch den Cloud-Provider garantiert wird. Hier werden zum einen geeignete Cloud-Zertifizierungen eine wichtige Rolle spielen, zum anderen die Gewährleistung eines angemessenen Datenschutzes, auch und gerade dann, wenn der Cloud-Speicherort in einem Drittland sein kann.

Die technisch-organisatorischen Maßnahmen für die Datensicherheit muss aber nicht nur der Cloud-Provider ergreifen und nachweisen können, auch der Cloud-Storage-Nutzer ist hier in der Pflicht, bei der Sicherheit und bei der Dokumentation.

Muster der Aufsichtsbehörden können helfen

Damit man als Unternehmen eine Vorstellung hat, wie ein Verzeichnis von Verarbeitungstätigkeiten aussehen kann, haben die Aufsichtsbehörden entsprechende Muster (PDF) veröffentlicht. Auf dieser Basis kann auch die Verarbeitung personenbezogener Daten dokumentiert werden, wenn dabei Cloud Storage zum Einsatz kommt. Die Aufsichtsbehörden haben auch ein Muster (PDF) veröffentlicht, das bei Cloud-Providern als Auftragsverarbeiter helfen kann, denn auch die Cloud-Provider sind bei dem Thema Verzeichnis von Verarbeitungstätigkeiten in der Pflicht.

Folgen Sie SearchStorage.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Kostenloser E-Guide: Cloud Storage und die EU-DSGVO/GDPR

EU-DSGVO: Dokumentation der IT-Sicherheit

DSGVO: Vorgaben bei der gemeinsamen Nutzung von Cloud Storage

Erfahren Sie mehr über Cloud Storage