- Datenschutz PRAXIS - https://www.datenschutz-praxis.de - DatenschutzPraxis

DSGVO und Cloud Computing: Wer ist verantwortlich?

Cloud Service Provider und andere Auftragsverarbeiter werden mit der Datenschutz-Grundverordnung (DSGVO / GDPR) stärker in die Pflicht genommen. Sie nehmen dem Auftraggeber aber keine Verantwortung ab, sondern werden selbst auch verantwortlich. Was heißt das konkret?

Die Datenschutz-Grundverordnung (DSGVO / GDPR) macht zur Frage der Verantwortung klare Vorgaben:

Spannende Umfrage-Ergebnisse: Wer ist für die Cloud verantwortlich?

Eigentlich ein gutes Ergebnis für den Datenschutz im Cloud Computing: Die meisten Unternehmen (60,2 Prozent) sehen sich im Datenschutz auch selbst in der Pflicht.

Dass die Verantwortung für den Datenschutz sowohl beim Cloud-Anbieter als auch beim Unternehmen liegt, halten 60 Prozent der Befragten für richtig.

Lediglich 20,1 Prozent schieben dem Cloud-Anbieter die alleinige Verantwortung zu, so die Studie „Cloud Insights“ von T-Systems.

Auch Auftragsverarbeiter tragen nach DSGVO Verantwortung

Nach Artikel 28 DSGVO [2] gilt, dass „ein Auftragsverarbeiter, der unter Verstoß gegen diese Verordnung die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf diese Verarbeitung als Verantwortlicher gilt“. Zudem gibt es spezielle Haftungsregelungen, wenn Auftragsverarbeiter den Datenschutz verletzen.

Nicht zuletzt verpflichtet die DSGVO Auftragsverarbeiter dazu, künftig ebenfalls ein Verzeichnis von Verarbeitungstätigkeiten [3] zu führen. Es muss alle Kategorien von Verarbeitungen abdecken, die ein Unternehmen im Auftrag eines Verantwortlichen durchführt.

Dieses Verzeichnis muss ein Auftragnehmer bei Kontrollen der Datenschutzaufsicht auf Anfrage zur Verfügung stellen.

Cloud Computing: Technische Umsetzung der Verantwortung

Abgesehen davon, dass sich der Auftraggeber von den Garantien für den Datenschutz beim Auftragsverarbeiter überzeugen muss, ist es technisch keineswegs leicht, die Verantwortung zu übernehmen für die Cloud.

Denn die technischen Verfahren für das Cloud Computing führt nun einmal der Cloud Service Provider (CSP) durch.

Im Cloud Computing bietet sich technisch gesehen aber ein Modell der Shared Responsibility an. Dabei wird rechtlich die Verantwortung nicht einfach abgegeben.

Zentral: Verschlüsselung der Cloud-Daten und der Datenübertragung

Cloud Provider sagen häufig, sie seien verantwortlich für die Cloud, die Cloud-Nutzer aber seien dafür verantwortlich, was in der Cloud passiert.

Diese technische Verantwortung für die Datensicherheit in der Cloud lässt sich am besten mit einer providerunabhängigen Verschlüsselung der Cloud-Daten erreichen.

Davon unabhängig verschlüsselt der Cloud-Provider ebenfalls, und zwar die Datenübertragung von der Cloud und in die Cloud.

Beispiele Verschlüsselungs-Anbieter

Beispiele für Cloud-Verschlüsselungen, die providerunabhängig arbeiten, gibt es reichlich, darunter:

Technisch teilt man sich so die Aufgaben, wobei die Verantwortung selbst nicht geteilt wird. Denn es kann nur weitere Verantwortliche im Datenschutz geben, nicht etwa Halbverantwortliche.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker, Analyst und IT-Fachjournalist im Bereich IT-Sicherheit und Datenschutz.