Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Fit für die DSGVO finden Sie jetzt hier
Analyse
29. August 2019

DSGVO und Cloud Computing: Wer ist verantwortlich?

Gratis
DSGVO und Cloud Computing: Wer ist verantwortlich?
Bild: iStock.com / Maxiphoto
Datenschutz-Grundverordnung und gemeinsame Verantwortlichkeit
Cloud Service Provider und andere Auftragsverarbeiter werden mit der Datenschutz-Grundverordnung (DSGVO / GDPR) stärker in die Pflicht genommen. Sie nehmen dem Auftraggeber aber keine Verantwortung ab, sondern werden selbst auch verantwortlich. Was heißt das konkret?

Die Datenschutz-Grundverordnung (DSGVO / GDPR) macht zur Frage der Verantwortung klare Vorgaben:

  • Der Verantwortliche ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
  • Der Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
  • Erfolgt eine Verarbeitung im Auftrag, so arbeitet der Verantwortliche nur mit Auftragsverarbeitern zusammen, die geeignete technische und organisatorische Maßnahmen garantieren, um die Verarbeitung im Einklang mit den Anforderungen der Grundverordnung durchzuführen und den Schutz der Rechte der betroffenen Person zu gewährleisten.
  • Der Auftragsverarbeiter und jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten. Ausnahme: Sie sind nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet.

Auch Auftragsverarbeiter tragen nach DSGVO Verantwortung

Nach Artikel 28 DSGVO gilt, dass „ein Auftragsverarbeiter, der unter Verstoß gegen diese Verordnung die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf diese Verarbeitung als Verantwortlicher gilt“. Zudem gibt es spezielle Haftungsregelungen, wenn Auftragsverarbeiter den Datenschutz verletzen.

Nicht zuletzt verpflichtet die DSGVO Auftragsverarbeiter dazu, künftig ebenfalls ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Es muss alle Kategorien von Verarbeitungen abdecken, die ein Unternehmen im Auftrag eines Verantwortlichen durchführt.

Dieses Verzeichnis muss ein Auftragnehmer bei Kontrollen der Datenschutzaufsicht auf Anfrage zur Verfügung stellen.

Cloud Computing: Technische Umsetzung der Verantwortung

Abgesehen davon, dass sich der Auftraggeber von den Garantien für den Datenschutz beim Auftragsverarbeiter überzeugen muss, ist es technisch keineswegs leicht, die Verantwortung zu übernehmen für die Cloud.

Denn die technischen Verfahren für das Cloud Computing führt nun einmal der Cloud Service Provider (CSP) durch.

Im Cloud Computing bietet sich technisch gesehen aber ein Modell der Shared Responsibility an. Dabei wird rechtlich die Verantwortung nicht einfach abgegeben.

Zentral: Verschlüsselung der Cloud-Daten und der Datenübertragung

Cloud Provider sagen häufig, sie seien verantwortlich für die Cloud, die Cloud-Nutzer aber seien dafür verantwortlich, was in der Cloud passiert.

Diese technische Verantwortung für die Datensicherheit in der Cloud lässt sich am besten mit einer providerunabhängigen Verschlüsselung der Cloud-Daten erreichen.

Davon unabhängig verschlüsselt der Cloud-Provider ebenfalls, und zwar die Datenübertragung von der Cloud und in die Cloud.

Beispiele Verschlüsselungs-Anbieter

Beispiele für Cloud-Verschlüsselungen, die providerunabhängig arbeiten, gibt es reichlich, darunter:

Technisch teilt man sich so die Aufgaben, wobei die Verantwortung selbst nicht geteilt wird. Denn es kann nur weitere Verantwortliche im Datenschutz geben, nicht etwa Halbverantwortliche.

Oliver Schonschek
Verfasst von
Oliver Schonschek
Oliver Schonschek

Oliver Schonschek ist freiberuflicher News Analyst, Journalist und Kommentator, der sich auf Sicherheit, Datenschutz und Compliance spezialisiert hat. Er schreibt für führende Medien, ist Herausgeber und Autor mehrerer Lehrbücher.

Er wurde als einer der „Top 50 Global Thought Leaders and Influencers on Privacy“ sowie mehrfach als Influencer und Media Leader für Technologien wie Blockchain, AI, VR / AR und Mobile Computing ausgezeichnet. Seine Spezialgebiete sind Datenschutz, Datensicherheit, IT-Sicherheit, Business & IT.

Kontakt:

http://www.schonschek.de

0 Kommentare