EU-DSGVO Tipps
Bild: CCO - pixabay.com
Bild: CCO - pixabay.com

Gastartikel - Martin Puaschitz, UBIT Wien

EU-DSGVO und die Cloud: Wer trägt welche Verantwortung?

Bild: Foto Weinwurm
Martin Puaschitz, Obmann der Fachgruppe UBIT Wien
Bild: Foto Weinwurm

Cloud-Computing ist kein Trend, sondern schlicht die nächste Entwicklungsstufe in der IT. Die neue EU-DSGVO hat auch auf diese Cloud-Anwendungen und deren Anbieter und Nutzer wesentliche Auswirkungen. Doch wer ist nun für die Einhaltung der Datenschutzanforderungen verantwortlich und wie kann man sich absichern?

Nicht nur private User, auch immer mehr heimische Unternehmen setzen auf cloud-basierte Anwendungen. Zahlreiche Vorteile wie eine höhere Sicherheit, Schutz vor Diebstahl, mehr Flexibilität sowie Kostenersparnisse sprechen für diese Lösungen. Für die IT-Branche ist die Cloud-Technologie einer der am schnellsten wachsenden Sektoren. Prognosen zeigen, dass sich der weltweite Umsatz mit Cloud-Computing bis zum Jahr 2020 auf rund 340 Milliarden Euro nahezu verdoppeln wird. Bisheriger "Schwachpunkt" bei der Nutzung vieler Clouds war jedoch die mangelnde Transparenz über den tatsächlichen Speicherort der Daten und das damit verbundene Fragezeichen in puncto Datenschutz. Die neue EU-DSGVO definiert nun klare Regelungen und Verantwortlichkeiten und hat auf Cloud-Anbieter als auch Cloud-User wesentliche Auswirkungen.

Cloud-Anbieter werden stärker in die Pflicht genommen

Die Nutzung von Cloud-Lösungen bzw. die Auslagerung diverser Services an Cloud-Anbieter wird in der EU-DSGVO als Auftragsverarbeitung geregelt. Die Rollenverteilung ist hier klar definiert: Der Cloud-Nutzer ist der Auftraggeber, der Cloud-Anbieter Auftragsverarbeiter. Damit der Cloud-Nutzer seiner Verantwortung gegenüber den Betroffenen auch in diesem Fall gerecht werden kann, muss sich dieser mit einer Vereinbarung zur Auftragsverarbeitung mit dem Cloud-Anbieter absichern, dass dieser ebenfalls die Anforderungen der DSGVO erfüllt. Hier werden also beide Seiten klar dazu verpflichtet, den Anforderungen der EU-DSGVO zu entsprechen und einen hohen Datenschutz-Level zu gewährleisten. 

Bei einer solchen Vereinbarung muss der Cloud-Anbieter unter anderem alle erforderlichen Informationen zum Nachweis der Einhaltung der Anforderungen zur Verfügung stellen. Ebenso ist er dazu verpflichtet, die Datenverarbeitung ausreichend zu dokumentieren. Unter diese Dokumentationspflicht fallen unter anderem Informationen zum Zweck der Datenverarbeitung und Aufbewahrungsfristen. Auch die unternehmensinternen Empfänger, die Zugriff auf die personenbezogenen Daten haben, müssen aufgezeichnet werden. Zudem muss ein Cloud-Anbieter seinen Kunden umfangreich über die Umstände aufklären, unter denen sie Daten erheben, speichern und verarbeiten. Durch das Marktort-Prinzip fallen dabei auch Cloud-Anbieter aus Drittländern unter die neue Verordnung, wenn sie weiterhin ihre Dienstleistungen innerhalb der Europäischen Union anbieten wollen. Dadurch werden eine Verzerrung des Marktes sowie die Schwächung des Datenschutzes durch Auslagerungen außerhalb der Union verhindert.

Für Cloud-Anbieter ist überdies jene Passage der DSGVO relevant, die besagt, dass "ein Auftragsverarbeiter, der unter Verstoß gegen diese Verordnung die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf diese Verarbeitung als Verantwortlicher gilt". Verarbeitet der Cloud-Anbieter also die Daten des Auftraggebers auch zu anderen als im Auftrag festgelegten Zwecken, trägt er die volle Verantwortung für die Verarbeitung und somit auch für die Sicherheit der Daten. Bei Datenschutzverletzung drohen für den Auftragsverarbeiter auch Haftungsansprüche der Betroffenen und hohe Strafen.

Cloud-Nutzer sind letztverantwortlich

Die dezentrale Datenspeicherung bedeutet aber nicht, dass Cloud-Nutzer die Verantwortung bzgl. Datenschutz "auslagern" können. Im Gegenteil, denn trotz des Umstandes, dass die Cloud-Anbieter vermehrt in die Pflicht genommen werden, bleibt schlussendlich der Cloud-Nutzer selbst für die Einhaltung des EU-Datenschutzrechts verantwortlich. Dieser wird durch die DSGVO ausdrücklich dazu verpflichtet, nur solche Cloud-Anbieter zu beauftragen, "die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Personen gewährleistet". Die Wahl des Anbieters sollte daher mit größter Sorgfalt und Bedacht erfolgen. 

Als eine erste Orientierung dient hierzu der Standort der Serveranlagen des Anbieters. Zwar nimmt die EU-DSGVO wie bereits erwähnt auch Cloud-Anbieter außerhalb Europas in die Pflicht, jedoch sind diese in Bezug auf mögliche staatliche Eingriffe und Rechtssicherheit mit einer Reihe von Risiken behaftet. Um diese zu vermeiden, sollte idealerweise ein Anbieter innerhalb der EU bevorzugt werden. Hierfür hat die Wirtschaftskammer Wien im vergangenen Jahr die Austrian Cloud-Initiative ins Leben gerufen, die die Suche und Auswahl eines Anbieters erleichtern und zugleich die heimischen Anbieter unterstützen soll. Mit dieser Initiative können sich Cloud-Dienstleister, die ihre Server in Österreich haben, entsprechend zertifizieren lassen. Der Nutzer bekommt dadurch eine Garantie, dass seine Daten im Land gespeichert und verarbeitet werden.

Zertifizierungen als Orientierungshilfe

Diese und weitere Zertifizierungen, die Auskunft über den Datenschutz geben, werden ab Mai eine zunehmend wichtigere Rolle spielen. So stellen solche Zertifikate laut DSGVO eine hinreichende Garantie in der Auftragsverarbeitung dar: "Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 durch einen Auftragsverarbeiter kann als Faktor herangezogen werden, um hinreichende Garantien (…) nachzuweisen." Datenschutzzertifikate, die den Vorgaben der DSGVO entsprechen, können also dabei helfen, den aus Datenschutzsicht passenden Cloud-Anbieter auszuwählen und sich damit im Bedarfsfall abzusichern. Cloud-Anbieter können wiederum die Erfüllung der Anforderungen in Bezug auf den Datenschutz mit entsprechenden Zertifikaten nachweisen und sich so vom Mitbewerb abheben. Zu diesen Zwecken plant die Austrian-Cloud-Initiative auch weitere Zertifizierungen, welche unter anderem über Sicherheitsaspekte, rechtliche Konformität und technische Infrastruktur Auskunft geben.

Mag. Martin Puaschitz ist Obmann der Fachgruppe UBIT Wien.

Mehr Artikel zum Thema: EU-DSGVO Tipps

Österreichischer DSGVO-Spezialist eröffnet Niederlassung in Deutschland

Das junge österreichische Unternehmen Intervalid hat sich...

Weiterlesen

Verschlüsselung Fehlanzeige

Gretchenfrage: Wie halten es die Österreicher eigentlich mit...

Weiterlesen

Datensilos werden zum Problem

Ein schneller Zugriff auf konsistente Datenbestände ist für...

Weiterlesen

DSGVO aus Sicht der Informatiker

Die Informatik-Experten Michael Sonntag und Reinhard Posch...

Weiterlesen

85% verpassen DSGVO-Deadline

Obwohl die Regulierung in einer Woche anwendbar wird,...

Weiterlesen

nic.at beschränkt Whois-Abfragen

In Hinblick auf die DSGVO hat die Domain-Registry nic.at...

Weiterlesen

DSGVO & Co.: Wer nicht verschlüsselt, ist selber schuld

Nichts erfreut Hacker und Datendiebe mehr als der Zugriff...

Weiterlesen

Überlegen, was Kunden interessiert

Ein Suchmaschinen-Treffer steht heute zumeist am Anfang...

Weiterlesen

Kein Freibrief für Datenschutzverstöße

Wir haben den Rechtsanwalt Gerald Ganzger gefragt, welche...

Weiterlesen

DSGVO: Ein zahnloser Löwe?

Knapp einen Monat vor dem Stichtag der EU-DSGVO am 25. Mai...

Weiterlesen

DSAG löst Datenschutz-Fragezeichen

Es soll immer noch Unternehmen geben, die im freien Fall auf...

Weiterlesen

"Das ist ein Wahnsinn"

"Wir brauchen drei bis sechs Monate, um gute Leute auf...

Weiterlesen

Aus Security-Sicht ein Horror

Die Ergebnisse des jährlichen Breach Level Index von Gemalto...

Weiterlesen

Keine Angst vor digitaler Transformation mit VDI

Virtual Desktop Infrastructure bzw. Desktop-Virtualisierung...

Weiterlesen

Vorsicht, Open-Source-Falle!

Die Euphorie rund um das 20-jährige Open-Source-Jubiläum ist...

Weiterlesen

Datenschutz bei der DSAG

Die EU-Datenschutz-Grundverordnung (EU-DSGVO) macht auch vor...

Weiterlesen

EU-DSGVO: Was ist noch machbar?

Die neue Datenschutz-Grundverordnung der EU steht...

Weiterlesen

DRACOON ist EU-DSGVO-ready

DRACOON, Experte im Bereich Enterprise Filesharing, erhält...

Weiterlesen

Best Architecture Practices für Kettle und IoT

Was müssen Verantwortliche von Pentaho Data Integration...

Weiterlesen