EU-DSGVO Tipps
Bild: CCO - pixabay.com
Bild: CCO - pixabay.com

Gastartikel - Martin Puaschitz, UBIT Wien

EU-DSGVO und die Cloud: Wer trägt welche Verantwortung?

Bild: Foto Weinwurm
Martin Puaschitz, Obmann der Fachgruppe UBIT Wien
Bild: Foto Weinwurm

Cloud-Computing ist kein Trend, sondern schlicht die nächste Entwicklungsstufe in der IT. Die neue EU-DSGVO hat auch auf diese Cloud-Anwendungen und deren Anbieter und Nutzer wesentliche Auswirkungen. Doch wer ist nun für die Einhaltung der Datenschutzanforderungen verantwortlich und wie kann man sich absichern?

Nicht nur private User, auch immer mehr heimische Unternehmen setzen auf cloud-basierte Anwendungen. Zahlreiche Vorteile wie eine höhere Sicherheit, Schutz vor Diebstahl, mehr Flexibilität sowie Kostenersparnisse sprechen für diese Lösungen. Für die IT-Branche ist die Cloud-Technologie einer der am schnellsten wachsenden Sektoren. Prognosen zeigen, dass sich der weltweite Umsatz mit Cloud-Computing bis zum Jahr 2020 auf rund 340 Milliarden Euro nahezu verdoppeln wird. Bisheriger "Schwachpunkt" bei der Nutzung vieler Clouds war jedoch die mangelnde Transparenz über den tatsächlichen Speicherort der Daten und das damit verbundene Fragezeichen in puncto Datenschutz. Die neue EU-DSGVO definiert nun klare Regelungen und Verantwortlichkeiten und hat auf Cloud-Anbieter als auch Cloud-User wesentliche Auswirkungen.

Cloud-Anbieter werden stärker in die Pflicht genommen

Die Nutzung von Cloud-Lösungen bzw. die Auslagerung diverser Services an Cloud-Anbieter wird in der EU-DSGVO als Auftragsverarbeitung geregelt. Die Rollenverteilung ist hier klar definiert: Der Cloud-Nutzer ist der Auftraggeber, der Cloud-Anbieter Auftragsverarbeiter. Damit der Cloud-Nutzer seiner Verantwortung gegenüber den Betroffenen auch in diesem Fall gerecht werden kann, muss sich dieser mit einer Vereinbarung zur Auftragsverarbeitung mit dem Cloud-Anbieter absichern, dass dieser ebenfalls die Anforderungen der DSGVO erfüllt. Hier werden also beide Seiten klar dazu verpflichtet, den Anforderungen der EU-DSGVO zu entsprechen und einen hohen Datenschutz-Level zu gewährleisten. 

Bei einer solchen Vereinbarung muss der Cloud-Anbieter unter anderem alle erforderlichen Informationen zum Nachweis der Einhaltung der Anforderungen zur Verfügung stellen. Ebenso ist er dazu verpflichtet, die Datenverarbeitung ausreichend zu dokumentieren. Unter diese Dokumentationspflicht fallen unter anderem Informationen zum Zweck der Datenverarbeitung und Aufbewahrungsfristen. Auch die unternehmensinternen Empfänger, die Zugriff auf die personenbezogenen Daten haben, müssen aufgezeichnet werden. Zudem muss ein Cloud-Anbieter seinen Kunden umfangreich über die Umstände aufklären, unter denen sie Daten erheben, speichern und verarbeiten. Durch das Marktort-Prinzip fallen dabei auch Cloud-Anbieter aus Drittländern unter die neue Verordnung, wenn sie weiterhin ihre Dienstleistungen innerhalb der Europäischen Union anbieten wollen. Dadurch werden eine Verzerrung des Marktes sowie die Schwächung des Datenschutzes durch Auslagerungen außerhalb der Union verhindert.

Für Cloud-Anbieter ist überdies jene Passage der DSGVO relevant, die besagt, dass "ein Auftragsverarbeiter, der unter Verstoß gegen diese Verordnung die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf diese Verarbeitung als Verantwortlicher gilt". Verarbeitet der Cloud-Anbieter also die Daten des Auftraggebers auch zu anderen als im Auftrag festgelegten Zwecken, trägt er die volle Verantwortung für die Verarbeitung und somit auch für die Sicherheit der Daten. Bei Datenschutzverletzung drohen für den Auftragsverarbeiter auch Haftungsansprüche der Betroffenen und hohe Strafen.

Cloud-Nutzer sind letztverantwortlich

Die dezentrale Datenspeicherung bedeutet aber nicht, dass Cloud-Nutzer die Verantwortung bzgl. Datenschutz "auslagern" können. Im Gegenteil, denn trotz des Umstandes, dass die Cloud-Anbieter vermehrt in die Pflicht genommen werden, bleibt schlussendlich der Cloud-Nutzer selbst für die Einhaltung des EU-Datenschutzrechts verantwortlich. Dieser wird durch die DSGVO ausdrücklich dazu verpflichtet, nur solche Cloud-Anbieter zu beauftragen, "die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Personen gewährleistet". Die Wahl des Anbieters sollte daher mit größter Sorgfalt und Bedacht erfolgen. 

Als eine erste Orientierung dient hierzu der Standort der Serveranlagen des Anbieters. Zwar nimmt die EU-DSGVO wie bereits erwähnt auch Cloud-Anbieter außerhalb Europas in die Pflicht, jedoch sind diese in Bezug auf mögliche staatliche Eingriffe und Rechtssicherheit mit einer Reihe von Risiken behaftet. Um diese zu vermeiden, sollte idealerweise ein Anbieter innerhalb der EU bevorzugt werden. Hierfür hat die Wirtschaftskammer Wien im vergangenen Jahr die Austrian Cloud-Initiative ins Leben gerufen, die die Suche und Auswahl eines Anbieters erleichtern und zugleich die heimischen Anbieter unterstützen soll. Mit dieser Initiative können sich Cloud-Dienstleister, die ihre Server in Österreich haben, entsprechend zertifizieren lassen. Der Nutzer bekommt dadurch eine Garantie, dass seine Daten im Land gespeichert und verarbeitet werden.

Zertifizierungen als Orientierungshilfe

Diese und weitere Zertifizierungen, die Auskunft über den Datenschutz geben, werden ab Mai eine zunehmend wichtigere Rolle spielen. So stellen solche Zertifikate laut DSGVO eine hinreichende Garantie in der Auftragsverarbeitung dar: "Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 durch einen Auftragsverarbeiter kann als Faktor herangezogen werden, um hinreichende Garantien (…) nachzuweisen." Datenschutzzertifikate, die den Vorgaben der DSGVO entsprechen, können also dabei helfen, den aus Datenschutzsicht passenden Cloud-Anbieter auszuwählen und sich damit im Bedarfsfall abzusichern. Cloud-Anbieter können wiederum die Erfüllung der Anforderungen in Bezug auf den Datenschutz mit entsprechenden Zertifikaten nachweisen und sich so vom Mitbewerb abheben. Zu diesen Zwecken plant die Austrian-Cloud-Initiative auch weitere Zertifizierungen, welche unter anderem über Sicherheitsaspekte, rechtliche Konformität und technische Infrastruktur Auskunft geben.

Mag. Martin Puaschitz ist Obmann der Fachgruppe UBIT Wien.

Mehr Artikel zum Thema: EU-DSGVO Tipps

DSGVO nahezu bewältigt

Bei der Präsentation der aktuellen "KMU...

Weiterlesen

Entwickler profitieren von der Cloud

Im Gegensatz zu den Ressourcen im eigenen Rechenzentrum,...

Weiterlesen

ÖAMTC schickt Mails sicher auf die Reise

Mobilität und Sicherheit sind wichtige Themen des...

Weiterlesen

SEO Sommerfrische Woche 8 – Mobile Website und SEO

Mobile ist ein SEO-Thema, an dem man kaum vorbeikommt....

Weiterlesen

SEO Sommerfrische Woche 7 – Google My Business

Google My Business ist nicht nur ein Firmeneintrag in Google...

Weiterlesen

5 Tipps katapultieren KMU ins digitale Zeitalter

Viele KMU gehen noch immer zögerlich mit dem Thema...

Weiterlesen

Digitalisierung im Automobilhandel durch Modularisierung

Während die Automobilindustrie weltweit den größten...

Weiterlesen

SEO Sommerfrische Woche 6 – Seitengeschwindigkeit optimieren

Wer hat schon Zeit und Geduld, auf langsam ladende Seiten zu...

Weiterlesen

Wenn Firmengeräte auf Reisen gehen

Immer öfter landen auch Firmen-Handy oder -Laptop im...

Weiterlesen

SEO Sommerfrische Woche 5 – interne Links

Links sind ein wichtiger Rankingfaktor für Google. Wenn sie...

Weiterlesen

SEO Sommerfrische Woche 4 – Bilder auf SEO-Hochglanz optimieren

Bilder sind Blickfang und Informationsträger zur gleichen...

Weiterlesen

Sicherheits-Container für Datenschutz unterwegs

Führungskräfte und Mitarbeiter, die viel unterwegs sind,...

Weiterlesen

Wachsende IT-Komplexität: 6 Strategien für CIOs

Die Zukunft erschien nie komplexer. IT-Führungskräfte sollen...

Weiterlesen

SEO Sommerfrische Woche 3 – Content optimieren

Nach dem letzten Teil der SEO-Sommerfrische haben Sie sicher...

Weiterlesen

SEO Sommerfrische Woche 2 – Care for your Keywords

Mit der "SEO Sommerfrische" bringen wir heuer praktische...

Weiterlesen

Die Wärme muss weg

Moderne datenzentrierte Geschäftsmodelle führen dazu, dass...

Weiterlesen

DSGVO: Fünf nach Zwölf

Obwohl die Übergangsfrist der Datenschutzgrundverordnung...

Weiterlesen

SEO Sommerfrische Woche 1 – Snippet optimieren

Mit der "SEO Sommerfrische" bringen wir heuer praktische...

Weiterlesen

Entscheidung für Windows 10: The Day After

Viele Unternehmen zögern noch, von Windows 7 oder 8/8.1 auf...

Weiterlesen