Data protection and data security when using cloud computing solutions

„Zwei von drei Unternehmen setzen auf Cloud“ – Unter diesem Titel veröffentlichte der IT-Branchenverband Bitkom erst im Juni 2018 aktuelle Zahlen zur Cloud-Nutzung in deutschen Unternehmen. Fazit des Verbands: „Cloud Computing hat sich etabliert.“ Allerdings verweisen die Verbandsexperten auch darauf, dass „Datenschutz das Top-Kriterium ist, wenn es um die Auswahl eines Cloud-Dienstleisters geht.“

Doch was sind die datenschutzrelevanten Fragen, die es bei der Entscheidung für einen Cloud Service Provider zu beantworten gilt?

Datenschutz und Datensicherheit: Personenbezogene Daten als schützenswertes Gut

Beschäftigt man sich mit dem Thema Datenschutz, stößt man fast zwangsläufig innerhalb kürzester Zeit auf den Begriff „personenbezogene Daten“. Nach geltender Rechtsprechung sind personenbezogene Daten „all jene Informationen, die sich auf eine natürliche Person beziehen oder zumindest beziehbar sind und so Rückschlüsse auf deren Persönlichkeit erlauben“. Dazu gehören neben den klassischen Namens- und Adressdaten auch das Geburtsdatum, das Geschlecht oder die Augenfarbe.

Als besonders schützenswert definiert der Gesetzgeber die so genannten „besonderen personenbezogenen Daten“. Darunter fallen Informationen über die ethnische und kulturelle Herkunft, politische, religiöse und philosophische Überzeugungen, Gesundheit, Sexualität und Gewerkschaftszugehörigkeit. Im Rahmen der gesetzlich festgelegten informationellen Selbstbestimmung jedes einzelnen von uns ist das Speichern und Verarbeiten von personenbezogenen Daten nur mit Zustimmung und unter bestimmten Voraussetzungen zulässig.

Die DSGVO und ihre Folgen für den Einsatz von Cloud Computing-Lösungen

Mit der im Mai 2018 in Kraft getretenen EU-Datenschutzgrundverordnung (EU-DSGVO) wurde insbesondere das zuletzt genannte Recht auf informationelle Selbstbestimmung weiter gestärkt. Die Definition und der Schutz personenbezogener Daten als zentrales Rechtsgut wurde aus dem vorher geltenden Bundesdatenschutzgesetz übernommen.

Newly regulated in the GDPR are the

• Right to information: Jede Person hat das Recht zu erfahren, welche Informationen über sie zu welchem Zweck gespeichert wurden.
• Recht auf Löschung: Jede Person hat das Recht, dass seine Daten, wenn sie dies wünscht, unverzüglich gelöscht werden. In diesem Zusammenhang wird häufig auch vom „Recht auf Vergessenwerden“ gesprochen.
• Recht auf Datenübertragbarkeit: Jede Person hat das Recht, dass ihm seine erfassten Daten in einem „strukturierten, gängigen und maschinenlesbaren“ Format übergeben werden, damit er diese an einen anderen Dienstleister weitergeben kann.

Ebenfalls neu geregelt wurde das vertragliche Verhältnis zwischen Cloud Computing-Anwender und Cloud Computing-Anbieter. Aus dem Auftragsdatenverarbeiter wurde der Auftragsverarbeiter. Die Grundlage für die Aufgaben und Pflichten regelt der Vertrag zur Auftragsverarbeitung (AV-Vertrag). Auch dabei spielt der Schutz personenbezogener Daten eine zentrale Rolle.

Grundsätzlich bleibt der Cloud Computing-Kunde für die Einhaltung der datenschutzrechtlichen Vorgaben bei der Verarbeitung personenbezogener Daten verantwortlich. Das bedeutet aber nicht, dass der Auftragsverarbeiter frei von Haftung wäre. Nach Art. 82 EU-DSGVO haftet er mit dem Verantwortlichen gemeinsam. Jedoch beschränkt sich seine Haftung nach Abs. 2 auf Verstöße gegen speziell ihm auferlegte Pflichten.

GDPR vs. Cloud Act: Caution is advised

Bereits Ende März 2018, also noch vor Inkrafttreten der DSGVO, verabschiedete die US-Regierung den Clarifying Lawful Overseas Use of Data (CLOUD) Act. Getreu dem Motto „America first“ gibt dieses Gesetz amerikanischen Behörden die Möglichkeit, auf Nutzerdaten zuzugreifen, die in Rechenzentren amerikanischer Service Provider außerhalb der USA gespeichert sind – und zwar, ohne dass der Nutzer informiert und ohne, dass ihm ein Einspruchsrecht eingeräumt wird. Damit widerspricht die Regelung klar den Vorgaben der DSGVO. Darüber hinaus „hebelt“ sie die Vertriebstaktik amerikanischer Cloud Unternehmen aus, die in Deutschland Rechenzentren eröffnet und damit dem vielfachen Wunsch ihrer deutschen Kunden entsprochen haben, die Daten vor Ort in der Heimat zu speichern. Vor dem geheimen Zugriff amerikanischer Behörden schützt sie dies seit Inkrafttreten des Cloud Act nicht mehr.

Die wichtigsten Aspekte zu Datenschutz und Datensicherheit, die Sie VOR dem Einsatz einer Cloud-Lösung beachten sollten

Wenn Sie also zukünftig vor der Entscheidung stehen, eine Cloud Computing-Lösung einzusetzen, und alle datenschutzrechtlichen Aspekte berücksichtigen möchten, sollten Sie sich die nachfolgenden Fragen stellen – und beantworten:

• Wo werden die über die Cloud-Lösung verarbeiteten personenbezogenen Daten gespeichert und verarbeitet: Deutschland, Europa, USA, Drittland?
• In den Geltungsbereich welcher rechtlichen Datenschutzverordnung fällt der Cloud Service Provider – DSGVO, Cloud Act, Drittregelung?
• What contractual agreements are therefore required: AV contract with GDPR?
• Welche datenschutzrechtlichen Rechte und Pflichten ergeben sich daraus im Vertragsverhältnis zwischen meinem Unternehmen und dem Cloud Service Provider?

Beim Einsatz von ZEP können Sie sicher sein, alle hier in Deutschland geltenden datenschutzrechtlichen Anforderungen zu erfüllen. Alle in ZEP erfassten Daten werden ausschließlich in Hochsicherheitsrechenzentren in Deutschland gespeichert und verarbeitet, als deutsches Unternehmen gelten für die Firma provantis die Vorgaben der DSGVO. Bereits vor Inkrafttreten der Neuregelungen wurden alle Vorkehrungen getroffen, um sicherzustellen, dass mit dem Stichtag 25. Mai 2018 alle diese Vorgaben erfüllt werden.

Should you have any questions on the subject of Data protection and data security ZEP, please do not hesitate to contact us. jederzeit gerne für Auskünfte zur Verfügung.