Laut dem IT-Branchenverband Bitkom setzen zwei Drittel der deutschen Unternehmen auf Cloud-Dienste, wobei der Datenschutz als entscheidendes Kriterium bei der Auswahl eines Cloud-Service-Providers gilt.
“Zwei von drei Unternehmen setzen auf Cloud” – Unter diesem Titel veröffentlichte der IT-Branchenverband Bitkom erst im Juni 2018 aktuelle Zahlen zur Cloud-Nutzung in deutschen Unternehmen. Fazit des Verbands: “Cloud Computing hat sich etabliert.” Allerdings verweisen die Verbandsexperten auch darauf, dass “Datenschutz das Top-Kriterium ist, wenn es um die Auswahl eines Cloud-Dienstleisters geht.”
Doch was sind die datenschutzrelevanten Fragen, die es bei der Entscheidung für einen Cloud Service Provider zu beantworten gilt?
Beschäftigt man sich mit dem Thema Datenschutz, stößt man fast zwangsläufig innerhalb kürzester Zeit auf den Begriff “personenbezogene Daten”. Nach geltender Rechtsprechung sind personenbezogene Daten „all jene Informationen, die sich auf eine natürliche Person beziehen oder zumindest beziehbar sind und so Rückschlüsse auf deren Persönlichkeit erlauben“. Dazu gehören neben den klassischen Namens- und Adressdaten auch das Geburtsdatum, das Geschlecht oder die Augenfarbe.
Als besonders schützenswert definiert der Gesetzgeber die so genannten „besonderen personenbezogenen Daten“. Darunter fallen Informationen über die ethnische und kulturelle Herkunft, politische, religiöse und philosophische Überzeugungen, Gesundheit, Sexualität und Gewerkschaftszugehörigkeit. Im Rahmen der gesetzlich festgelegten informationellen Selbstbestimmung jedes einzelnen von uns ist das Speichern und Verarbeiten von personenbezogenen Daten nur mit Zustimmung und unter bestimmten Voraussetzungen zulässig.
Mit der im Mai 2018 in Kraft getretenen EU-Datenschutzgrundverordnung (EU-DSGVO) wurde insbesondere das zuletzt genannte Recht auf informationelle Selbstbestimmung weiter gestärkt. Die Definition und der Schutz personenbezogener Daten als zentrales Rechtsgut wurde aus dem vorher geltenden Bundesdatenschutzgesetz übernommen.
Neu in der DSGVO geregelt sind das
Ebenfalls neu geregelt wurde das vertragliche Verhältnis zwischen Cloud Computing-Anwender und Cloud Computing-Anbieter. Aus dem Auftragsdatenverarbeiter wurde der Auftragsverarbeiter. Die Grundlage für die Aufgaben und Pflichten regelt der Vertrag zur Auftragsverarbeitung (AV-Vertrag). Auch dabei spielt der Schutz personenbezogener Daten eine zentrale Rolle.
Grundsätzlich bleibt der Cloud Computing-Kunde für die Einhaltung der datenschutzrechtlichen Vorgaben bei der Verarbeitung personenbezogener Daten verantwortlich. Das bedeutet aber nicht, dass der Auftragsverarbeiter frei von Haftung wäre. Nach Art. 82 EU-DSGVO haftet er mit dem Verantwortlichen gemeinsam. Jedoch beschränkt sich seine Haftung nach Abs. 2 auf Verstöße gegen speziell ihm auferlegte Pflichten.
Bereits Ende März 2018, also noch vor Inkrafttreten der DSGVO, verabschiedete die US-Regierung den Clarifying Lawful Overseas Use of Data (CLOUD) Act. Getreu dem Motto “America first” gibt dieses Gesetz amerikanischen Behörden die Möglichkeit, auf Nutzerdaten zuzugreifen, die in Rechenzentren amerikanischer Service Provider außerhalb der USA gespeichert sind – und zwar, ohne dass der Nutzer informiert und ohne, dass ihm ein Einspruchsrecht eingeräumt wird. Damit widerspricht die Regelung klar den Vorgaben der DSGVO. Darüber hinaus „hebelt“ sie die Vertriebstaktik amerikanischer Cloud Unternehmen aus, die in Deutschland Rechenzentren eröffnet und damit dem vielfachen Wunsch ihrer deutschen Kunden entsprochen haben, die Daten vor Ort in der Heimat zu speichern. Vor dem geheimen Zugriff amerikanischer Behörden schützt sie dies seit Inkrafttreten des Cloud Act nicht mehr.
Wenn Sie also zukünftig vor der Entscheidung stehen, eine Cloud Computing-Lösung einzusetzen, und alle datenschutzrechtlichen Aspekte berücksichtigen möchten, sollten Sie sich die nachfolgenden Fragen stellen – und beantworten:
Beim Einsatz von ZEP können Sie sicher sein, alle hier in Deutschland geltenden datenschutzrechtlichen Anforderungen zu erfüllen. Alle in ZEP erfassten Daten werden ausschließlich in Hochsicherheitsrechenzentren in Deutschland gespeichert und verarbeitet, als deutsches Unternehmen gelten für die Firma provantis die Vorgaben der DSGVO. Bereits vor Inkrafttreten der Neuregelungen wurden alle Vorkehrungen getroffen, um sicherzustellen, dass mit dem Stichtag 25. Mai 2018 alle diese Vorgaben erfüllt werden.
Sollten Sie Fragen zum Thema Datenschutz und Datensicherheit beim Einsatz von ZEP haben, stehen wir Ihnen jederzeit gerne für Auskünfte zur Verfügung.
Artikel lesen ↗
Artikel lesen ↗