Datenschutz und die Cloud
Damit Cloud Computing nicht zur Rechtsfalle wird
So gehen Sie richtig vor
So kompliziert diese Regelungen klingen mögen, der praktische Ansatz des Kunden für den Datenschutz in der Cloud beginnt mit einfachen Schritten. Die Kernfrage ist, welche personenbezogenen Daten in welcher Public oder Hybrid Cloud verarbeitet werden sollen und in welchem Umfang der Kunde sie intern nutzen darf. Eine weitergehende Verarbeitung ist auch in einer Cloud immer unzulässig.
Dann ist zu klären, in welchen Ländern die Cloud-Leistungen durch den Anbieter erbracht werden. Außerhalb von EU und EWR scheidet eine Auftragsdatenverarbeitung aus, wenn nicht zuvor besondere Maßnahmen des Anbieters getroffen werden. Kommt hingegen eine Auftragsdatenverarbeitung in Betracht, so sind deren Voraussetzungen zu prüfen: Verpflichtet sich der Anbieter vertraglich zu allen notwendigen Voraussetzungen? Wie lassen sich die Datenschutzmaßnahmen des Cloud-Anbieters vorab und während der Nutzung prüfen? Welche Informations- und Kontrollrechte hat der Datenschutzbeauftragte des Kunden? Verpflichtet sich der Anbieter zur aktiven Information über Datenschutz- und Datensicherheitsverstöße?
Wenn die Daten - außerhalb einer Auftragsdatenverarbeitung - an den Cloud-Anbieter übermittelt werden sollen, ist zu prüfen, welches Datenschutzniveau er gewährleisten kann. Welchen gesetzlichen Regelungen unterliegt die Verarbeitung personenbezogener Daten an den Standorten der Cloud-Server? Welche zusätzlichen Datenschutzregelungen kann der Cloud-Anbieter verbindlich vereinbaren?
Diese Fragen erlauben eine erste Einschätzung, ob und in welchem Umfang die Verarbeitung personenbezogener Daten in der Cloud zulässig sein kann. Die Antworten sind die Basis für eine genauere Prüfung. Und deren Resultate zeigen den Handlungsbedarf auf.
Durch zusätzliche Maßnahmen und vertragliche Vereinbarungen ist die Cloud-Lösung schon im Vorfeld datenschutzkonform zu gestalten. Daran muss auch der Cloud-Anbieter interessiert sein. (Computerwoche)