So gehen Sie richtig vor
So kompliziert diese Regelungen klingen mögen, der praktische Ansatz des Kunden für den Datenschutz in der Cloud beginnt mit einfachen Schritten. Die Kernfrage ist, welche personenbezogenen Daten in welcher Public oder Hybrid Cloud verarbeitet werden sollen und in welchem Umfang der Kunde sie intern nutzen darf. Eine weitergehende Verarbeitung ist auch in einer Cloud immer unzulässig.
Dann ist zu klären, in welchen Ländern die Cloud-Leistungen durch den Anbieter erbracht werden. Außerhalb von EU und EWR scheidet eine Auftragsdatenverarbeitung aus, wenn nicht zuvor besondere Maßnahmen des Anbieters getroffen werden. Kommt hingegen eine Auftragsdatenverarbeitung in Betracht, so sind deren Voraussetzungen zu prüfen: Verpflichtet sich der Anbieter vertraglich zu allen notwendigen Voraussetzungen? Wie lassen sich die Datenschutzmaßnahmen des Cloud-Anbieters vorab und während der Nutzung prüfen? Welche Informations- und Kontrollrechte hat der Datenschutzbeauftragte des Kunden? Verpflichtet sich der Anbieter zur aktiven Information über Datenschutz- und Datensicherheitsverstöße?
Wenn die Daten - außerhalb einer Auftragsdatenverarbeitung - an den Cloud-Anbieter übermittelt werden sollen, ist zu prüfen, welches Datenschutzniveau er gewährleisten kann. Welchen gesetzlichen Regelungen unterliegt die Verarbeitung personenbezogener Daten an den Standorten der Cloud-Server? Welche zusätzlichen Datenschutzregelungen kann der Cloud-Anbieter verbindlich vereinbaren?
Diese Fragen erlauben eine erste Einschätzung, ob und in welchem Umfang die Verarbeitung personenbezogener Daten in der Cloud zulässig sein kann. Die Antworten sind die Basis für eine genauere Prüfung. Und deren Resultate zeigen den Handlungsbedarf auf.
Durch zusätzliche Maßnahmen und vertragliche Vereinbarungen ist die Cloud-Lösung schon im Vorfeld datenschutzkonform zu gestalten. Daran muss auch der Cloud-Anbieter interessiert sein. (qua)
Checkliste für den Datenschutz in der Cloud
Diese Liste stellt einen ersten Ansatz dar und soll als Grundlage für eine genauere Prüfung dienen.
-
Welche personenbezogenen Daten sind betroffen?
-
Welche Datenschutzanforderungen gelten für diese Daten?
-
Steht die Cloud unter völliger Kontrolle des eigenen Unternehmens (Private Cloud)?
-
Sollen die Daten in einer Public Cloud oder Hybrid Cloud verarbeitet werden?
-
Hat der Anbieter der Public Cloud oder Hybrid Cloud seinen Sitz in der EU?
-
In welchen Ländern stehen die Server der Public oder Hybrid Cloud?
-
Welche technischen und organisatorischen Schutzmaßnahmen trifft der Cloud-Anbieter?
-
Welche Weisungsrechte für die Verarbeitung und Löschung der Daten hat der Kunde?
-
Welche Kontroll- und Auditrechte hat der eigene Datenschutzbeauftragte?
-
Welche schriftlichen Vereinbarungen bietet der Cloud-Anbieter für den Datenschutz?
-
Welche Informationspflichten des Cloud-Anbieters bestehen bei Datenschutzverstößen?
-
Welcher Datenschutzkontrolle gilt für den Anbieter der Public oder Hybrid Cloud?
-
Gelten für Subunternehmer des Anbieters dieselben Regeln zu Gunsten des Kunden?