Jahrestag der Datenschutzgrundverordnung - Teil 2 Als Geschäftskunde in der Cloud unterwegs?

Mit der Einführung der DSGVO rückt der Schutz personenbezogener Daten völlig zurecht wieder mehr in den Vordergrund. Die DSGVO wird das europäische Datenschutzrecht nicht völlig umwälzen, weist aber eine Reihe von in der Praxis erheblichen Änderungen auf, die besonders für Unternehmen (Auftrags-Verarbeiter) von Bedeutung sind. Wie Sie sich als Geschäftskunde sicher in der Cloud bewegen und worauf Sie bei der Auswahl Ihres Cloudanbieters achten sollten, haben wir in diesem Teil des dreiteiligen Interviews mit Fresh Compliance für Sie geklärt.

Worauf sollte bei der Auswahl des Cloudanbieters geachtet werden?

Viele Menschen - besonders die junge Generation - lebt nur noch in der Cloud. Der Fokus liegt auf sozialen Netzwerken und Programme werden nicht mehr heruntergeladen, sondern direkt im Netz genutzt. Das bedeutet auch, dass Ihre Daten und Programme auf irgendwelchen Rechenzentren und nicht mehr zu Hause auf dem eigenen Computer liegen. Die DSGVO zielt genau auf diesen Zeitgeist ab, mit der Intention, dass der Einzelne wieder mehr über seine Daten bestimmen kann und weiß, was mit seinen Daten passiert. Einen guten Cloudanbieter macht somit aus, dass er transparent ist. Er sollte kommunizieren wo die Daten liegen, was mit den Daten passiert und wie die Daten geschützt sind. Nutzt der Cloudanbieter Open Source Software und verschlüsselt die Daten durch eine echte Ende-zu-Ende-Verschlüsselung? Verfolgt er idealerweise sogar das Zero Knowledge Prinzip? Sehr gut!

„Genauso wie bei Bioprodukten, wo es mir wichtig ist, dass sie aus der Region kommen, sollte es mir als Endverbraucher auch wichtig sein, dass meine Daten in der Region bleiben, wo ich mich befinde.“

Zudem lautet die Empfehlung ganz klar, die Daten in Europa zu hosten, also einen Anbieter auszuwählen, der die Daten in Europa speichert. Nun sitzen wir hier in Deutschland, da bietet es sich natürlich an, einen Cloudanbieter auszuwählen, der die Gesetzgebungen hierzulande befolgt - also einen deutschen Cloudanbieter.

Worauf sollten Cloudnutzer achten, wenn Sie Ihre Daten DSGVO-konform ablegen wollen?

Sobald der Kunde geschäftlich tätig ist, ist es wichtig, dass zwischen ihm und dem Cloudanbieter ein so genannter Auftragsverarbeitungsvertrag (AVV) - früher ADV - abgeschlossen wird. In der Vergangenheit lag die Verantwortung hierbei mehr auf der Kundenseite, nun wird sie geteilt. Daher macht auch die Bereitstellung eines solchen Auftragsverarbeitungsvertrages einen guten Cloudanbieter aus. Er beinhaltet alle Rechte und Pflichten beider Parteien. So versichert der Cloudanbieter mit Abschluss des Vertrages z.B., dass er entsprechende Maßnahmen zu Datenschutz und Datensicherheit umsetzt und welche.

Im AVV ist auch von TOM die Rede. Wer oder was ist TOM?

Vor der DSGVO haben die TOM es nur in den Anhang des Bundesdatenschutzgesetztes geschafft, nun sind sie als Artikel 32 in der DSGVO sehr präsent.

„TOM ist der kleine Bruder der IT- und Informationssicherheit.“

TOM steht für die technischen und organisatorischen Maßnahmen, die Unternehmen konkret ergreifen können, um DSGVO-konform zu handeln. Beispielsweise werden dort Sicherheitsmaßnahmen aufgeführt die z.B. die Zutrittskontrolle zum Serverraum oder zu den Personalaktenschränken regelt, sowie Maßnahmen für die Verschlüsselung von Daten in der Cloud aufgezeigt.

Welche Rolle spielt der Datenschutzbeauftragte im AVV?

Sobald in einem Unternehmen mindestens zehn Mitarbeiter ständig mit der automatisierten Verarbeitung von personenbezogenen Daten vertraut sind, ist ein Datenschutzbeauftragter zu ernennen, der dann auch im AVV erwähnt wird. Beim Datenschutzbeauftragten handelt es sich um eine Person aus dem Unternehmen, die dem Geschäftsführer direkt unterstellt ist und weisungsfrei arbeiten kann. Sie sollte Zuverlässigkeit und entsprechende Fachkunde im Bereich Datenschutz aufweisen und darf keinen Interessenskonflikten unterliegen. Daher handelt es sich bei dem Datenschutzbeauftragen niemals um den Geschäftsführer selbst, wie es irrtümlicher Weise öfters angenommen wird. Da das Thema Datenschutz im Zuge der DSGVO immer komplexer wird und es sich zunehmend zu einem juristischen sowie technischen Thema entwickelt, sollte der auserwählte Mitarbeiter auch an entsprechenden Schulungen teilnehmen. Folglich sollten ihm genügend Ressourcen zugeordnet werden, so dass er seiner Tätigkeit gewissenhaft nachgehen kann.

Welche weiteren Veränderungen künftig auf Sie zukommen und die wichtigsten Punkte des gesamten Interviews für Sie zusammengefasst, finden Sie in Teil 3 unseres Interviews.

Autor: Christina Gluch