© saicle/Shutterstock.com
PHP Magazin
Datenschutz beim Cloud Computing in Zeiten der DSGVO

Wolkige Aussichten?

Der Begriff Cloud scheint nicht greifbar zu sein, und doch weiß inzwischen wohl jeder, was damit gemeint ist: von E-Mail-Provider über den Anbieter von Onlinespeicherplatz bis hin zu Dienstleistungen mit Software oder Betriebssystemen per Fernzugriff und noch viel mehr - dies alles fällt unter den Sammelbegriff Cloud Computing. Mit der kommenden Datenschutz-Grundverordnung müssen weitreichende Datenschutzvorgaben beachtet werden.

Michael Rohrlich


Werden in der Cloud personenbezogene Daten verarbeitet, also z. B. Name, Anschrift, Geburtsdatum, Kontaktdaten, Bankverbindung, Personenfotos oder auch Kfz-Kennzeichen sowie IP-Adressen, wird dies juristisch als Auftragsverarbeitung (AV) bezeichnet, denn hier erledigt ein Unternehmen die Datenverarbeitung nicht selbst, sondern bedient sich dazu eines Dienstleisters (Details dazu im Kasten: „Praxistipp“). Handelt der Beauftragte dabei sozusagen als „verlängerter Arm“, also weisungsgebunden, dann agiert er im Auftrag des Unternehmens (der sogenannte Verantwortliche), bei dem die Hauptverantwortung für die verarbeiteten Daten verbleibt. Im Unterschied dazu sind Dienstleistungen „höherer Art“, wie beispielsweise Rechts- oder Steuerberatung, keine Auftragsverarbeitung, weil es hier an der Weisungsgebundenheit fehlt.

PraxistippNicht nur Cloud-Computing gilt als Auftragsverarbeitung, es gibt noch zahlreiche andere Dienstleistungen (auch offline), die in diese Kategorie fallen. Dazu zählen u. a.:Datenvernichtungs-/Entsorgungsdienstleister (Reißwolf und Co.)Wartung der Kopierer/DruckerInhousetechnik (Klimaanlage etc.)WachschutzGebäudereinigungWartung der TelefonanlageIT-DienstleisterSupportcallcenterMarketingagenturenWebanalysesoftwareIn all diesen Fällen müssen die Voraussetzungen einer Auftragsverarbeitung erfüllt, d. h. insbesondere die notwendigen Verträge geschlossen werden.

Voraussetzungen für die Auftragsverarbeitung

Die Voraussetzungen für eine rechtskonforme Auftragsverarbeitung haben sich in der EU-Datenschutz-Grundverordnung (DSGVO) im Vergleich zum alten Bundesdatenschutzgesetz (BDSG) etwas verändert. Auftragsverarbeiter müssen hinreichende Garantien dafür bieten, dass sie geeignete technische und organisatorische Maßnahmen (TOM) umgesetzt haben, damit die Verarbeitung von personenbezogenen Daten im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der Betroffenen gewährleistet. Solche Garantien sollen insbesondere ausreichendes Fachwissen, Zuverlässigkeit sowie die erforderlichen Ressourcen von Auftragsverarbeitern bestätigen. Die Einhaltung von genehmigten Verhaltensregeln oder genehmigten Zertifizierungsverfahren kann hierbei als Indikator herangezogen werden. Wer also als Auftragsverarbeiter agieren will und sich z. B. unternehmensinterne Regelungen auferlegt hat, die von der zuständigen Aufsichtsbehörde abgesegnet wurden, hat einen vergleichbaren Vorteil, wie etwa bei einer ISO-27001-Zertifizierung.

Bedient sich der AV-Diens...

PHP Magazin
Datenschutz beim Cloud Computing in Zeiten der DSGVO

Wolkige Aussichten?

Der Begriff Cloud scheint nicht greifbar zu sein, und doch weiß inzwischen wohl jeder, was damit gemeint ist: von E-Mail-Provider über den Anbieter von Onlinespeicherplatz bis hin zu Dienstleistungen mit Software oder Betriebssystemen per Fernzugriff und noch viel mehr - dies alles fällt unter den Sammelbegriff Cloud Computing. Mit der kommenden Datenschutz-Grundverordnung müssen weitreichende Datenschutzvorgaben beachtet werden.

Michael Rohrlich


Werden in der Cloud personenbezogene Daten verarbeitet, also z. B. Name, Anschrift, Geburtsdatum, Kontaktdaten, Bankverbindung, Personenfotos oder auch Kfz-Kennzeichen sowie IP-Adressen, wird dies juristisch als Auftragsverarbeitung (AV) bezeichnet, denn hier erledigt ein Unternehmen die Datenverarbeitung nicht selbst, sondern bedient sich dazu eines Dienstleisters (Details dazu im Kasten: „Praxistipp“). Handelt der Beauftragte dabei sozusagen als „verlängerter Arm“, also weisungsgebunden, dann agiert er im Auftrag des Unternehmens (der sogenannte Verantwortliche), bei dem die Hauptverantwortung für die verarbeiteten Daten verbleibt. Im Unterschied dazu sind Dienstleistungen „höherer Art“, wie beispielsweise Rechts- oder Steuerberatung, keine Auftragsverarbeitung, weil es hier an der Weisungsgebundenheit fehlt.

PraxistippNicht nur Cloud-Computing gilt als Auftragsverarbeitung, es gibt noch zahlreiche andere Dienstleistungen (auch offline), die in diese Kategorie fallen. Dazu zählen u. a.:Datenvernichtungs-/Entsorgungsdienstleister (Reißwolf und Co.)Wartung der Kopierer/DruckerInhousetechnik (Klimaanlage etc.)WachschutzGebäudereinigungWartung der TelefonanlageIT-DienstleisterSupportcallcenterMarketingagenturenWebanalysesoftwareIn all diesen Fällen müssen die Voraussetzungen einer Auftragsverarbeitung erfüllt, d. h. insbesondere die notwendigen Verträge geschlossen werden.

Voraussetzungen für die Auftragsverarbeitung

Die Voraussetzungen für eine rechtskonforme Auftragsverarbeitung haben sich in der EU-Datenschutz-Grundverordnung (DSGVO) im Vergleich zum alten Bundesdatenschutzgesetz (BDSG) etwas verändert. Auftragsverarbeiter müssen hinreichende Garantien dafür bieten, dass sie geeignete technische und organisatorische Maßnahmen (TOM) umgesetzt haben, damit die Verarbeitung von personenbezogenen Daten im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der Betroffenen gewährleistet. Solche Garantien sollen insbesondere ausreichendes Fachwissen, Zuverlässigkeit sowie die erforderlichen Ressourcen von Auftragsverarbeitern bestätigen. Die Einhaltung von genehmigten Verhaltensregeln oder genehmigten Zertifizierungsverfahren kann hierbei als Indikator herangezogen werden. Wer also als Auftragsverarbeiter agieren will und sich z. B. unternehmensinterne Regelungen auferlegt hat, die von der zuständigen Aufsichtsbehörde abgesegnet wurden, hat einen vergleichbaren Vorteil, wie etwa bei einer ISO-27001-Zertifizierung.

Bedient sich der AV-Diens...

Neugierig geworden?


    
Loading...

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang