DSGVO-Auftragsverarbeitung in der Cloud

Donnerstag, 15. März 2018, in Datenschutz, von Mark Neufurth

DSGVO-Auftragsverarbeitung in der Cloud

Rechtmäßigkeit, Auftragsverarbeitung nach Treu und Glauben, Transparenz
Art. 5/1a DSGVO

Die Verarbeitung personenbezogener Daten in der Cloud ist nach der DSGVO nur dann gestattet, wenn die Betroffenen der Verarbeitung zugestimmt haben oder eine andere Rechtsgrundlage existiert. Die Verarbeitung der Daten muss auf eine für den Betroffenen nachvollziehbare Weise stattfinden. Cloud-Anbieter müssen (als Dienstleister für Auftragsverarbeitung) Transparenz bei der Datenverarbeitung nachweisen. Die Grenzen sind hier sehr eng gezogen.

Vertraulichkeit, Integrität und Verfügbarkeit Art. 5/1f & 32  DSGVO

Daten sind auf eine Weise zu verarbeiten, die eine angemessene Sicherheit der Daten garantiert; das schließt den Schutz vor unrechtmäßiger Verarbeitung, Verlust oder Beschädigung ein. Stichworte wie Back-up und Disaster Recovery sind hier zu nennen.

Sicherheit und Stand der Technik Art. 32 DSGVO

Bei der Verarbeitung muss ein ausreichendes Sicherheitsniveau gewährleistet sein. Der Gesetzgeber verlangt Absicherung auf dem sog. Stand der Technik mit fortlaufender Verbesserung der Sicherungsprozeduren.

Privacy by Design und Privacy by Default Art. 25 DSGVO

Datenschutz muss bereits durch Privacy by Design und datenschutzfreundliche Voreinstellungen, Privacy by Default, gewährleistet sein.

Rechenschaftspflicht Art. 5/2, 28, 30 & 35 DSGVO

Grundsätzlich ist schon das Cloud nutzende Unternehmen für die Einhaltung aller genannten Anforderungen verantwortlich und muss diese bereits vorab nachweisen können. Es hat die Verarbeitung in der Cloud in das Verzeichnis der Verarbeitungstätigkeiten aufnehmen.

Auftragsverarbeitung Art. 28 DSGVO

Beim Cloud-Computing  erteilt der Nutzer dem Provider den Auftrag, personenbezogene Daten zu verarbeiten. Damit der Cloud-Nutzer seiner Verantwortung den Betroffenen gegenüber gerecht werden kann, schließt er mit dem Cloud Provider eine Vereinbarung zur Auftragsverarbeitung. Der Provider erklärt, die Anforderungen vollumfänglich zu erfüllen. Teil einer solchen Vereinbarung muss sein, dass der Cloud-Anbieter alle erforderlichen Informationen zum Nachweis der Einhaltung der Anforderungen vorhält.

Weitere wertvolle Erkenntnisse darüber, wie weit Ihr Unternehmen bereits voran geschritten ist, wenn es heißt, die DSGVO umzusetzen, gibt der kostenfreie DSGVO Readiness Check von ProfitBricks und Crisp Research.

Hinterlasse eine Antwort

* Pflichtfeld

© 2012-2018 by ProfitBricks