SBphotos - stock.adobe.com

GDPR/DSGVO und Zertifikate: Auswahl von Cloud Storage

Bei der Auswahl von Cloud Storage müssen bald die Vorgaben der Datenschutz-Grundverordnung (DSGVO) beachtet werden. Datenschutz-Zertifikate nach GDPR werden dabei helfen.

Die Suche nach Cloud Storage scheint nicht besonders aufwendig zu sein: Es gibt viele Angebote, darunter auch kostenlose. Nicht nur Privatnutzer greifen gerne zu, wenn es um Cloud Storage geht, auch Unternehmen nutzen die zusätzlichen Speicherkapazitäten aus der Cloud.

Unter den von Unternehmen genutzten Cloud-Storage-Diensten sind bekanntlich auch solche, die sich eigentlich an den Privatanwender richten und oftmals nicht die Funktionalitäten bieten, die aus Sicht der betrieblichen IT-Sicherheit notwendig wären. Das ist aber nicht das einzige Problem.

Ein Großteil der Cloud-Apps ist noch nicht konform zur Datenschutz-Grundverordnung (DSGVO), so der Cloud-Report von Netskope über die Nutzung von Public-Cloud-Anwendungen in Unternehmen. Für Cloud Storage ergab die Netskope-Untersuchung: Unternehmen verwenden im Durchschnitt 24 verschiedene Apps im Bereich Cloud Storage, davon sind 67 Prozent nicht für Unternehmen geeignet, insbesondere wegen der fehlenden Konformität zur DSGVO / GDPR.

Es stellt sich die Frage: Woran kann ein Unternehmen denn erkennen, ob ein Angebot für Cloud Storage den Vorgaben der Datenschutz-Grundverordnung entspricht oder nicht? Diese Frage muss zwingend beantwortet werden können, wenn die DSGVO ab 25. Mai 2018 unmittelbar anzuwenden ist.

Die Bedeutung von Datenschutz-Zertifikaten wächst

Schon heute weisen viele Anbieter von Cloud-Storage-Diensten darauf hin, dass sie dem deutschen oder europäischen Datenschutz unterliegen und diesen beachten, dass sie über entsprechende Datenschutz-Zertifizierungen verfügen und alle Cloud-Daten nur in Deutschland oder aber in der EU vorgehalten werden.

Betrachtet man das noch geltende, alte Bundesdatenschutzgesetz (BDSG), so stellt man fest, dass es nicht reicht, wenn sich ein Cloud-Nutzer als Auftraggeber im Sinne einer Auftragsdatenverarbeitung (in Zukunft Auftragsverarbeitung genannt) damit zufrieden gibt. Unter anderem wird bisher gefordert: „Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. (…) Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren.“ Die Umsetzung war und ist ein Problem für Cloud-Nutzer.

Mit der Datenschutz-Grundverordnung (DSGVO/GDPR) kommt eine Hilfestellung für den Cloud-Nutzer hinzu: In Artikel 28 DSGVO heißt es zum einen: „Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“

Doch man findet dort auch: „Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 durch einen Auftragsverarbeiter kann als Faktor herangezogen werden, um hinreichende Garantien (…) nachzuweisen“. Datenschutz-Zertifikate können also als Auswahlkriterium dienen, wenn es um die Prüfung der Konformität von Cloud Storage nach DSGVO geht. Doch nicht jedes Cloud-Datenschutz-Zertifikat ist geeignet.

Datenschutz-Zertifikate müssen bestimmten Bedingungen entsprechen

Die DSGVO spricht von einem genehmigten Zertifizierungsverfahren gemäß Artikel 42 DSGVO. Offensichtlich gibt es Anforderungen an die Datenschutz-Zertifizierung, die nicht jedes bestehende oder zukünftige Zertifikat erfüllt und erfüllen wird. Unter anderem müssen die Zertifikate von akkreditierten Zertifizierungsstellen vergeben werden. Um es ganz klar zu sagen: Stand heute gibt es keine solchen Zertifizierungsstellen, sie kann es noch gar nicht geben, denn die DSGVO gilt noch nicht.

Es gibt aber eine Reihe von Zertifizierungsstellen, die sich bereits auf ein Zertifizierungsverfahren nach DSGVO vorbereiten. Ein Beispiel ist hier „Trusted Cloud Datenschutz-Profil (TCDP)“, ein Prüfstandard für die Datenschutz-Zertifizierung von Cloud-Diensten. TCDP wird gegenwärtig an die neuen europäischen Vorgaben, also an die DSGVO, angepasst.

Das C5-Testat des BSI (Bundesamt für Sicherheit in der Informationstechnik) als ein weiteres Beispiel ist eine sinnvolle Kombination, aber kein Ersatz für eine Datenschutz-Zertifizierung. Das BSI schreibt dazu: „Vor allem bei den technischen und organisatorischen Maßnahmen (TOM) gibt es zwischen TCDP und C5 eine große Übereinstimmung. Die Referenzierung des TCDP auf den C5 zeigt, dass der C5 viele der Forderungen des TCDP abdeckt. So kann bei einem Audit nach C5 auf effiziente Weise eine Datenschutzzertifizierung nach TCDP mit durchgeführt werden. Die rechtliche Seite des Datenschutzes wird jedoch nicht vom C5 adressiert.“

Wichtig sind auch folgende Hinweise über Datenschutz-Zertifikate, die bei der Auswahl von Cloud Storage helfen können: Die Zertifikate werden maximal drei Jahre gültig sein, es muss also eine Rezertifizierung erfolgen. Die Zertifikate haben keine Bindungswirkung für die Aufsicht, diese kann also ohne weiteres einen Cloud-Provider überprüfen, der zertifiziert ist. Die Zertifizierung ist freiwillig, nicht jeder Cloud-Anbieter muss sich also zertifizieren lassen. Bedenkt man aber, dass es Cloud-Nutzern zu empfehlen ist, auf Datenschutz-Zertifikate nach DSGVO zu achten, ist es auch mehr als empfehlenswert für Cloud-Storage-Anbieter, entsprechende Zertifizierungen anzustreben.

Deshalb ist zu erwarten, dass die DSGVO-konformen Anbieter auch wirklich an einem Zertifikat zu erkennen sein werden, an einem Zertifikat, das die Vorgaben der DSGVO erfüllt wohlgemerkt, nicht an jedem beliebigen Datenschutz-Zertifikat.

Folgen Sie SearchStorage.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Datenschutz-Grundverordnung: Die Meldepflichten bei Sicherheitsvorfällen

So wirkt sich das Bundesdatenschutzgesetz auf die IT-Sicherheit aus

Die Betroffenenrechte der Datenschutz-Grundverordnung umsetzen

Artikel wurde zuletzt im November 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Gesetzeskonforme Datenspeicherung

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close