Cloud-Computing ist kein Trend, sondern schlicht die nächste Entwicklungsstufe in der IT. Die neue EU-DSGVO hat auch auf diese Cloud-Anwendungen und deren Anbieter und Nutzer wesentliche Auswirkungen. Doch wer ist nun für die Einhaltung der Datenschutzanforderungen verantwortlich und wie kann man sich absichern?

Nicht nur private User, auch immer mehr heimische Unternehmen setzen auf cloud-basierte Anwendungen. Zahlreiche Vorteile wie eine höhere Sicherheit, Schutz vor Diebstahl, mehr Flexibilität sowie Kostenersparnisse sprechen für diese Lösungen. Für die IT-3ranchc ist die Cloud-Technologie einer der am schnellsten wachsenden Sektoren. Prognosen zeigen, dass sich der weltweite Umsatz mit Cloud-Computing bis zum Jahr 2020 auf rund 340 Milliarden Euro nahezu verdoppeln wird. Bisheriger „Schwachpunkt“ bei der Nutzung vieler Clouds war jedoch die mangelnde Transparenz über den tatsächlichen Speicherort der Daten und das damit verbundene Fragezeichen in puncto Datenschutz Die neue europäische DatenschutzGrundverordnung (EU-DSGVO) definiert nun klare Regelungen und Verantwortlichkeiten und hat auf Cloud-Anbieter als auch Cloud-User wesentliche Auswirkungen.

Cloud-Anbieter werden stärker in die Pflicht genommen

Die Nutzung von Cloud-Lösungen bzw. die Auslagerung diverser Services an Cloud-Anbieter wird in der EU-DSGVO als Auftragsverarbeitung geregelt Die Rollenverteilung ist hier klar definiert: Der Cloud-Nutzer ist der Auftraggeber, der Cloud-Anbieter Auftragsverarbeiter. Damit der Cloud-Nutzer seiner Verantwortung gegenüber den Betroffenen auch in diesem Fall gerecht werden kann, muss sich dieser mit einer Vereinbarung zur Auftragsverarbeitung mit dem Cloud-Anbieter absichern, dass dieser ebenfalls die Anforderungen der DSGVO erfüllt. Hier werden also beide Seiten klar dazu verpflichtet, den Anforderungen der EU-DSGVO zu entsprechen und einen hohen Datenschutz-Level zu gewährleisten.

Bei einer solchen Vereinbarung muss der Cloud-Anbieter unter anderem alle erforderlichen Informationen zum Nachweis der Einhaltung der Anforderungen zur Verfügung stellen. Ebenso ist er dazu verpflichtet, die Datenverarbeitung ausreichend zu dokumentieren. Unter diese Dokumentationspflicht fallen unter anderem Informationen zum Zweck der Datenverarbeitung und Aufbewahrungsfristen. Auch die unternehmensinternen Empfänger, die Zugriff auf die personenbezogenen Daten haben, müssen aufgezeichnet werden. Zudem muss ein Cloud-Anbieter seinen Kunden umfangreich über die Umstände aufklären, unter denen sie Daten erheben, speichern und verarbeiten. Durch das Marktort-Prinzip fallen dabei auch Cloud-Anbieter aus Drittländern unter die neue Verordnung, wenn sie weiterhin ihre Dienstleistungen innerhalb der Europäischen Union anbieten wollen. Dadurch werden eine Verzerrung des Marktes sowie die Schwächung des Datenschutzes durch Auslagerungen außerhalb der Union verhindern.

Für Cloud-Anbieter ist über dies jene Passage der DSGVO relevant, die besagt, dass „ein Auftragsverarbeiter, der unter Verstoß gegen diese Verordnung die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf diese Verarbeitung als Verantwortlicher gilt“. Verarbeitet der Cloud-Anbieter also die Daten des Auftraggebers auch zu anderen als im Auftrag festgelegten Zwecken, trägt er die volle Verantwortung für die Verarbeitung und somit auch für die Sicherheit der Daten, Bei Datenschutzverletzung drohen für den Auftragsverarbeiter auch Haftungsansprüche der Betroffenen und hohe Strafen.

Cloud-Nutzer sind letztverantwortlich

Die dezentrale Datenspeicherung bedeutet aber nicht, dass Cloud-Nutzer die Verantwortung bzgl. Datenschutz „auslagern“ können. Im Gegenteil, denn trotz des Umstandes, dass die Cloudanbieter vermehrt in die Pflicht genommen werden, bleibt schlussendlich der Cloud-Nutzer selbst für die Einhaltung des EU-Datenschutzrechts verantwortlich. Dieser wird durch die DSGVO ausdrücklich dazu verpflichtet, nur solche Cloud-Anbieter zu beauftragen, „die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Personen gewährleistet“, Die Wahl des Anbieters sollte daher mit größter Sorgfalt und Bedacht erfolgen.

Als eine erste Orientierung dient hierzu der Standort der Server-anlagen des Anbieters. Zwar nimmt die EU-DSGVO wie bereits erwähnt auch Cloud-Anbieter außerhalb Europas in die Pflicht, jedoch sind diese in Bezug auf mögliche staatliche Eingriffe und Rechtssicherheit mit einer Reihe von Risiken behaftet. Um diese zu vermeiden, sollte idealerweise ein Anbieter innerhalb der EU bevorzugt werden. Hierfür hat die Wirtschaftskammer Wien im vergangenen Jahr die Austrian Cloud-Initiative ins Leben gerufen, die die Suche und Auswahl eines Anbieters erleichtern und zugleich die heimischen Anbieter unterstützen soll. Mit dieser Initiative können sich Cloud-Dienstleister, die ihre Server in Österreich haben, entsprechend zertifizieren lassen. Der Nutzer bekommt dadurch eine Garantie, dass seine Daten im Land gespeichert und verarbeitet werden.

Zertifizierungen als Orientierungshilfe

Diese und weitere Zertifizierungen, die Auskunft über den Datenschutz geben, werden ab Mai eine zunehmend wichtigere Rolle spielen. Stellen solche Zertifikate laut DSGVO eine hinreichende Garantie in der Auftragsverarbeitung dar: „Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 durch einen Auftragsverarbeiter kann als Faktor herangezogen werden, um hinreichende Garantien nachzuweisen,“ Datenschutzzertifikate, die den Vorgaben der DSGVO entsprechen, können also dabei helfen, den aus Datenschutzsicht passenden Cloud-Anbieter auszuwählen und sich damit im Bedarfsfall abzusichern. Cloud-Anbieter können wiederum die Erfüllung der Anforderungen in Bezug auf den Datenschutz mit entsprechenden Zertifikaten nachweisen und sich so vom Mitbewerb abheben. Zu diesen Zwecken plant die Austrian-Cloud-Initiative auch weitere Zertifizierungen, welche unter anderem über Sicherheitsaspekte, rechtliche Konformität und technische Infrastruktur Auskunft geben.

Martin Puaschitz ist Obmann der Wiener Fachgruppe Unternehmensberatung, Buchhaltung und Informationstechnologie (UBIT Wien).