In deutschen Unternehmen gibt es den Bereich Human Resources, in dem Datenverarbeitung immer gleichbedeutend mit personenbezogener Datenverarbeitung ist. Da personenbezogene Daten per Definition immer persönlich referenziert sind, steigt hier häufig das Schutzbedürfnis.
Verarbeitung personenbezogener Daten nach DSGVO-Bestimmungen
Seit Inkrafttreten der allgemeinen Datenschutzverordnung sind personenbezogene Daten natürlich nicht nur angemessen geschützt. Das einstmalige Bundesdatenschutzgesetz hat spezifische Regeln für die Verarbeitung personenbezogener Daten festgelegt, die im Rahmen der DSGVO nach wie vor bestehen.
Die DSGVO verlangt nun jedoch hohe Bußgelder für Verstöße gegen den Datenschutz. Abhängig von den Umständen kann eine Geldstrafe von bis zu 20 Millionen Euro oder eine Strafe von 4 Prozent des weltweiten Jahresumsatzes verhängt werden. Besonders problematisch: Durch Verstöße gegen datenschutzrechtliche Bestimmungen können die Geschäftsführer und Vorstände gegebenenfalls entschädigungspflichtig werden und haften unter Umständen mit ihrem Privatvermögen.
In extremen Fällen kann der Verantwortliche sogar zu einer Haftstrafe verurteilt werden. Infolgedessen arbeiten viele Unternehmen daran, sogenannte sichere Speicherprodukte wie digitale Datenräume zu entwickeln.
Privilegierter Zugang – ein Risiko?
Auch wenn Unternehmen die üblichen „technischen und organisatorischen Maßnahmen“ (siehe Artikel 32 der DSGVO) zum Schutz von Daten ergreifen, bleiben dennoch nicht zu unterschätzende Restrisiken bestehen. Organisatorische Maßnahmen wie die sorgfältige Abwägung von Rechten und Rollenkonzepten sind relativ einfach zu umgehen.
Außerdem erhalten Administratoren häufig privilegierten Zugriff auf Server und können vertrauliche Daten anzeigen, bearbeiten oder stehlen. Das bringt Verantwortliche in Schwierigkeiten, denn gerade sie müssen die Integrität der Daten sicherstellen.
Abhilfe schaffen durch Technik?
Um personenbezogene Daten vor Einsicht, Manipulation oder Diebstahl schützen zu können, ist eine technische Lösung erforderlich, die den gesamten Zugriff, einschließlich des privilegierten Administratorzugriffs, zuverlässig blockiert. Herkömmliche Public-Cloud-Produkte erfüllen diese Anforderung häufig nicht. Selbst viele Business Clouds haben Schwierigkeiten, unnötigen Datenzugriff effektiv zu verhindern. Die meisten gängigen Serverinfrastrukturen bieten nämlich trotzdem privilegierten Administratorzugriff, z. B. zu Wartungs- oder Überwachungszwecken.
Besser und sicherer ist dagegen die Nutzung einer betreibersicheren oder versiegelten Infrastruktur: Hier werden organisatorische und manuelle Schutzmaßnahmen vollständig durch technische Methoden ersetzt, die selbst mit großem Aufwand nicht zu bewältigen sind. Der Server ist versiegelt und bietet keinen privilegierten Administratorzugriff. Die Kenntnis vertraulicher Daten sowie Diebstahl und Manipulation sind daher ausgeschlossen. Dies betrifft nicht nur für Administratoren, sondern auch alle externen und internen Angreifer.
Unternehmen, die sich für die Verarbeitung und Speicherung vertraulicher sowie persönlicher Daten auf die sicheren Cloud- und Datenraumprodukte von Carriern wie Uniscons iDGARD verlassen, sind rechtlich geschützt. Das richtige Zertifikat kann es dem Verantwortlichen auch erleichtern, seiner Verantwortung der Rechenschaftspflichten nachzukommen.
Rechtssichere Cloud – gibt es das?
Mit der allgemeinen Datenschutzverordnung (DSGVO) sind Cloud-Anbieter verantwortungsbewusster geworden als zuvor. Aber was bedeutet das für Cloud-Nutzer? Wie stellen Nutzer fest, ob ein Dienstleister oder Anbieter die Anforderungen der DSGVO erfüllt?
Wer auf Nummer sicher gehen möchte, kann auf die Online-Checkliste von TÜV SÜD zurückgreifen, mit der Nutzer überprüfen können, welche Kriterien Cloud-Dienste erfüllen müssen, um den neuen EU-Richtlinien zur DSGVO zu entsprechen. Der TÜV stellt zudem auch Schutzniveauzertifikate für Cloud-Anbieter, die sogenannten Trusted Clouds, aus.
Dies bedeutet, dass auch ohne das von der Europäischen Kommission genehmigte Zertifikat nachgewiesen werden kann, dass das hohe Schutzniveau der DSGVO eingehalten wird. Diese stellen so sicher, dass die Anbieter grundlegende Standards erfüllen. Auf diese Weise können Verantwortliche nachweisen, dass sie während der Inspektion ihre Sorgfaltspflicht eingehalten haben.
Zu den wichtigsten Forderungen im Hinblick auf die Rechtssicherheit von Cloud-Diensten gehören:
Verarbeitung nach Treu und Glauben, Rechtmäßigkeit, Transparenz (Artikel 5 Absatz 1 Buchstabe a der DSGVO)
Die Verarbeitung personenbezogener Daten in der Cloud ist nur zulässig, wenn die betroffene Person zustimmt oder es eine andere Rechtsgrundlage gibt. Die Daten müssen für den Betroffenen verständlich verarbeitet werden, das bedeutet, dass der Cloud-Anbieter eine eindeutige Garantie geben muss.
Integrität, Vertraulichkeit und Verfügbarkeit (Artikel 5 Absatz 1 Buchstabe f in Verbindung mit Artikel 32 der DSGVO)
Die Daten müssen so verarbeitet werden, dass die vollständige Sicherheit der Personaldaten gewährleistet ist, einschließlich des Schutzes vor illegaler Verarbeitung, Verlust oder Beschädigung. Darüber hinaus ist von der Verarbeitung nicht zu erwarten, dass die Würde der Betroffenen verletzt oder ihre Freiheit eingeschränkt wird.
Sicherheit und neueste Technologie (Artikel 32 DSGVO)
Bei der Verarbeitung ist auf ausreichende Sicherheit zu achten. Die Gesetzgeber fordern eine kontinuierliche Verbesserung der Sicherheit und stützen sich stets auf die sogenannte „neueste Technologie“.
Datenschutz zur Entwurfszeit und Datenschutz standardmäßig (DSGVO-Artikel 25)
Der Schutz aller Daten muss durch datenschutzfreundliche technische Designs (Schutz der Privatsphäre durch Design) und Standardeinstellungen des Datenschutzes (Schutz der Privatsphäre durch Standardeinstellungen) sichergestellt werden.
Rechenschaftspflicht (Artikel 5 Absatz 2 in Verbindung mit Artikel 28, Artikel 30 und Artikel 35 der DSGVO)
Grundsätzlich sind Cloud-Nutzer für die Einhaltung aller genannten Forderungen verantwortlich und müssen im Vorfeld präsentationsfähig sein (Accountability). Jeder Nutzer muss die Cloud-Verarbeitung in Active Directory einbinden und gegebenenfalls eine Risikoanalyse durchführen, die so genannte Datenschutz-Folgenabschätzung.
Benutzer teilen diese Verantwortung nun mit Cloud-Anbietern, die wiederum ausreichende Sicherheit bieten müssen, um die DSGVO-Anforderungen zu erfüllen.
Auftragsabwicklung (Artikel 28 DSGVO)
Beim Cloud-Computing erteilen Benutzer Aufträge an Anbieter, um Daten zu verarbeiten. Damit der Cloud-Nutzer auch seinen Verpflichtungen gegenüber den Betroffenen nachkommen kann, hat er mit dem Cloud-Anbieter eine Einigung über die Auftragsabwicklung erzielt, um sicherzustellen, dass dieser im gleichen Maße die DSGVO-Anforderungen erfüllt.
Rechtssicherheit in der Cloud: Nachweis durch Zertifikate
Natürlich ist es für Cloud-Benutzer schwierig und fast unmöglich, die Einhaltung dieser Anforderungen selbst zu überprüfen. Cloud-Anbieter können mithilfe von „nach Artikel 42 genehmigten Zertifizierungsverfahren“ nachweisen, dass die Einhaltung der oben genannten Anforderungen gegeben ist.
Mit den richtigen Zertifikaten können sich sowohl Cloud-Anbieter als auch Benutzer rechtlich schützen. Anbieter können Kunden nachweisen, dass sie die gesetzlichen Anforderungen für sichere Cloud-Dienste erfüllen, was es Cloud-Benutzern erleichtert, ihre Verantwortlichkeitsanforderungen zu erfüllen. Beispielsweise wurde speziell für die DSGVO ein Trusted Cloud Data Protection Profile (TCDP) entwickelt. Nach der Erweiterung der Verfahren und Prüfstandards wurden die Zertifikate auf Basis von TCDP in Zertifikate auf Basis der erforderlichen Standards umgewandelt.
Wer sich also für einen Cloud-Service mit TCDP-Zertifizierung entscheidet, befindet sich bereits auf der sicheren Seite. Dazu gehört auch iDGARD, der Datenaustauschdienst der Uniscon GmbH. Der Dienst entspricht bereits vollständig den Grundsätzen für die Verarbeitung von Personaldaten in den Artikeln 5, 25 und 32 der DSGVO.