Sicherheit + Datenschutz 17. Februar 2020 4 Min Lesezeit

Personaldaten in der Cloud: Das erwartet Vorstände im Datenraum

Geschrieben von
Roger Klein
security finger print

Im Bereich Human Resources dreht sich Datenverarbeitung praktisch immer um personenbezogene Daten. Das ist kein Zufall: Personalakten, Lohnabrechnungen, Krankmeldungen — alles davon lässt sich direkt einer Person zuordnen. Und genau deshalb ist der Schutzbedarf hier besonders hoch.

Verarbeitung personenbezogener Daten nach DSGVO-Bestimmungen

Seit Inkrafttreten der DSGVO gelten verschärfte Regeln — und empfindliche Strafen. Bei Verstössen gegen den Datenschutz können Bussgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes verhängt werden, je nachdem, welcher Betrag höher ausfällt.

Für Geschäftsführer und Vorstände ist das besonders brisant: Sie können unter Umständen persönlich haftbar werden — bis hin zur Haftung mit dem Privatvermögen. In extremen Fällen droht sogar eine Freiheitsstrafe. Das erklärt, warum immer mehr Unternehmen auf betreibersichere Cloud-Lösungen und digitale Datenräume setzen.

Privilegierter Zugang – ein Risiko?

Auch wer die in Artikel 32 DSGVO geforderten technischen und organisatorischen Massnahmen umsetzt, hat damit das Problem nicht vollständig gelöst. Rollenkonzepte und Zugriffsberechtigungen lassen sich mit etwas Aufwand umgehen.

Das eigentliche Restrisiko sitzt tiefer: Administratoren haben typischerweise privilegierten Zugriff auf Server — und können damit vertrauliche Daten einsehen, verändern oder entwenden. Für Verantwortliche, die die Integrität der Daten gewährleisten müssen, ist das ein strukturelles Problem, kein theoretisches.

Abhilfe schaffen durch Technik?

Eine Lösung muss jeden Zugriff blockieren — auch den privilegierten Administratorzugriff. Herkömmliche Public-Cloud-Produkte schaffen das nicht. Selbst viele Business-Cloud-Angebote bieten privilegierten Wartungs- oder Überwachungszugang, der sich ohne technische Gegenmassnahmen nicht ausschliessen lässt.

Anders funktioniert eine betreibersichere oder versiegelte Infrastruktur: Dort ersetzen technische Methoden die organisatorischen Schutzmassnahmen vollständig — und zwar so, dass sie sich auch mit erheblichem Aufwand nicht aushebeln lassen. Der Server ist versiegelt, privilegierter Administratorzugriff ist nicht vorgesehen. Einblick in vertrauliche Daten, Diebstahl und Manipulation sind damit strukturell ausgeschlossen — für Administratoren ebenso wie für externe und interne Angreifer.

Unternehmen, die für Verarbeitung und Speicherung vertraulicher Personaldaten auf betreibersichere Lösungen wie Uniscons iDGARD setzen, sind rechtlich besser aufgestellt. Ein geeignetes Zertifikat erleichtert es dem Verantwortlichen zudem, die Rechenschaftspflichten nachweisbar zu erfüllen.

Rechtssichere Cloud – gibt es das?

Die DSGVO hat Cloud-Anbieter zu mehr Verantwortung gezwungen. Aber wie erkennst du als Nutzer, ob ein Anbieter die Anforderungen tatsächlich erfüllt?

Eine Orientierungshilfe bietet die Online-Checkliste des TÜV SÜD: Sie listet die Kriterien, die ein Cloud-Dienst erfüllen muss, um den EU-Richtlinien der DSGVO zu entsprechen. Der TÜV SÜD vergibt auch Schutzniveauzertifikate für Cloud-Anbieter — sogenannte Trusted Clouds. Damit lässt sich auch ohne das von der Europäischen Kommission genehmigte Zertifikat nachweisen, dass das hohe Schutzniveau der DSGVO eingehalten wird.

Zu den zentralen Anforderungen für rechtssichere Cloud-Dienste gehören:

Verarbeitung nach Treu und Glauben, Rechtmässigkeit, Transparenz (Artikel 5 Absatz 1 Buchstabe a der DSGVO)

Personenbezogene Daten dürfen in der Cloud nur verarbeitet werden, wenn die betroffene Person zugestimmt hat oder eine andere Rechtsgrundlage besteht. Die Verarbeitung muss für die Betroffenen nachvollziehbar sein — der Cloud-Anbieter muss dafür eine eindeutige Garantie abgeben.

Integrität, Vertraulichkeit und Verfügbarkeit (Artikel 5 Absatz 1 Buchstabe f in Verbindung mit Artikel 32 der DSGVO)

Die Daten müssen so verarbeitet werden, dass die vollständige Sicherheit der Personaldaten gewährleistet ist — einschliesslich des Schutzes vor illegaler Verarbeitung, Verlust oder Beschädigung. Die Würde der Betroffenen darf dabei nicht verletzt und ihre Freiheit nicht eingeschränkt werden.

Sicherheit und neueste Technologie (Artikel 32 DSGVO)

Bei der Verarbeitung ist auf ausreichende Sicherheit zu achten. Gesetzgeber fordern eine kontinuierliche Verbesserung und beziehen sich dabei stets auf den Stand der «neuesten Technologie».

Datenschutz zur Entwurfszeit und Datenschutz standardmässig (DSGVO-Artikel 25)

Datenschutz muss technisch eingebaut sein — durch datenschutzfreundliche Designs (Privacy by Design) und durch Standardeinstellungen, die den Schutz der Privatsphäre sicherstellen (Privacy by Default).

Rechenschaftspflicht (Artikel 5 Absatz 2 in Verbindung mit Artikel 28, Artikel 30 und Artikel 35 der DSGVO)

Cloud-Nutzer tragen die Verantwortung für die Einhaltung aller genannten Anforderungen und müssen dies jederzeit nachweisen können (Accountability). Das schliesst die Einbindung der Cloud-Verarbeitung in das Verzeichnis von Verarbeitungstätigkeiten ein — und gegebenenfalls eine Datenschutz-Folgenabschätzung.

Diese Verantwortung teilst du als Nutzer mit dem Cloud-Anbieter, der seinerseits ausreichende Sicherheit bereitstellen muss, um die DSGVO-Anforderungen zu erfüllen.

Auftragsabwicklung (Artikel 28 DSGVO)

Beim Cloud-Computing beauftragst du als Nutzer den Anbieter mit der Datenverarbeitung. Damit du deinen Verpflichtungen gegenüber den Betroffenen nachkommen kannst, brauchst du mit dem Anbieter eine Vereinbarung zur Auftragsverarbeitung — die sicherstellt, dass er die DSGVO-Anforderungen im gleichen Mass erfüllt.

Rechtssicherheit in der Cloud: Nachweis durch Zertifikate

Die Einhaltung dieser Anforderungen selbst zu prüfen, ist für Cloud-Nutzer kaum realistisch. Cloud-Anbieter können über «nach Artikel 42 genehmigte Zertifizierungsverfahren» nachweisen, dass sie die genannten Anforderungen tatsächlich erfüllen.

Mit den richtigen Zertifikaten schützen sich Anbieter und Nutzer rechtlich. Anbieter können gegenüber Kunden belegen, dass sie die gesetzlichen Anforderungen für sichere Cloud-Dienste erfüllen — was es dir als Nutzer erleichtert, deine Verantwortlichkeitsanforderungen nachzuweisen. Für die DSGVO wurde eigens ein Trusted Cloud Data Protection Profile (TCDP) entwickelt. Nach Erweiterung der Prüfstandards wurden TCDP-Zertifikate auf die erforderlichen Norm-Standards umgestellt.

Wer sich für einen Cloud-Service mit TCDP-Zertifizierung entscheidet, ist auf der sicheren Seite. Dazu zählt iDGARD, der Datenaustauschdienst der Uniscon GmbH — ein Dienst, der die Grundsätze für die Verarbeitung von Personaldaten nach Artikel 5, 25 und 32 der DSGVO vollständig umsetzt.

Über die Autor:in

Roger Klein

Geschäftsführer dataloft GmbH. WordPress seit Version 3, Frauenfeld. Verantwortet bei dataloft Strategie, Architektur und KI-Integration. Baut mit Mattes und Elena rundum.dog, die grösste deutschsprachige Hunde-Wissensplattform.

→ Wir

Hat dich der Artikel ins Grübeln gebracht?

Wir besprechen sowas gerne im Erstgespräch — schreib uns oder ruf an. Unverbindlich, persönlich, in der Regel innerhalb von 24 Stunden werktags.

→ Direkt zum Kontakt

Wenn du gleich noch was Grösseres anschauen willst

rundum.dog — unsere Hunde-Wissensplattform.

Die grösste deutschsprachige Hunde-Wissensplattform. Unser Eigenprojekt, unser Live-Beweis. Mit ca. einer Million Sessions pro Monat, eigenem KI-Plugin auf Anthropic-API und 17 Custom Post Types.

→ rundum.dog ansehen
Mehr zum Thema Sicherheit + Datenschutz

Drei verwandte Beiträge.

2020-03-12 Corona-Krise: Ungeschützte Videokonferenz im bayerischen Innenministerium 2020-03-28 Zoom reicht Daten von iOS Benutzern an Facebook weiter 2020-06-11 IoT Risiken im digitalen Zeitalter: Mit diesen Tipps zu mehr Sicherheit

Schreib uns oder ruf an.
Wir antworten in der Regel innerhalb von 24 Stunden werktags.

Roger Klein
Geschäftsführer
E-Mail
info@dataloft.ch
Telefon
+41 52 511 05 05
Adresse
dataloft GmbH · Rietweg 1 · 8506 Lanzenneunforn TG