Die Datenschutzgrundverordnung (DSGVO), im Englischen General Data Protection Regulation (GDPR), wird ab Mai 2018 europaweit in Kraft treten. Bei der DSGVO dreht sich alles um den Schutz personenbezogener Daten. Für Cloud-Lösungen bedeutet dies, dass verschiedene Datenschutz -Aspekte neu bewertet werden müssen.
Darum geht es bei der Datenschutzgrundverordnung 2018
Ein wichtiger Punkt bei der DSGVO ist die Frage nach dem Speicherort der Daten in der Cloud. Viele Unternehmen nutzen Dienste wie Dropbox oder Microsoft OneDrive, obwohl diese Speicherdienste „außerhalb des Unternehmens“ liegen. Sobald personenbezogene Daten von EU-Bürgern gespeichert werden, ist der physische Standort der Datenspeicherung aber von Bedeutung. Denn: Diese Daten dürfen nicht in Ländern gespeichert werden, die sich nicht an die EU-Standards bezüglich Rechtsstaatlichkeit halten!
Die Datenschutzgrundverordnung sorgt durch das Marktortprinzip dafür, dass die Gesetze auch von Cloud-Anbietern aus Drittstaaten einzuhalten sind, wenn sie ihre Dienste innerhalb der EU anbieten. Die meisten Anbieter bieten hierzu auch eine Vertragsvereinbarung an, die diese Punkte im Sinne der DSGVO regelt.
Cloud-Lösungen und die DSGVO
Nutzt Ihr Unternehmen ein Cloud-Produkt, zum Beispiel für den E-Commerce in der Cloud, sollten Sie eine Vereinbarung zur Auftragsverarbeitung anstreben. Dabei gelten interne Dokumentationspflichten sowohl für das Unternehmen, das die Daten nutzt, als auch für den Auftragsverarbeiter, also den Cloud-Anbieter.
Viele Anbieter, wie zum Beispiel Amazon mit seinen AWS Cloud Diensten, haben bereits reagiert und bieten maßgeschneiderte Lösungen an. Amazon hat seine Compliance Regelungen entsprechend angepasst und verpflichtet sich, Services und Ressourcen anzubieten, mit deren Hilfe die DSGVO-Anforderungen erfüllt werden können.
Wer mit Daten von EU-Bürgern arbeitet, muss auf jeden Fall einen Datenschutzbeauftragten in seinen Compliance-Vorschriften benennen. Dies kann ein interner oder auch externer Datenschutzbeauftragter sein – auf keinen Fall sollte man auf diesen Datenschutzbeauftragten verzichten. Rechtlich gibt es also einiges abzusichern!
Was muss man bei der IT-Technik beachten?
Auch technisch gibt es einiges zu beachten. Eine IT-Sicherheitsarchitektur ist dringend notwendig und muss dokumentiert implementiert werden: Von VPN-Netzwerken über Virenscanner und Firewalls bis hin zu Mitarbeiter-Zugängen muss es in den Unternehmen eine dokumentierte Regelung und Implementierung geben.
Aus technischer Sicht sind die wichtigsten Kernaspekte „privacy by design“ und „privacy by default“. Die Idee dahinter ist: Wenn Verletzungen des Datenschutzes aufgrund technischer Maßnahmen faktisch nicht möglich sind, müssen sie auch nicht überwacht werden. Zum Beispiel, wenn man in seiner Analyse-Software für den eigenen Onlineshop keine IP-Adressen von Benutzern trackt und speichert, können in der späteren Datenverarbeitung keine Verstöße erfolgen.
Aufgrund des DSGVO sind aus technischer Sicht einfache Maßnahmen zur Einhaltung und Unterstützung des Datenschutzes durchzuführen. Das bedeutet unter anderem:
- Personenbezogene Daten sollten pseudonymisiert und verschlüsselt sein.
- Es muss eine Möglichkeit geben, die Verfügbarkeit, Integrität und Vertraulichkeit der Systeme auf Dauer sicherzustellen.
- Nach einem Zwischenfall muss die Verfügbarkeit personenbezogener Daten wiederherzustellen sein.
- Es muss ein Verfahren geben, das die regelmäßige Überprüfung und Evaluierung der Wirksamkeit aller technischen und organisatorischen Maßnahmen sicherstellt.
Weitere Ratschläge erhalten Sie in unserem Beitrag „Neues EU-Datenschutzrecht ab Mai 2018 – Das sind die 6 wichtigsten To Dos für Onlinehändler“
Eine kurze Checkliste für die Datenschutzverordnung
Diese Punkte sollten Sie bei der DSGVO im Griff haben:
- Haben Sie einen Überblick über alle Ihre Unternehmensdaten? Erstellen Sie ein Verfahrensverzeichnis, in dem die Verarbeitungsprozesse sämtlicher Datenarten dokumentiert sind.
- Haben Sie zur Datenverarbeitung eine Vereinbarung mit Ihren Cloud-Anbietern getroffen? Vergleichen Sie Ihr Verfahrensverzeichnis mit dem des Cloud-Anbieters. Achten Sie auf eine Übereinstimmung.
- Haben Sie Ihre Mitarbeiter hinsichtlich Verhaltensregeln und Datenschutz geschult? Verwalten und protokollieren Sie Zugriffsrechte aller Mitarbeiter. Und schulen Sie Ihre Mitarbeiter hinsichtlich der Verhaltensregeln und der Einhaltung des Datenschutzes.
Hinweis: Mehr zur Datenschutzgrundverordnung im Bezug auf Onlineshops, E-Commerce und Magento finden Sie in unserem Blog in der Rubrik DSGVO.
