DSGVO und GDPR

Datenschutz-Grundverordnung - was Cloud-Nutzer wissen müssen

04.05.2017
Von 
Der Diplom-Physiker Oliver Schonschek ist freier IT-Fachjournalist und IT-Analyst in Bad Ems.

Was ändert sich in Sachen Cloud-Migration?

Datenübersicht, Schnittstellen und Formate sind gefragt:

Das neue Recht auf Datenübertragbarkeit in der DSGVO bedeutet, dass es Cloud-Nutzern möglich sein muss, bestimmte Daten von einem Cloud-Anbieter auf einen anderen Anbieter zu übertragen, um den Anbieter zu wechseln. Hierbei muss der bisherige Cloud-Anbieter unterstützen: Soweit es technisch machbar ist, muss dabei der bisherige Cloud-Anbieter die definierten Daten an den neuen Provider übertragen. In jedem Fall müssen die betroffenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format dem Cloud-Nutzer bereitgestellt werden.

Cloud-Anbieter müssen sich also um Schnittstellen und Formate kümmern, die Cloud-Nutzer und Cloud-Anbieter um eine umfassende Übersicht, wo sich welche Daten befinden. Andernfalls kann keine erfolgreiche Übertragung stattfinden, da gegebenenfalls wichtige Daten fehlen. Bisher haben aber viele Cloud-Nutzer keinen wirklichen Überblick über ihre Datenbestände in der Cloud, es muss also nachgebessert werden.

Was muss bei einer Datenpanne in der Cloud geschehen?

Meldepflichten auch für Cloud-Anbieter:

Kommt es zu einer Datenschutzverletzung, bestehen nicht nur für den Cloud-Nutzer mögliche Meldepflichten (mit 72-Stunden-Frist) gegenüber Aufsichtsbehörde und den betroffenen Personen, auch der Cloud-Anbieter als Auftragsverarbeiter hat bestimmte Meldepflichten gegenüber dem Cloud-Nutzer. So besagt die DSGVO: Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Verantwortlichen (also dem Cloud-Nutzer) unverzüglich.

Hier muss so mancher Cloud-Anbieter nacharbeiten, wenn man sich die Cloud-Datenpannen in der letzten Zeit ansieht. Laut einer Untersuchung von Skyhigh Networks informiert nur ein Prozent der Cloud-Services innerhalb von 24 Stunden über Sicherheitsvorfälle. Es ist also zu prüfen, ob die Cloud-Nutzer ihrer Meldepflicht dann noch gerecht werden können. Cloud-Anbieter dürfen hier nicht zum Bremsklotz werden.