Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 03/25

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
13. Februar 2025

DSGVO, Datenschutz und Cloud Computing: Wer ist verantwortlich?

Eine Wolke (Cloud), die aus Symbolen für etwa Musik, Technik etc. zusammengesetzt ist
Bild: iStock.com / Maxiphoto
4,00 (3)
drucken
Datenschutz-Grundverordnung und gemeinsame Verantwortlichkeit
Cloud Service Provider und andere Auftragsverarbeiter werden mit der Datenschutz-Grundverordnung (DSGVO / GDPR) stark in die Pflicht genommen. Sie nehmen dem Auftraggeber aber keine Verantwortung ab, sondern können selbst auch verantwortlich werden. Was heißt das konkret?

Die Datenschutz-Grundverordnung (DSGVO / GDPR) macht zur Frage der Verantwortung klare Vorgaben:

  • Der Verantwortliche ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
  • Der Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
  • Erfolgt eine Verarbeitung im Auftrag, so arbeitet der Verantwortliche nur mit Auftragsverarbeitern zusammen, die geeignete technische und organisatorische Maßnahmen garantieren, um die Verarbeitung im Einklang mit den Anforderungen der Grundverordnung durchzuführen und den Schutz der Rechte der betroffenen Person zu gewährleisten.
  • Der Auftragsverarbeiter und jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten. Ausnahme: Sie sind nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet.

Auch Auftragsverarbeiter tragen nach DSGVO Verantwortung

Nach Artikel 28 DSGVO gilt, dass „ein Auftragsverarbeiter, der unter Verstoß gegen diese Verordnung die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf diese Verarbeitung als Verantwortlicher gilt“. Zudem gibt es spezielle Haftungsregelungen, wenn Auftragsverarbeiter den Datenschutz verletzen.

Nicht zuletzt verpflichtet die DSGVO Auftragsverarbeiter dazu, ebenfalls ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Es muss alle Kategorien von Verarbeitungen abdecken, die ein Unternehmen im Auftrag eines Verantwortlichen durchführt.

Dieses Verzeichnis muss ein Auftragnehmer bei Kontrollen der Datenschutzaufsicht auf Anfrage zur Verfügung stellen.

Cloud Computing: Technische Umsetzung der Verantwortung

Abgesehen davon, dass sich der Auftraggeber von den Garantien für den Datenschutz beim Auftragsverarbeiter überzeugen muss, ist es technisch keineswegs leicht, die Verantwortung zu übernehmen für die Cloud.

Denn die technischen Verfahren für das Cloud Computing führt nun einmal der Cloud Service Provider (CSP) durch.

Im Cloud Computing bietet sich technisch gesehen aber ein Modell der Shared Responsibility an. Dabei wird rechtlich die Verantwortung nicht einfach abgegeben.

Zentral: Verschlüsselung der Cloud-Daten und der Datenübertragung

Cloud Provider sagen häufig, sie seien verantwortlich für die Cloud, die Cloud-Nutzer aber seien dafür verantwortlich, was in der Cloud passiert.

Der Cloud-Anbieter AWS beschreibt es so: AWS ist für den Schutz der Infrastruktur verantwortlich, in der alle in der AWS Cloud angebotenen Services ausgeführt werden. Diese Infrastruktur besteht aus der Hardware, Software, dem Netzwerk und den Einrichtungen, auf und in denen AWS Cloud-Services ausgeführt werden.

Der Kunde ist für das Gastbetriebssystem und dessen Verwaltung (einschließlich Updates und Sicherheitspatches), für andere damit verbundene Anwendungssoftware sowie für die Konfiguration der von AWS bereitgestellten Firewall für die Sicherheitsgruppe verantwortlich.

Die technische Verantwortung des Kunden für die Datensicherheit in der Cloud lässt sich am besten mit einer providerunabhängigen Verschlüsselung der Cloud-Daten erreichen.

Davon unabhängig verschlüsselt der Cloud-Provider ebenfalls, und zwar die Datenübertragung von der Cloud und in die Cloud.

Beispiele Verschlüsselungs-Anbieter

Beispiele für Cloud-Verschlüsselungen, die providerunabhängig arbeiten, gibt es reichlich, darunter:

Technisch teilt man sich so die Aufgaben, wobei die Verantwortung selbst nicht geteilt wird. Denn es kann nur weitere Verantwortliche im Datenschutz geben, nicht etwa Halbverantwortliche.

Bedeutung von gemeinsamer Verantwortlichkeit

Legen zwei oder mehr Verantwortliche gemeinsam die Mittel und Zwecke einer Verarbeitung fest, agieren sie in gemeinsamer Verantwortlichkeit. Dazu Prof. Dr. Thomas Petri, Bayerischer Landesbeauftragte für den Datenschutz : „Die gemeinsame Verantwortlichkeit bildet neben der Auftragsverarbeitung die zweite Grundform der Kooperation bei Datenumgängen“. Hierzu bietet er eine spezielle Orientierungshilfe „Gemeinsame Verantwortlichkeit“ an.

Oliver Schonschek

Oliver Schonschek
zu den Kommentaren
Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
drucken
Verfasst von
Oliver Schonschek
Oliver Schonschek
Oliver Schonschek ist freiberuflicher News Analyst, Journalist und Kommentator, der sich auf Sicherheit, Datenschutz und Compliance spezialisiert hat. Er schreibt für führende Medien, ist Herausgeber und Autor mehrerer Lehrbücher.
Verwandte Beiträge
21. Februar 2025
Einwilligungsverwaltungsverordnung | Podcast Folge 59

Einwilligungsverwaltungsverordnung | Podcast Folge 59

Podcast
17. Februar 2025
Eine gezeichnete Ärztin hält einen Laptop auf dem eine elektronische Patientenakte zu sehen ist
Bild: VectorMine / iStock / Getty Images Plus

Die elektronische Patientenakte und der Datenschutz

Hintergrund
14. Februar 2025
Weiterleitung von Mails nach Hause – Rauswurf!
Bild: Design / iStock / GettyImages

Weiterleitung von Mails nach Hause – Rauswurf!

Urteil
Urteil
11. Februar 2025
Datenschutz-Vorträge an Schulen: Lehrerin erklärt ihren Schülern informatives über den Datenschutz. Auf der Tafel stehen Think befor you click
Bild: Chat-GPT / Bearbeitung durch WEKA

Bühne frei für Engagierte!

Hintergrund
Vorlagen
10. Februar 2025
DP+
Der Hausmeister als Sicherheits-Chef

Der Hausmeister als Sicherheits-Chef

Praxisbericht
IT-Sicherheit
weitere Beiträge laden
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.