Um die Auswahl des richtigen Tools in Betracht auf die kommenden Änderungen durch die EU-Datenschutzgrundverordnung zu vereinfachen und die Überprüfung bisher genutzter Tools zu ermöglichen, haben wir die wichtigsten Punkte dieser in einer kurzen Checkliste zusammengefasst und erläutern gleichzeitig nochmals, warum die jeweiligen Punkte relevant sind. Folgende Fragen sollten vor der Nutzung eines Cloud-Tools gestellt werden:
-
Welche Zugriffs- und Berechtigungskonzepte bietet das Tool?
Über die Zugriff- und Berechtigungskonzepte kann geregelt werden, welche Person Zugriff auf bestimmte Daten hat. Nur hierdurch kann garantiert werden, dass keine relevanten / sensiblen Informationen in die falschen Hände gelangen und die Interessen der Betroffenen berücksichtigt werden.
Wo hat der Cloud-Anbieter seinen Hauptsitz?
Nach der DSGVO können Daten ohne Probleme bei Angeboten von Unternehmen gespeichert werden, welche Ihren Sitz in Deutschland oder der EWG haben. Die Datenverarbeitung außerhalb Europas muss dagegen in zwei Schritten geprüft werden: Zum einen, ob die jeweilige Datenverarbeitung zulässig ist (dies kann sich aus einer Rechtsvorschrift oder der Einwilligung der Betroffenen ergeben), und zum anderen, ob eine Übermittlung in das Empfängerland zulässig ist. Im Falle von sicheren Drittländern gilt ein angemessenes Datenschutzniveau, welches mit dem EU-Recht vergleichbar ist. Dies sind beispielsweise Länder wie die Schweiz, Kanada, u.ä. - Bei unsicheren Drittländern, in denen kein angemessenes Datenschutzniveau herrscht, wie beispielsweise Japan, Indien und China, muss die Daten übermittelnde Stelle das Niveau des Datenschutzes prüfen. Falls der Sitz in der USA liegt, gilt zu überprüfen, ob sich der Empfänger der Daten den Regelungen des Privacy Shield Abkommens unterwirft. (Wobei das Privacy Shield Abkommen derzeit erneut vor Problemen steht: https://www.bna.com/eu-court-ruling-n73014463158/)
Wo werden die Daten gespeichert?
Selbst wenn der Cloud-Anbieter seinen Sitz in der EU oder einem sicheren Drittstaat hat, kann es sein, dass er seine Daten beispielsweise in den USA ablegt. Dies würde aus den zuvor genannten Gründen wiederum nicht mit den Anforderungen an den Datenschutz vereinbar sein.
Wurden die notwendigen Verträge zur Datensicherung geschlossen?
Je nach Sitz des Unternehmens, Ort der Datenspeicherung und Art der zu speichernden Daten können verschiedene Verträge zur Einhaltung der Datenschutzbestimmungen notwendig sein. Als Stichworte seien hier EC Model Clauses, Vertrag zur Auftragsdatenverarbeitung oder Binding Corporate Rules genannt.
Wenn folgende Kriterien eingehalten werden, werden wichtigste Punkte der Datenschutzgrundverordnung eingehalten:
- Konzept zur Zugriffs- und Berechtigungssteuerung liegt vor?
- Die Daten werden auf Servern in Deutschland oder anderen EU-Ländern gespeichert
- Die Daten werden in Zertifizierten Rechenzentren gespeichert?
- Der Cloud-Anbieter hat seinen Hauptsitz in Deutschland oder einem anderen EU-Land (noch besser: Es besteht keine Tochtergesellschaft / Niederlassung im EU-Ausland)
- Anbieter bietet bei Bedarf den Abschluss des Vertrages zur Auftragsdatenverarbeitung an
Diese Punkte stellen die wichtigsten Komponenten dar, wenn eine Cloud-Software ausgewählt werden soll. Wie aus den Beschreibungen schon ersichtlich wird, kann die Nutzung einer Cloud-Software schnell einen hohen administrativen Aufwand mit sich bringen, wenn der Anbieter beispielsweise seinen Sitz im EU-Ausland hat.
Wir werden in Kürze eine ausführlichere Liste mit den wichtigsten Punkten zum Einsatz von Cloud-Tools und Punkten, die zu beachten sind, anbieten. Um hierzu informiert zu werden, kannst Du Dich einfach zu unserem Newsletter anmelden, durch welchen wir Dir Bescheid geben, wenn die komplette Checkliste verfügbar ist.
Bereit Stackfield zu testen?Über 10.000 Unternehmen nutzen StackfieldKostenlos Stackfield testen
Fast fertig...Bitte klicke auf den Link in der E-Mail, um Deine E-Mail Adresse und die Anmeldung zum Newsletter zu bestätigen.
Verpasse keinen Beitrag mehr.