Die Datenschutz-Checkliste zur Nutzung von Cloud-Tools

Um die Auswahl des richtigen Tools in Betracht auf die kommenden Änderungen durch die EU-Datenschutzgrundverordnung zu vereinfachen und die Überprüfung bisher genutzter Tools zu ermöglichen, haben wir die wichtigsten Punkte dieser in einer kurzen Checkliste zusammengefasst und erläutern gleichzeitig nochmals, warum die jeweiligen Punkte relevant sind. Folgende Fragen sollten vor der Nutzung eines Cloud-Tools gestellt werden:

• Welche Zugriffs- und Berechtigungskonzepte bietet das Tool?
  Über die Zugriff- und Berechtigungskonzepte kann geregelt werden, welche Person Zugriff auf bestimmte Daten hat. Nur hierdurch kann garantiert werden, dass keine relevanten / sensiblen Informationen in die falschen Hände gelangen und die Interessen der Betroffenen berücksichtigt werden.
• Wo hat der Cloud-Anbieter seinen Hauptsitz?
  Nach der DSGVO können Daten ohne Probleme bei Angeboten von Unternehmen gespeichert werden, welche Ihren Sitz in Deutschland oder der EWG haben. Die Datenverarbeitung außerhalb Europas muss dagegen in zwei Schritten geprüft werden: Zum einen, ob die jeweilige Datenverarbeitung zulässig ist (dies kann sich aus einer Rechtsvorschrift oder der Einwilligung der Betroffenen ergeben), und zum anderen, ob eine Übermittlung in das Empfängerland zulässig ist. Im Falle von sicheren Drittländern gilt ein angemessenes Datenschutzniveau, welches mit dem EU-Recht vergleichbar ist. Dies sind beispielsweise Länder wie die Schweiz, Kanada, u. ä. Bei unsicheren Drittländern, in denen kein angemessenes Datenschutzniveau herrscht, wie beispielsweise Russland, Indien und China, muss die Daten übermittelnde Stelle das Niveau des Datenschutzes prüfen. Falls der Sitz in der USA liegt, gilt zu überprüfen, ob sich der Empfänger der Daten den Regelungen des Privacy Shield Abkommens unterwirft.
• Wo werden die Daten gespeichert?
  Selbst wenn der Cloud-Anbieter seinen Sitz in der EU oder einem sicheren Drittstaat hat, kann es sein, dass er seine Daten beispielsweise in den USA ablegt. Dies würde aus den zuvor genannten Gründen wiederum nicht mit den Anforderungen an den Datenschutz vereinbar sein.
• Wurden die notwendigen Verträge zur Datensicherung geschlossen?
  Je nach Sitz des Unternehmens, Ort der Datenspeicherung und Art der zu speichernden Daten können verschiedene Verträge zur Einhaltung der Datenschutzbestimmungen notwendig sein. Als Stichworte seien hier "EC Model Clauses", "Vertrag zur Auftragsdatenverarbeitung" oder "Binding Corporate Rules" genannt.

Wenn folgende Kriterien eingehalten werden, werden wichtigste Punkte der Datenschutzgrundverordnung eingehalten:

Diese Punkte stellen die wichtigsten Komponenten dar, wenn eine Cloud-Software ausgewählt werden soll. Wie aus den Beschreibungen schon ersichtlich wird, kann die Nutzung einer Cloud-Software schnell einen hohen administrativen Aufwand mit sich bringen, wenn der Anbieter beispielsweise seinen Sitz im EU-Ausland hat.

Wir werden in Kürze eine ausführlichere Liste mit den wichtigsten Inhalten zum Einsatz von Cloud-Tools und Punkten, die zu beachten sind, anbieten. Um hierzu informiert zu werden, kannst Du Dich einfach zu unserem Newsletter anmelden, durch welchen wir Dir Bescheid geben, wenn die komplette Checkliste verfügbar ist.