Dieser Artikel ist Teil unseres Guides: Sicherheit für hybride IT-Infrastrukturen gewährleisten

Datenschutz-Grundverordnung: Worauf bei der Cloud-Migration zu achten ist

Die Datenschutz-Grundverordnung (DSGVO) sieht ein Recht auf Datenübertragbarkeit vor. Die Sorgen vor dem Lock-in bei Cloud Computing sollen so sinken.

IT-Entscheidern ist die Vermeidung eines Vendor Lock-in sehr wichtig, sie wollen sich nicht wieder in der Sackgasse wiederfinden, so ein Ergebnis der IDC-Studie „Hybrid Cloud in Deutschland 2015/16“.

Genau hier kann eine der wichtigsten Neuerungen durch die Datenschutz-Grundverordnung (DSGVO) der EU für Verbesserung sorgen, das neue Recht auf Datenübertragbarkeit (an einen anderen Dienstleister). Schon im Dezember 2014 hatte der Verbraucherzentrale Bundesverband e.V. (vzbv) erklärt, dass ein Recht auf Datenübertragbarkeit als ein zentrales Werkzeug zum Aufbrechen von Lock-in-Effekten in digitalen Märkten dienen kann. Inzwischen ist dieses Recht beschlossen und muss ab Mai 2018 umgesetzt werden.

Unter den Betroffenenrechten in der Datenschutz-Grundverordnung gehört das Recht auf Datenübertragbarkeit allerdings zu den Regelungen, deren Umsetzung nicht ohne Weiteres auf der Hand liegt. „Viele Regelungen der neuen Datenschutzverordnung sind so allgemein formuliert, dass nicht auf den ersten Blick klar ist, wie sie in der Praxis umgesetzt werden sollen“, so ein Statement des Digitalverbandes Bitkom.

Trotzdem müssen sich Cloud-Anbieter und Cloud-Nutzer schon jetzt auf die Umsetzung vorbereiten. Nicht umsonst sagte zum Beispiel der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern: „Der Übergangszeitraum von zwei Jahren ist äußerst knapp bemessen. Die Unternehmen müssen unverzüglich beginnen, ihre Prozesse zum Umgang mit personenbezogenen Daten zu analysieren, um sie rechtzeitig an die Erfordernisse der Europäischen Datenschutz-Grundverordnung anpassen zu können.“

Datenübertragbarkeit gilt nicht für alle Daten

Eine grundsätzliche Empfehlung für Cloud-Nutzer lautet bekanntlich, bereits vor Vertragsschluss an das Vertragsende zu denken. Cloud-Verträge sollen Exit-Regelungen enthalten. Das kann man auch bereits dem bestehenden Bundesdatenschutzgesetz (BDSG) entnehmen, in dem es heißt: „Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind: (…) die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.“

Alleine die Löschung der Cloud-Daten und die Rückgabe von Datenträgern hilft dem Cloud-Nutzer aber wenig, wenn er seine Cloud-Daten selbst oder bei einem anderen Provider weiter nutzen möchte. Mit der Datenschutz-Grundverordnung wird dies dem ersten Anschein nach besser. Doch leider sorgt das neue Recht auf Datenübertragbarkeit aber nicht dafür, dass der Komplettumzug von Cloud zu Cloud in Zukunft gesichert wäre.

Das Recht auf Datenübertragbarkeit gilt nur für die personenbezogenen (!) Daten, die die Nutzer selbst betreffen, die sie einem Verantwortlichen bereitgestellt haben, nicht für eine Verarbeitung, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Ebenso gilt das Recht nur, wenn die Verarbeitung auf einer Einwilligung oder einem Vertrag beruht und die Verarbeitung mithilfe automatisierter Verfahren erfolgt.

Zudem darf das Recht auf Datenübertragbarkeit die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. Damit sind Datenbestände, die auch andere Nutzer betreffen, nicht so einfach in eine Datenmigration zu einem anderen Dienstleister zu übernehmen. Zuerst muss geprüft werden, was dies für die Rechte und Freiheiten der anderen Personen bedeutet.

Cloud-Nutzer sollten also für sich prüfen, welche Daten denn im Fall des Falles wirklich auf Basis des neuen Rechts übertragen werden können und für welche Daten andere Regelungen erforderlich sind.

Cloud-Migration profitiert trotzdem

Trotz der genannten Einschränkungen ist das Recht auf Datenübertragbarkeit ein Fortschritt für den Verbraucherschutz. So müssen die Daten in einem strukturierten, gängigen und maschinenlesbaren Format bereitgestellt werden, der Provider darf die Übertragung an einen anderen Provider nicht behindern, im Gegenteil: Der Cloud-Nutzer und Betroffene hat sogar das Recht zu verlangen, dass die personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist.

Nun sollten Cloud-Provider aber nicht denken, sie könnten sich darauf zurückziehen, dass die Übertragung technisch nicht möglich sei. Es ist davon auszugehen, dass der aktuelle Stand der Technik Maßstab sein wird, was möglich ist und was nicht. Vielmehr sollten sich die Cloud-Provider darauf vorbereiten, das Recht auf Datenübertragbarkeit unterstützen und umsetzen zu können. Hier gibt es verschiedene Punkte zu beachten.

Datenübertragbarkeit muss technisch vorbereitet werden

Cloud-Provider sollten sich an dem Stand der Technik für eine Migration orientieren und prüfen, wie sie die Daten von anderen Daten trennen können, die nicht unter das neue Recht fallen. Technisch sollten insbesondere die Exportfunktionen und Schnittstellen überprüft werden, ob diese die zu erwartende Datenmenge behandeln können, ob der Export in einer vertretbaren Zeit möglich ist, ob die Vollständigkeit der Daten sichergestellt werden kann, ob das Format strukturiert, gängig und maschinenlesbar ist und ob die Datenmigration auch sicher genug erfolgt, damit der Datenexport nicht zur Datenpanne wird. Das Recht auf Datenübertragbarkeit hält also viele Aufgaben für Cloud-Anbieter bereit.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close