vectorfusionart - stock.adobe.co
Tipps zur Einhaltung der DSGVO bei Cloud-Speichern
Die Einhaltung der DSGVO kann in der Cloud schwierig sein, da Firmen den Speicher nicht verwalten. Informieren Sie sich über Cloud-Anbieter und erstellen Sie einen Plan hierfür.
Trotz ihrer großen Beliebtheit birgt Cloud-Speicher inhärente Risiken, insbesondere wenn Unternehmen Cloud-Anbieter nutzen, die ihren Kunden nicht die gleiche Kontrolle über ihre Daten geben wie bei einem Rechenzentrum vor Ort.
Logischerweise ist die beste Wahl für DSGVO-konformen Cloud-Speicher ein Anbieter, der den Datenschutz aktiv schützt und wichtige Dateien und andere persönlich identifizierbare Informationen (PII) verschlüsselt.
Die DSGVO stellt sicher, dass Unternehmen mit Sitz in der Europäischen Union und alle Unternehmen, die mit einem EU-Mitgliedstaat Geschäfte machen, strenge Protokolle zum Schutz personenbezogener Daten befolgen. Die Verordnung soll den unbefugten Zugriff auf personenbezogene Daten verhindern und sicherstellen, dass Unternehmen und Einzelpersonen wissen, wo sich ihre personenbezogenen Daten befinden, wie sie darauf zugreifen können und wie und wann die Daten verwendet werden.
Zu den weiteren Merkmalen gehören Geldbußen und Strafen für Datenverstöße, die Dokumentation von Aktivitäten zur Gewährleistung des Datenschutzes, die Einrichtung eines Datenschutzbeauftragten (DSB) in Unternehmen, die die DSGVO einhalten, sowie regelmäßige Überprüfungen und Audits der DSGVO-Aktivitäten.
Feststellen, ob Cloud-Anbieter DSGVO-konform sind
Die Einhaltung der DSGVO ist obligatorisch, wenn der Anbieter eine Geschäftsbeziehung mit einer in der EU ansässigen Organisation unterhält. Bitten Sie den Anbieter um einen Nachweis der DSGVO-Konformität.
Die meisten großen Cloud-Anbieter sind DSGVO-konform, da sie wahrscheinlich Kunden in EU-Mitgliedstaaten haben. Ist dies nicht der Fall, müssen die Eigentümer personenbezogener Daten die Besucher von Unternehmenswebsites und anderen Ressourcen, die auf die Verarbeitung personenbezogener Daten hinweisen, um ihre Zustimmung bitten. Geschieht dies nicht, können finanzielle Strafen für die Nichteinhaltung der DSGVO verhängt werden.
Der Zugang zu sicheren E-Mails ist eine wichtige Möglichkeit, um zu überprüfen, ob die Anbieter die Datenschutzgrundverordnung einhalten. Die Anbieter sollten auch alle Daten verschlüsseln. Anbieter, die nachweisen, dass sie keine Kenntnis von den personenbezogenen Daten eines Nutzers haben, sind wahrscheinlich DSGVO-konform.
Zehn relevante DSGVO-Richtlinien, die für Cloud-Speicher gelten
Die Anforderungen der DSGVO können schwer zu verstehen und anzuwenden sein. Unternehmen, die Kundendaten oder personenbezogene Daten in einem Cloud-Speicher speichern, sollten die relevanten DSGVO-Regeln und -Vorschriften kennen, um die Einhaltung zu gewährleisten. Unternehmen können sich auch an Vorschriften orientieren, um sicherzustellen, dass ihre Daten mit der DSGVO konform sind, selbst wenn sie sie bei einem Cloud-Anbieter speichern.
1. Verarbeitung von Daten
Organisationen, die personenbezogene Daten verarbeiten, wie zum Beispiel der Cloud-Anbieter, müssen dies „auf rechtmäßige, faire und transparente Weise“ tun. Um dies zu erreichen, müssen die Organisationen Folgendes umsetzen:
- Es sollte einen legitimen Grund für die Verarbeitung der Daten geben.
- Die Daten dürfen nur für den angegebenen Zweck verarbeitet werden.
- Organisationen, die Benutzerdaten verarbeiten, müssen die Benutzer über alle Aktivitäten informieren, die personenbezogene Daten betreffen.
2. Beschränkung der Gründe für die Datenverarbeitung
Eine Organisation, die Daten verarbeitet, darf nur die notwendigen Daten erheben und sie nicht aufbewahren, sobald sie verarbeitet sind. Sie dürfen Daten nicht aus einem anderen Grund als dem angegebenen Zweck verarbeiten oder um zusätzliche Daten bitten, die sie nicht benötigen. Sie müssen fragen, ob personenbezogene Daten gelöscht werden können, wenn sie ihren ursprünglichen Zweck erfüllt haben.
3. Rechte der Dateninhaber
Dateneigentümer und für die Verarbeitung Verantwortliche haben das Recht, den Cloud-Anbieter zu fragen, welche Daten er über sie hat und was er mit diesen Daten gemacht hat. Sie können Berichtigungen ihrer Daten verlangen, eine Beschwerde einreichen und die Übertragung oder Löschung personenbezogener Daten beantragen.
4. Recht auf Zustimmung
Dateninhaber müssen eine dokumentierte Erlaubnis erteilen, wenn ein Datenverarbeiter eine über die ursprünglichen Anforderungen hinausgehende Aktion mit personenbezogenen Daten durchführen will.
5. Datenschutzverletzungen bei personenbezogenen Daten
Das verarbeitende Unternehmen oder der Cloud-Anbieter muss die zuständigen Aufsichtsbehörden und die Eigentümer personenbezogener Daten innerhalb von drei Tagen über eine Datenschutzverletzung informieren. Der Anbieter muss außerdem ein Protokoll über Datenverletzungen führen.
6. Sicherstellung des Datenschutzes in neuen Systemen
Unternehmen, die einen Wechsel des Cloud-Anbieters planen, müssen in das neue System Funktionen einbauen, die den Datenschutz, die Sicherheit und die GDPR-konforme Verwaltung personenbezogener Daten gewährleisten.
7. Durchführung einer Folgenabschätzung zur Gewährleistung des Datenschutzes
Unternehmen, die personenbezogene Daten verarbeiten, müssen vor jedem neuen Projekt oder vor Änderungen an bestehenden Systemen, die sich auf die Verarbeitung personenbezogener Daten auswirken können, eine Datenschutz-Folgenabschätzung durchführen.
8. Übermittlung von Daten innerhalb und außerhalb der Organisation
Wenn eine dritte Partei Daten verarbeiten könnte, ist die Organisation, die personenbezogene Daten verarbeitet - der für die Verarbeitung Verantwortliche - für den Schutz personenbezogener Daten verantwortlich. Dies gilt auch, wenn der für die Verarbeitung Verantwortliche Daten innerhalb der Organisation weitergibt.
9. Einrichtung der Rolle eines DSB
Der behördliche Datenschutzbeauftragte ist dafür verantwortlich, dass personenbezogene Daten sicher und geschützt verarbeitet werden. Er muss auch die Einhaltung der DSGVO sicherstellen. Der Dateneigentümer und die Datenverarbeiter, wie beispielsweise Cloud-Anbieter, können diese Rolle einrichten.
10. Sicherstellung der GDPR-Compliance durch Sensibilisierung und Schulung
Um die unternehmensweite Unterstützung für die DSGVO zu gewährleisten, müssen Dateneigentümer und -verarbeiter ihre Mitarbeiter für die Vorschriften sensibilisieren und schulen, damit sie ihre Verantwortung kennen.
DSGVO-konforme Speicheranbieter
Im Folgenden finden Sie eine kurze Liste von DSGVO-konformen Speicheranbietern, von denen die meisten über Cloud-Speicherressourcen verfügen:
- Amazon (Amazon S3, Amazon Drive)
- Google (Google Cloud Platform, Google Drive)
- Microsoft (Microsoft Azure, Microsoft OneDrive)
- Backblaze (B2 Cloud-Speicher)
- Synchronisierung
- pCloud
- CrashPlan
- Dropbox
- Icedrive
- IDrive
- Cubbit
- Mega
- Tresorit
- Koofr
- Box
- SecureSafe
Erreichen und Aufrechterhalten der Konformität mit der DSGVO
Um den Schutz personenbezogener Daten geht es bei der DSGVO, und ihre Vorschriften sind sehr spezifisch, was den Schutz personenbezogener Daten angeht. Organisationen, die die DSGVO einhalten möchten, sollten über eine operative Richtlinie, Verfahren und Protokolle für die Speicherung und Verarbeitung personenbezogener Daten verfügen. Sie müssen auch in der Lage sein, Transaktionen zu dokumentieren, die personenbezogene Daten betreffen, um die Einhaltung der DSGVO durch das Unternehmen zu unterstützen. Dokumentieren Sie diese Aktivitäten für Prüfungszwecke, und überprüfen und aktualisieren Sie sie regelmäßig.
