02/02/2023

Cloud-Dienste und die DSGVO. Das ändert sich 2023

Anbieter, die Daten in nicht sichere Drittländer übermitteln, müssen ihre Rahmenverträge für Cloud-Dienste an die geänderten EU-Vorgaben anpassen. Tun sie das nicht, drohen schlimmstenfalls empfindliche Geldstrafen.

Das neue Jahr bringt auch im Bereich des Datenschutzes einige Veränderungen. Mit neu standardisierten Vertragsklauseln regelt die EU-Rechte und Pflichten von Unternehmen, die personenbezogene Daten an Staaten übermitteln, die nicht dem Europäischen Wirtschaftsraum angehören. Damit möchte Brüssel ein erhöhtes europäisches Datenschutzniveau für mehr Sicherheit etablieren. Zu den Leistungen, die von den neuen Klauseln betroffen sind, gehören auch Cloud-Dienste.

In der entsprechenden Version der DSGVO werden Staaten wie die USA, China oder auch Indien fortan als „nicht sicher“ eingestuft. Das hat auf viele IT-Dienstleister direkte Auswirkungen. Schließlich lassen sie sehr oft personenbezogene Daten weiterverarbeiten, die nun in einem der nun „nicht sicheren“ Staaten in einem Staat verarbeiten, der nicht dem Europäischen Wirtschaftsraum angehören und damit als „nicht sicher“ gelten. Die Schweiz, Großbritannien, Japan, Uruguay oder Israel sind von der Neuregelung nicht betroffen.

Das höchste Level für den Datenschutz

Die Einhaltung des umfassenden Verhaltenskodes der europäischen Cloud-Industrie ist eine „sicherer Goldstandard“. Dieser Standard garantiert, dass europäische Datenschutzstandards auf Basis der DSGVO einheitlich angewandt werden. Das entsprechende Zertifikat auf Level 3 gilt als das höchstmögliche Niveau beim europäischen Datenschutz. Aus ihr geht hervor, dass sich alle gespeicherten Daten in der EU befinden.

DSGVO 2023: Server-Anbieter reagieren

Indessen reagieren auch Unternehmen aus „nicht sicheren“ Ländern auf das Vorgehen der EU. So hat Microsoft mit seiner „EU Data Boundary“-Lösung eigene Cloud-Prinzipien gestartet, mit der das Unternehmen die persönlichen Daten öffentlicher und privater europäischer Institutionen und Unternehmen gemäß den Vorgaben der EU in einen virtuellen Datenraum erfassen, verarbeiten und speichern will. Und auch Oracle will für die EU souveräne Cloud-Regionen als Lösung einführen, die den Vorgaben der DSGVO entspricht, da die Daten nicht zwischen Regionen außerhalb der EU ausgetauscht werden. Dafür sollen eigens zwei Rechenzentren in Deutschland und Spanien gegründet werden. Zudem sollen laut Oracle ausschließlich EU-Mitarbeiter den Support sowie den operativen Betrieb übernehmen. Dazu passen auch EU-konforme Richtlinien und Governance-Werkzeuge, die Oracle den Kunden zur Nutzung anbieten will.

Fehler können teuer werden

Doch wie kann man als Unternehmen auch wirklich sichergehen, dass ein Drittland gleichwertige Standards in Sachen Datenschutz für Clouds anwendet? Die beste Garantie hierfür ist eine zusätzliche Vereinbarung, die auf den aktuellen Empfehlungen des Europäischen Datenschutzausschusses basiert. In der Praxis bedeutet das sicherzustellen, dass der Vertragspartner alle technischen und organisatorischen EU-Anforderungen bezüglich der jeweiligen Leistung erfüllt. Dieses Vorgehen ist allerdings kein nice-to-have, sondern ein wirksamer und nötiger Schutz vor empfindlichen Strafen wegen Nichtbeachtung der neuen Vorgaben. Schließlich können im Fall des Falles bis zu 20 Millionen Euro oder vier Prozent des Umsatzes als Strafe fällig werden.

Software Mind: Cloud-IT mit DSGVO-konformer Cloud

In der Cloud-IT spielen Aspekte des Datenschutzes eine besondere Rolle. Daher befinden sich Cloud-Server in aller Regel im Bereich IT-Security auf einem hohen Niveau, da der Anbieter die Sicherheit der Daten und Anwendungen gewährleisten muss. Software Mind setzt als IT-Dienstleister in Zusammenarbeit mit Partnern wie Microsoft, Google oder Amazon bei Cloud-Lösungen für seine Kunden auf die höchsten Sicherheitsstandards und bietet entsprechend Cloud-Lösungen, die den aktuellen Sicherheitsvorgaben entsprechen.

Gerne erklären wir Ihnen persönlich, wie wir diese hohen Sicherheitsstandards auch für Ihr Unternehmen verlässlich umsetzen. Kontaktieren Sie uns gerne und wir finden einen gemeinsamen Termin.

INFOBOX

Die DSGVO

Die Datenschutz Grundverordnung (DSGVO) auf englisch GDPR, hat seit ihrem Inkrafttreten 2018 erhebliche Auswirkungen auf das Cloud Computing in Deutschland. Sie ist eine von der EU erlassene Verordnung, die darauf abzielt, die personenbezogenen Daten von EU-Bürgern zu schützen und ihnen mehr Kontrolle darüber zu geben, wie ihre Daten verwendet werden.

Einer der wichtigsten Aspekte der DSGVO in Bezug auf das Cloud Computing, ist, dass Unternehmen die ausdrückliche Zustimmung von Einzelpersonen einzuholen müssen, bevor sie deren personenbezogene Daten erfassen, verarbeiten oder speichern. Das hat zu einer enormen Verbreitung von Einwilligungsformularen und Pop-up-Feldern auf Websites aber auch zu mehr Transparenz in Bezug auf die Verwendung personenbezogener Daten geführt.

Ein weiterer Aspekt der Datenschutz-Grundverordnung, der sich auf das Cloud Computing auswirkt, ist das Recht auf Vergessenwerden. Dieses Recht ermöglicht es Einzelpersonen, die Löschung ihrer personenbezogenen Daten zu verlangen. Dies hat dazu geführt, dass Unternehmen Verfahren einführen, um personenbezogene Daten in der Cloud auf Anfrage zu löschen und sicherzustellen, dass diese Daten nicht länger als nötig gespeichert werden.

Die Datenschutz-Grundverordnung hat überdies zu höheren Anforderungen an die Datensicherheit geführt, da Unternehmen nun verpflichtet sind, Datenschutzverletzungen innerhalb von 72 Stunden nach ihrer Entdeckung zu melden. Dadurch ist die Cybersicherheit und der Datenschutz in den Unternehmen merklich stärker in den Mittelpunkt gerückt, insbesondere bei Cloud-Computing-Anbietern.

Diese müssen in Deutschland nun gewährleisten, dass die von ihnen gespeicherten Daten sicher sind und sie über Verfahren verfügen, um personenbezogene Daten auf Anfrage zu löschen. Außerdem müssen sie Datenverstöße sowohl den Behörden als auch den betroffenen Personen gegenüber offenlegen. Zudem sind sie verpflichtet, einen Datenschutzbeauftragten zu ernennen und regelmäßige Datenschutz-Folgenabschätzungen durchzuführen.

Die DSGVO hat auch dazu geführt, dass die Datenverarbeitungsverträge und Dienstleistungsvereinbarungen von Cloud-Anbietern genauer geprüft werden, da die Unternehmen nun sicherstellen müssen, dass sie mit der DSGVO konform sind. Aus diesem Grund haben einige Anbieter ihre Allgemeinen Geschäftsbedingungen geändert.

Ebook "How to Reduce Software Development Costs During an Economic Downturn"

Teilen

Newsletter

Stay on top of the game – follow our newsletter

Verwandte Beiträge

07/03/2023

Optimierung von Cloud-Kosten – wie Sie überhöhte Ausgaben vermeiden

21/02/2023

Benchmarking von Partnern für Softwareentwicklung – so machen Sie es richtig

24/01/2023

Digitale Evolution im Gesundheitswesen: Wie Outsourcing-Teams dabei helfen können

Wir sind nur einen Click von unserer Zusammenarbeit entfernt!

contact icon
scroll down icon back to
top