Mit dem Cloud-Speicher und Datenraum „ucloud“ erfüllen Sie schon heute die strengen Grundsätze für die Verarbeitung personenbezogener Daten gem. Artikel 5, 25 und 32 DSGVO. Dabei beziehen wir uns auf den Deutschen Gesetzestext, die Sie auf der Seite der EU-Kommission einsehen können.
Im Artikel 5 (1) DSGVO werden die Grundsätze für die Verarbeitung personenbezogener Daten aufgeführt. Diese unterteilen sich in a – f und werden hier nachfolgend aufgegriffen:
Art. 5 (1) (a) DSGVO: Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
Ist im Cloud-Computing primär durch die Rechtsgrundlage für die Verarbeitung der Daten durch den Cloud-Nutzer gegeben. Zusätzlich soll eine Vereinbarung mit Cloud-Anbieter geschlossen werden gemäß einer AV (nach BDSG-alt: ADV).
Gewährleistung der Transparenz durch Technik (data protection by design) und datenschutzfreundliche Voreinstellungen (data protection by default) (vgl. Art. 25 DSGVO, Erwägungsgrund 78)
Zertifizierungen gem. Art. 42 DSGVO stützen die Transparenz. „ucloud“ ist bereits nach dem TCDP zertifiziert, das bereits auf Anforderungen der DSGVO ausgerichtet ist. Es liegen noch keine vom Datenschutzausschuss im Auftrag der EU-Kommission verabschiedeten Anforderungskataloge für Cloud-Computing vor. Das TCDP kommt den zu erwartenden Katalogen gegenwärtig am nächsten. Somit ist TCDP ein Zertifizierungsverfahren, mit dem die Erfüllung der Anforderungen der DSGVO bereits heute nachgewiesen werden kann, obwohl es noch unter dem Regime des BDSG-alt erstellt wurde.
Art. 5 (1) (b) DSGVO: Zweckbindung
Bei „ucloud“ findet keine Verarbeitung der Daten ohne Weisung durch den Cloud-Nutzer im System statt.
Art. 5 (1) (c) DSGVO: Datenminimierung
Bei „ucloud“ findet keine AV im eigentlichen Sinne statt, da kein Zugriff auf die verarbeiteten Daten möglich ist.
Art. 5 (1) (d) DSGVO: Richtigkeit
Der Prozess für Richtigstellungen beim „ucloud“-Kundenservice ist etabliert. Richtigstellungen sind auch im Self-Service im Cloud-Angebot möglich.
Art. 5 (1) (e) DSGVO: Begrenzung der Speicherdauer (Speicherbegrenzung)
Der Cloud-Nutzer wird bei „ucloud“ unterstützt, wenn es um die Dauer der Speicherbegrenzung geht (z.B. automatische Löschung nach Zeit, Einstellbarkeit der Zugriffsdauer, etc.).
Art. 5 (1) (f) DSGVO: Vertraulichkeit, Integrität und Verfügbarkeit
„ucloud“ bietet technischen Schutz vor Hacker-Angriffen von außen.
„ucloud“ bietet technischen Schutz vor Insiderangriffen (Betreibersicherheit der Sealed Cloud).
„ucloud“ bietet Schutz vor unrechtmäßiger Verarbeitung sowie vor Verlust, Zerstörung oder Schädigung der Daten (Sealed-Backup-Funktion).
Art. 5 (2) DSGVO bezieht sich auf die Rechenschaftspflicht des Cloud-Nutzers ggü. den in Art. 5 (1) DSGVO aufgeführten Punkten a - f:
„Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).“
Art. 5 (2) i. V. m. Art. 32 DSGVO: Rechenschaftspflicht und Stand der Technik
„ucloud“ repräsentiert wegen der Eigenschaft der Betreibersicherheit den Stand der Technik. Damit können Sie als Cloud-Nutzer gem. Art. 5 (2) DSGVO nachweisen, dass Sie die Anforderung an die Sicherheit der Verarbeitung gem. Art. 32 DSGVO erfüllen.
Artikel 25 (1) verweist darauf, dass der Cloud-Nutzer bei der Auswahl des Dienstes organisatorische und technische Maßnahmen zu treffen hat, die den Anforderungen der DSGVO (u.a. Artikel 5) genügen und somit die Rechte der betroffenen Personen schützen. Diese Auswahl hat u. a. unter der Berücksichtigung des Stands der Technik, des Umfangs und den mit der Verarbeitung verbundenen Risiken zu erfolgen.
Artikel 25 (2) fordert darüber hinaus datenschutzfreundliche Voreinstellungen für die Menge der erhobenen Daten, den Umfang deren Ihrer Verarbeitung, sowie deren Speicherfrist.
Art. 25 DSGVO: Privacy by Design und Privacy by Default
Zu Art. 25 (1) DSGVO: Schon bei der Konzipierung des Cloud-Dienstes wurden alle Anforderungen des Datenschutzes berücksichtigt (Privacy by Design).
Zu Art 25 (2) DSGVO: Datenschutzfreundliche Einstellungen werden unterstützt. Für verschiedene Schutzbedarfsklassen gemäß TCDP kann der Administrator durch einfachen Klick die entsprechenden Voreinstellungen vornehmen.
Zu Art 25 (3) DSGVO: Den Schutzbedarf für Ihre Datenverarbeitungsvorgänge können Sie mit diesem Schutzbedarfsrechner bestimmen.
Um die Anforderungen der Artikel 25 (1) und 25 (2) nachzuweisen, kann lt. Artikel 25 (3) DSGVO ein genehmigtes Zertifizierungsverfahren gemäß Artikel 42 herangezogen werden. „ucloud“ ist zertifiziert nach dem Trusted Cloud Datenschutzprofil (TCDP)
Das TCDP ist ein Zertifizierungsverfahren, welches die Erfüllung der Anforderungen der DSGVO an die Datenverarbeitung bereits heute nachweisen kann.
„Zertifizierungen nach TCDP sollen nach Entwicklung eines entsprechenden Prüfstandards und Zertifizierungsverfahrens in Zertifikate nach einem DSGVO-Standard für Cloud-Dienste übergehen, wie es die Verfahrensordnung für Zertifizierungen nach TCDP vorsieht.“ (TCDP.de)
TCDP ist bereits auf die Anforderungen der DSGVO ausgerichtet. Es liegen noch keine vom Datenschutzausschuss im Auftrag der EU-Kommission genehmigten Anforderungskataloge für Cloud-Computing vor. Das TCDP kommt jedoch den zu erwartenden Katalogen gegenwärtig am nächsten. Somit ist TCDP ein Zertifizierungsverfahren, mit dem die Erfüllung der Anforderungen der DSGVO bereits heute nachgewiesen werden kann, obwohl es noch unter dem Regime des BDSG-alt erstellt wurde. Sobald der Katalog an die wenigen zusätzlichen Anforderungen angepasst ist, wird die Re-Zertifizierung nach diesem Anforderungskatalog erfolgen.
Sie können davon ausgehen, dass die Zertifizierung des Dienstes „ucloud“ nach TCDP in der Schutzklasse 3 die nach DSGVO geforderte Dokumentation Ihrer Verarbeitungsvorgänge wesentlich erleichtert.