Selbst-Check: Bestimmen Sie Ihren Schutzbedarf

Juristisch gesehen sind Sie als Nutzer der Cloud beim Cloud-Computing dafür verantwortlich, dass die Schutzmaßnahmen beim Cloud-Anbieter genügen, um die personenbezogenen Daten, die Sie in der Cloud verarbeiten, zu schützen.

Wegen der hohen technischen Komplexität können Cloud-Nutzer die Schutzmaßnahmen beim Cloud-Anbieter kaum selber zuverlässig überprüfen.

Daher wurde von der Bundesregierung das Projekt „Datenschutz-Zertifizierung für Cloud-Dienste“ durchgeführt. Das Ergebnis des Projekts ist ein „Trusted Cloud Datenschutzprofil, TCDP“ genannter neuer Standard, der auf internationalen Standards (u.a. ISO/IEC 27018) aufbaut. Das Nachfolgeprojekt AUDITOR setzt die Änderungen für die EU-Datenschutz-Grundverordnung (DS-GVO) für diesen Standard um. Wenn nach einem dieser Standards ein Cloud-Dienst zertifiziert ist, darf der Cloud-Nutzer seine gesetzliche Kontrollpflicht der Sicherheit beim Cloud-Anbieter als erfüllt betrachten.

Entsprechend der DS-GVO sind Schutzmaßnahmen nur dann erforderlich, wenn ihr Aufwand in einem angemessenen Verhältnis zum angestrebten Schutzzweck steht. Daher sind verschiedene Schutzbedarfe zu unterscheiden. Bei weniger sensiblen Daten und ohne Gefahr, dass aus vielen wenig sensiblen Daten neue, eventuell sensiblere Daten erzeugt werden könnten, sind geringere Maßstäbe anzusetzen als bei hochsensiblen Daten.

Hier finden Sie das “AUDITOR-Schutzklassenkonzept”