Upload File

wann ist ein cloud-dienst dsgvo-geeignet? · tÜv sÜd akademie gmbh wann ist ein cloud-dienst...

  • Home
  • Documents
  • Wann ist ein Cloud-Dienst DSGVO-geeignet? · TÜV SÜD Akademie GmbH Wann ist ein Cloud-Dienst DSGVO-geeignet? AC110-iDGARDWP-kb-210x297-w-18-02-27 Checkliste Die Auswirkungen der
4
TÜV SÜD Akademie GmbH Wann ist ein Cloud-Dienst DSGVO-geeignet? AC110-iDGARDWP-kb-210x297-w-18-02-27 Checkliste Die Auswirkungen der DSGVO auf Cloud-Dienste Cloud-Anbieter werden mit der Datenschutz-Grundverordnung (DSGVO) weitaus stärker in die Pflicht genommen als bisher. Ab dem 25. Mai 2018 gilt die neue Verordnung zur Verarbeitung personenbezogener Daten – doch was genau bedeutet das für Sie als Cloud-Nutzer? Woran erkennen Sie, ob ein Dienst oder Anbieter die Anfor- derungen der DSGVO erfüllt? Und wann gilt ein Cloud-Dienst eigentlich als DSGVO-konform? Die Grundsätze für die Verarbeitung personenbezogener Daten sind zunächst in Artikel 5, Absatz 1 der DSGVO geregelt; weitere Regelungen finden sich u. a. in den Artikeln 25 und 32. Im Folgenden erläutern wir, was die wichtigsten Forderungen – vor allem in Bezug auf Cloud-Dienste – bedeuten. Diese Checkliste entstand in Kooperation mit Uniscon – ein Unternehmen der TÜV SÜD Gruppe

Upload: hatruc

Post on 20-Jun-2019

230 views

Category:

Documents


0 download

Report

TRANSCRIPT

Page 1: Wann ist ein Cloud-Dienst DSGVO-geeignet? · TÜV SÜD Akademie GmbH Wann ist ein Cloud-Dienst DSGVO-geeignet? AC110-iDGARDWP-kb-210x297-w-18-02-27 Checkliste Die Auswirkungen der

TÜV SÜD Akademie GmbH

Wann ist ein Cloud-Dienst DSGVO-geeignet?

AC11

0-iD

GARD

WP-

kb-2

10x2

97-w

-18-

02-2

7 Checkliste

Die Auswirkungen der DSGVO auf Cloud-DiensteCloud-Anbieter werden mit der Datenschutz-Grundverordnung (DSGVO) weitaus stärker in die Pflicht genommen als bisher.  Ab dem 25. Mai 2018 gilt die neue Verordnung zur Verarbeitung personenbezogener Daten – doch was genau bedeutet das für Sie als Cloud-Nutzer? Woran erkennen Sie, ob ein Dienst oder Anbieter die Anfor-derungen der DSGVO erfüllt? Und wann gilt ein Cloud-Dienst eigentlich als DSGVO-konform?

Die Grundsätze für die Verarbeitung personenbezogener Daten sind zunächst in Artikel 5, Absatz 1 der DSGVO geregelt; weitere Regelungen finden sich u. a. in den Artikeln 25 und 32. Im Folgenden erläutern wir, was die wichtigsten Forderungen – vor allem in Bezug auf Cloud-Dienste – bedeuten.

Diese Checkliste entstand in Kooperation mit Uniscon – ein Unternehmen der TÜV SÜD Gruppe

Page 2: Wann ist ein Cloud-Dienst DSGVO-geeignet? · TÜV SÜD Akademie GmbH Wann ist ein Cloud-Dienst DSGVO-geeignet? AC110-iDGARDWP-kb-210x297-w-18-02-27 Checkliste Die Auswirkungen der

1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz (Art. 5 (1)(a) DSGVO)

Die Verarbeitung von personenbezogenen Daten in der Cloud ist nur dann rechtmäßig, wenn die Betroffenen dieser zugestimmt haben oder wenn eine andere Rechts-grundlage besteht. Die Datenverarbeitung muss auf eine für die betroffene Person nachvollziehbare Weise statt- finden, das heißt, der Cloud-Anbieter muss klare Garan-tien abgeben können.

2. Vertraulichkeit, Integrität und Verfügbarkeit (Art. 5 (1)(f) & Art. 32 DSGVO)

Die Daten sind auf eine Weise zu verarbeiten, die eine angemessene Sicherheit der Daten gewährleistet, ein-schließlich Schutz vor unrechtmäßiger Verarbeitung, Verlust oder Schädigung. Darüber hinaus darf durch die Verarbeitung keine Verletzung der Würde der Betroffenen oder eine Einschränkung ihrer Freiheiten zu erwarten sein.

3. Sicherheit und Stand der Technik (Art. 32 DSGVO)Bei der Verarbeitung muss eine genügend hohe Sicher-heit gewährleistet sein. Der Gesetzgeber verlangt, dass das Sicherheitsniveau laufend verbessert wird und sich stets am so genannten „Stand der Technik“ orientiert.

4. Privacy by Design und Privacy by Default (Art. 25 DSGVO)

Der Datenschutz muss durch datenschutzfreundliche Technikgestaltung (Privacy by Design) und datenschutz-freundliche Voreinstellungen (Privacy by Default) ge- währleistet sein.

5. Rechenschaftspflicht (Art. 5 (2), Art. 28, Art. 30 & Art. 35 DSGVO)Grundsätzlich ist der Cloud-Nutzer für die Einhaltung aller genannten Anforderungen verantwortlich und muss diese bereits im Vorhinein nachweisen können (Rechenschafts-pflicht). Er muss die Verarbeitung in der Cloud in sein Verzeichnis der Verarbeitungstätigkeiten aufnehmen und gegebenenfalls eine Risikoanalyse – eine so genannte Datenschutz-Folgenabschätzung – vornehmen.

Diese Verantwortung teilt sich der Nutzer nun mit dem Cloud-Anbieter, der seinerseits ebenfalls hinreichend Garantien dafür bieten muss, dass die Anforderungen der DSGVO eingehalten werden.

6. Auftragsverarbeitung (Art. 28 DSGVO)Beim Cloud-Computing erteilt der Nutzer dem Anbieter den Auftrag, die Daten zu verarbeiten. Damit der Cloud-Nutzer seiner Verantwortung den Betroffenen gegenüber auch in diesem Fall gerecht werden kann, sichert er sich mit einer Vereinbarung zur Auftragsverarbeitung mit dem Cloud-Anbieter ab, dass dieser ebenfalls die Anforderun-gen der DSGVO erfüllt. Teil einer solchen Vereinbarung muss sein, dass der Cloud-Anbieter alle erforderlichen Informationen zum Nachweis der Einhaltung der Anfor- derungen zur Verfügung stellt.

Wann ist ein Cloud-Dienst DSGVO-geeignet? l TÜV SÜD Akademie GmbH

Page 3: Wann ist ein Cloud-Dienst DSGVO-geeignet? · TÜV SÜD Akademie GmbH Wann ist ein Cloud-Dienst DSGVO-geeignet? AC110-iDGARDWP-kb-210x297-w-18-02-27 Checkliste Die Auswirkungen der

Nachweis durch ZertifikateFreilich ist es für Sie als Cloud-Nutzer schwierig und nahezu unzumutbar, die Einhaltung dieser Forderungen selbst zu überprüfen. Da ist es hilfreich, dass Cloud- Anbieter ein „genehmigtes Zertifizierungsverfahren gemäß Artikel 42“ heranziehen können, um die Erfüllung der genannten Anforderungen nachzuweisen.

„Mit dem passenden Zertifikat können sich sowohl Cloud-Anbieter als auch -Nutzer rechtlich absichern. Die Anbieter können ihren Kunden gegenüber belegen, die rechtlichen Anforderungen an sichere Cloud-Dienste zu erfüllen und erleichtern es damit den Cloud-Nutzern, ihrer Rechenschaftspflicht nachzukommen.“, erklärt Dr. Hubert Jäger, Cloud-Security-Experte und CTO der Münchner TÜV SÜD-Tochter Uniscon GmbH.

Bislang ist zwar noch kein „genehmigtes“ Zertifikat vorhanden, das bedeutet aber nicht, dass speziell auf die Anforderungen der DSGVO ausgerichtete Zertifikate nicht bereits als Nachweis der DSGVO-Konformität ge-nutzt werden könnten. Das Trusted Cloud Datenschutz-profil (TCDP) beispielsweise wurde in Hinblick auf die DSGVO entwickelt. Zertifizierungen nach dem TCDP sollen nach Erweiterung des Verfahrens und Prüfstan-dards in Zertifikate nach dem DSGVO-Standard umge-wandelt werden.

Mit dem Forschungsprojekt AUDITOR“ existiert außerdem ein Nachfolgeprojekt zum TCDP, dessen Ziel die Konzep-tionierung und Umsetzung einer anwendbaren EU-weiten Datenschutzzertifizierung von Cloud-Diensten ist. Ein erster Katalog mit Zertifizierungskriterien soll bis Ende April 2018 fertiggestellt sein.

Wenn Sie also einen Cloud-Dienst wählen, der nach dem TCDP zertifiziert ist, sind Sie bereits auf der sicheren Seite; ab dem Stichtag am 25. Mai sollten Sie zusätzlich darauf achten, dass die Umwandlung in ein Zertifikat nach dem DSGVO-Standard auch tatsächlich stattfindet bzw. dass der Dienst mit einem anderen geeigneten Zer-tifikat (zum Beispiel AUDITOR) die Einhaltung der DSGVO nachweist.

Dienste, die bereits jetzt den Anforderungen der DSGVO entsprechen und nach dem TCDP zertifiziert sind, können Sie der Webseite des TCDP entnehmen.

Dazu zählt auch der Datenaustauschdienst iDGARD der Uniscon GmbH. Der Dienst erfüllt schon heute die Grund-sätze für die Verarbeitung personenbezogener Daten gemäß der aufgeführten Artikel 5, 25 und 32 der DSGVO.

Wann ist ein Cloud-Dienst DSGVO-geeignet? l TÜV SÜD Akademie GmbH

Page 4: Wann ist ein Cloud-Dienst DSGVO-geeignet? · TÜV SÜD Akademie GmbH Wann ist ein Cloud-Dienst DSGVO-geeignet? AC110-iDGARDWP-kb-210x297-w-18-02-27 Checkliste Die Auswirkungen der

TÜV SÜD Akademie GmbHWestendstraße 16080339 München

Wissen, worauf es ankommt www.tuev-sued.de/akademie

Ihr Ansprechpartner bei der TÜV SÜD Akademie:

Uwe LaubnerFachliche Leitung Datenschutz

Tel. +49 (0)351 4202-246E-Mail: [email protected]

Diese Checkliste entstand in Kooperation mit Uniscon – ein Unternehmen der TÜV SÜD Gruppe.Die Uniscon GmbH ist ein Unternehmen der TÜV SÜD Gruppe. Als Teil der Digitalisierungsstrategie von TÜV SÜD bietet Uniscon hochsichere Cloud-Anwendungen und Lösungen für sicheren und gesetzeskonformen Datenverkehr. TÜV SÜD ist ein weltweit führendes technisches Dienstleistungs-unternehmen mit über 150 Jahren branchenspezifscher Erfahrung und heute mehr als 24.000 Mitarbeitern an etwa 1000 Standorten in 54 Ländern. In diesem starken Verbund ist Uniscon in der Lage, mit der Sealed Cloud und ihren Produkten internationale Großprojekte in den Bereichen IoT und Industrie 4.0 zuverlässig zu realisieren.

Wann ist ein Cloud-Dienst DSGVO-geeignet? l TÜV SÜD Akademie GmbH


DSGVO-Guide für Agenturen, Freelancer & Webseitenbetreiber · DSGVO-Guide für Agenturen, Freelancer & Webseitenbetreiber Virginia Ostfeld, Leefke Krönke, Johannes Benz & Torben

Datenschutz-Grundverordnung (DSGVO) und Auswirkungen … · Datenschutz-Grundverordnung (DSGVO) und Auswirkungen . auf Transport & Logistik © Dr. Thomas Schweiger, LLM (Duke) 13.03.2018

Wann. Wann? Wann gehst du schwimmen? Ich gehe im Sommer schwimmen

Wann ist ein Projektionstuch für eine 4K- und 8K ...€¦ · Etwas zum Nachdenken - ein Material, dass für 4 K Projektion nicht geeignet ist, verursacht ein verzerrtes Bild und

Was? Wann? Wo?

Datenschutzgrundverordnung - DSGVO · mesonic –Mit SICHERHEIT ein Gewinn © mesonic Datenschutzgrundverordnung - DSGVO Was braucht ein Unternehmen, um auf der (rechts-)sicheren

EU-DSGVO und Fotografen - lawlikes.de DSGVO Checkliste... · EU-DSGVO und Fotografen Die EU-DSGVO kommt mit großen Schritten auf alle zu, die mit personenbezogenen Da-ten arbeiten

Das Arbeitsunfähigkeits- zeugnis- wann therapeutisch, wann ......Das Arbeitsunfähigkeits-zeugnis-wann therapeutisch, wann problematisch? PD Dr. med. Andreas Klipstein MSc AEH Zentrum

SV – Info 2020...Zaun, Peter * & zwei Mitglieder keine DSGVO Freigabe 70 Jahre: vier Mitglieder keine DSGVO Freigabe 75 Jahre: Brunhofer, Wolfgang * & 1 Mitglied keine DSGVO Freigabe

Wann ist Risikokapital Segen und wann süßes Gift?

Newsletter EU-DSGVO · Kontrollen und Prozesse zur Verbesserung der Datenschutzorganisation. Weiter fordert die EU-DSGVO angemessene Datensicherheits-maßnahmen. In diesem Zusammenhang

Test zu Lektion 8 - · PDF fileTest zu Lektion 8 1 a Ärztin b als Flugbegleiterinc Studentin – alsd Hotelfachmann 2 a Wann b wie lange / seit wann c Seit wann d Wann e Wann f

Datenschutz-Grundverordnung (DsGVO)...Ausgabe 01 Juni 2017wkothema Datenschutz-Grundverordnung (DsGVO) WAs AUF Die UNteRNehMeN ZUkOMMt Die Datenschutz-Grund-verordnung (DsGVO) tritt

D 09d Musterschulungsunterlage zum Datenschutz · 1 Muster des „Toolsets DSGVO“. Es gelten die Hinweise auf Seite 1! Datenschutz-Grundverordnung (DSGVO) ¬ DSGVO gilt ab dem 25.05.2018

2017-05-12-EU-DSGVO-Der Countdown laeuft-Handout · DieEU-DSGVO –derCountdownläuft! 1.DasneueDatenschutzrechtinEuropa mann-e n O – t 7 rung O – t 8 4 VO 1 Europa 2 DSGVO? 5

Geburtstag!!. Wann hast du Geburtstag? Wann hat deine Mutter Geburtstag? Wann hat seine Mutter Geburtstag? Und dein Vater? Wann hat er Geburtstag? Wann

Wann kommst du Trost der ganzen Welt? Wann machst du unsre Armut reich? Wann nimmt ein Ende alle Not? Wann stärkst du unser offnes Herz? So komm zu uns,

is.muni.cz · 3 Antworten Sie. 1. Wann ist es kalt? Winter, im Jangar. 2. Wann ist es dunkel? 3. Wann gehen Sie heute nach Hause? 4. Wann arbeiten Sie nicht?

Wann und warum klebt Gummi Wann klebt es nicht

Zystische Pankreasläsionen: Wann beobachten, wann resezieren? · Zystische Pankreasläsionen: Wann beobachten, wann resezieren? München 17. Oktober 2015 Hana Algül II. Medizinische

DSGVO. - klingerkg.com

ErdProfi Modul zur DSGVO - s0be026ebc036adec.jimcontent.com · EU-Datenschutz-Grundverordnung dokumentieren, einhalten und keine Langzeitdaten verlieren! ErdProfi Modul zur DSGVO

Meldung von Datenschutzverletzungen: Wann und …...2019/05/15  · Meldung an die Aufsichtsbehörde (Art. 33 DSGVO) • Mindestinhalt der Meldung (Art. 33 Abs. 3 DSGVO) a) Beschreibung

Präzisions-Gewindeeinsätze für Kunststoffteile und ... · 5 – – Ungeeignet / – Bedingt geeignet / 0 Befriedigend / + Gut geeignet / ++ Sehr gut geeignet Auswahlhilfe für

Kai Osterhage ISO 27001 vs. DSGVO · 01.11.2013 Beispieltext Vortragsthema ISO 27001 vs. DSGVO 04.06.2019 DuD2019 -ISO 27001 vs. DSGVO. 01.11.2013 Beispieltext Vortragsthema. 01.11.2013

Tristan Radtke Gemeinsame Verantwortlichkeit unter der DSGVO

Wann sind Hospitalisierungen nötig und sinnvoll - und wann nicht?

DSGVO in SAP Der Weg zur maßgeschneiderten Lösung!

Bildungswesen - schliessanlage.de · Standard 4 Premium 2 Mechanik Elektronik Sicherheitsniveau sehr gut geeignet z gut geeignet} geeignet {sehr gut geeignet z gut geeignet geeignet

White Paper Datenschutzgrundverordnung (EU- DSGVO) · konformen Umsetzung der Datenschutzgrundverordnung erforderlich sind. ... Mit der DSGVO trägt der europäische Gesetzgeber der

DSGVO DATENSCHUTZ GRUNDVERORDNUNG · DATENSCHUTZ-GRUNDVERORDNUNG . Rechte & Pflichten und praktische Umsetzung Die EU-Datenschutzgrundverordnung (EU-DSGVO) ist mit 24. Mai 2016 in

Die Datenschutz-Grundverordnung (DSGVO) · 3 • DSGVO ist innerhalb des Anwendungsbereichs unmittelbar anzuwenden –natürliche Personen • außerhalb des Anwendungsbereichs kann

Wann war das? 1925. Wann war das? In den sechziger Jahren

Startups, Wachstum & Venture Capital - Wann ist Risikokapital Segen und wann süßes Gift?

EU-DSGVO: Wahrheiten, Mythen und Handlungsbedarf · 2020. 6. 19. · der Arbeitswelt 4.0 werden auch bisher sichere Strukturen verwundbarer. Grundlegendes zur EU-DSGVO Die DSGVO löst