Zur Navigation springen Zum Inhalt springen Zum Footer springen

Art. 28 Abs. 5 DSGV-Zertifizierungspflicht für Cloud-Dienste-Anbieter?

Rechtstipp vom 11.02.2017
(1)
Rechtstipp vom 11.02.2017
(1)

Die Nutzung einer Cloud ist nach anfänglichen Unsicherheiten mittlerweile zu einem festen Bestandteil innerhalb der IT-Landschaft und von Geschäftsprozessen wurden. Es stellt jedoch immer noch die Frage auf, ob die Nutzung von Cloud-Diensten datenschutzrechtlich im Lichte des BDSG der DSGV gesetzeskonform ist.

Aus juristischer Sicht ist die Nutzung eines Cloud-Dienstes eine Form der Auftragsdatenverarbeitung (ADV). Ein ADV-Vertrag ist handhabbar, jedoch die Überprüfung der Einhaltung der technisch-organisatorischen Maßnahmen gestaltet sich häufig schwierig.

Im Rahmen dieser Diskussion stellt sich immer wieder die Frage, ob eine Zertifizierung der Cloud nach ISO 27001 als Nachweis für die Einhaltung der TOM ausreichend ist.

Schon vor Bekanntwerden der Vorschriften aus der Datenschutz-Grundverordnung haben sich Unternehmen zertifizieren lassen, um gegenüber ihren Mitbewerbern einen nach außen erkennbaren Vorteil zu erhalten oder schon früh die Mutwilligkeit erkannt, die eigene IT-Sicherheit prüfen zu lassen.

Mit Inkrafttreten der Datenschutz-Grundverordnung hat sich der Blickwinkel geändert, Art. 28 Abs. 5 DSGVO besagt, dass ein Zertifikat eines Dienstleisters als Faktor herangezogen werden kann, um eine Garantie hinreichend nachweisen zu können. Diese Garantie bezieht sich auf die Einhaltung der technischen organisatorischen Maßnahmen.

Das Hauptaugenmerk der technischen und organisatorischen Maßnahmen in der DSGVO weicht in einigen Bereichen grundlegend von der allgemeinen IT-Sicherheit ab, die mittels einer Zertifizierung nachgewiesen wird.

Die Datenschutz-Grundverordnung stellt die Betroffenenrechte in den Mittelpunkt der Maßnahmenauswahl, vgl. Art. 20 Abs. 1 DSGVO. Insoweit haben Unternehmen hier weitere Schutzmaßnahmen zu ergreifen, die mit der Zertifizierung nicht abgedeckt sind.

Soweit ein Auftragnehmer ein Zertifikat vorweisen kann, stellt sich die Frage, nach welchen Kriterien dieses erteilt worden ist.

Die Grundverordnung verlangt, dass nur akkreditierte Stellen zertifizieren dürfen. Die Kriterien hierfür werden entweder von der zuständigen Aufsichtsbehörde oder dem europäischen Datenschutzausschuss gebilligt. Im Rahmen dessen ist davon auszugehen, dass Verbände-Prüforganisationen eigene Kriterien-Kataloge entwickeln werden, die dann mit den Aufsichtsbehörden abzustimmen sind.

Ein heute schon anerkanntes Zertifizierungsverfahren ist das „Trusted Cloud-Datenschutzprofil“ (TCDP). Es hat zum Ziel, Cloud-Dienste-Anbietern den Nachweis der Datenschutzkonformität zu ermöglichen.

Aus vorgenannten Erwägungen ist davon auszugehen dass sich zukünftig alle relevanten Cloud-Dienste-Anbieter zertifizieren lassen werden. Hiermit wie das heutige Problem der Auftragskontrolle für die verantwortliche Stelle erleichtert. Die Güte eines jeden Zertifikates wird man danach beurteilen, welchem speziellen Kriterienkatalog es zugrunde liegt, und ob die Schwerpunkte der Datenschutz Grundverordnung miteinbezogen sind. Dieses wird auch dann Bedeutung gewinnen, wenn Uneinigkeit mit den Aufsichtsbehörden besteht, die für das Zertifizierungsunternehmen zuständig ist oder selbst das Zertifikat für das Unternehmen ausgestellt hat.


aus dem Rechtsgebiet IT-Recht

Sie haben Fragen? Gleich Kontakt aufnehmen!

Rechtstipps zum Thema

Rechtstipps des Autors

Alle Rechtstipps von Rechtsanwalt Thomas Feil (Feil Rechtsanwaltsgesellschaft mbH)

Damit Sie wissen, wann Sie im Recht sind

Neue Urteile, hilfreiche Tipps und Kurioses im wöchentlichen anwalt.de-Newsletter.