Die Cloud ist für viele eine einfache Lösung, um so schnell die Daten für die Mitglieder zu teilen. Aber auch hier sollte man im Hinterkopf behalten, dass es sich bei einigen Daten auch um personenbezogene Daten handeln könnte, somit greift auch bei einer Cloud-Anwendung die DSGVO.
Angesichts der gestiegenen Anforderungen sollte hier überprüft werden, ob tatsächlich die Datenschutzgrundverordnung eingehalten wird. Das gilt auch dann, wenn die personenbezogenen Daten in der Cloud gespeichert sind. Denn nicht automatisch haftet hier allein der Cloud-Anbieter für den DSGVO-konformen Umgang mit den Daten. Auch der Cloud-Nutzer, also ihr als Verein, die den Cloud-Anbieter beauftragt hat, steht in der Verantwortung
Standort des Cloud-Anbieters prüfen
Wer ein Cloud-Dienst bucht, sollte nicht aus den Augen verlieren, wo sich das Rechenzentrum befindet. Wenn der Standort des Rechenzentrums außerhalb der EU ist, muss sichergestellt ein, dass es ein Abkommen gibt, das die Einhaltung der Datenschutzgrundverordnung bzw. ein entsprechend angemessenes Datenschutzniveau garantiert wird. Ein Beispiel dafür ist die Vereinbarung zum „Privacy Shield“ mit den USA. Allerdings stehen hierzu noch verschiedene Urteile des Europäischen Gerichtshofs (EuGH) aus.
Dokumentation
Um die DSGVO einzuhalten, sollten alle Abläufe, in denen Daten von Personen verarbeitet werden, in das Verzeichnis der Verarbeitungstätigkeiten dokumentiert werden. Es muss aus der Dokumentation klar hervorgehen, wann welche Daten verarbeitet werden und wo diese gespeichert sind.
Es sollte nachvollzogen werden können, welche personenbezogenen Daten an den verschiedenen Stellen im Verein wo gespeichert und welche dieser Daten auf welchem Weg in die Cloud übertragen werden. Zudem muss sichergestellt werden, welche technischen Sicherheitsmaßnahmen vorgesehen sind um den Schutz gewährleisten zu können.
Gruppenleiter/Mitarbeiter schulen und Zugriffsrechte optimieren
Wie lange ist die letzte Schulung zum Datenschutz her? Spätestens mit der Einführung der DSGVO ist es wieder an der Zeit, den Umgang mit personenbezogenen Daten zu schulen. Es muss allen bewusst sein, dass sie sich an bestimmte Regeln zu halten haben – allerdings muss der Verein in manchen Fällen diese Regeln erst einmal erstellen und bekannt machen.
Es ist immer schwierig auch noch für den Datenschutz im Verein viel Zeit aufbringen zu können, dennoch sollte man sich dafür die Zeit nehmen, sich das Zugriffskonzept näher anzuschauen. Die Zugriffsrechte auf personenbezogenen Daten sind dahingehend zu beschränken, dass nur Personen auf die Daten zugreifen dürfen, die diesen Zugriff auch wirklich benötigen. Das scheint zwar selbstverständlich zu sein, doch die Realität sieht oft anders aus. Denn ein restriktives Zugriffskonzept verkompliziert manchmal die Verarbeitung von Daten. Doch die Optimierung von Zugriffsrechten gehört zu jedem Datenschutz-Konzept.
Schlussletzlich…
Wer die DSGVO ordentlich umsetzen möchte, muss mit dem Cloud-Anbieter zusammenarbeiten, da Kunde und Anbieter gemeinsam in der Verantwortung stehen, personenbezogene Daten rechtskonform zu verarbeiten und zu speichern. In allen Fällen sollte mit dem Cloud-Anbieter ein Vertrag zur Auftragsverarbeitung geschlossen werden. Eine praktische Formulierungshilfe gibt es von activeMind.
Ein guter Cloudanbieter (oder Hoster) wird bereits von sich aus einen Vertrag zur Auftragsdatenverarbeitung anbieten, da Geschäftskund*innen diesen schon seit einiger Zeit benötigen. Das geht mittlerweile sogar bei Evernote.
Hallo Michael,
ja, viele der Cloud-Anbieter haben einen solchen Vertrag schon, aber ich habe auch schon viel herum geschaut, und die Ausnahme bestätigen die Regel. Nicht alle haben einen solchen Vertrag, aber grundsätzlich kann man den Anbieter auch darauf ansprechen, denn nicht jeder Anbieter stellt diese öffentlich zum Download bereit.