Neun Schritte in die Wolke

Checkliste: sicheres Cloud Computing

4. Datenschutzzuverlässigkeit

Der Düsseldorfer Kreis hat mit seinen Hinweisen zum Cloud Computing die Grundlagen formuliert, die sich in ganz Europa mittlerweile durchgesetzt haben. Diese besagen in Übereinstimmung mit dem BDSG, dass Unternehmen nur Lieferanten beauftragen, die in puncto Datenschutz zuverlässig sind. Das heißt:

  • Der Datenherr kennt den Datenschutzbeauftragen oder die verantwortliche Person für Datenschutz des Processors.

  • Der Processor hat sein Personal auf das Datengeheimnis verpflichtet.

  • Der Processor führt regelmäßige verpflichtende Schulungen und Trainings durch.

  • Der Processor besitzt Zertifikate wie beispielsweise ISO 27001, die die Vertrauenswürdigkeit der Lösung attestieren. Diese Zertifikate sollten belegen, dass der Betrieb der Lösung sicher ist und keine Risiken für den operativen Einsatz beim Kunden bestehen.

  • Der Processor sollte die Aufsichtsbehörde kennen.

  • Der Processor sollte eine Erklärung zur Erfüllung gesetzlicher Datenschutzanforderungen abgeben.

  • Der Processor sollte Hardware ausschließlich von verlässlichen Anbietern beziehen, um die Voraussetzung für eine sichere Cloud zu schaffen.

  • Der Processor sollte ausschließlich verlässliche Softwarelösungen einsetzen, um die Voraussetzungen für eine sichere Cloud zu schaffen.

  • Der Processor sollte seine Mitarbeiter vor der Einstellung genau überprüfen.

5. Technische und organisatorische Maßnahmen (TOMs)

Natürlich interessiert sich der Datenherr beziehungsweise Auftraggeber für die technischen und organisatorischen Maßnahmen (TOMs) seines Processors beziehungsweise Lieferanten. Dazu gehört es,

  • Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle);

  • zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle);

  • zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle);

  • zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung, während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle);

  • zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle);

  • zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle);

  • zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle);

  • zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Weitergehende TOMs gelten bei besonderen, personenbezogenen Daten.