BLOG 11/2021: Wir informieren zum Thema DSGVO – Datenspeicherung in der Cloud – Serie 4/5

Scroll Down

BLOG 11/2021: Wir informieren zum Thema DSGVO – Datenspeicherung in der Cloud – Serie 4/5

Serie 4: Die Nutzunng einer Cloudlösung ist etwas komplexer, also z.B. einer webbasierten Softwarelösung. Was muss ich beachten?

Der Datenschutz ist bei medo.check eine wichtige Grundphilosophie, bei uns sind Sie Herr Ihrer Daten. Es werden keine Daten im Hintergrund weiterverkauft oder veräußert. Daher informieren wir in einer kleinen Serie / BLOG zum Thema Datenschutz nach DSGVO . Nach unserer Einführung und dem Thema Datenschutzkonzept, kommen wir heute zu dem Thema, Datenspeicherung in der Cloud. Die Nutzunng einer Cloudlösung ist etwas komplexer, als z.B. einer webbasierten Softwarelösung. Letztendlich bedeutet dies, die Daten werden irgendwo im Internet gespeichert und ich muss darauf vertrauen und hoffen, dass alles datenschutzrechtlich korrekt abläuft, also nach EU-Recht (Server Standort muss in der EU liegen etc.), weil letztendlich ich in der kompletten Verantwortung für die von mir erhobenen Daten stehe. Ist doch kein Problem, die Anbieter haben ja so tolle Siegel von Zertifikaten auf der Webseite „So sicher wie online-Banking“ oder irgendwelche Datenschutzzertifikate. Doch was bedeuten diese? Letztendlich: Nichts. Viele sind sogar selbst erstellt und dienen nur zur Vermittlung eines Sicherheitsgefühls. Ein seriöser Anbieter braucht eine solche Darstellung nicht, weil er sich anders auszeichnet. Die DSGVO bedeutet nämlich auch, dass sich Anbieter nicht so einfach aus der Affäre ziehen können.

Um Ihre TOML (technisch organisatorische Maßnahmenliste) für das Thema Clouddienstleister anzupassen, müssen wir diese als Subunternehmen aufführen, die die von uns erhobenen Daten verarbeiten. Dies müssen wir belegen, in dem wir diesen Unternehmen einen Auftrag zur Datenverarbeitung erteilen. Dies ist nicht damit getan, einen Account zu erstellen, sondern muss gesondert erteilt werden. In diesem Auftrag steht ganz genau drin, welche technische organisatorischen Maßnahmen der Auftragnehmer zu erfüllen hat, damit ich weiß: Meine Daten liegen dort sicher. Auch Server-Standorte müssen hier klar definiert sein. Nimmt der Auftragsnehmer, in diesem Fall der Softwarehersteller der Cloudlösung, diesen Auftrag an, verpflichtet er sich dazu, wiederum mit den Daten verantwortungsbewusst umzugehen und diese Maßnahmen einzuhalten.

Die DSGVO schreibt nun vor, dass der Cloud-Dienstleister dazu verpflichtet ist, uns über diesen Auftrag zu informieren. Und er sollte eine TOML für uns bereitstellen, in der alle seine Maßnahmen, die er leisten kann, und auch alle Subunternehmer aufgeführt sind.

Dies ist das einzige Merkmal eines seriösen Anbieters, dass er beim Vertragsabschluss informiert und uns mitteilt, welche Maßnahmen ergriffen werden, um unsere Kundendaten zu schützen. Dann kann ich entscheiden, ob ich diesem Anbieter die Daten anvertraue oder nicht. Der Anbieter muss sich auch darüber im Klaren sein, dass wir als Verantwortliche der Daten jederzeit das Recht haben, die Einhaltung der Maßnahmen mit Vorortbesuchen zu überprüfen. Vor allem beim Speichern von Gesundheitsdaten meiner Kunden muss ich mir hier absolut sicher sein, wem ich vertraue. Es gilt die Regel, dass die Kette der Daten-Speicherung vollständig transparent sein muss und jeder Dienstleister verpflichtet ist, mich darüber zu informieren, wenn es nicht so ist und ich handeln muss. Nur das ist serös und nicht ein Spruch auf der Internetseite.

 

Autor
Lars Winter Dipl. Informatiker und seit über 22 Jahren Gesllschafter der Firma medo.check, dem Anbieter
für Softwarelösungen für Fitnessund Gesundheitsdienstleister. Verantwortlich für das Thema Datenschutz.