Cloud-Dienste fallen bei EU-Datenschutzgrundverordnung durch
In einer Analyse von 20.000 Cloud-Services konnte der Cloud-Compliance-Spezialist Skyhigh Networks nachweisen, dass bislang lediglich 6 Prozent der Angebote den Vorgaben der EU-Datenschutz-Grundverordnung entsprechen. Dazu gehören unter anderem Datenspeicherort, fristgerechte Information nach Sicherheitsvorfällen oder die Datenlöschung nach Vertragskündigung. Neu sind gesetzliche Vorgaben wie die Berücksichtigung des Datenschutzes bei der Produktentwicklung (Privacy by Design) oder die Durchführung einer Datenschutz-Folgenabschätzung.
Die Datenschutz-Grundverordnung ist am 25. Mai 2016 offiziell in Kraft getreten. Die Umsetzung in den EU-Mitgliedstaaten ist auf zwei Jahre ausgelegt. Mit dem Stichtag 25. Mai 2018 endet die Übergangsfrist. Unternehmen müssen bis dahin die Umsetzung in die Praxis abgeschlossen haben. Nach diesem Datum können Datenschutzbehörden Bußgelder in Höhe von bis zu 4 Prozent des weltweiten Umsatzes verhängen.
Das Unternehmen Skyhigh Networks empfiehlt daher in einer Mitteilung nur einem kleinen Teil der Dienste Daten anzuvertrauen. Weitere Cloud-Dienste sollten entweder gemieden werden oder aber Anwender sollten die Daten mit zusätzlichen Technologien wie Verschlüsselung oder Data Loss Prevention sichern.
“Die neue Datenschutz-Grundverordnung der EU enthält mehr als 100 Paragraphen. Bei der Wahl eines Cloud-Dienstes reicht eine grobe Unterteilung in ‘konform oder nicht-konform’ und ‘sicher oder unsicher’ nicht aus”, so Daniel Wolf, Regional Director DACH bei Skyhigh Networks. “Unternehmen müssen ganz genau hinschauen, ob die gewünschten Services die für sie notwendigen Kriterien erfüllen.”
Ab Mai 2018 wird die DSGVO den Umgang mit Daten EU-weit einheitlich vorschreiben. So wird dann durch den Gesetzgeber ein höheres Maß an Datensicherheit gefordert. Unternehmen sollten daher bei Anwendungen der Public Cloud Vorsicht walten lassen.
Die Analyse von Skyhigh Networks zeigt, dass die Geschäftsbedingungen praktisch aller Cloud-Services derzeit noch gegen die DSGVO-Vorgaben verstoßen. Wollen Unternehmen weiterhin rechtskonform innerhalb der EU agieren, sollten sie die Nutzungsbestimmungen der Dienste intensiv auswerten, neu verhandeln oder letztlich ganz ablehnen.
Die Analyse zeige unter anderem auch, dass 84 Prozent der Cloud-Services-Anbieter Kundendaten nicht sofort löschen, wenn der Vertrag oder das Abonnement endet. 58 Prozent der Cloud-Anbieter garantieren nicht das geistige Eigentum an den Daten. Manche Anbieter übernehmen das geistige Eigentum an allen Informationen, die in ihren Service hochgeladen werden, andere können keine Angaben dazu machen, was mit dem geistigen Eigentum der Anwender passiert. Nur ein Prozent der Cloud-Services informiert innerhalb von 24 Stunden über Sicherheitsvorfälle. Das aber sei dringend geboten, damit die Datenverantwortlichen ihre 72-Stunden-Frist zur Meldung an die Aufsichtsbehörden einhalten können.
Anwender kaum auf die DSGVO vorbereitet
Allerdings sind auch die Anwender nur schlecht auf die neuen Vorgaben vorbereitet, wie eine repräsentative Umfrage im Auftrag des Digitalverbands Bitkom unter 509 Datenschutzverantwortlichen in Unternehmen ab 20 Mitarbeitern ergeben hat. Demnach ist die Datenschutzverordnung für fast die Hälfte aller Unternehmen in Deutschland (44 Prozent) aktuell kein Thema: 32 Prozent kennen die Reform zwar, haben sich aber noch nicht damit beschäftigt, weitere 12 Prozent haben davon noch nicht einmal gehört.
Auf der anderen Seite beschäftigen sich 47 Prozent der Unternehmen mit der Reform und 8 Prozent haben bereits erste Maßnahmen eingeleitet. “Unternehmen sollten frühzeitig mit der Umsetzung der Verordnung beginnen”, sagte Susanne Dehmel, Bitkom-Geschäftsleiterin Datenschutz und Sicherheit, bei der internationalen Privacy Conference in Berlin. “Nach dem Ende der Übergangsfrist im Mai 2018 drohen empfindliche Strafen, wenn sich die Unternehmen nicht an die Bestimmungen halten.”
Als besonders dringlich sehen 46 Prozent der befragten Datenschutzexperten in den Unternehmen die Einführung neuer Prozesse an, zum Beispiel für eine Datenschutz-Folgenabschätzung oder für Privacy by Design. 43 Prozent wollen zuerst eine Neubewertung unternehmerischer Risiken vornehmen und 40 Prozent die Überarbeitung der Verträge zur Auftragsdatenverarbeitung. 38 Prozent wollen zunächst die Datenschutzerklärungen anpassen.
Deutlicher Mehraufwand
Nur jedes zweite (51 Prozent) verfügt über ein so genanntes Verfahrensverzeichnis, in dem die internen Prozesse bei der Verarbeitung personenbezogener Daten dokumentiert werden. “Das Verfahrensverzeichnis ist die Arbeitsgrundlage der betrieblichen Datenschutzbeauftragten”, betont Dehmel. Im Fall einer Überprüfung durch Aufsichtsbehörden können Unternehmen mit dem Verfahrensverzeichnis zeigen, dass die Prozesse korrekt ablaufen.
Unternehmen, die sich bereits mit dem Thema auseinandersetzen wollen dafür zusätzliches Personal für die Anpassung der internen Prozesse bereitstellen. Knapp zwei Drittel (64 Prozent) werden externe Hilfe in Anspruch nehmen, zum Beispiel für eine Rechtsberatung von Datenschutzexperten.
Privacy Shield noch immer nicht abschließend geklärt
Ein weiteres wichtiges Datenschutzthema ist die Übermittlung von personenbezogenen Daten in die USA. 42 Prozent der befragten Unternehmen personenbezogene Daten von einem externen Dienstleister verarbeiten. Bei Unternehmen ab 500 Mitarbeitern sind es sogar 68 Prozent. Auf der anderen Seite verarbeitet ein Drittel der Unternehmen (33 Prozent) selbst Daten im Auftrag anderer Unternehmen. Bei den großen Unternehmen ab 500 Mitarbeitern sind es zwei Drittel (66 Prozent).
94 Prozent der Unternehmen, die einen externen Dienstleister mit der Verarbeitung personenbezogener Daten beauftragt haben, lassen diese innerhalb Deutschlands verarbeiten. 36 Prozent lassen Daten in der EU verarbeiten und 8 Prozent außerhalb der EU (ohne die USA). Nur 4 Prozent geben an, dass Daten in den USA verarbeitet werden.
Daneben versenden international agierende Unternehmen Daten innerhalb der eigenen Organisation an Standorte in anderen Ländern. Das können zum Beispiel Personal- oder Kundendaten sein, die zwischen einer Niederlassung und der Zentrale ausgetauscht werden. Laut Umfrage übermittelt knapp jedes zehnte Unternehmen (9 Prozent) Daten innerhalb der eigenen Organisation in die USA, bei den Unternehmen ab 500 Mitarbeitern ist es jedes dritte (33 Prozent).
Nachdem der EuGH im Oktober 2015 das Safe-Harbor-Abkommen für ungültig erklärt hatte, ist jetzt das umstrittene Nachfolge-Konstrukt Privacy Shield in Kraft, und bildet derzeit die Grundlage für rechtssichere Datentransfers in die USA. Doch nach wie vor sei nicht abschließend geklärt, ob diese Rechtsinstrumente mit dem Grundsatzurteil zum Safe-Harbor-Abkommen vereinbar sind, warnt der Bitkom in einer Mitteilung und fordert von der Politik, hier für Rechtssicherheit zu sorgen.
Im Mai 2018 endet die Übergangsfrist für die neue EU-Datenschutzverordnung. Welche Neuerungen sie bringt, was passiert, wenn sich Firmen nicht daran halten und wie sich Unternehmen vorbereiten können, erfahren Sie im Special auf silicon.de.