Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) veröffentlicht einen Leitfaden "Cloud Security", der technische, organisatorische und rechtliche Maßnahmen zur Beherrschung ermittelter Risiken von Cloud-Services aufzeigt. Betrachtet werden nicht nur Sicherheitsvorteile von Cloud Services, sondern auch rechtliche und organisatorische Aspekte sowie das Thema der Verantwortlichkeiten und den Verkehrssicherungspflichten.

Die im Leitfaden "Cloud Security" enthaltenen Informationen sind auch für die kirchlichen Datenschutzgesetze (KDG, DSG-EKD, ...) von Bedeutung. Auch wird auf das Thema des Datenschutzes bei der Verarbeitung personenbezogener Daten sowie auf eine Vertragsgestaltung bei der Aufgabenverteilung zwischen Anbieter und Nutzer eingegangen.

Auszug aus dem Inhalt

In privatrechtlicher Hinsicht treffen den Betreiber einer Einrichtung, genauso wie den Geschäftsführer oder Vorstand eines jeden Unternehmens, verschiedene Verkehrssicherungspflichten, für die er im Außenverhältnis rechtlich verantwortlich ist. Dies kann insbesondere bei Schadensersatzansprüchen relevant sein, die infolge eines durch mangelnde Informationssicherheit verursachten materiellen oder immateriellen Schadens durch Dritte geltend gemacht werden.

Ein personenbezogenes Datum, das nicht durch entsprechende (angemessene) TOM geschützt wird, stellt laut Definition der DSGVO einen Verstoß dar. Die Folge wäre eine Haftung der verantwortlichen Partei für nicht hinreichend geschützte personenbezogene Daten.

Unter Punkt 4.2.5 „Datentransfer in Drittstaaten“ wird nochmals darauf hingewiesen, dass weiterhin zu prüfen ist, ob in dem Drittland ein angemessenes Datenschutzniveau besteht und ob ggf. Maßnahmen zu treffen sind, um ein angemessenes Datenschutzniveau zu sichern. Das bedeutet dann auch eine dauerhafte und regelmäßige Überprüfung, weil sich Voraussetzungen und Maßnahmen im Laufe der Zeit verändern können (FAQ zum EU-US-Privacy-Shield).

Weitere Punkte sind u.a.
  • Risiken bei der Nutzung von Cloud Services
  • Risiken aus Verletzung rechtlicher Vorgaben (rechtliche Risiken) .
  • Rechtliche Anforderungen / Datenschutzanforderungen
  • Sicherheitsvorteile von Cloud Services
  • Technische Maßnahmen zur Sicherung der Nutzung von Cloud Services
  • E-Mail-Verschlüsselung
  • VPN Varianten
  • Backup Strategien Cloud / Notfallplanung
  • Aufgabenverteilung zwischen Anbieter und Nutzer
  • Datenschutzrechtliche Verantwortlichkeit
  • Empfohlene zusätzliche Regelungen
  • u.v.w.

 

world link  Link zum Leitfaden „Cloud-Security“ beim TeleTrusT