![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Die neue Datenschutz-Grundverordnung der Europ\u00e4ischen Union (GDPR) ist beschlossene Sache. Sie sorgt allerdings mit ihren \u00dcbergangsregelungen bis 2018 f\u00fcr viele Verwirrrungen. Was wird sich \u00e4ndern und auf was muss ich als Cloudnutzer achten? Hierzu finden sich kontroverse Aussagen und einige Mythen um die neue Verordnung im Netz. <\/p>\n
<\/p>\n
Die neue Datenschutz-Grundverordnung der EU definiert Regeln f\u00fcr die Verarbeitung personenbezogener Daten durch private Unternehmen und \u00f6ffentliche Stellen. In Kraft trat die Verordnung am 25. Mai 2016, die Umsetzung durch die EU-Mitgliedstaaten betr\u00e4gt zwei Jahre (bis 25. Mai 2018). <\/p>\n
In einem Newsletter von medialab.com hat man versucht, das EU-Werk folgenderma\u00dfen zu charakterisieren. <\/p>\n
\nMit 173 Erw\u00e4gungsgr\u00fcnden und 99 Artikeln ist die EU-Datenschutzgrundverordnung (EU-DSGVO) wahrlich kein Schmalhans. \u2026Hierzulande, wo der Schutz pers\u00f6nlicher Daten sehr hoch gehalten wird, muss man sich nun mit einer Verordnung auseinandersetzen, die wesentlich umfangreicher als das Bundesdatenschutzgesetz ausf\u00e4llt. Wie mag das erst in anderen L\u00e4ndern aussehen?
Kein Stein bleibt auf dem anderen<\/b>
Experten sch\u00e4tzen, dass rund 120 deutsche Gesetze aufgrund der EU-DSGVO umgeschrieben werden m\u00fcssen. Es l\u00e4sst sich erahnen, dass sich nicht nur die Datenschutzbeauftragten aus Bund und L\u00e4ndern mit der Verordnung befassen m\u00fcssen. Und das alles bis zum 25. Mai 2018, denn dann endet die zweij\u00e4hrige \u00dcbergangszeit. Bis dato m\u00fcssen die nationalen Gesetzgebungsverfahren laut EU-DSGVO abgeschlossen sein.
Angesichts der Mammutaufgabe eine zu kurze Frist, wie der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) meint. Auf seiner Webseite l\u00e4uft ein Timer r\u00fcckw\u00e4rts, der die Tage bis zum 25. Mai 2018 z\u00e4hlt. \"Die Herausforderung bestehe laut BvD darin, \"sich mit dem Regelungswerk der DSGVO vertraut zu machen, den individuellen Umstellungsbedarf festzustellen und dabei die laufende Gesetzgebung zum Datenschutz auf nationaler Ebene nicht unber\u00fccksichtigt zu lassen.\" <\/p>\n<\/blockquote>\nZur EU-Datenschutz-Grundverordnung hatte heise.de bereits im Dezember 2015 den Beitrag Neue EU-Datenschutzregeln: Facebook erst ab 16 Jahren<\/a> und vor einigen Tagen gab es den Artikel Neue Datenschutz-Grundverordnung der EU laut Experten ohne Wirkung<\/a>. Tenor: Die Verordnung funktioniere nicht. <\/p>\n
Wie dem auch immer sei, vom Anwendungssicherheits-Spezialist Veracode habe ich einen Text, der sich mit den vier h\u00e4ufigsten Missverst\u00e4ndnissen zur EU-Datenschutz-Grundverordnung aus Sicht von Cloud-Nutzern befasst. Das ist in meinen Augen auch ganz interessant im Hinblick \"ich setze Software xyz ein, die dann irgendwelche Daten im Hintergrund 'in der Cloud' speichert\". Das k\u00f6nnte f\u00fcr Unternehmen dann teuer werden \u2013 wenn die Daten dort \"verlustig\" werden. Hier die vier Thesen von Veracode<\/a>.<\/p>\n
Missverst\u00e4ndnis Nr. 1: Die Datenschutz-Grundverordnung verbietet Unternehmen, personenbezogene Daten in der Cloud zu speichern<\/em><\/strong> <\/p>\n
Was m\u00fcssen Unternehmen beachten, die personenbezogene Daten erheben, archivieren und verarbeiten? Dass sie in Zukunft vollends auf Cloud-Services und SaaS verzichten m\u00fcssen, ist nat\u00fcrlich eine Fehlinformation. Es besteht neuerdings jedoch die Pflicht, den Datenaustausch mit der Cloud exakt zu dokumentieren. Au\u00dferdem sollen Unternehmen \u201egeeignete technische und organisatorische Ma\u00dfnahmen\" ergreifen, um die unrechtm\u00e4\u00dfige Verarbeitung personenbezogener Daten und vergleichbares Fehlverhalten zu verhindern. Im Hinblick auf Daten, die nicht als personenbezogen klassifiziert werden k\u00f6nnen, ist die Richtlinie \u00fcbrigens weniger strikt \u2013 spezifische Ma\u00dfnahmen oder Vorkehrungen werden hier nicht gefordert. <\/p>\n
Missverst\u00e4ndnis Nr. 2: Unternehmen aus der Europ\u00e4ischen Union d\u00fcrfen fortan keine Vertr\u00e4ge mehr mit Cloud- oder SaaS-Anbietern abschlie\u00dfen<\/em><\/strong> <\/p>\n
Die herrschende Verwirrung hat einige Unternehmen dazu bewogen, von Vertr\u00e4gen mit SaaS- und Cloud-Providern vorerst Abstand zu nehmen. Sie verzichten damit auf eine der wichtigsten Innovationen des digitalen Zeitalters \u2013 und das letztlich grundlos. Denn entscheidend ist lediglich, dass Unternehmen personenbezogene Daten in der Cloud angemessen sch\u00fctzen und den Datenaustausch dokumentieren. Sind diese Voraussetzungen erf\u00fcllt, steht der Nutzung entsprechender Services nichts im Weg. <\/p>\n
Missverst\u00e4ndnis Nr. 3: Unternehmen, die Daten in der Cloud speichern, erwartet eine Strafe<\/em><\/strong> <\/p>\n
Wer in der Cloud mit personenbezogenen Daten hantiert, dabei seine Sorgfaltspflicht verletzt und dann Opfer eines Datendiebstahls wird, den erwartet tats\u00e4chlich eine Strafe. Sofern diese drei Bedingungen jedoch nicht gleichzeitig gegeben sind, haben Unternehmen nichts zu bef\u00fcrchten. Das einfache Speichern von Daten in der Cloud ist selbstverst\u00e4ndlich nicht verboten und wird auch nicht bestraft. <\/p>\n
Missverst\u00e4ndnis Nr. 4: Kommt es zu einem Datendiebstahl, sehen Cloudnutzer hohen Geldstrafen entgegen<\/em><\/strong> <\/p>\n
Die neue Datenschutz-Grundverordnung verlangt von Unternehmen, geeignete Ma\u00dfnahmen zu ergreifen um sicherzustellen, dass alle pers\u00f6nlichen Daten in der Cloud ausreichend gesch\u00fctzt sind. Kommen sie dieser Verpflichtung nicht nach, erwarten sie im Falle einer Kompromittierung der Daten tats\u00e4chlich schwerwiegende Geldstrafen. Wer unverschuldet Opfer eines Datendiebstahls wird, hat jedoch keine zus\u00e4tzliche Bestrafung zu bef\u00fcrchten. Es reicht deshalb aus, in Zukunft ein verst\u00e4rktes Augenmerk auf Sicherheit zu legen. <\/p>\n
Fazit: Die Cloud besser absichern<\/strong> <\/p>\n
Die Datenschutz-Grundverordnung der Europ\u00e4ischen Union trifft Cloud-Nutzer (nach Ansicht von Veracode) weniger hart als oftmals bef\u00fcrchtet. Doch trotz aller Missverst\u00e4ndnisse: Das neue Gesetz konfrontiert Unternehmen mit neuen Anforderungen. Wenn sie personenbezogene Daten in der Cloud speichern wollen, m\u00fcssen sie in Zukunft verst\u00e4rkt daf\u00fcr sorgen, dass diese auch ausreichend gesch\u00fctzt sind. Au\u00dferdem muss der Datenaustausch sorgf\u00e4ltig dokumentiert werden. Kommen sie diesen Verpflichtungen nicht nach, erwarten sie Bu\u00dfgelder in erheblicher H\u00f6he. Das notwendige Know-how m\u00fcssen entweder die eigenen Mitarbeiter bereitstellen oder externe Dienstleister, die auf Datenschutz und Sicherheit spezialisiert sind. Angesichts der gestiegenen Anforderungen auf die Cloud zu verzichten, w\u00e4re nat\u00fcrlich keine gute Idee: Unternehmen w\u00fcrden sich damit der wichtigsten Plattform f\u00fcr die Digitalisierung ihrer Gesch\u00e4ftsprozesse berauben \u2013 und somit zwangsl\u00e4ufig hinter ihre Konkurrenz zur\u00fcckfallen.<\/p>\n","protected":false},"excerpt":{"rendered":"
Die neue Datenschutz-Grundverordnung der Europ\u00e4ischen Union (GDPR) ist beschlossene Sache. Sie sorgt allerdings mit ihren \u00dcbergangsregelungen bis 2018 f\u00fcr viele Verwirrrungen. Was wird sich \u00e4ndern und auf was muss ich als Cloudnutzer achten? Hierzu finden sich kontroverse Aussagen und einige … Weiterlesen