Data Breach Notification und die Cloud

19.06.2017 10:22

Datensicherheit beim Provider

Die am 28.05.2018 in der EU in Krarft tretende DSGVO (GDPR) sieht unter anderem eine Data Breach Notifiaction bei einem Datenschutz Vorfall vor.

Was bei SaaS Lösungen eine relativ klare Sache ist, gestaltet sich bei PaaS- und IaaS-Verträgen etwas schwieriger. Warum?

Es beginnt mit der einfachen Frage: woher weiss der Systembetreiber (PaaS) oder der Infrastruktur-Anbieter, ob personenbezogene (kundenidentifizierende/CID) Daten auf seinen Systemen und Servern gespeichert werden? Wer hat künftig angesichts des rechtlichen Kontextes die Verantwortung über dieses Wissen? Ist es eine Holschuld des Anbieters oder eine Bringschuld des Auftraggebers? Bisher bestand keine Holschuld seitens der Anbieter zu wissen, welche Daten (sehr oft bezogen auf die Inhalte einer Webseite und deren rechtlichen Konformität) der Auftraggeber speicherte. Erst wenn der Anbieter Kenntnis von widerrechtlichen Inhalten auf seinen Systemen hatte, musste er gewisse Abläufe einhalten. Ausgehend von der bisherigen Praxis wäre somit der Auftraggeber in der Verantwortung.

Folgen wir diesem Gedankengang, gibt dies der Auftraggeber bereits bei der Anfrage (RFQ) bekannt. Zusätzliche Prozesse und Services beeinflussen den Angebotspreis. So vermeidet man unbeliebte Vertragsanpassungen nach einem Vertragsabschluss. Der Auftraggeber tut gut daran, beim Servicevertrag (SLA) auf die Punkte in diesem Zusammenhang zu achten. Zum Beispiel auf die Data Breach Notification.

Nach Verständnis gewisser Experten ist der Anbieter in der Pflicht, einen Vorfall, der den Datenschutz tangiert, zu melden [so schreibt es zum Beispiel Jessica Hughes in einem Artikel der Government Technology, einem US-Magazin]. Die Frage ist: wem meldet dies der Anbieter? Wer ist sein Ansprechpartner hierfür? Welche Massnahmen muss der Anbieter in einem solchen Fall sicherstellen, in welcher Frist und welche "Beweise" (Logfiles usw.) muss er in welcher Art sichern? Ein ungeklärter juristischer Widerspruch öffnet sich: Dürfen die Logfiles mit personenbezogenen Daten über den Zeitraum von 6 Monaten präventiv zu Beweiszwecken aufbewahrt werden?

Microsoft hat für die Azure Cloud das Vorgehen definiert. Andere Paas- und IaaS-Anbieter werden noch Hausaufgaben machen müssen, um Serviceverträge bieten zu können, die diesen neuen Vorgaben gerecht werden. Auch ist nach unserem Rechtsverständnis noch nicht im Detail erkennbar, was der EU-Gesetzgeber mit der DSGVO exakt von einem Cloud-Anbieter erwartet bzw. inwieweit er in die Pflicht genommen wird. Im Moment ist davon auszugehen, dass sich die Schweiz mit dem revidierten DSG (Datenschutzgesetz) stark an der DSGVO der EU orientieren wird.

Aus eigener Erfahrung wissen wir, dass selbst die Definition, was personenbezogene Daten sind, unterschiedlich sein kann. So betrachten gewisse Auftraggeber die Datenbank für Newsletter-Sendungen als solche, wohingegen andere Auftraggeber bei dieser Definition grosszügiger sind. Für den IaaS- oder PaaS-Anbieter ändert sich dadurch wenig - er muss lediglich wissen, ob personenbezogene Daten verarbeitet werden oder nicht. Der Auftraggeber ist jedoch gut beraten, sich vom Anbieter seinen "Data Breach" Prozess aufzeigen zu lassen. 

0 Kommentare

Schreiben Sie einen Kommentar zu dieser Seite

Antwort auf: Direkt auf das Thema antworten

7977 + 8
Google+ aktivieren