Schnell-Check

JETZT In 3 Schritten:
Ist die cloud datenschutzkonform?

Datenschutz & cloud = kein Widerspruch!

1. Schritt: Ist der Anbieter in einem EU-Ausland?

JA!!! Es gibt eine Übertragung in Drittländer in USA, China, …

Eigentlich ist das nicht erlaubt und vorgesehen.
Doch wir haben einige Lösungen für Sie hier zusammengestellt.

Nein!!! Es gibt keine Übermittlung ins EU-Ausland ::: das ist perfekt!!!

Bitte einen Vertrag und einen ergänzenden AV-Vertrag abschließen und los geht’s.

2. Schritt: Es gibt Ausnahmen und Länder mit Niveau

Bei Cloud-Anbietern aus diesen Ländern müssen Sie sich datenschutzrechtlich wegen der Drittstaaten-Regelung keine Gedanken machen, denn das Datenschutzniveau gilt als angemessen und der EU gleich:

  • Andorra 🇦🇩
  • Argentinien 🇦🇷
  • Kanada 🇨🇦
  • Färöer-Inseln 🇫🇴
  • Guernsey 🇬🇬
  • Israel 🇮🇱
  • Isle of Man 🇮🇲
  • Japan 🇯🇵
  • Jersey 🇯🇪
  • Neuseeland 🇳🇿
  • Republik Korea (Südkorea) 🇰🇷
  • Schweiz 🇨🇭
  • Uruguay 🇺🇾
  • Vereinigtes Königreich 🇬🇧

3. Schritt:
Der Transfer personenbezogener Daten in die USA, Indien oder China ist verboten.
******Lösungen

Datenschutz auch bei emials

Jetzt unverbindlich beraten lassen

Wir helfen Unternehmen Ihre Datenschutzprobleme und Pannen zu ordnen, zu reparieren und diese entsprechend zu beraten um hohe Bußgelder und Ärger zu vermeiden.

Normalerweise ist ein Transfer personenbezogener Daten in diese Dritt-Länder nicht erlaubt und so hängt „Nichts tun“ immer mit einem
hohen Risiko für den Verantwortlichen (Bußgeld/Haftstrafen) und das Unternehmen durch Schadensersatz zusammen.

      1.     Vertrag auf Basis der Standarddatenschutzklauseln für die Übermittlung personenbezogener Daten (auch an Auftragsverarbeiter) (Art. 46 Abs. 2 lit. c und lit. d), hier sind weitere Maßnahmen wie weitere Maßnahmen der Verschlüsslung nötig. Das ist der Normalfall.

 

2.     Individuelle Vertragsklauseln (Art. 46 Abs. 3 lit. a), die Aufsichtsbehörde genehmigt diese Klauseln.

       3.     Binding corporate rules („Verbindliche unternehmensinterne Vorschriften) (Art. 45 Abs. 2 lit.b iVM  Art. 47) Genehmigung seitens der Aufsichtsbehörden ist hier auch erforderlich.

       4.     Genehmigte Verhaltensregeln (Codes of Conduct) Art. 46 Abs. 2 lit. e können ebenfalls nur den einer Genehmigung der Aufsichtsbehörden genutzt werden.

5.     Genehmigte Zertifizierungsmechanismen (Art. 46 Abs. 2 lit. f i.V.m Art. 42.) die Zertifizierung erfolgt ebenfalls durch die Aufsichtsbehörden.

 

Es gibt Ausnahmen für unregelmäßige Einzelfälle:

 

       6.     Einwilligung, z.B. über cookie-Banner, die betroffene Person muss über die vorhandenen Risiken unterrichtet worden sein und sie muss ihre Einwilligung eindeutig und willentlich abgegeben haben. (s. Art. 49 Abs. 1 lit. a)

7.      Datenübermittlung ist zur Erfüllung des Vertrages oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, z.B. Hotelreservierung im Ausland, Arbeitsverträge (Art. 49 Abs. 1 lit. b)

 

8.     Datenübermittlung ist zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person geschlossenen Vertrags erforderlich, z.B. Übermittlung von Arbeitnehmerdaten für die ausländische Mitarbeiterversicherung (Art. 49 Abs. 1 lit. c)

9.      Andere Ausnahmen (Art. 49 Abs.1 lit d –f), z.B. öffentliches Interesse.

Im Überblick Chancen und Risiken der Cloud

ChanCEN

  • Flexible und kosteneffiziente Anpassung der Ressourcennutzung
  • Anstelle von Fixkosten variable Kosten „Pay-per-Use“
  • Mobiles Arbeiten
  • „Bring Your Own Devise“ (BYOD)
  • Je nach cloud-Art (siehe unter Veranwortlichkeiten), z.B. bei Software as a Service ist kein eigenes technisches Fachpersonal nötig
  • Schnelle Markteinführung neuer Produkte und Services
doors, choices, choose-1767563.jpg

Risiken

  • Vendor Lock-In: Cloud-Anbieter ändert sein Preismodell, Kunde will wechseln, doch die Kosten für den Datentransfer sind so hoch, dass sich der Wechsel nicht lohnt. So muss der Kunde die Preiserhöhung akzeptieren.
  • Service Level Agreements der cloud-Anbieter bieten nie mehr als 99,9% Verfügbarkeit an. Das ist eigentlich kein Problem, denn im Eigenbetrieb ist das auch nicht möglich.
    Aber: Es gibt keine Garantien bezüglich Datenverlust oder
    Manipulation.
  • Werden die Sicherheitsziele erreicht?
    Vertraulichkeit: Können Daten von Unberechtigten eingesehen werden?
    Integrität: Unbemerkte zufällige oder absichtliche Änderung von Daten in der cloud
    Verfügbarkeit: Ist sichergestellt, dass Daten oder Dienste auch jederzeit nutzbar sind?
  • Datenschutz und compliance:
    Wann werden welche Daten gelöscht?
    Welche Daten dürfen nicht gespeichert werden? Z.B. Gesundheitsdaten
    Wie erfolgt die Kontrolle der Zugriffe?
    Sind personenbezogene Daten in der cloud sicher vor fremden Zugriffen?
  • Insiderangriffe durch Angestellte von cloud-Providern und Datendiebstähle

Datenschutzbeauftragter

KOWOLL PROTECTS CHECKLISTE

Einfach mit Daten sicher und geschützt arbeiten

Nutzen Sie hier unsere 8-Punkte Checkliste – einmalig und ausdrucksstark