Das Ziel der vorliegenden Masterarbeit besteht darin zu ermitteln, welche Neuerungen der DSGVO die Cloud-Anbieter betreffen und welche Anforderungen und Sicherheitsmaßnahmen demnach die Cloud-Anbieter im Zuge der neuen DSGVO erfüllen müssen. In diesem Zusammenhang werden in dieser Arbeit nur die nachfolgenden drei Hauptkriterien diskutiert:
1 Die Anwendungsbereiche der DS-GVO (räumlich und sachlich)
2 Die Verantwortung und Pflichten der Parteien
3 Die technischen und organisatorischen Maßnahmen
Inhaltsverzeichnis
A. Einleitung
I. Blick auf Datenschutz
II. Zielsetzung und Fragestellung der Arbeit
B. Hintergründe
C. Cloud-Computing
I. Cloud Konzept und Modelle
II. Cloud-Anbieter als Auftragsverarbeiter
III. Allgemeine Risiken der Cloud
IV. Personenbezogene Daten in der Cloud
D. Anforderungen der DS-GVO für Cloud-Anbieter
I. Sachliche und räumliche Anwendungsbereiche
1. Sachlicher Anwendungsbereich
2. Räumlicher Anwendungsbereich
II. Verantwortung und Pflichten der Parteien nach der DS-GVO
1. Verantwortlichkeit und Pflichten des Cloud Service Anbieters
a) Vertretung in der EU
b) Ausweitung der Haftung
c) Recht auf Vergessenwerden
d) Cyberangriffe und Meldepflicht
e) Verzeichnis von Verarbeitungstätigkeiten
2. Verantwortlichkeit des CloudNutzers
III. Technisch organisatorische Maßnahmen
1. Privacy by Design
3. Verschlüsslung
3. Zertifizierungen
E. Praktischer Fall zur Veranschaulichung - Amazon Web Service (AWS)
I. Die gemeinsame Verantwortung in AWS
II. Anwendungsbereiche
III. TOM (technische organische Maßnahmen)
1. Verschlüsselung in AWS System
2. Security by Design
3. Konformität Programm (Zertifizierung)
IV. Fall zur Veranschaulichung – Zwischenfazit
F. Ergebnis der Masterarbeit
I. Anwendungsbereiche
II. Verantwortung
III. TOM
G. Zusammenfassung und Ausblick
Zielsetzung & Themen
Diese Arbeit analysiert die Auswirkungen der EU-Datenschutz-Grundverordnung (DS-GVO) auf Cloud-Anbieter. Ziel ist es, die spezifischen rechtlichen Neuerungen sowie die daraus resultierenden Anforderungen an Sicherheit und Dokumentation zu identifizieren, wobei Amazon Web Services (AWS) als praxisorientiertes Fallbeispiel dient.
- Anwendungsbereiche der DS-GVO (sachlich und räumlich)
- Modelle der gemeinsamen Verantwortung zwischen Anbietern und Nutzern
- Technische und organisatorische Maßnahmen (TOM) nach Art. 32 DS-GVO
- Umsetzung von "Privacy by Design" und "Security by Design"
- Zertifizierungsmöglichkeiten als Nachweis der Compliance
Auszug aus dem Buch
c) Recht auf Vergessenwerden
Der Nutzer hat das Recht, vom Anbieter zu verlangen, unverzüglich seine Daten zu löschen. Die Quelle dieser Regel ist die Entscheidung des Europäischen Gerichtshofs vom 13.05.2014 (EuGH C 131/12). Die Verordnung regelt in Artikel 17 DSGVO das Recht auf Löschung personenbezogener Daten. In der Regel sollte die Löschung der Daten unverzüglich erledigt werden, sobald einer der Gründe in Abs.1 zutrifft, außerdem kann der Nutzer sein Widerspruchsrecht nutzen nach Art. 19 Abs.1. Es verpflichtet den Anbieter und alle Subunternehmen, die die Daten verarbeiten, die Daten und alle Links und Kopien oder Replikationen von diesen personenbezogenen Daten zu löschen.
Die Vergessenwerden Regel wurde als Verschärfung der Pflichten für den Anbieter eingestuft im Vergleich zu den nationalen Gesetzen. Die DS-GVO droht in Art. 83 Abs. 5 und 6 mit extremen Bußgeldern von bis zu 4 % des Umsatzes im Fall der Verstoßung.
Um das Recht auf Vergessenwerden als neue Pflicht erfüllen zu können, muss eine große Änderung und Anpassung im System des Anbieters durchgeführt werden, damit die Löschung rechtzeitig erledigt wird. „Data Retention“ Strategien könnten künftig eine Möglichkeit sein, um nachweisen zu können, dass der Anbieter die Vorgaben der Verordnung eingehalten hat.
Zusammenfassung der Kapitel
A. Einleitung: Einführung in die DSGVO, deren Bedeutung als größte Änderung im Datenschutzrecht seit 20 Jahren und Definition der Zielsetzung der Arbeit.
B. Hintergründe: Erläuterung der Relevanz der DSGVO für Cloud-Anbieter, insbesondere im Hinblick auf räumliche Anwendungsbereiche und das Modell der gemeinsamen Verantwortung.
C. Cloud-Computing: Definition verschiedener Cloud-Modelle (IaaS, PaaS, SaaS, CaaS) und Einordnung des Cloud-Anbieters als Auftragsverarbeiter.
D. Anforderungen der DS-GVO für Cloud-Anbieter: Detaillierte Analyse der sachlichen und räumlichen Geltungsbereiche sowie der Pflichten bezüglich Meldepflichten, Dokumentation und Verarbeitungstätigkeiten.
E. Praktischer Fall zur Veranschaulichung - Amazon Web Service (AWS): Untersuchung der AWS-Compliance, des Modells der gemeinsamen Verantwortung und technischer Umsetzungen wie Verschlüsselung und Security by Design.
F. Ergebnis der Masterarbeit: Zusammenführung der Erkenntnisse hinsichtlich der erweiterten Anforderungen an Cloud-Anbieter in Bezug auf Anwendungsbereiche, Verantwortung und technische Maßnahmen.
G. Zusammenfassung und Ausblick: Resümee über die massiven strukturellen Änderungen für Cloud-Anbieter durch die DSGVO und Empfehlung weiterer Forschung zur praktischen Anwendung.
Schlüsselwörter
DSGVO, Cloud-Computing, Auftragsverarbeiter, Datenschutz, Sicherheit, Amazon Web Service, AWS, Privacy by Design, Security by Design, Zertifizierung, Haftung, Recht auf Vergessenwerden, Meldepflicht, TOM, Compliance
Häufig gestellte Fragen
Worum geht es in dieser Masterarbeit grundlegend?
Die Arbeit untersucht die rechtlichen Anforderungen, die die Einführung der EU-Datenschutz-Grundverordnung (DSGVO) an Cloud-Dienstleister stellt.
Welches ist das primäre Ziel der Untersuchung?
Das Ziel besteht darin, die spezifischen Neuerungen der DSGVO zu analysieren, die Cloud-Anbieter betreffen, und Sicherheitsmaßnahmen zu definieren, die diese zur Einhaltung erfüllen müssen.
Welche Themenfelder stehen dabei im Fokus?
Der Fokus liegt auf den Anwendungsbereichen der DSGVO, der Verantwortung und Pflichten der beteiligten Parteien sowie den technischen und organisatorischen Maßnahmen (TOM).
Welche wissenschaftliche Methode wird zur Analyse genutzt?
Die Arbeit basiert auf der Auswertung von Gesetzesmaterialien, juristischer Fachliteratur sowie der Untersuchung eines praktischen Anwendungsfalls (Amazon Web Service) zur Illustration der Konzepte.
Was wird im Hauptteil der Arbeit behandelt?
Im Hauptteil werden neben den theoretischen Grundlagen der DSGVO detailliert die Rolle des Cloud-Anbieters, Haftungsfragen, das "Recht auf Vergessenwerden" sowie Maßnahmen wie Verschlüsselung und Zertifizierungen erörtert.
Welche Schlüsselbegriffe charakterisieren die Arbeit?
Wichtige Begriffe sind DSGVO, Cloud-Computing, Auftragsverarbeitung, Security by Design, gemeinsame Verantwortung und Compliance.
Wie definiert AWS die gemeinsame Verantwortung?
AWS unterscheidet zwischen der "Sicherheit der Cloud" (für die AWS zuständig ist) und der "Sicherheit in der Cloud", für die der Kunde verantwortlich ist.
Warum ist das Thema Zertifizierung für Cloud-Anbieter relevant?
Zertifizierungen dienen als Nachweis für die Einhaltung technischer und organisatorischer Maßnahmen und können Kunden bei der Auswahl rechtskonformer Cloud-Anbieter unterstützen.
- Arbeit zitieren
- Radwan Eskhita (Autor:in), 2018, Cloud-Anbieter im Lichte der DSGVO. Anforderungen und Sicherheitsmaßnahmen, München, GRIN Verlag, https://www.grin.com/document/492866
