Neben dem klassischen Speicherplatz in der Cloud sind auch cloudbasierte Softwarelösungen inzwischen üblich. Typische Anwendungsgebiete sind etwa:
- Personaldatenbanken und Personalverwaltungslösungen
- Softwareunterstütztes Rechnungswesen
- Kundendatenbanken (Customer-Relationship-Management-Lösungen)
- Ressourcenplanung (Enterprise Ressourcen Planning-Lösungen)
- Andere Anwendungen wie Textverarbeitung oder Tabellenkalkulation
Im Rahmen des Cloud-Computing stellt ein Service Provider digitale Ressourcen wie Speicherplatz oder Rechenleistung über ein Netzwerk (meistens das Internet) als Dienstleistung bereit.
Wenn personenbezogene Daten mit einem Cloud-Service verarbeitet werden, gelten Datenschutz und Datensicherheit auch in der Cloud. Personenbezogene Daten beziehen sich auf Informationen, die sich allein oder in Verbindung mit anderen Daten auf eine eindeutig identifizierte, natürliche Person beziehen, zum Beispiel Vor- und Nachname oder eine eindeutige Kennung.
Bei der Auswahl eines geeigneten Cloud-Service ist es wichtig, Datenschutz und Datensicherheit zu berücksichtigen, da der Einsatz nicht datenschutzkonformer Services teure Folgen haben kann. Datenschutzverstöße können hohe Geldstrafen gemäß der Datenschutz-Grundverordnung (DSGVO) nach sich ziehen und zu Vertrauens- und Reputationsverlust bei Kunden und Mitarbeitern führen.
Ein Cloud-Service wird nicht als eigene Datenverarbeitung im Sinne der DSGVO betrachtet, sondern als technisches Mittel zur Datenverarbeitung. Als Verantwortlicher im Sinne der DSGVO müssen Sie die Grundsätze der Datenverarbeitung einhalten, die Rechte der betroffenen Personen gewährleisten und die Datenverarbeitung dokumentieren.
Ein wichtiger Grundsatz ist die Datenminimierung, nach der nur die für den Zweck der Datenverarbeitung notwendigen personenbezogenen Daten verarbeitet werden dürfen. Das bedeutet, dass ein Cloud-Service keine überflüssigen personenbezogenen Daten erheben oder speichern sollte.
Ein weiterer Grundsatz ist die Datensicherheit. Geeignete technische und organisatorische Maßnahmen müssen getroffen werden, um die Vertraulichkeit, Integrität und Verfügbarkeit der personenbezogenen Daten zu gewährleisten. Dazu gehören beispielsweise Zugriffskontrolle, Verschlüsselung und Schutz vor unberechtigter Veränderung der Daten.
Wenn Sie Cloud-Services von einem Dienstleister über das Internet beziehen, delegieren Sie die (technische und organisatorische) Datenverarbeitung an den Dienstleister, bleiben jedoch als Verantwortlicher für die Datenverarbeitung verantwortlich. Es ist wichtig, eine Auftragsverarbeitungsvereinbarung mit dem Dienstleister abzuschließen, in der unter anderem die Weisungsgebundenheit, die Auftragsverarbeiter des Dienstleisters, der Zweck und die Dauer der Auftragsverarbeitung sowie die technischen und organisatorischen Maßnahmen festgelegt werden.
Als Verantwortlicher müssen Sie Ihre Datenverarbeitungen dokumentieren und ein Verzeichnis von Verarbeitungstätigkeiten führen. Sie müssen die betroffenen Personen über die Datenverarbeitung informieren und gegebenenfalls die Einwilligung der betroffenen Personen einholen.
Die Datensicherheit muss durch geeignete Maßnahmen gewährleistet werden. Beim internationalen Datenverkehr gelten besondere Regelungen für den Transfer personenbezogener Daten in Drittstaaten, die außerhalb des Europäischen Wirtschaftsraums liegen.
Es ist wichtig, dass Sie bei der Auswahl eines Cloud-Services darauf achten, dass Datenschutz und Datensicherheit gewährleistet sind. Achten Sie auf Zertifizierungen oder Siegel, die die Einhaltung von Datenschutzstandards bestätigen, und stellen Sie sicher, dass der Cloud-Service den Grundsätzen der Datenverarbeitung entspricht.
Cloud-Computing und Datenschutz sind wichtige Aspekte der digitalen Transformation. Neben dem Speichern von Daten in der Cloud werden auch cloudbasierte Softwarelösungen immer häufiger genutzt. Bei der Auswahl eines Cloud-Services ist es entscheidend, Datenschutz und Datensicherheit zu berücksichtigen, da Verstöße teure Folgen haben können. Als Verantwortlicher für die Datenverarbeitung müssen Sie die Grundsätze der Datenverarbeitung einhalten, die Datenminimierung sicherstellen und geeignete Maßnahmen zur Datensicherheit treffen. Die Auswahl eines Cloud-Services sollte auf die Einhaltung von Datenschutzstandards und die Übereinstimmung mit den Grundsätzen der Datenverarbeitung geprüft werden.
Wir stellen Ihnen hier zur Unterstützung einen Fragenkatalog zur Verfügung, welcher Ihnen bei der Beurteilung Ihrer Situation helfen kann.
Fragenkatalog:
- Allgemeine Fragen zur digitalen Transformation:
- Hat Ihr Unternehmen bereits Maßnahmen ergriffen, um die digitale Transformation voranzutreiben?
- Welche digitalen Technologien nutzen Sie derzeit in Ihrem Unternehmen?
- Haben Sie einen klaren Plan oder eine Strategie für die digitale Transformation?
- Fragen zur Kenntnis und Nutzung von KI und AI:
- Haben Sie von Künstlicher Intelligenz (KI) und Automatisierter Intelligenz (AI) gehört?
- Haben Sie bereits Erfahrung mit KI- und AI-Technologien in Ihrem Unternehmen?
- Wie würden Sie den aktuellen Kenntnisstand Ihrer Mitarbeiter in Bezug auf KI und AI einschätzen?
- Fragen zur Relevanz von KI und AI für Ihr Unternehmen:
- Glauben Sie, dass KI und AI für Ihr Unternehmen einen Mehrwert bieten können? Wenn ja, in welchen Bereichen?
- Haben Sie bestimmte Geschäftsprozesse identifiziert, die durch den Einsatz von KI und AI verbessert werden könnten?
- Sind Sie bereit, in KI- und AI-Lösungen zu investieren, um Ihr Unternehmen weiterzuentwickeln?
- Fragen zur Eignung Ihres Dienstes im Zusammenhang mit KI und AI:
- Bietet Ihr Dienst KI- oder AI-Funktionen, die für kleine Unternehmen relevant sein könnten?
- Wie kann Ihr Dienst die digitale Transformation in kleinen Unternehmen unterstützen?
- Gibt es Beschränkungen oder Voraussetzungen für die Nutzung Ihres Dienstes im Zusammenhang mit KI und AI?
- Fragen zur Datensicherheit und Datenschutz:
- Wie gehen Sie mit den Daten Ihrer Kunden um und wie stellen Sie die Sicherheit dieser Daten sicher?
- Erfüllt Ihr Dienst die geltenden Datenschutzbestimmungen und -anforderungen?
- Können Sie Informationen über die Datenschutzpraktiken Ihres Dienstes bereitstellen?