Nutzung von Cloud-Diensten

Für die Verarbeitung personenbezogener Daten mit einem Cloud-Dienst gilt ergänzend zu den Vorschriften der §§ 5 ff.:

(1) Es sind primär bereits geprüfte und freigegebene Cloud-Dienste zu nutzen.

(2) Vor der Nutzung anderer Cloud-Dienste ist anhand nachfolgender Aspekte zu prüfen, ob die erforderlichen Sicherheitsanforderungen erfüllt werden. Folgende Aspekte können ein erhöhtes Risiko darstellen:

a) ungeplante vorzeitige Vertragsbeendigung durch den Diensteanbieter,

b) unzureichend gesicherte administrative Zugänge,

c) mangelnde Portabilität von personenbezogenen Daten und ITSystemen,

d) generelle Abhängigkeit vom Cloud-Diensteanbieter mangels Wechselmöglichkeit,

e) Gefährdung der Integrität von Informationen aufgrund herstellerspezifischer Datenformate,
f) gemeinsame Nutzung der Cloud-Infrastruktur durch mehrere Kunden,
g) Unkenntnis über den Speicherort der Informationen,
h) hohe Mobilität der Informationen sowie
i) unbefugter Zugriff auf Informationen beispielsweise durch
Administrationspersonal des Cloud-Diensteanbieters oder Dritte.

(3) Vor der Nutzung des Cloud-Dienstes ist in Abhängigkeit von der Risikoanalyse eine Exit-Strategie zu definieren (z. B. Datenlöschung, Datenübertragung).