Home
Sitemap
Kontakt
Datenschutzerklärung
Impressum
Suche
Startseite Themen Cloud Computing Auswahl eines Dienstleistungsunternehmens bei der Verarbeitung personenbezogener Daten in der Cloud 
[Druckversion: HTML ]

Auswahl eines Dienstleistungsunternehmens bei der Verarbeitung personenbezogener Daten in der Cloud

Stand: 12.12.2023

Es ist ein alltäglicher Vorgang: Eine Hochschule möchte ein Unternehmen mit der Verarbeitung personenbezogener Daten beauftragen. Nahezu regelmäßig werden diese Dienste in der Cloud zur Verfügung gestellt. Die Datenverarbeitung findet mithin nicht auf Infrastruktur der Hochschule statt und oft genug nicht einmal auf der Infrastruktur der (potentiellen) unmittelbaren Vertragspartei, sondern auf Infrastruktur von weiteren Unternehmen, die im Rahmen eines Unterauftrags tätig werden.

Typische Fallgestaltungen ist zum Beispiel der Betrieb von Software as a Service (SaaS) wie:

  • bEM-Software
  • Finanzbuchhaltungssysteme
  • Studierendenverwaltungssysteme
  • Laborbücher
  • Versuchstierverwaltung

Natürlich kann diese Software in der Regel auch im Haus (on premises) betrieben werden, die Tendenz geht jedoch seit einigen Jahren dahin, dies auszulagern.

Pflicht aus der DS-GVO bei der Auswahl der anbietenden Stellen

Zugriff: Die ganze Welt

Im Regelfall liegt dabei eine Auftragsverarbeitung im Sinne von Art. 28 Datenschutz-Grundverordnung (DS-GVO) vor. Danach dürfen Verantwortliche (hier: die Hochschulen) nur mit solchen Dienstleistungsunternehmen zusammenarbeiten, „die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen (TOM) so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet“ (Art. 28 Abs. 1 DS-GVO).

Entsprechend sind die daraus resultierenden Aspekte zwingend schon bei einer Vergabe zu berücksichtigen und nicht erst dann, wenn ein Unternehmen bereits den Zuschlag erhalten hat. Doch wie macht man das am besten?

Dafür hat ZENDAS (damals noch in Funktion der Datenschutzstelle der Universität Stuttgart) gemeinsam mit der Stabsstelle Informationssicherheit der Universität Stuttgart (RUS CERT) einen Anforderungskatalog entwickelt. Hier wurden die Synergieeffekte mit der Informationssicherheit genutzt, da eine Reihe von Anforderungen sowohl aus Sicht der Informationssicherheit als auch aus Sicht des Datenschutzes zu stellen sind:

Der vollständige Inhalt des Dokuments steht nur den mit ZENDAS kooperierenden Hochschulen zur Verfügung (nähere Informationen finden Sie hier Interner Link).

Zurück zur Übersicht mehr infos
Weiterführende Seiten zu den Themen:
Copyright 2022 by ZENDAS ..