Datenschutz in der Cloud gem. DSGVO

Lesezeit: ca. 4 Minuten

Viele Unternehmen und Behörden nutzen Cloud-Dienste für die Speicherung von Daten, insbesondere auch personenbezogene Daten. Die seit dem 25.05.2018 geltende EU-Datenschutz-Grundverordnung (DS-GVO) ist auch auf solche technischen Konstruktionen wie das Cloud-Computing anzuwenden.

In den meisten Fällen wird das Cloud-Computing ein Fall der Auftragsverarbeitung sein. Dann sind die Regelungen in Art. 28 DS-GVO vom Auftraggeber und Auftragnehmer zu beachten.

Verantwortlich sind beide

Eine Besonderheit der DS-GVO ist die Neuordnung der Haftung im Falle der Auftragsverarbeitung. Nach altem Recht war der Auftraggeber für die Einhaltung der rechtlichen Regelungen fast ausschließlich verantwortlich.

Nach neuem Recht gibt es sowohl für den Auftraggeber als auch Auftragnehmer ein Haftungsrisiko. Sowohl die Bußgeldvorschriften als auch Schadenersatzansprüche, insbesondere Schmerzensgeldansprüche, können direkt gegenüber dem Auftragnehmer von Betroffenen geltend gemacht werden.

Dabei helfen die in Art. 13 und in Art. 14 DS-GVO formulierten Informationspflichten. Gem. Art. 13 DS-GVO ist dem Betroffenen mitzuteilen, an wen die Daten jeweils weitergegeben werden. Hierüber erfährt der Betroffene, welche Cloud-Dienste in Anspruch genommen werden. So besteht die Möglichkeit, hier auch Auftragsverarbeiter und Cloud-Anbieter rechtlich in die Verantwortung zu nehmen.

Cloud muss DS-GVO-konform sein

Wenn ein Auftraggeber Cloud-Dienste in Anspruch nimmt, ist darauf zu achten, dass die Vorschriften der DS-GVO vom Cloud-Anbieter eingehalten werden. Es wird nicht unbedingt erwartet, dass vor Ort Prüfungen stattfinden.

Es wird aber erwartet, dass der Auftraggeber im Einzelnen prüft, welche datenschutzrechtlichen Maßnahmen ergriffen werden. Hier wird eine genaue Dokumentation notwendig sein, um die Einhaltung der DS-GVO beim Cloud-Anbieter zu prüfen. Regelmäßige Audits sind ebenfalls notwendig.

Wichtig: Standort der Cloud-Dienste

Als einer der ersten Fragen ist zu klären, wo der Standort des Cloud-Anbieters ist. Wenn sich das Rechenzentrum außerhalb der EU befindet, muss die Einhaltung der DS-GVO sichergestellt werden oder anderweitig ein entsprechend angemessenes Datenschutzniveau garantiert sein.

Hier kann beispielsweise auf die Vereinbarung zum „Privacy Shield“ abgestellt werden. Allerdings stehen noch einige Entscheidungen des Europäischen Gerichtshofs aus, sodass möglicherweise auch hier sich in der Zukunft neue Rechtslagen ergeben.

Für Auftraggeber ist da die rechtliche Situation einfacher, wenn das Rechenzentrum in der EU steht.

Dokumentation und Verzeichnis der Verarbeitungstätigkeiten

Die DS-GVO sieht sowohl für den Auftraggeber als auch für den Auftragnehmer umfangreiche Dokumentationspflichten vor. Für beide gilt die Rechenschaftspflicht gem. Art. 5 Abs. 2 DS-GVO.

Im Zweifel müssen der Auftraggeber und der Auftragnehmer nachweisen können, dass sie die Regelungen der DS-GVO einhalten.

Der Auftragnehmer muss für jeden seiner Kunden, der personenbezogene Daten in den Cloud-Diensten speichert, ein eigenes Verzeichnis der Verarbeitungstätigkeiten anlegen. Dies war nach der alten Rechtslage nicht erforderlich, erhöht den Dokumentationsaufwand damit bei den Cloud-Anbietern.

Es muss in der Dokumentation ersichtlich sein, welche Daten verarbeitet werden, wo diese gespeichert sind und welche Sicherheitsstandards eingehalten werden.

Darüber hinaus gelten auch für Cloud-Dienste, die in der DS-GVO festgelegten Überwachungspflichten für den behördlichen oder betrieblichen Datenschutzbeauftragten.

Die Überwachungspflichten enden nicht in der jeweiligen eigenen organisatorischen Einheit, sondern beziehen sich auch auf alle Auftragnehmer.

Darüber hinaus erwarten die Aufsichtsbehörden, dass eine Risikobewertung für die jeweilige Datenverarbeitung erfolgt, aus der dann die notwendigen Maßnahmen zum Datenschutz abgeleitet werden.

Löschung gilt auch in der Cloud

Das „Recht auf Vergessenwerden“ und die Löschungspflichten aus der DS-GVO gelten auch für Cloud-Dienste. Ein Auftraggeber muss daher klären, inwieweit Verknüpfungen oder Querverweise eine wirkliche Löschung im Einzelfall verhindern können.

Hier empfiehlt es sich, in Zusammenarbeit mit den Cloud-Anbietern ein Löschkonzept zu erstellen.

Auch die weiteren Anforderungen der DS-GVO, beispielsweise das Recht auf Datenübertragbarkeit oder auf die Forderung nach einer datenschutzfreundlichen Voreinstellung müssen bei Cloud-Diensten geprüft werden.

Das Bundesministerium für Wirtschaft und Energie (BMWi) hat eine Zertifizierung initiiert, die bereits den Anforderungen der DS-GVO angepasst ist. Es wurde ein Kriterienkatalog veröffentlicht, der sich gut eignet, um Beurteilungsaspekte für die Auswahl des richtigen Cloud-Anbieters festzulegen.

Schriftlicher Vertrag zur Auftragsverarbeitung

Neben den vertraglichen Fragen, wie Vergütung, Laufzeit oder Haftung, ist ein eigenständiger Vertrag zur Auftragsverarbeitung mit dem Cloud-Anbieter abzuschließen.

Hier kann beispielsweise auf das Muster den Bayrischen Landesamts für Datenschutzaufsicht zurückgegriffen werden, das auftraggeberfreundlich die Anforderungen auflistet, die an einen solchen Vertrag zur Auftragsverarbeitung mit einem Cloud-Anbieter gestellt werden.

In der Praxis empfehlen wir unseren Mandanten beim Abschluss von Cloud-Verträgen, auch einen Moment über die Beendigung des Vertrags nachzudenken.

Es sollte ein technisches, organisatorisches und auch juristisches Szenario festgelegt werden, wie bei einer Beendigung des Vertrags die in der Cloud gespeicherten Daten und personenbezogenen Informationen ohne Mühe herausverlangt werden können und dann anderweitig, beispielsweise durch einen neuen Dienstleister, verarbeitet werden können.

 
1 Star2 Stars3 Stars4 Stars5 Stars 3 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Cookies werden von unserer Seite nur gesetzt, wenn Sie akzeptieren anklicken. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen