| Mehr Rechtssicherheit

Leitfaden für datenschutzgerechtes Cloud Computing

Bild: Haufe Online Redaktion

Die Datenverarbeitung „in der Wolke“ birgt datenschutzrechtliche Risiken. Mehr Rechtssicherheit für Nutzer von Cloud-Anwendungen soll ein Leitfaden bieten, den das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) herausgegeben hat.

Auf Grundlage einer Stellungnahme der Artikel-29-Datenschutzgruppe der EU-Staaten zur datenschutzkonformen Gestaltung von Cloud-Dienstleistungen vom 1. Juli 2012 hat das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein jetzt die wichtigsten Hinweise zur datenschutzgerechten Erbringung und Nutzung von Cloud-Dienstleistungen nach deutschem bzw. europäischem Recht zusammengestellt.

Cloud-Anwender ist immer verantwortliche Stelle

In dem Leitfaden weisen die Datenschützer ausdrücklich darauf hin, dass die Cloud-Anwender, also etwa Unternehmen, die Cloud-Dienste bei entsprechenden Anbietern in Anspruch nehmen, die datenschutzrechtliche Verantwortung tragen. Die Unternehmen, die die Cloud-Dienste erbringen, sind dagegen als Auftragnehmer einzustufen. Dies gelte auch dann, wenn die Anwender kleine oder mittlere Unternehmen seien und es sich bei den Anbietern um große internationale Konzerne handele. Die Anwender dürften auch in diesem Fall keine Klauseln akzeptieren, die nicht mit dem Datenschutzrecht vereinbar sind.

Auftragsdatenverarbeitung: Informationen zu Unteraufträgen und Speicherorten

Der Vertrag zwischen Cloud-Anbieterin und -Anwenderin müsse inhaltlich den Anforderungen zur Auftragsdatenverarbeitung gem. § 11 Abs. 2 S. 2 BDSG genügen. Aus Gründen der Rechtssicherheit sollte vertraglich zudem vereinbart werden, dass der Dienst-Anbieter den Anwender über alle Unterauftragsverhältnisse und über alle Orte, an denen personenbezogene Daten gespeichert oder verarbeitet werden können, informiert.

Sorgfalt bei der Auswahl des Cloud-Anbieters

Wenn personenbezogene Daten in der Cloud verarbeitet oder gespeichert werden sollen, muss bei der Auswahl des Dienstleisters sorgfältig vorgegangen werden, wobei es nicht allein ausreicht, auf die Datensicherheit zu achten. So müssen hier auch Datenschutzziele wie Transparenz, Nicht-Verkettbarkeit und Intervenierbarkeit berücksichtigt werden.

Übermittlung in Drittstaaten

Die Übermittlung personenbezogener Daten in unsichere Drittstaaten außerhalb des EWR ist nur unter bestimmten Voraussetzungen, etwa bei Verwendung von Standardvertragsklauseln oder verbindlichen Unternehmensregeln, zulässig. Bei einer Datenübermittlung in die USA kann sich die verantwortliche Stelle nach Auffassung der Art. 29-Gruppe nicht auf eine Selbstzertifizierung nach den Safe-Harbor-Prinzipien verlassen, sondern muss die Zertifizierung und die Einhaltung der Prinzipien selbst überprüfen.

Schlagworte zum Thema:  Cloud Computing, Auftragsdatenverarbeitung, Datenschutz

Aktuell

Meistgelesen