Was ändert die DSGVO für Cloud-Dienste und ihre Nutzer?

Haufe Online Redaktion

Cloud Compliance — Bild: Corbis Strengere Vorgaben für die Nutzung und das Betreiben von Cloud-Diensten durch die DSGVO

Werden personenbezogene Daten in der Cloud gespeichert, gelten auch die strengen Vorgaben der Datenschutzgrundverordnung. Auf Cloud-Dienstleister und sie beauftragende Unternehmen und Freiberufler kommen dadurch neue Pflichten und Vorgaben zu, die zu beachten sind, um Sanktionen zu vermeiden.

In immer stärkerem Ausmaß werden Kunden- und Arbeitnehmerdaten in der Cloud gespeichert, schon um von unterschiedlichen Endgeräten aus stets auf aktuelle Kontaktverzeichnisse oder den Terminkalender zugreifen zu können. Das betrifft auch die Speicherung von Telefonnummern und Adressen von Kunden und Arbeitnehmern, aber auch IP-Adressen der Besucher der Firmen-Website.

Die Speicherung personenbezogener Daten in der Cloud ist datenschutzrechtlich als Auftragsverarbeitung einzuordnen.

Cloud Compliance - strengere Anforderungen durch die Datenschutzgrundverordnung

Als zwingende Voraussetzung für eine Auftragsverarbeitung nennt der § 28 DSVGO strenge Qualitätsvorgaben an die Datensicherheit und den Datenschutz bei den Cloud-Dienstleistern.

Danach ist eine Auftragsverarbeitung durch den Cloud-Dienstleister nur zulässig, wenn er hinreichend Garantien dafür bietet, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und dadurch der „Schutz der Rechte der betroffenen Personen gewährleistet“ ist.

Stärkerer Schutz für besonders schutzwürdige personenbezogen Daten in der Cloud

Sollen in der Cloud auch solche personenbezogenen Daten gespeichert werden, die besonders schutzwürdig sind, gelten nochmals strengere Anforderungen an den Datenschutz und die Datensicherheit. Hierfür besteht ein Speichungsverbot unter einem Erlaubnisvorbehalt.

Mit strengeren Vorgaben wird ein Schutzniveau angestrebt, das dem jeweiligen Risiko der Datenverarbeitung angemessen ist.

Dieses Risiko wird dabei anhand des Risikos bestimmt, dass den jeweils betroffenen Personen droht.
Ist das Risiko eher gering, etwa bei einfachen Adressdaten, die auch auf anderen Wegen leicht zu beschaffen sind, muss auch das Sicherheitsniveau nicht höchsten Ansprüchen genügen.
Werden dagegen besonders sensible Daten gespeichert müssen entsprechend höhere Sicherheitsmaßnahmen geboten werden.

Cloud Compliance - Pflichten des Auftraggebers

Der Auftraggeber der Datenverarbeitung, also das Unternehmen, Freiberufler oder die Organisation, die Daten in der Cloud speichern lassen, dürfen sich nicht einfach auf ihre Cloud-Dienstleister und dessen Datenschutzanspruch verlassen.

Der Auftraggeber hat die Pflicht,

sich über die technischen und organisatorischen Sicherheitsmaßnahmen bei den Cloud-Anbietern zu informieren und diese zu kontrollieren.
Er muss sich auch darüber informieren, ob der Cloud-Dienstleister die Daten auf Server außerhalb der EU speichern will und ob in diesem Fall sichergestellt ist, dass an diesen Standorten ein vergleichbares Datenschutzniveau wie in der EU eingehalten wird.

Darüber hinaus muss der Cloud-Dienstleister dem Auftraggeber mitteilen, ob er Subunternehmen bzw. andere Auftragsverarbeiter einsetzt.

Cloud Compliance - Zertifikate werden wichtiger, gemeinsame Haftung bei Schäden

Zu den grundsätzlichen Problemen für die Auftraggeber gehört, dass diese sich in der Regel gar kein genaues Bild von den tatsächlich beim Cloud-Dienstleister vorhandenen organisatorischen und technischen Schutzmaßnahmen machen können.

Als Ausweg aus diesem Dilemma sieht die DSGVO eine verstärkte Nutzung von Zertifikaten vor. Diese Zertifikate können dann beispielsweise andere detaillierte Nachweise zu den technischen und organisatorischen Sicherheitsvorkehrungen der Cloud-Dienstleister ersetzen.

Eine Entlastung für die Auftraggeber sieht die neue DSGVO im Hinblick auf die Haftung vor, zugleich werden die Cloud-Dienstleister hier stärker in die Pflicht genommen. Bislang waren die Auftraggeber allein verantwortlich für die von ihm initiierte Datennutzung. Jetzt sieht § 82 DSGVO eine gemeinsame Haftung des Hosters und des Auftraggebers gegenüber den Betroffenen vor, sowohl für materielle als auch immaterielle Schäden.
Die Betroffenen können dabei nach Art. 79 DSVGO sogar direkt rechtlich gegen den Cloud-Dienstleister vorgehen, wenn sie der Meinung sind, dass ihre Rechte infolge einer unzureichend abgesicherten Datenverarbeitung bei den Cloud-Dienstleistern verletzt wurden.

Cloud Compliance - DSGVO bringt deutlich erweiterte Löschansprüche

Cloud-Dienste müssen zudem künftig auf die mit der DSGVO deutlich erweiterten Lösch-Ansprüche der Nutzer achten. In Art. 17 DSGVO wird vorgegeben, dass personenbezogene Daten unverzüglich gelöscht werden müssen,

wenn der Zweck für ihre Speicherung entfallen ist,
der Betroffene seine Einwilligung zur Speicherung widerruft
oder die Nutzung ohnehin schon rechtswidrig war.
Ausnahmen von dieser Löschpflicht gibt es nur in Ausnahmefällen.

Hier müssen entsprechende Löschkonzepte entwickelt bzw. vorhandene Lösungen angepasst werden.

Cloud Compliance - neues Recht auf Datenübertragbarkeit

Eine weitere Herausforderung für die Cloud-Dienstleister ist das neue Recht auf Datenübertragbarkeit (Art. 20 DSGVO).

Danach haben Auftraggeber einen Anspruch darauf, die sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format abzurufen und diese Daten zu anderen Anbietern übertragen können. Die notwendigen Verfahren zur einfachen Umsetzung dieser Vorschriften, speziell zur einfachen Portierung der Daten zu anderen Diensten, müssen allerdings erst noch entwickelt werden.

Meldepflichten der Cloud-Anbieter bei Datenpannen und -diebstahl

Eine weitere neue Herausforderung für die Cloud-Anbieter: Sie müssen künftig zusätzlichen Meldepflichten im Fall von Datenpannen und Datendiebstahl erfüllen.

Schon jetzt mussten Aufsichtsbehörden und Betroffene in solchen Situationen informiert werden, sofern es sich um sehr sensible Daten (z.B. Kontodaten, Gesundheitsdaten) handelte und schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohten.
Nach Art. 33 und 34 DSGVO darf eine Benachrichtigung nur noch unterbleiben, wenn die Datenpanne voraussichtlich nicht zu einem Risiko für die Betroffenen führen kann. Besteht dagegen ein hohes Risiko für deren Rechte und Freiheiten, müssen die Betroffenen informiert werden.

Es gibt klare Vorgaben zu dieser Benachrichtigung. Bei den Aufsichtsbehörden muss die Meldung unverzüglich, möglichst innerhalb von 72 Stunden, erfolgen. Bei schweren Datenpannen sind auch die Betroffenen in einer klaren und einfachen Sprache zu informieren.

Cloud Compliance - Verträge überprüfen

Schon vor dem Inkrafttreten der DSGVO sollten Unternehmen und Freiberufler aufgrund der zahlreichen erweiterten bzw. neuen Vorgaben bestehende Verträge mit Cloud-Dienstleistern überprüfen und gegebenenfalls anpassen.

Hierzu gibt es Hilfestellungen wie etwa

durch aktuelle Musterverträge bei Verbänden wie dem Bitkom oder
Datenschutzvereinigung GDD

Beim Abschluss neuer Verträge müssen Sie zudem noch genauer darauf achten, ob der Cloud-Dienstleister die an ihn gestellten Forderungen erfüllen kann, wobei Zertifizierungen künftig eine größere Rolle spielen werden.

Weitere News zum Thema:

Auswirkung der Datenschutzgrundverordnung auf Website-Pflichten

Auswirkungen der Datenschutzgrundverordnung auf Datenschutzerklärungen

Diese Sanktionen drohen nach der EU Datenschutzgrundverordnung

Meistgelesene beiträge

Neueste beiträge

Mit dem richtigen Tool zum Erfolg: Wie Unternehmen Compliance mit KI optimieren

24.04.2024
Krisenpräventionsumfrage 2023 zeigt die Herausforderungen des Krisenmanagements

17.04.2024
Compliance als Grundstein der Unternehmenskultur

10.04.2024
DIHK-Umfrage sieht Datenschutzgrundverordnung als Bürokratietreiber

03.04.2024
Europaweite Datenschutzaktion zum Auskunftsrecht der Datenschutzgrundverordnung

27.03.2024
Datenschutzbehörden führen automatisierte Prüfungen von Cookie-Bannern durch

26.03.2024
Mitarbeiterkontrollen durch den Arbeitgeber – Was ist unter welchen Voraussetzungen erlaubt?

12.03.2024
Wann muss eine öffentliche Ausschreibung erfolgen?

05.03.2024
Wie Unternehmen mit dem richtigen Tool ihr Potenzial maximieren

21.02.2024
Compliance Officer als „Botschafter“ für und „Verkäufer“ von Compliance

07.02.2024

2 Kommentare zum Artikel

Um einen Kommentar zu schreiben, melden Sie sich bitte an.

Jetzt anmelden

Hallo Herr Batz, Sie haben Recht, diese Vorgabe bezieht sich ausschließlich auf Datenverarbeitungszwecke im Bereich Gesundheitsvorsorge, Arbeitsmedizin sowie sonstigen Gesundheits- und Sozialbereichen. Vielen Dank für Ihren Hinweis MfG Renate Mikus

Antworten

Renate Mikus

Fri Feb 15 14:35:34 CET 2019Fri Feb 15 14:35:34 CET 2019

Um eine Antwort zu schreiben, melden Sie sich bitte an.

"ist nur unter starken Einschränkungen, mit gewichtigen Gründen und bei Einhaltung besonders hoher Sicherheitsstandards möglich. Es muss sich bei den Datenverarbeitern um Fachpersonal handeln, das auch besonderen Geheimhaltungspflichten unterliegt (Art. 9 Abs. 3DSGVO)."

Das ist in diesem Kontext INKORREKT formuliert. Artikel 9, Absatz 3 DSGVO spricht von Fachpersonal im Kontext von "Die in Absatz 1 genannten personenbezogenen Daten dürfen zu den in Absatz 2 Buchstabe h genannten Zwecken verarbeitet werden ...". Dieser Absatz 2 Buchstabe h bezieht sich auf bestimmte Zwecke:

"die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich,"

Ich bitte die Haufe Redaktion zukünftig sorgfältiger zu recherchieren, da damit mein Vertrauen in die restlichen Inhalte dieses Artikels und anderer Artikel ins Wanken geraten ist.

Maximilian Batz

Tue Feb 12 22:27:02 CET 2019Tue Feb 12 22:27:02 CET 2019