Strengere Vorgaben für die Nutzung und das Betreiben von Cloud-Diensten ab 25.5.2018 Bild: Corbis

Werden personenbezogene Daten in der Cloud gespeichert, gelten ab dem 25. Mai die strengen Vorgaben der DSGVO für eine Auftragsverarbeitung. Das betrifft z. B. die Speicherung von Telefonnummern und Adressen von Kunden und Arbeitnehmern, aber auch schon die IP-Adressen der Besucher der Firmen-Website. Auf Cloud-Dienstleister und sie beauftragende Unternehmen und Freiberufler kommen dadurch neue Pflichten und Vorgaben zu, die zu beachten sind, um Sanktionen zu vermeiden.

In immer stärkerem Ausmaß werden Kunden- und Arbeitnehmerdaten in der Cloud gespeichert, schon um von unterschiedlichen Endgeräten aus stets auf aktuelle Kontaktverzeichnisse oder den Terminkalender zugreifen zu können.

Die Speicherung personenbezogener Daten in der Cloud ist datenschutzrechtlich als Auftragsverarbeitung einzuordnen.

Strenge Voraussetzungen für Auftragsverarbeitung

Als zwingende Voraussetzung für eine Auftragsverarbeitung nennt der § 28 DSVGO strenge Qualitätsvorgaben an die Datensicherheit und den Datenschutz bei den Cloud-Dienstleistern.

Danach ist eine Auftragsverarbeitung durch den Cloud-Dienstleister nur zulässig, wenn er hinreichend Garantien dafür bietet, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und dadurch der „Schutz der Rechte der betroffenen Personen gewährleistet“ ist.

Stärkerer Schutz für besonders schutzwürdige personenbezogen Daten

Sollen in der Cloud auch solche personenbezogenen Daten gespeichert werden, die besonders schutzwürdig sind, gelten nochmals strengere Anforderungen an den Datenschutz und die Datensicherheit. Hierfür besteht ein Speichungsverbot unter einem Erlaubnisvorbehalt.

  • Eine Cloud-Speicherung dieser Daten,
  • die in Art. 9 DSGVO näher beschrieben werden, und zu denen etwa Angaben zu ethnischer Herkunft, Religionszugehörigkeit, politischer Meinung oder auch Gewerkschaftszugehörigkeit gehören,
  • aber auch genetische Daten und Gesundheitsdaten sowie biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person

ist nur unter starken Einschränkungen, mit gewichtigen Gründen und bei Einhaltung besonders hoher Sicherheitsstandards möglich. Es muss sich bei den Datenverarbeitern um Fachpersonal handeln, das auch besonderen Geheimhaltungspflichten unterliegt (Art. 9 Abs. 3DSGVO).

Woran misst sich das Risiko einer Datenverarbeitung?

Mit strengeren Vorgaben wird ein Schutzniveau angestrebt, das dem jeweiligen Risiko der Datenverarbeitung angemessen ist.

  • Dieses Risiko wird dabei anhand des Risikos bestimmt, dass den jeweils betroffenen Personen droht.
  • Ist das Risiko eher gering, etwa bei einfachen Adressdaten, die auch auf anderen Wegen leicht zu beschaffen sind, muss auch das Sicherheitsniveau nicht höchsten Ansprüchen genügen.
  • Werden dagegen besonders sensible Daten gespeichert müssen entsprechend höhere Sicherheitsmaßnahmen geboten werden.

Pflichten des Auftraggebers nach neuem Recht ab 25.5.2018

Der Auftraggeber der Datenverarbeitung, also das Unternehmen, Freiberufler oder die Organisation, die Daten in der Cloud speichern lassen, dürfen sich nicht einfach auf ihre Cloud-Dienstleister und dessen Datenschutzanspruch verlassen.

Der Auftraggeber hat die Pflicht,

  • sich über die technischen und organisatorischen Sicherheitsmaßnahmen bei den Cloud-Anbietern zu informieren
  • und diese zu kontrollieren.
  • Er muss sich auch darüber informieren, ob der Cloud-Dienstleister die Daten auf Server außerhalb der EU speichern will und ob in diesem Fall sichergestellt ist, dass an diesen Standorten ein vergleichbares Datenschutzniveau wie in der EU eingehalten wird.

Darüber hinaus muss der Cloud-Dienstleister dem Auftraggeber mitteilen, ob er Subunternehmen bzw. andere Auftragsverarbeiter einsetzt.

Zertifikate werden wichtiger, gemeinsame Haftung bei Schäden

Zu den grundsätzlichen Problemen für die Auftraggeber gehört, dass diese sich in der Regel gar kein genaues Bild von den tatsächlich beim Cloud-Dienstleister vorhandenen organisatorischen und technischen Schutzmaßnahmen machen können.

Als Ausweg aus diesem Dilemma sieht die DSGVO eine verstärkte Nutzung von Zertifikaten vor. Diese Zertifikate können dann beispielsweise andere detaillierte Nachweise zu den technischen und organisatorischen Sicherheitsvorkehrungen der Cloud-Dienstleister ersetzen.

  • Eine Entlastung für die Auftraggeber sieht die neue DSGVO im Hinblick auf die Haftung vor, zugleich werden die Cloud-Dienstleister hier stärker in die Pflicht genommen. Bislang waren die Auftraggeber allein verantwortlich für die von ihm initiierte Datennutzung. Jetzt sieht § 82 DSGVO eine gemeinsame Haftung des Hosters und des Auftraggebers gegenüber den Betroffenen vor, sowohl für materielle als auch immaterielle Schäden. 
  • Die Betroffenen können dabei nach Art. 79 DSVGO sogar direkt rechtlich gegen den Cloud-Dienstleister vorgehen, wenn sie der Meinung sind, dass ihre Rechte infolge einer unzureichend abgesicherten Datenverarbeitung bei den Cloud-Dienstleistern verletzt wurden.

DSGVO bringt deutlich erweiterte Löschansprüche

Cloud-Dienste müssen zudem künftig auf die mit der DSGVO deutlich erweiterten Lösch-Ansprüche der Nutzer achten. In Art. 17 DSGVO wird vorgegeben, dass personenbezogene Daten unverzüglich gelöscht werden müssen,

  • wenn der Zweck für ihre Speicherung entfallen ist,
  • der Betroffene seine Einwilligung zur Speicherung widerruft
  • oder die Nutzung ohnehin schon rechtswidrig war.
  • Ausnahmen von dieser Löschpflicht gibt es nur in Ausnahmefällen.

Hier müssen entsprechende Löschkonzepte entwickelt bzw. vorhandene Lösungen angepasst werden.

Neues Recht auf Datenübertragbarkeit

Eine weitere Herausforderung für die Cloud-Dienstleister ist das neue Recht auf Datenübertragbarkeit (Art. 20 DSGVO).

Danach haben Auftraggeber einen Anspruch darauf, die sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format abzurufen und diese Daten zu anderen Anbietern übertragen können. Die notwendigen Verfahren zur einfachen Umsetzung dieser Vorschriften, speziell zur einfachen Portierung der Daten zu anderen Diensten, müssen allerdings erst noch entwickelt werden.

Meldepflichten der Cloud-Anbieter bei Datenpannen und -diebstahl

Eine weitere neue Herausforderung für die Cloud-Anbieter: Sie müssen künftig zusätzlichen Meldepflichten im Fall von Datenpannen und Datendiebstahl erfüllen.

  • Schon jetzt mussten Aufsichtsbehörden und Betroffene in solchen Situationen informiert werden, sofern es sich um sehr sensible Daten (z.B. Kontodaten, Gesundheitsdaten) handelte und schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohten.
  • Nach Art. 33 und 34 DSGVO darf eine Benachrichtigung nur noch unterbleiben, wenn die Datenpanne voraussichtlich nicht zu einem Risiko für die Betroffenen führen kann. Besteht dagegen ein hohes Risiko für deren Rechte und Freiheiten, müssen die Betroffenen informiert werden.

Es gibt klare Vorgaben zu dieser Benachrichtigung. Bei den Aufsichtsbehörden muss die Meldung unverzüglich, möglichst innerhalb von 72 Stunden, erfolgen. Bei schweren Datenpannen sind auch die Betroffenen in einer klaren und einfachen Sprache zu informieren.

Verträge überprüfen:

Schon vor dem Inkrafttreten der DSGVO sollten Unternehmen und Freiberufler aufgrund der zahlreichen erweiterten bzw. neuen Vorgaben bestehende Verträge mit Cloud-Dienstleistern überprüfen und gegebenenfalls anpassen.

Hierzu gibt es Hilfestellungen wie etwa

durch aktuelle Musterverträge bei Verbänden wie dem Bitkom

oder der Datenschutzvereinigung DGG

Beim Abschluss neuer Verträge müssen Sie zudem noch genauer darauf achten, ob der Cloud-Dienstleister die an ihn gestellten Forderungen erfüllen kann, wobei Zertifizierungen künftig eine größere Rolle spielen werden.

Weitere News zum Thema:

Auswirkung der Datenschutzgrundverordnung auf Website-Pflichten

Auswirkungen der Datenschutzgrundverordnung auf Datenschutzerklärungen

Diese Sanktionen drohen nach der EU Datenschutzgrundverordnung

Video-Seminar zum neuen Datenschutzrecht

Ab dem 25.5.2018 gilt die DS-GVO unmittelbar in allen Mitgliedstaaten. Der Referent Prof. Dr. Boris Paal erläutert die Auswirkungen des neuen Datenschutzrechts. Die Seminarinhalte sind:

  •     Überblick über die die DS-GVO und das BDSGneu,
  •     Anwendungsbereiche, Bußgelder und Sanktionen und
  •     Leitfaden Datenschutz 2018/Compliance-Management.

Videogebühr: 98 EUR zzgl. USt.

Hier können Sie das Video herunterladen.

Schlagworte zum Thema:  Cloud, IT-Sicherheit, Datenschutz, Datenschutz-Grundverordnung

Aktuell
Meistgelesen