Thought Leadership
Die DSGVO stellt an Unternehmen hinsichtlich des Datenschutzes zahlreiche neue Anforderungen. Dies gilt umso mehr, wenn das betreffende Unternehmen Cloud-Services nutzt.
Welche neuen Anforderungen ergeben sich für Auftraggeber und Auftragnehmer? Was ist bei der Vertragsgestaltung mit einem Cloud-Provider zu beachten? Dies und mehr wird im folgenden Artikel betrachtet.
Die DSGVO bringt keine grundlegende Veränderung in der Frage, welche Verarbeitung personenbezogener Daten zulässig oder unzulässig ist. Die Rechtsgrundlage ändert sich zwar, aber die Prinzipien bleiben grundsätzlich die gleichen. Die Bußgeldhöhe für Verstöße gegen die DSGVO steigt allerdings deutlich an: So beträgt die maximale Geldbuße bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr; abhängig davon, welcher Wert der höhere ist.
Der eigentliche, durch die DSGVO ausgelöste Paradigmenwechsel im Datenschutzrecht besteht darin, dass das Datenschutzrecht jetzt umfassende Dokumentations-, Organisations- und Transparenzpflichten vorsieht. Der Auftraggeber muss seine Verarbeitung von personenbezogenen Daten untersuchen. Diese ist auf Unzulässigkeit hin zu überprüfen und/oder verarbeitungsbedingte Risiken sind zu identifizieren und angemessene Maßnahmen zur Risikoreduzierung zu planen und umzusetzen. Daneben gibt es auch Änderungen für bestehende Alt-Verträge sowie veränderte Haftungsregeln.
Im Folgenden werden die wichtigsten Cloud-spezifischen Neuerungen angesprochen:
Alt-Verträge
Nach Erwägungsgrund 171 der DSGVO gilt, dass seit 25.Mai 2018 eine Verarbeitung personenbezogener Daten nur noch dann Datenschutz-konform ist, wenn sie den Anforderungen der DSGVO genügt. Somit müssen auch bereits bestehende Verträge mit Cloud-Providern entsprechend der DSGVO gegebenenfalls neu ausgestaltet oder mit Zusätzen versehen werden. Es ist zu überprüfen, ob die eingesetzten Cloud-Provider ihre Verträge selbstständig an die Erfordernisse anpassen und ihre Kunden darüber informieren. Falls nicht, ist die erforderliche Anpassung einzufordern.
Die insgesamt 173 Erwägungsgründe werden zur Auslegung der 99 DSGVO-Artikel herangezogen.
Vorgabe für die Auftragsverarbeitung
Die Auftragsdatenverarbeitung (BDSG-alt) heißt unter der DSGVO nun Auftragsverarbeitung. Bei der Nutzung von Cloud-Services kommt ihr aus datenschutzrechtlicher Sicht eine zentrale Rolle zu. Die Auftragsverarbeitung wird zum größten Teil in den Artikeln 28 und 29 der DSGVO geregelt.
Jede Vereinbarung zwischen Auftraggeber und Service-Provider über Auftragsverarbeitung muss den neuen Anforderungen der Art. 28 / 29 DSGVO genügen.
Gerade im Cloud-Umfeld stellen sich zwei neue Herausforderungen:
- Die Beauftragung von Subunternehmern durch den Auftragnehmer (zum Beispiel für den Cloud-Provider ein Rechenzentrumsbetreiber – IaaS) wird durch Art. 28 DSGVO an strengere Vorgaben geknüpft. Der Auftragnehmer seinerseits hat jetzt dafür Sorge zu tragen – und haftet auch da-für – dass seine Subunternehmer ebenfalls DSGVO-konform vorgehen (Art. 28, Abs. 4 DSGVO). Hierbei ist zu beachten, dass der Verantwortliche (Auftraggeber) den Einsatz von Subunternehmern genehmigen muss (Art. 28, Abs. 2, DSGVO).
- Der Auftragnehmer wird nach Art. 28, Abs. 3e DSGVO unter anderem stärker in die Pflicht genommen, so dass er „… den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen · Maßnahmen dabei unterstützt, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III genannten Rechte [Informationspflicht, Berichtigung, Löschung u.a.] der betroffenen Person nachzukommen“.
Diesem Umstand sollte bei der Vertragsgestaltung unbedingt Beachtung geschenkt werden. Dies umzusetzen kann allerdings bei den größtenteils hoch standardisierten Cloud-Service-Verträgen der Provider eine Herausforderung sein.
Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen
Die Pflicht zum Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen trifft nach Art. 25 DSGVO formal den Auftraggeber. Diese Pflicht, geeignete technische und organisatorische Maßnahmen bei der Datenverarbeitung zu ergreifen, wird allerdings faktisch auf den Cloud-Provider „durchschlagen“, da die Umsetzung nicht durch die Nutzung des Cloud-Services allein sichergestellt werden kann. Im besten Fall ist dies bereits im Vertrag geregelt.
Cloud-Services außerhalb der EU
Die Übermittlung personenbezogener Daten in Länder außerhalb der EU (sog. Drittstaaten) wird durch die DSGVO in Art. 44 ff. geregelt. Unverändert bleibt die Zweistufigkeit der Prüfung der Zulässigkeit einer Verarbeitung in Drittstaaten:
- Ist die Verarbeitung durch den Cloud-Provider zulässig (siehe Auftragsverarbeitung – Art. 28)?
- Darf die Verarbeitung im oder der Zugriff aus dem Drittstaat erfolgen (Art. 44 ff. DSGVO)?
Diese Prüfung ist entsprechend für jeden Subunternehmer durchzuführen. Bei Cloud-Services würde das bedeuteten: hat ein Provider kein eigenes Rechenzentrum, dann ist der Rechenzentrumsbetreiber der Subunternehmer. Eine erfreuliche Situation ergibt sich durch Erwägungsgrund 171 DSGVO. Dieser sieht vor, dass ältere Beschlüsse der EU-Kommission grundsätzlich auch über den Anwendungsbeginn der DSGVO hinaus wirksam bleiben. Das bedeutet insbesondere, dass EU-US Privacy Shield, EU-Standard-verträge und die bereits erfolgte Anerkennung von Drittstaaten mit angemessenem Datenschutzniveau nicht automatisch entfällt, sondern grundsätzlich gilt.
Ausweitung der Haftung des Cloud-Providers durch die DSGVO
Nach dem alten Bundesdatenschutzgesetz hatte der Auftragsverarbeiter eine komfortable Haftungssituation. Ansprüche waren von Betroffenen gegen den Auftraggeber geltend zu machen. Dies wirkte wie eine Haftungsprivilegierung für die Auftragsverarbeiter. Die DSGVO kennt eine solche Haftungsprivilegierung nicht mehr. Aus Art. 79 DSGVO ergibt sich, dass der Auftragsverarbeiter direkt verklagt werden kann.
Der Art. 82 Abs. 2 DSGVO geht sogar noch einen Schritt weiter: „Ist sowohl ein Auftraggeber als auch ein Auftragsverarbeiter an derselben Verarbeitung beteiligt, so haftet jeder Verantwortliche oder jeder Auftragsverarbeiter für den gesamten Schaden, damit ein wirksamer Schadensersatz für die betroffene Person sichergestellt ist.“ Der Auftragsverarbeiter haftet also gegenüber der betroffenen Person auch für einen Fehler des Auftraggebers.
Fazit
Wie man sieht, sind durch die DSGVO viele neue Punkte hinzugekommen, die beim Abschluss eines Vertrags mit einem Cloud-Provider, aber auch bei bestehenden Verträgen beachtet werden müssen. Da es sich jedoch gerade im Bereich Cloud-Services oft um standardisierte Verträge handelt, kann dies durchaus eine Herausforderung darstellen und gegebenenfalls dazu führen, dass Provider ausgetauscht werden müssen. Generell sollte das Thema Datenschutz und DSGVO einen großen Bereich in einer möglichen Checkliste für eine Cloud-Migration einnehmen.
Michael Pfitzmann, amendos gmbh
Dieses Whitepaper könnte Sie ebenfalls interessieren:
Unterm DSGVO-Radar “Sicherheit im Druck- und Dokumentenmanagement”
Dieses Whitepaper zeigt, warum eine Optimierung der IT-Sicherheit notwendig ist und was sie konkret für das Druck- und Dokumentenmanagement bedeutet.
Es beschreibt die 7 Prinzipien von Privacy by Design und die 4 Schwachstellen von Multifunktionsgeräten und betrachtet den Drucker als ein Gerät mit Risikopotenzial. Außerdem stellt das Whitepaper Strategien vor, wie Unternehmen die Kontrolle über ihr Druck- und Dokumentenmanagement behalten.
Lesen Sie hier den DSGVO-Radar:
