Anzeige

Anzeige

VERANSTALTUNGEN

ACMP Competence Days Wien
15.05.19 - 15.05.19
In WAGGON-31, Wien

e-Commerce Day
17.05.19 - 17.05.19
In Köln, RheinEnergieSTADION

ACMP Competence Days Dortmund
04.06.19 - 04.06.19
In SIGNAL IDUNA PARK, 44139 Dortmund

Aachener ERP-Tage 2019
04.06.19 - 06.06.19
In Aachen

ACMP Competence Days Zürich
11.06.19 - 11.06.19
In Stadion Letzigrund, Zürich

Anzeige

Anzeige

EU-Flagge

Die DSGVO stellt an Unternehmen hinsichtlich des Datenschutzes zahlreiche neue Anforderungen. Dies gilt umso mehr, wenn das betreffende Unternehmen Cloud-Services nutzt.

Welche neuen Anforderungen ergeben sich für Auftraggeber und Auftragnehmer? Was ist bei der Vertragsgestaltung mit einem Cloud-Provider zu beachten? Dies und mehr wird im folgenden Artikel betrachtet.

Die DSGVO bringt keine grundlegende Veränderung in der Frage, welche Verarbeitung personenbezogener Daten zulässig oder unzulässig ist. Die Rechtsgrundlage ändert sich zwar, aber die Prinzipien bleiben grundsätzlich die gleichen. Die Bußgeldhöhe für Verstöße gegen die DSGVO steigt allerdings deutlich an: So beträgt die maximale Geldbuße bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr; abhängig davon, welcher Wert der höhere ist.

Der eigentliche, durch die DSGVO ausgelöste Paradigmenwechsel im Datenschutzrecht besteht darin, dass das Datenschutzrecht jetzt umfassende Dokumentations-, Organisations- und Transparenzpflichten vorsieht. Der Auftraggeber muss seine Verarbeitung von personenbezogenen Daten untersuchen. Diese ist auf Unzulässigkeit hin zu überprüfen und/oder verarbeitungsbedingte Risiken sind zu identifizieren und angemessene Maßnahmen zur Risikoreduzierung zu planen und umzusetzen. Daneben gibt es auch Änderungen für bestehende Alt-Verträge sowie veränderte Haftungsregeln.

Im Folgenden werden die wichtigsten Cloud-spezifischen Neuerungen angesprochen:

Alt-Verträge

Nach Erwägungsgrund 171 der DSGVO gilt, dass seit 25.Mai 2018 eine Verarbeitung personenbezogener Daten nur noch dann Datenschutz-konform ist, wenn sie den Anforderungen der DSGVO genügt. Somit müssen auch bereits bestehende Verträge mit Cloud-Providern entsprechend der DSGVO gegebenenfalls neu ausgestaltet oder mit Zusätzen versehen werden. Es ist zu überprüfen, ob die eingesetzten Cloud-Provider ihre Verträge selbstständig an die Erfordernisse anpassen und ihre Kunden darüber informieren. Falls nicht, ist die erforderliche Anpassung einzufordern.

Die insgesamt 173 Erwägungsgründe werden zur Auslegung der 99 DSGVO-Artikel herangezogen.

Vorgabe für die Auftragsverarbeitung

Die Auftragsdatenverarbeitung (BDSG-alt) heißt unter der DSGVO nun Auftragsverarbeitung. Bei der Nutzung von Cloud-Services kommt ihr aus datenschutzrechtlicher Sicht eine zentrale Rolle zu. Die Auftragsverarbeitung wird zum größten Teil in den Artikeln 28 und 29 der DSGVO geregelt.
Jede Vereinbarung zwischen Auftraggeber und Service-Provider über Auftragsverarbeitung muss den neuen Anforderungen der Art. 28 / 29 DSGVO genügen.
Gerade im Cloud-Umfeld stellen sich zwei neue Herausforderungen:

  • Die Beauftragung von Subunternehmern durch den Auftragnehmer (zum Beispiel für den Cloud-Provider ein Rechenzentrumsbetreiber – IaaS) wird durch Art. 28 DSGVO an strengere Vorgaben geknüpft. Der Auftragnehmer seinerseits hat jetzt dafür Sorge zu tragen – und haftet auch da-für – dass seine Subunternehmer ebenfalls DSGVO-konform vorgehen (Art. 28, Abs. 4 DSGVO). Hierbei ist zu beachten, dass der Verantwortliche (Auftraggeber) den Einsatz von Subunternehmern genehmigen muss (Art. 28, Abs. 2, DSGVO).
     
  • Der Auftragnehmer wird nach Art. 28, Abs. 3e DSGVO unter anderem stärker in die Pflicht genommen, so dass er „… den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen · Maßnahmen dabei unterstützt, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III genannten Rechte [Informationspflicht, Berichtigung, Löschung u.a.] der betroffenen Person nachzukommen“.

Diesem Umstand sollte bei der Vertragsgestaltung unbedingt Beachtung geschenkt werden. Dies umzusetzen kann allerdings bei den größtenteils hoch standardisierten Cloud-Service-Verträgen der Provider eine Herausforderung sein.

Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

Die Pflicht zum Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen trifft nach Art. 25 DSGVO formal den Auftraggeber. Diese Pflicht, geeignete technische und organisatorische Maßnahmen bei der Datenverarbeitung zu ergreifen, wird allerdings faktisch auf den Cloud-Provider „durchschlagen“, da die Umsetzung nicht durch die Nutzung des Cloud-Services allein sichergestellt werden kann. Im besten Fall ist dies bereits im Vertrag geregelt.

Cloud-Services außerhalb der EU

Die Übermittlung personenbezogener Daten in Länder außerhalb der EU (sog. Drittstaaten) wird durch die DSGVO in Art. 44 ff. geregelt. Unverändert bleibt die Zweistufigkeit der Prüfung der Zulässigkeit einer Verarbeitung in Drittstaaten:

  • Ist die Verarbeitung durch den Cloud-Provider zulässig (siehe Auftragsverarbeitung – Art. 28)?
  • Darf die Verarbeitung im oder der Zugriff aus dem Drittstaat erfolgen (Art. 44 ff. DSGVO)?

Diese Prüfung ist entsprechend für jeden Subunternehmer durchzuführen. Bei Cloud-Services würde das bedeuteten: hat ein Provider kein eigenes Rechenzentrum, dann ist der Rechenzentrumsbetreiber der Subunternehmer. Eine erfreuliche Situation ergibt sich durch Erwägungsgrund 171 DSGVO. Dieser sieht vor, dass ältere Beschlüsse der EU-Kommission grundsätzlich auch über den Anwendungsbeginn der DSGVO hinaus wirksam bleiben. Das bedeutet insbesondere, dass EU-US Privacy Shield, EU-Standard-verträge und die bereits erfolgte Anerkennung von Drittstaaten mit angemessenem Datenschutzniveau nicht automatisch entfällt, sondern grundsätzlich gilt.

Ausweitung der Haftung des Cloud-Providers durch die DSGVO

Nach dem alten Bundesdatenschutzgesetz hatte der Auftragsverarbeiter eine komfortable Haftungssituation. Ansprüche waren von Betroffenen gegen den Auftraggeber geltend zu machen. Dies wirkte wie eine Haftungsprivilegierung für die Auftragsverarbeiter. Die DSGVO kennt eine solche Haftungsprivilegierung nicht mehr. Aus Art. 79 DSGVO ergibt sich, dass der Auftragsverarbeiter direkt verklagt werden kann.

Der Art. 82 Abs. 2 DSGVO geht sogar noch einen Schritt weiter: „Ist sowohl ein Auftraggeber als auch ein Auftragsverarbeiter an derselben Verarbeitung beteiligt, so haftet jeder Verantwortliche oder jeder Auftragsverarbeiter für den gesamten Schaden, damit ein wirksamer Schadensersatz für die betroffene Person sichergestellt ist.“ Der Auftragsverarbeiter haftet also gegenüber der betroffenen Person auch für einen Fehler des Auftraggebers.

Fazit

Wie man sieht, sind durch die DSGVO viele neue Punkte hinzugekommen, die beim Abschluss eines Vertrags mit einem Cloud-Provider, aber auch bei bestehenden Verträgen beachtet werden müssen. Da es sich jedoch gerade im Bereich Cloud-Services oft um standardisierte Verträge handelt, kann dies durchaus eine Herausforderung darstellen und gegebenenfalls dazu führen, dass Provider ausgetauscht werden müssen. Generell sollte das Thema Datenschutz und DSGVO einen großen Bereich in einer möglichen Checkliste für eine Cloud-Migration einnehmen. 

Michael Pfitzmann, amendos gmbh

www.amendos.de


Dieses Whitepaper könnte Sie ebenfalls interessieren:

Unterm DSGVO-Radar "Sicherheit im Druck- und Dokumentenmanagement"

Unterm DSGVO-Radar

Dieses Whitepaper zeigt, warum eine Optimierung der IT-Sicherheit notwendig ist und was sie konkret für das Druck- und Dokumentenmanagement bedeutet.

Es beschreibt die 7 Prinzipien von Privacy by Design und die 4 Schwachstellen von Multifunktionsgeräten und betrachtet den Drucker als ein Gerät mit Risikopotenzial. Außerdem stellt das Whitepaper Strategien vor, wie Unternehmen die Kontrolle über ihr Druck- und Dokumentenmanagement behalten.

 

Lesen Sie hier den DSGVO-Radar:

 

 Download 


 

 

 

GRID LIST
Tb W190 H80 Crop Int D73172c157619fcd091d7b77a237b45c

Warum fast jede Datenschutzverletzung ein „Insider Job“ ist

Neben vielen anderen Formen von Cyberkriminalität sind auch eher schlicht gestrickte…
GDPR Concept

E-Mail-Kommunikation gemäß DSGVO – aber bitte verschlüsselt

Die E-Mail ist das beliebteste Kommunikationsmittel in Unternehmen. Jeden Tag gehen hier…
Tb W190 H80 Crop Int 572a4c67eb285d3ea59f2c45c09865f3

Polizei-Bodycams: Wohin mit den Aufnahmen?

Körperkameras, sogenannte Bodycams, sollen die Sicherheit bei Polizeieinsätzen erhöhen…
Sprachsteuerung

Alexa, Siri und Co: Mehr Datenschutz für Dialoge der Nutzer

Sprachdialogsysteme wie Alexa und Siri sind inzwischen große Hilfen zum Beispiel bei der…
DSGVO Abmahnung

Warum von kostenlosen Datenschutzerklärungen abzuraten ist

Für eine Vielzahl von Unternehmern scheint sich das Thema Datenschutz damit erledigt zu…
Computer als Kopf, Error

Die 5 häufigsten Datenschutz-Irrtümer im Online-Handel

Datenschutz ist im Online-Handel ein entscheidendes Thema, und das nicht erst seit…