single.php
< Beitrag von Matthias Rosa

Cloud Computing und die Datenschutzgrundverordnung (DS-GVO)

Ab dem 25.5.2018 gilt die DS-GVO europaweit. Bis dahin müssen Unternehmen alle Prozesse anpassen, bei denen personenbezogene Daten verarbeitet werden. Ab diesem Stichtag besteht ein verschärftes Haftungsrisiko bei Datenschutzverstößen und es drohen erheblich angehobene Bußgelder.

Verbot mit Erlaubnisvorbehalt und „Auftragsverarbeitung“

Auch laut der DS-GVO gilt der Grundsatz: Die Verarbeitung personenbezogener Daten ist nur gestattet, wenn eine gesetzliche Erlaubnis vorliegt oder die ausdrückliche Einwilligung der betroffenen Person. Dieser Grundsatz muss auch beachtet werden, wenn personenbezogene Daten durch Dritte verarbeitet werden.

Allerdings regelt die DS-GVO als Ausnahme: Wenn die Datenverarbeitung den Vorgaben der sogenannten „Auftragsverarbeitung“ folgt (Art. 28 ff DS-GVO), gelten die „Auftragsverarbeiter“ nicht als Dritte. Die gute Nachricht lautet also: Im Auftrag eines Unternehmens können Cloud-Anbieter auch künftig die Daten ohne die Einwilligung der betroffenen Person verarbeiten.

Augen auf bei der Wahl des Cloud-Anbieters

Der Auftraggeber darf dabei nur solche Cloud-Anbieter beauftragen, die hinreichende technisch-organisatorische Maßnahmen zum Schutz personenbezogener Daten garantieren. Dazu muss der Auftraggeber sicherstellen, dass der Cloud-Anbieter über genügend Fachwissen und Ressourcen verfügt. Als Nachweis können die sogenannten „genehmigten Verhaltensregeln“ oder anerkannte Zertifizierungen des Cloud-Anbieters herangezogen werden (Art. 40 u. Art. 42 DS-GVO).

Cloud-Anbieter sind vertraglich weisungsgebunden

Wie bisher muss das Verhältnis zwischen dem Unternehmen, das die Verarbeitung personenbezogener Daten in Auftrag gibt, und dem Cloud-Anbieter vertraglich geregelt sein. Dabei ist der Cloud-Anbieter zu verpflichten, allein den Weisungen seines Auftraggebers zu folgen und nur nach diesen Weisungen zu handeln.

Der Vertrag kann entweder schriftlich oder in elektronischer Form geschlossen werden. Der Cloud-Anbieter kann einen eigenen Mustervertrag zertifizieren lassen, wobei das Zertifizierungsverfahren in der DS-GVO festgelegt ist. Inhaltlich muss sich der Vertrag weitgehend an den Vorgaben des Bundesdatenschutzgesetzes orientieren (§ 11 Abs. 2 BDSG).

Dokumentation- und Unterstützungspflichten

Wesentlich erweitert wurden unter anderem die Dokumentationspflichten: So muss der Cloud-Anbieter alle Anweisungen seines Auftraggebers und die Maßnahmen zur Sicherheit der personenbezogenen Daten sorgfältig dokumentieren (Art. 32 DS-GVO).

Darüber hinaus hat der Cloud-Anbieter gegenüber seinem Auftraggeber bestimmte Unterstützungspflichten, die ebenfalls vertraglich festgelegt sein sollten. Durch technisch-organisatorische Maßnahmen muss gesichert sein, dass etwa

  • Betroffenenrechte beachtet werden,
  • Datenschutzverletzungen pflichtgemäß gemeldet werden und
  • eine Datenschutzfolgeabschätzung durchgeführt wird.

Meldepflichtig: der Einsatz von Subunternehmen

Wenn der Cloud-Anbieter Subunternehmer einsetzen will, muss er in jedem Fall vorab die schriftliche oder elektronische Zustimmung des Auftraggebers einholen. Der Auftraggeber kann der Beschäftigung von Subunternehmen widersprechen. Können sich die Vertragspartner dann nicht einigen, führt dies unmittelbar zur Beendigung des Vertrages über die Auftragsverarbeitung.

Betroffenenklage und Beweislastumkehr

Personen, die eine rechtswidrige Verarbeitung ihrer Daten feststellen, können Ansprüche auf Schadensersatz unmittelbar zivilrechtlich geltend machen. Dabei schafft die DS-GVO auch die Möglichkeit des Verbandsklagerechts.

Auftraggeber und Cloud-Anbieter müssen jederzeit nachweisen können, dass sie die DS-GVO eingehalten haben (Art. 5 Abs. 2 u. Art. 82 Abs. 3 DS-GVO). Kann dieser Nachweis nicht erbracht werden, wird ein Bußgeld fällig. Es besteht also eine Beweislastumkehr zu Lasten der Cloud-Anbieter und ihrer Auftraggeber.

Unmittelbare Haftung des Cloud-Anbieters

Der Cloud-Anbieter kann künftig auch unmittelbar gegenüber Betroffenen haften, z. B. bei Abweichungen von Weisungen des Auftraggebers, sofern diese zu einer unzulässigen Datenverarbeitung führen.

Cloud-Anbieter und Auftraggeber können als Gesamtschuldner haften

Neu ist auch die Möglichkeit einer gesamtschuldnerischen Haftung von Cloud-Anbieter und Auftraggeber, etwa für Handlungen eines Unterbeteiligten des Auftraggebers, wenn dieser z. B. keinen geeigneten Dokumentationsnachweis vorlegen kann (Art. 83 Abs. 3 DS-GVO).

DS-GVO sieht deutlich höhere Bußgelder vor

Bei Verstößen gegen die DS-GVO können die Aufsichtsbehörden künftig auf deutlich höhere Bußgelder zurückgreifen. Diese betragen bis zu 10 Mio. € oder bis zu 2% des gesamten weltweiten Jahresumsatzes des abgelaufenen Finanzjahres. Maßgeblich ist dabei der jeweils höhere Betrag (Art. 83 Abs. 4 a DS-GVO). Als Verstoß gilt z. B. die mangelhafte Dokumentation von Anweisungen des Auftraggebers.

Was ist zu tun?

Vor allem die erweiterten Haftungsmöglichkeiten und die hohen Bußgelder sollten die Unternehmensleitung veranlassen, sich frühzeitig mit der Umstellung auf die DS-GVO zu befassen. Im Hinblick auf das Thema Cloud-Computing müssen alle bestehenden Verträge geprüft und angepasst werden.

Zum Autor

Matthias Rosa ist Fachanwalt für Informationstechnologierecht bei der Kanzlei RESMEDIA Mainz.

 

Folgen
X

Folgen

E-mail : *
Kategorie: Cloud | Schlagwörter: , , | Kommentare: 0

Beitrag kommentieren

CAPTCHA * Time limit is exhausted. Please reload CAPTCHA.