Zur Navigation springen Zum Inhalt springen Zum Footer springen

Cloud-Computing nach der Datenschutzgrundverordnung (DS-GVO) ab 2018

Rechtstipp vom 31.07.2017
Aktualisiert am 24.08.2017
(18)
Rechtstipp vom 31.07.2017
Aktualisiert am 24.08.2017
(18)

Der Einsatz des sog. Cloud-Computings bietet Unternehmen eine Vielzahl an Vorteilen für den eigenen Betrieb, z. B. Datenaktualität und deren Verfügbarkeit, eine verringerte Komplexität und nicht selten ein unerhebliches wirtschaftliches Einsparungspotenzial.

Ab dem 25.05.2018 gilt europaweit die DS-GVO. Unternehmen müssen bis dahin sämtliche Prozesse rechtlich angepasst haben, bei denen personenbezogene Daten verarbeitet werden. Unternehmen, die in diesem Zusammenhang Cloud-Anwendungen anbieten, oder solche, die diese zur optimalen Ressourcenausnutzung anwenden, sind jeweils von den Änderungen im Datenschutzrecht betroffen. Dies betrifft vor allem ein verschärftes Haftungsrisiko bei Datenschutzverstößen und erheblich angehobene Bußgelder.

Verarbeitung personenbezogener Daten

Was personenbezogene Daten sind, wird durch die DS-GVO (Art. 4 Nr. 1) selbst definiert:

„Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ‚betroffene Person‘) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.“

Was bleibt und was sich ändert

Verbot mit Erlaubnisvorbehalt

Auch im Rahmen der DS-GVO gilt der Grundsatz, dass die Verarbeitung personenbezogener Daten nur dann gestattet ist, wenn eine gesetzliche Erlaubnis oder die ausdrückliche Einwilligung der betroffenen Person vorliegt. Dieser gilt auch, wenn personenbezogene Daten durch Dritte, etwa beim Cloud-Computing, verarbeitet werden.

Auftragsverarbeitung

Nach der DS-GVO gelten sogenannte „Auftragsverarbeiter“ (Art. 28 ff. DS-GVO) nicht als Dritte, wenn die gesetzlichen Vorgaben (Art. 28 ff. DS-GVO) hierfür eingehalten werden. Im Auftrag eines Unternehmens können Cloud-Anbieter somit auch künftig Daten ohne die Einwilligung der betroffenen Person verarbeiten.

Der richtige Cloud-Anbieter

Der Auftraggeber darf nur solche Cloud-Anbieter beauftragen, die hinreichende technisch-organisatorische Maßnahmen zum Schutz personenbezogener Daten garantieren. Diese müssen somit über genügend Fachwissen und Ressourcen verfügen, was der Auftraggeber sicherzustellen hat. Als Nachweis können die sog. „genehmigten Verhaltensregeln“ oder anerkannte Zertifizierungen des Cloud-Anbieters herangezogen werden (Art. 40 u. Art. 42 DS-GVO).

Vertrag mit Sicherheitsmaßnahmen & Weisungsgebundenheit

Wie bisher muss das Verhältnis zwischen Auftraggeber und Cloud-Anbieter grundsätzlich vertraglich geregelt sein. Dies kann schriftlich oder in elektronischer Form geschehen. Hierbei ist der Cloud-Anbieter insbesondere zu verpflichten, allein den Weisungen des Auftraggebers zu folgen und nur nach diesen Weisungen zu handeln. Besonders relevant wird hierbei zudem die Darstellung der erforderlichen Maßnahmen zur Sicherheit der Verarbeitung (Art. 32 DS-GVO).

Cloud-Anbieter können einen eigenen Mustervertrag zertifizieren lassen, wobei das Zertifizierungsverfahren in der DS-GVO festgelegt ist.

Dokumentation- und Unterstützungspflichten

Eine wesentliche Erweiterung betrifft die Dokumentationspflichten. Der Cloud-Anbieter muss mitunter alle Anweisungen seines Auftraggebers und die Maßnahmen zur Sicherheit der personenbezogenen Daten sorgfältig dokumentieren (Art. 32 DS-GVO). Durch technisch-organisatorische Maßnahmen muss u. a. gesichert sein, dass Betroffenenrechte beachtet werden, Datenschutzverletzungen pflichtgemäß gemeldet werden und eine Datenschutzfolgeabschätzung durchgeführt wird. Daneben treffen ihn bestimmte Unterstützungspflichten gegenüber dem Auftraggeber, die ebenfalls vertraglich festgelegt sein sollten.

Meldepflichtig: der Einsatz von Subunternehmen

Möchte der Cloud-Anbieter Subunternehmer einsetzen, muss er in jedem Fall vorab die schriftliche oder elektronische Zustimmung des Auftraggebers einholen. Der Auftraggeber kann dem Einsatz widersprechen. Können sich die Vertragspartner dann nicht einigen, führt dies unmittelbar zur Beendigung des Vertrags über die Auftragsverarbeitung.

„Betroffenenklage“

Personen, die eine rechtswidrige Verarbeitung ihrer Daten feststellen, können Schadensersatzersatzansprüche unmittelbar zivilrechtlich geltend machen. Dabei bietet die DS-GVO auch die Möglichkeit des Verbandsklagerechts.

Beweislastumkehr

Auftraggeber und Cloud-Anbieter müssen jederzeit in der Lage sein, nachzuweisen, dass sie die DS-GVO eingehalten haben (Art. 5 Abs. 2 u. Art. 82 Abs. 3 DS-GVO). Der fehlende Nachweis einer Dokumentation kann bereits bußgeldbewährt sein. Es besteht also eine Beweislastumkehr zulasten der Cloud-Anbieter und ihrer Auftraggeber, was sich in den entsprechenden Anforderungen zur Dokumentation widerspiegelt.

Unmittelbare Haftung des Cloud-Anbieters

Künftig kann es auch zu einer unmittelbaren Haftung des Cloud-Anbieters gegenüber Betroffenen kommen, z. B. bei Abweichungen von Weisungen des Auftraggebers, falls diese zu einer unzulässigen Datenverarbeitung führen.

Cloud-Anbieter und Auftraggeber können gemeinsam haften

Neu ist auch die Möglichkeit einer gesamtschuldnerischen Haftung von Cloud-Anbieter und Auftraggebern, etwa für Handlungen eines Unterbeteiligten des Auftraggebers, wenn dieser z. B. keinen geeigneten Dokumentationsnachweis vorlegen kann (Art. 83 Abs. 3 DS-GVO).

DS-GVO sieht deutlich höhere Bußgelder vor

Bei Verstößen gegen die DS-GVO können die Aufsichtsbehörden künftig auf deutlich höhere Bußgelder zurückgreifen. Diese betragen bei entsprechenden Verstößen bis zu 10 Mio. € oder bis zu 2 % des gesamten weltweiten Jahresumsatzes des abgelaufenen Finanzjahres. Maßgeblich ist dabei der jeweils höhere Betrag (Art. 83 Abs. 4a DS-GVO). Als Verstoß gilt z. B. schon die mangelhafte Dokumentation von Anweisungen des Auftraggebers.

Was ist zu tun?

Vor allem die erweiterten Haftungsmöglichkeiten und die hohen Bußgelder sollten Unternehmensleitungen veranlassen, sich frühzeitig mit der Umstellung auf die DS-GVO zu befassen. Im Hinblick auf das Thema „Cloud-Computing“ müssen alle bestehenden Verträge mit Dienstleistern bzw. Auftraggebern geprüft und angepasst werden.


aus dem Rechtsgebiet IT-Recht

Sie haben Fragen? Gleich Kontakt aufnehmen!

Rechtstipps zum Thema

Rechtstipps des Autors

Damit Sie wissen, wann Sie im Recht sind

Neue Urteile, hilfreiche Tipps und Kurioses im wöchentlichen anwalt.de-Newsletter.