ULD: „Datenschutzkonformes Cloud Computing ist möglich“

Datenschutz in der Cloud

Aus Datenschutzsicht bringt die Verarbeitung personenbezogener Daten in der Cloud besondere Risiken mit sich: Zum einen resultiert aus der Vielzahl an (Unter-)Auftrag-nehmern und der Übermittlung personenbezogener Daten in unsichere Drittstaaten außerhalb des Europäischen Wirtschaftsraums (EWR) ein Kontrollverlust für Cloud-Anwender, zum anderen fehlt es regelmäßig an der notwendigen Transparenz, wie, wo und von wem personenbezogene Daten in der Cloud verarbeitet werden.

Thilo Weichert, Leiter des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD)

Aus diesem Grund hat die Artikel 29-Datenschutzgruppe, das unabhängige Beratungsgremium der Europäischen Union für den Datenschutz, Cloud-Anwendern und -Anbietern Empfehlungen an die Hand gegeben, wie Datenverarbeitung in der Cloud datenschutzkonform ausgestaltet werden kann. Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) ergänzt nun Hinweise zur datenschutzgerechten Erbringung und Nutzung von Cloud-Dienstleistungen nach deutschem Recht.

Die Cloud-Anwender bestimmen nicht nur den Zweck der Datenverarbeitung, sondern treffen auch eine Entscheidung über das Outsourcing an einen Cloud-Dienst und sind damit die datenschutzrechtlich verantwortliche Stelle. Die Cloud-Anbieter, die für ihre Kunden Daten in der Cloud verarbeiten, gelten als Auftragnehmer i. S. d. § 11 BDSG. Dies trifft auch dann zu, wenn der Cloud-Anwender ein kleines oder mittleres Unternehmen und der Cloud-Anbieter ein internationaler Konzern ist.

Ein solches Ungleichgewicht bei der Vertragsgestaltung berechtigt die verantwortliche Stelle nicht zum Akzeptieren von Vertragsklauseln, die nicht mit dem Datenschutzrecht vereinbar sind, warnt Thilo Weichert, Leiter des ULD. Der Vertrag zwischen Cloud-Anbieter und -Anwender müsse inhaltlich den Anforderungen des § 11 Abs. 2 S. 2 BDSG genügen. Aus Gründen der Rechtssicherheit sollte der Vertrag außerdem auch regeln, dass der Cloud-Anbieter dazu verpflichtet ist, die Cloud-Anwender über alle Unterauftragsverhältnisse und über alle Orte zu informieren, an denen personenbezogene Daten gespeichert oder verarbeitet werden können.

Wer personenbezogene Daten in der Cloud verarbeiten lässt, ist gesetzlich dazu verpflichtet, den bzw. die Dienstleister sorgfältig auszuwählen. Ein Blick auf die Datensicherheit genügt dabei nicht. Die Artikel 29-Gruppe hat die Datenschutzanforderungen, die sich auch im neuen Landesdatenschutzgesetz von Schleswig-Holstein wiederfinden, konkretisiert: Neben Verfügbarkeit, Vertraulichkeit und Integrität müssen die Datenschutz-Schutzziele Transparenz, Nicht-Verkettbarkeit und Intervenierbarkeit umgesetzt werden.

Die Übermittlung personenbezogener Daten in unsichere Drittstaaten außerhalb des EWR ist nur unter bestimmten Voraussetzungen, z. B. bei Verwendung sogenannter Standardvertragsklauseln oder verbindlicher Unternehmensregelungen, zulässig. Bei einer Datenübermittlung in die Vereinigten Staaten von Amerika kann sich die verantwortliche Stelle nach Auffassung der Artikel 29-Gruppe nicht auf eine Selbstzertifizierung nach den „Safe Harbor“-Prinzipien verlassen. Sie muss die Zertifizierung und die Einhaltung der Prinzipien selbst überprüfen.

www.datenschutzzentrum.de

Bildquelle: ULD

Weitere Informationen:

Fact-Sheets

Stellungnahme der Artikel 29-Datenschutzgruppe

Orientierungshilfe der Konferenz der Datenschutzbeauftragten des Bundes und der Länder

Hintergrundmaterial

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok