Der Weg in die Cloud

Datenschutz in der Cloud: rechtliche Anforderungen beachten

Mit dem Inkrafttreten der DSGVO im vergangenen Jahr haben sich auch bei der Auswahl von Cloud-Diensten neue Kriterien ergeben. Wer entsprechende Angebote nutzen möchte, muss eine Reihe von datenschutzrechtlichen Anforderungen beachten. Ein detaillierter Blick auf Zertifikate, Sicherheitsvorkehrungen und Informationspflichten zeigt, worauf es ankommt.

Dr. Christian Lenz

Dr. Christian Lenz ist Rechtsanwalt und Fachanwalt für Steuerrecht bei der dhpg. Zudem ist er zertifizierter Datenschutzbeauftragter.

Bei der Einschaltung eines Cloud-Dienstes bleibt das be-auftragende Unternehmen für die Daten verantwortlich. Dies betrifft vor allem die Datensicherheit und die Einhaltung der Rechte der Personen, deren persönliche Daten in der Cloud gespeichert werden. Wichtig ist daher, mit dem Anbieter eine Vereinbarung zur Auftragsverarbeitung abzuschließen. Ein Auftragsverarbeitungsverhältnis liegt vor, wenn der Nutzer personenbezogene Daten an einen Dienstleister übermittelt, der die Daten ausschließlich nach seiner Weisung verarbeiten darf. Ein eigenes Nutzungsrecht steht dem Cloud-Anbieter daher nicht zu. In der Regel sind sich die Anbieter aber ihrer Pflicht zum Abschluss dieser Vereinbarung bewusst und bieten diese zusammen mit der Unterzeichnung des Hauptvertrages von sich aus an. An eine solche Vereinbarung werden im Zuge der DSGVO besondere gesetzliche Anforderungen gestellt und der Abschluss ist für beide Vertragsparteien verpflichtend. Bei einem Verstoß droht ein Bußgeld bis zu 10.000.000 Euro oder bis zu zwei Prozent des Jahresumsatzes.

Es gibt aber auch Lösungen, die sich generell nicht für den Einsatz im Unternehmen eignen. So ist es aus datenschutzrechtlicher Sicht z.B. bedenklich, personenbezogene Daten aus dem beruflichen Umfeld in der iCloud zu speichern. Zum einen ist diese laut den Allgemeinen Geschäftsbedingungen nur für den privaten Gebrauch zugelassen, zum anderen behält Apple sich das Recht vor, die Inhalte in der iCloud auf die Einhaltung der eigenen Regeln zu überprüfen und gegebenenfalls Daten zu verschieben, zu modifizieren oder zu entfernen. Damit bewahrt Apple sich ein eigenes Nutzungsrecht an den Daten.

Blick auf die Zertifikate

Vor der Datenauslagerung in eine Cloud sollte man sich davon überzeugen, dass ausreichende technische und organisatorische Maßnahmen (sogenannte TOMs) ergriffen wurden, die die Sicherheit der personenbezogenen Daten garantieren. In der Praxis wird hierbei auf Zertifikate der Anbieter zurückgegriffen. Es empfiehlt sich, darauf zu achten, wofür die Zertifikate vergeben wurden. Denn eine Zertifizierung, die die Einhaltung der DSGVO bestätigt, hat sich bislang noch nicht durchgesetzt. Künftig könnte dies die Zertifizierung nach dem Prüfungsstandard 860 des IDWs (IDW PS 860) sein. Derzeit ist es ein positives Indiz, wenn hinsichtlich des Datenschutzes eine ISO/IEC-27018-Zertifizierung oder eine BSI-C5-Prüfung vorliegt. Hierbei handelt es sich um Datenschutzstandards für Cloud-Anbieter. Hinsichtlich der allgemeinen Informationssicherheit ist eine ISO/IEC-27001-Zertifizierung wünschenswert.

Neben den Sicherheitsmaßnahmen, die die Cloud mitbringt, sollten aber auch eigene Sicherungsmaßnahmen getroffen werden. So kann etwa die Verschlüsselung oder Pseudonymisierung der personenbezogenen Daten in Betracht gezogen werden, bevor diese in die Cloud geladen werden. Zwar besteht nach der DSGVO keine pauschale Pflicht zur Verschlüsselung, dennoch stellt sie eine verhältnismäßig kostengünstige Sicherungsmethode dar, die dem Ziel der Datenminimierung dient.

Daneben sind vorrangig Maßnahmen zu treffen, die den Zugriff auf die Cloud nur solchen Personen gestattet, die ihn für die Erfüllung der Verarbeitungszwecke benötigen. Auch für die Einhaltung etwaiger Löschfristen und die Erfüllung der Betroffenenrechte bleibt der Nutzer verantwortlich. Zwar wird hier die Unterstützung des Anbieters erforderlich sein, dennoch muss das beauftragende Unternehmen organisatorisch sicherstellen, dass fristgerecht gelöscht wird.

Informationspflichten berücksichtigen

Von besonderer Bedeutung ist beim Cloud-Einzug auch die Einhaltung der in der DSGVO enthaltenen Informationspflichten. Danach sind die Betroffenen u.a. über die Empfänger der personenbezogenen Daten zu informieren. Ein Empfänger ist dabei „jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der die personenbezogenen  Daten offengelegt werden“. Auch ein Auftragsverarbeiter ist ein Empfänger im Sinne dieser Vorschrift. Bei einer Übermittlung in ein Land außerhalb des europäischen Wirtschaftsraums muss auch über diese Übermittlungsabsicht und die Einhaltung der gesetzlichen Bedingungen für die Übermittlung in ein Drittland informiert werden. Regelmäßig werden die Datenschutzinformationen in Verträge mit den Kunden integriert oder auf ein Beiblatt oder die Datenschutzerklärung auf der Homepage verwiesen. Im Ergebnis zeigt sich, dass es einer sorgfältigen Auswahl der Cloud-Anbieter bedarf, um sicherzustellen, dass die eigenen datenschutzrechtlichen Verpflichtungen erfüllt werden.

Bildquelle: dhpg.

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok