Wenn Sie vor der Entscheidung stehen, eine Cloud Computing-Lösung einzusetzen, und alle datenschutzrechtlichen Aspekte berücksichtigen möchten, sollten Sie sich einige Fragen stellen – und beantworten. [...]
Oliver Lieven ist Mitbegründer und Geschäftsführer der provantis IT Solutions GmbH.„Zwei von drei Unternehmen setzen auf Cloud“ – Unter diesem Titel veröffentlichte der IT-Branchenverband Bitkom erst im Juni 2018 aktuelle Zahlen zur Cloud-Nutzung. Fazit des Verbands: „Cloud Computing hat sich etabliert.“ Allerdings verweisen die Verbandsexperten auch darauf, dass „Datenschutz das Top-Kriterium ist, wenn es um die Auswahl eines Cloud-Dienstleisters geht.“
Doch was sind die datenschutzrelevanten Fragen, die es bei der Entscheidung für einen Cloud Service Provider zu beantworten gilt?
Datenschutz und Datensicherheit: Personenbezogene Daten als schützenswertes Gut
Beschäftigt man sich mit dem Thema Datenschutz, stößt man fast zwangsläufig innerhalb kürzester Zeit auf den Begriff „personenbezogene Daten“. Nach geltender Rechtsprechung sind personenbezogene Daten „all jene Informationen, die sich auf eine natürliche Person beziehen oder zumindest beziehbar sind und so Rückschlüsse auf deren Persönlichkeit erlauben“. Dazu gehören neben den klassischen Namens- und Adressdaten auch das Geburtsdatum, das Geschlecht oder die Augenfarbe.
Als besonders schützenswert definiert der Gesetzgeber die so genannten „besonderen personenbezogenen Daten“. Darunter fallen Informationen über die ethnische und kulturelle Herkunft, politische, religiöse und philosophische Überzeugungen, Gesundheit, Sexualität und Gewerkschaftszugehörigkeit. Im Rahmen der gesetzlich festgelegten informationellen Selbstbestimmung jedes einzelnen von uns ist das Speichern und Verarbeiten von personenbezogenen Daten nur mit Zustimmung und unter bestimmten Voraussetzungen zulässig.
Die DSGVO und ihre Folgen für den Einsatz von Cloud Computing-Lösungen
Mit der im Mai 2018 in Kraft getretenen EU-Datenschutzgrundverordnung (EU-DSGVO) wurde insbesondere das zuletzt genannte Recht auf informationelle Selbstbestimmung weiter gestärkt. Die Definition und der Schutz personenbezogener Daten als zentrales Rechtsgut wurde aus dem vorher geltenden Bundesdatenschutzgesetz übernommen.
Neu in der DSGVO
Recht auf Auskunft: Jede Person hat das Recht zu erfahren, welche Informationen über sie zu welchem Zweck gespeichert wurden.
Recht auf Löschung: Jede Person hat das Recht, dass seine Daten, wenn sie dies wünscht, unverzüglich gelöscht werden. In diesem Zusammenhang wird häufig auch vom „Recht auf Vergessenwerden“ gesprochen.
Recht auf Datenübertragbarkeit: Jede Person hat das Recht, dass ihm seine erfassten Daten in einem „strukturierten, gängigen und maschinenlesbaren“ Format übergeben werden, damit er diese an einen anderen Dienstleister weitergeben kann.
Ebenfalls neu geregelt wurde das vertragliche Verhältnis zwischen Cloud Computing-Anwender und Cloud Computing-Anbieter. Aus dem Auftragsdatenverarbeiter wurde der Auftragsverarbeiter. Die Grundlage für die Aufgaben und Pflichten regelt der Vertrag zur Auftragsverarbeitung (AV-Vertrag). Auch dabei spielt der Schutz personenbezogener Daten eine zentrale Rolle. Grundsätzlich bleibt der Cloud Computing-Kunde für die Einhaltung der datenschutzrechtlichen Vorgaben bei der Verarbeitung personenbezogener Daten verantwortlich. Das bedeutet aber nicht, dass der Auftragsverarbeiter frei von Haftung wäre. Nach Art. 82 EU-DSGVO haftet er mit dem Verantwortlichen gemeinsam. Jedoch beschränkt sich seine Haftung nach Abs. 2 auf Verstöße gegen speziell ihm auferlegte Pflichten.
DSGVO vs. Cloud Act: Vorsicht ist geboten
Bereits Ende März 2018, also noch vor Inkrafttreten der DSGVO, verabschiedete die US-Regierung den Clarifying Lawful Overseas Use of Data (CLOUD) Act. Getreu dem Motto „America first“ gibt dieses Gesetz amerikanischen Behörden die Möglichkeit, auf Nutzerdaten zuzugreifen, die in Rechenzentren amerikanischer Service Provider außerhalb der USA gespeichert sind – und zwar, ohne dass der Nutzer informiert und ohne, dass ihm ein Einspruchsrecht eingeräumt wird. Damit widerspricht die Regelung klar den Vorgaben der DSGVO. Darüber hinaus „hebelt“ sie die Vertriebstaktik amerikanischer Cloud-Unternehmen aus, die in Europa Rechenzentren eröffnet und damit dem vielfachen Wunsch ihrer Kunden entsprochen haben, die Daten vor Ort zu speichern. Vor dem geheimen Zugriff amerikanischer Behörden schützt sie dies seit Inkrafttreten des Cloud Act nicht mehr.
Die wichtigsten Fragen
Wenn Sie also zukünftig vor der Entscheidung stehen, eine Cloud Computing-Lösung einzusetzen, und alle datenschutzrechtlichen Aspekte berücksichtigen möchten, sollten Sie sich die nachfolgenden Fragen stellen – und beantworten:
- Wo werden die über die Cloud-Lösung verarbeiteten personenbezogenen Daten gespeichert und verarbeitet: Europa, USA, Drittland?
- In den Geltungsbereich welcher rechtlichen Datenschutzverordnung fällt der Cloud Service Provider – DSGVO, Cloud Act, Drittregelung?
- Welche vertraglichen Vereinbarungen sind deshalb erforderlich: AV-Vertrag bei DSGVO?
- Welche datenschutzrechtlichen Rechte und Pflichten ergeben sich daraus im Vertragsverhältnis zwischen meinem Unternehmen und dem Cloud Service Provider?
* Oliver Lieven ist Mitbegründer und Geschäftsführer der provantis IT Solutions GmbH.
Be the first to comment