Cloud-Dienstleistungen datenschutzkonform nutzen

Cloud-Dienstleistungen datenschutzkonform nutzen

Cloud-Dienstleistungen bieten heutzutage vielseitige Nutzungsmöglichkeiten: beispielsweise den Speicherplatz zu vergrößern, Rechnerleistungen zu nutzen, zu kommunizieren oder auch mithilfe von Programmen zu arbeiten u. v. m. Verarbeitet ein Cloud-Dienstleister personenbezogene Daten, muss ein Verantwortlicher auch hierbei das Datenschutzrecht beachten. Wie kann nun ein Verantwortlicher Cloud-Dienstleistungen datenschutzkonform nutzen?

Die Cloud

Die Cloud – auf Deutsch: Wolke – kann u. a. sehr vereinfacht ausgedrückt als Computer (in diesem Fall auch: Server), Programm o. Ä. im Netz bezeichnet werden. Folglich macht sich ein Unternehmen oder Nutzer sozusagen die Leistungen eines oder mehrerer anderer Computer zunutze. Dies geschieht über das Internet. Dabei ist es möglich, eine private Cloud oder die eines anderen Unternehmens zu nutzen.

Die Cloud und die DSGVO

Im Sinne der DSGVO ist bei Nutzung der Cloud zu bedenken, dass ein Verantwortlicher oftmals die Leistungen eines anderen Unternehmens nutzt. Worauf muss ein Verantwortlicher dabei also achten?

Abschluss eines Auftragsverarbeitungsvertrages

Auch wenn ein Cloud-Dienstleister die personenbezogenen Daten in der Cloud nicht bearbeitet, sondern der Verantwortliche diese dort nur speichert, stellt dies eine Datenverarbeitung i. S. v. Art. 4 Nr. 2 DSGVO dar. Auch die Übermittlung der Daten vom Verantwortlichen zum Cloud-Anbieter ist eine Verarbeitung gemäß der DSGVO. Die Verarbeitungstätigkeiten hierbei finden im Auftrag des Verantwortlichen beim Dienstleister statt. Folglich ergibt sich die Notwendigkeit des Abschlusses eines Auftragsverarbeitungsvertrages gemäß Art. 28 Abs. 3 DSGVO. Somit kann ein Verantwortlicher dann auch bei Einsatz eines Cloud-Dienstleisters die Einhaltung der Grundsätze der Verarbeitung personenbezogener Daten gemäß Art. 5 DSGVO sicherstellen.

Technische und organisatorische Maßnahmen

Wann immer ein Verantwortlicher eine Cloud-Lösung, wenn es sich nicht gerade um eine geschützte, firmeneigene handelt, nutzt, übermittelt er personenbezogenen Daten an einen externen Akteur. Im Zuge dessen hat der Verantwortliche gemäß Art. 24 DSGVO i. V. m. Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen zum Datenschutz und zur -sicherheit zu ergreifen.

Wenn ein Verantwortlicher einen Cloud-Dienstleister nutzt, muss er im Rahmen des Auftragsverarbeitungsvertrages mit dem Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO vereinbaren. In der Regel hat der Auftragsverarbeiter bereits entsprechende Maßnahmen ergriffen und dokumentiert, die der Verantwortliche dann bei seiner Auswahlentscheidung zu berücksichtigen hat.

Standort des genutzten Servers

In der Datenschutzwelt ist das Schrems II-Urteil bekannt. Demnach erklärte der Europäische Gerichtshof (EuGH) das EU-US Privacy Shield am 16.07.2020 als ungültig. – Dieses Thema haben wir in u. a. diesem Beitrag näher behandelt. Weiterführende Informationen zu dem Urteil des EuGH und dessen Auswirkungen hält zusätzlich auch der Blog-Beitrag unseres Gründungsgesellschafters Rechtsanwalt David Seiler bereit. – Die Konsequenz dieses Urteils ist, dass Verantwortliche nun keine US-amerikanischen Dienste mehr aufgrund eines Angemessenheitsbeschlusses (siehe Art. 45 DSGVO) nutzen können. Stattdessen muss ein Verantwortlicher auf eine andere Übermittlungsgrundlage gemäß Art. 44 ff DSGVO ausweichen. Insbesondere die Nutzung der Standarddatenschutzklauseln (Standard Contractual Clauses [SCC]) kommen hierbei in Betracht. Diese sind jedoch durch ergänzende Maßnahmen abzusichern (siehe oben). Weiterführend bedeutet dies, dass Verantwortlicher darauf achten muss, wo die Server stehen, welche Unterauftragnehmer zum Einsatz kommen oder welche Muttergesellschaft ggf. Zugriff auf die Daten erhalten kann oder muss (z. B. aufgrund einer gerichtlichen bzw. staatlichen Anordnung).

Bei Dienstleistern, die ihre Leistung innerhalb der EU anbieten und sich hierbei keiner Unterauftragnehmer aus Drittländern bedienen, genügt der Abschluss eines Auftragsverarbeitungsvertrages. Will ein Verantwortlicher jedoch einen Auftragsverarbeiter mit Sitz oder mit Unterauftragsverarbeitern außerhalb der EU einsetzen, gestaltet sich der datenschutzkonforme Einsatz komplizierter. Als Folge muss ein Verantwortlicher dann prüfen, ob der Anbieter nicht nur technisch, sondern auch nach dem Rest seines Sitzlandes in der Lage ist, die Einhaltung der Verträge einzuhalten. Eventuell entsteht die Notwendigkeit, zusätzliche technische Maßnahmen, insbesondere die Verschlüsselung, zu ergreifen, um einem etwaigen Zugriff von Geheim. und Sicherheitsdiensten auf die Daten entgegenwirken zu können.

Weitere datenschutzrechtliche Vorgaben

Natürlich sind auch bei Einsatz eines Cloud-Dienstleisters entsprechende Informationen zum Einsatz dessen für die betroffenen Personen bereitzustellen (Datenschutzhinweis). Zusätzlich muss ein Verantwortlicher das Verzeichnis von Verarbeitungstätigkeit gemäß Art. 30 DSGVO um diesen Verarbeitungsprozess ergänzen. Des Weiteren muss es ein Berechtigungskonzept geben, um sicherzustellen, dass nicht jede Person beispielsweise willkürlich Nutzerkonten erstellen oder auch für ihre Tätigkeit unnötige Informationen einsehen kann. Der Verantwortliche muss auch für ausgelagerte Daten ein Löschkonzept auf dem neuesten Stand halten. In Abhängigkeit der Art der verarbeiteten Daten ist eventuell auch eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchzuführen.

Bei dem Angebot digitaler Dienste entsteht oftmals der Eindruck von Unternehmen der Vereinigten Staaten von Amerika als Vorreiter und Marktführer. Bei der Argumentation, weshalb trotz des Schrems II-Urteils weiterhin US-amerikanische Dienste zum Einsatz kommen, hören wir oft die Argumente, dass diese Dienste sowohl preisgünstiger als auch nutzerfreundlicher sind. Eine weitere Begründung ist oft auch, dass sie mehr Nutzungsmöglichkeiten und Anwendungsflexibilität bieten. Wir empfehlen dennoch, Cloud-Dienstleister in der EU oder einem Land mit Angemessenheitsbeschluss nach Art. 45 DSGVO einzusetzen. Ist ein Verantwortlicher trotzdem der Meinung, die Dienste eines Anbieters aus einem unsicheren Drittland nutzen zu wollen, empfehlen wir, solch eine Argumentation für etwaige Nachfragen der Datenschutzaufsichtsbehörde schriftlich zu dokumentieren.

Generell ist zu beachten, dass ein Verantwortlicher die Vorgaben der DSGVO bei Nutzung eines Cloud-Dienstes genauso sorgfältig umsetzen muss wie beispielsweise bei der Führung der Personalakten.

Hilfestellungen der Datenschutzaufsichtsbehörden

Auch von den Datenschutzaufsichtsbehörden gibt es Hinweise darauf, was zu beachten ist, damit Verantwortliche Cloud-Dienstleistungen datenschutzkonform nutzen können und wann auf einen Dienst zu verzichten ist. Folgend ein paar Beispiele:

1)  Trotz des Veröffentlichungsdatums in 2014 ist die Orientierungshilfe zum Cloud-Computing der Datenschutzkonferenz eine hilfreiche Lektüre.

2)  Der Bayerische Landesbeauftragte für den Datenschutz ging in seinem 24. Tätigkeitsbericht (2009/2010) auf die Thematik des Cloud-Computings ein (Punkt 2.1.5).

3)  In einem Informationsblatt ging der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz speziell auf die Cloud-Lösung Microsoft 365 im schulischen Kontext ein. Dennoch hat es Relevanz für alle Verantwortlichen, die diesen Cloud-Dienst nutzen.

4) In seinem Tätigkeitsbericht Datenschutz 2021 ging der Hamburger Beauftragte für Datenschutz und Informationsfreiheit auf die Cloud-Lösungen Microsoft Azure (Punkt 3.3) und Zoom (4.6) ein. Des Weiteren greift er auch unter Punkt 6.6.5 die Problematik der Drittlandsübermittlung bei Nutzung von Cloud-Lösungen auf.

Fazit

Beim Einsatz von Cloud-Dienstleistern werden regelmäßig personenbezogene Daten verarbeitet; mindestens die der Administratoren beim Verantwortlichen. Demnach ist auch hier die DSGVO mit ihren Vorgaben zu beachten und umzusetzen. Erfolgt dies nicht, drohen Bußgelder, Abmahnungen und Schadensersatzansprüche oder auch Untersagungsverfügungen zum Einsatz bestimmter Dienste oder die Anordnung, bestimmte Daten zu löschen. Wir helfen Ihnen gern dabei, dies nach Möglichkeit zu vermeiden. Kontaktieren Sie uns am besten heute für ein unverbindliches Angebot.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.