Aus der modernen, digitalen Arbeitswelt ist das Cloud Computing nicht mehr wegzudenken, so nutzen zwei von drei Unternehmen in Deutschland Cloud-Dienste. Es hat sich als fester Bestandteil vieler betrieblicher Prozesse etabliert. Ebenfalls nicht mehr wegzudenken ist der Datenschutz, besonders seit dem Erlass der europäischen Datenschutz-Grundverordnung (DSGVO) ist deren Umsetzung ein präsentes Thema in deutschen Besprechungsräumen, nicht zuletzt wegen den hohen Geldbußen, die den Cloud-Nutzer bei Nichteinhaltung der Vorgaben der DSGVO treffen können. Welche Herausforderungen sich für einen Cloud-Nutzer im Zeitalter der DSGVO ergeben, lesen Sie in diesem Beitrag.
Für viele stellt sich jedoch zunächst einmal die Frage: Was ist eigentlich Cloud Computing? Orientiert man sich am IT-Branchenverband, handelt es sich dabei um eine „Form der bedarfsgerechten und flexiblen Nutzung von IT-Leistungen“. Es ermöglicht Unternehmen das Outsourcen von IT-Leistungen, die bisher von internen Abteilungen übernommen wurden. Bei der zur Verfügung gestellten Infrastruktur erhält der Nutzer Zugang zu seinen unternehmensinternen Daten, die zur Verarbeitung auf externen Servern gespeichert wurden.
Diese Unternehmenspraxis birgt neben den normalen Risiken des Outsourcing einige Gefahren für die Sicherheit der verarbeiteten Daten. So kann es beispielsweise zu Datenverlusten kommen oder die Vertraulichkeit der Daten könnte dadurch verletzt werden, dass der Cloud-Anbieter seine Mandanten ungenügend trennt. Ebenso kann die vollständige Löschung der Daten aufgrund einer Verteilung auf verschiedenen Servern teilweise nur schwer gewährleistet werden. Um diese Risiken einzudämmen werden sich mit dem Erlass und dem Wirksamwerden der DSGVO im Mai 2018 die Anforderungen an alle Beteiligten nun drastisch erhöhen und den Marktakteuren deutliche Grenzen aufgezeigt.
Die DSGVO unterscheidet zwischen dem Verantwortlichen und dem Auftragsverarbeiter. Im Falle des Cloud Computing ist der Verantwortliche das Unternehmen, das zu Speicher- und Bearbeitungszwecken interne Daten auf eine externe Cloud auslagert. Auftragsverarbeiter ist der Anbieter des Cloud-Services. Mit dieser Unterscheidung greift die DSGVO ein bereits im deutschen Datenschutzgesetz (BDSG) verankertes Konzept auf, erweitert dieses jedoch maßgeblich um einige Verpflichtungen des Auftragsverarbeiters. Auch wenn die technische Umsetzung durch den Auftragsverarbeiter erfolgen muss, teilen sich Auftragsverarbeiter und Verantwortlicher die Verantwortung für die Gesetzeskonformität des Dienstes.
Anforderungen an die Beteiligten
Ab 25.05.2018 sind Datenschutzverletzungen unverzüglich anzuzeigen und die Datenverarbeitung ist durch ein Verfahrensverzeichnis umfassend zu dokumentieren. Der Nutzer sollte daher überprüfen, ob der Cloud-Anbieter Kontroll- und Überwachungsmechanismen etabliert hat, die einen Datenverlust oder ähnliches anzeigen. Ebenso sollte der Cloud-Anbieter verpflichtet werden in regelmäßigen Abständen das Verfahrensverzeichnis vorzulegen, um dessen Vollständigkeit und Aktualität sicherstellen zu können.
Neben den Verantwortlichen sind auch die Auftragsverarbeiter dazu angehalten, die Prozesse, die die Verarbeitung von persönlichen Daten beinhalten, so auszugestalten, dass das Risiko von Datenverlusten oder -missbräuchen minimiert wird. Dazu gehört insbesondere, dass der Auftragsverarbeiter sicherstellt, dass keine unbefugten Dritten Zugang zu den Daten erhalten. Neben den schon benannten Kontroll- und Überwachungsmechanismen sollte der Nutzer hier vor Beauftragung des Cloud-Anbieters dessen Infrastruktur genau prüfen, so kann es zum Beispiel bei mangelhafter Mandantentrennung durch den Provider zu unautorisierten Zugriffen durch Dritte auf die Daten kommen.
Sofern der Anbieter seine Infrastruktur ändert und zur Durchführung seine Subunternehmer austauscht oder neue beauftragt, muss er künftig erst die Zustimmung des Kunden dazu einholen. Falls der Cloud-Nutzer hiermit nicht einverstanden ist, kann er Widerspruch einlegen.
Cloud-Anbieter außerhalb der EU
Auch Cloud-Anbieter, die Ihren Geschäftssitz außerhalb der EU haben, sind nicht zwingend von den Anforderungen der DSGVO ausgeschlossen. Sobald diese Daten von EU-Bürgern oder in der EU ansässigen Personen verarbeiten gilt auch für sie gemäß dem Marktortprinzip die DSGVO, diese hält für Anbieter aus dem europäischen Ausland sogar besondere Aufgaben bereit.
So muss jede Datenübermittlung den Anforderungen der besonderen zweistufigen Prüfung für die Datenübermittlung in Drittstaaten standhalten. Neben der obligatorischen Ermächtigungsgrundlage, beispielsweise durch die Einwilligung des Betroffenen, muss auch ein entsprechendes Datenschutzniveau im betreffenden Drittland vorliegen. Dieses Niveau kann entweder durch eine offizielle Stelle für ein Land bestätigt werden oder durch die Erfüllung unterschiedlicher Voraussetzungen erreicht werden. Zum Beispiel durch die Verwendung von Standardvertragsklauseln oder unternehmensinternen Datenschutzrichtlinien besteht für staatlich nicht anerkannte datenschutzsichere Länder die Möglichkeit, auch in Zukunft Datenübermittlungen von europäischen Nutzerdaten durchführen zu können.
Neben diesen grundsätzlichen Voraussetzungen für eine rechtmäßige Datenübermittlung ist der in einem Drittland ansässige Cloud-Anbieter künftig dazu verpflichtet, einen in der EU ansässigen Ansprechpartner für die Betroffenen zu benennen, der den Cloud-Anbieter vertritt. Dies dient der Vereinfachung der Kommunikation bei Beschwerden oder Rückfragen. Dieser Ansprechpartner hat auch die Aufgabe, die Korrespondenz mit den zuständigen Aufsichtsbehörden zu führen.
Der Cloud-Nutzer sollte sich vor der Beauftragung ausführlich über die Unternehmensstruktur des Cloud-Anbieters aufklären lassen um so einen Überblick über eventuelle Datenübermittlungen auf Server außerhalb der EU zu haben. Diese bürgen neben den zusätzlichen rechtlichen Voraussetzungen auch andere Risiken. So können Behörden außerhalb der EU häufig einfacher auf in Clouds gespeicherte Daten zugreifen, als innerhalb der EU. Gemäß dem US-amerikanischen Patriot Act können zum Beispiel US-Behörden auch auf Daten europäischer Unternehmen, die in den USA auf Servern gespeichert sind, zugreifen.
Fazit
Nutzer von Cloud-Services sollten nicht blind auf die Einhaltung des Datenschutzrechts durch den Anbieter vertrauen. Zwar sind diese die Experten, jedoch sind die Nutzer auch Mitverantwortliche und Vertrauen in Ihre Geschäftspartner ist somit gut, Kontrolle jedoch besser. Die DSGVO hilft mit ihren Neuerungen die Beteiligten zu sensibilisieren und ein ausreichendes Datenschutzniveau sicherzustellen. Da diese Verpflichtungen ebenso der Verantwortlichkeit des Cloud-Nutzers unterfallen, ist den Unternehmen anzuraten die Entscheidung für die Beauftragung eines Cloud-Anbieters zur Verarbeitung seiner Daten und die Auswahl dessen vor dem Hintergrund der besprochenen Aspekte gut zu bedenken.
Elisabeth Neugebauer ist Mitautorin dieses Artikels.
Eine genaue Prüfung der Cloud-Anbieter ist bereits als normaler Endverbraucher sehr schwer realisierbar. Bei weniger technikaffinen Endnutzern wird dies zu einer unüberwindbaren Hürde. Hinzu kommt, dass die Frage des Data-Ownership ein seit Jahrzehnten vernachlässigtes Problem ist, welches durch Cloud-Computing ungeahnte Ausmaße angenommen hat. Zwar hat die EU mit der DS-GVO einen ersten Grundstein gesetzt, dieser muss jedoch dringend und nachhaltig von den nationalen Gesetzgebern ausgebaut und ergänzt werden.
Denkbar sind auch Konstellationen, in denen ein vom Marktortprinzip erfasstes Drittstaats-Unternehmen eine Cloud-basierte CRM-Software anbietet. Verfügt dieses Unternehmen dann noch über einen im Drittstaat (z.B. China, Indien,o.ä.) belegenen Dienstleister, welcher dann ggf. noch regelmäßigen Zugriff auf personenbezogene EU-Bürgerdaten haben könnte, muss man sich die Frage stellen, wie der der EU-Gesetzgeber die Einhaltung der DSGVO-Vorschriften bei diesen Unterauftragnehmern gewährleisten will und auf welcher Grundlage die Europäischen Datenschutz-Aufsichtsbehörden Sanktionen in den Drittstaaten durchsetzen kann/möchte.