So geht das mit dem Cloud Computing im Unternehmen nach der neuen DSGVO ab Mai 2018

Ab dem 25.05.18 gilt die europäische Datenschutzgrundverordnung (DSGVO) unmittelbar in der gesamten EU. Dadurch ändern sich auch Vorgaben und Anforderungen für alle Anwendungen in der Cloud. Unternehmen (nachfolgend „Auftraggeber“), die Cloud-Lösungen von Drittanbietern (nachfolgend „Cloudanbieter“) zur Verarbeitung personenbezogener Daten nutzen, müssen dann die Vorschriften der DSGVO beachten. Das bisherige Datenschutzrecht wird abgelöst.

  • Verbot mit Erlaubnisvorbehalt und Auftragsverarbeitung

Bestehen bleibt der Grundsatz des sog. Verbots mit Erlaubnisvorbehalt. Die Verarbeitung personenbezogener Daten ist nur aufgrund gesetzlicher Erlaubnis oder einer Betroffeneneinwilligung gestattet. Bei einer Datenverarbeitung durch Dritte, wie beim Cloud-Computing wäre daher, die Einwilligung der Betroffenen erforderlich. Erfolgt die Datenverarbeitung jedoch nach den Vorgaben der sog. Auftragsverarbeitung gemäß Art 28 ff DSGVO, ist eine Einwilligung nicht notwendig. Nach Art. 4 Nr. 10 DSGVO ist ein Auftragsverarbeiter nämlich kein Dritter und kann, sofern gemäß Art. 28 ff DSGVO erfolgt, auch künftig eine Datenverarbeitung ohne Einwilligung von Betroffen für den Auftraggeber durchführen.

  • Die richtige Auswahl des Cloudanbieters

Der Auftraggeber als Verantwortlicher hat jedoch auch ab Mai 2018 darauf zu achten, nur solche Cloudanbieter als Auftragsverarbeiter zu beauftragen, die hinreichende Garantien zur Durchsetzung technisch organisatorische Maßnahmen zum Schutz personenbezogener Daten bieten. Letzterer sollte über genügend Fachwissen, Zuverlässigkeit und Ressourcen verfügen. Als Beleg kann hierfür auch auf sog.genehmigter Verhaltensregeln (Art- 40 DS-GVO) oder anerkannter Zertifizierungen des Auftragsverarbeiters (Art. DS-GVO) werden.

  • Vertrag mit Sicherheitsmaßnahmen

Außerdem muss weiterhin ein Vertrag geschlossen werden, wonach der Cloudanbieter gegenüber dem Auftraggeber allein weisungsgebunden handeln darf.

Neben der Schriftform, sieht die DS-GVO allerdings auch eine elektronische Form als ausreichend an. Dabei kann der Auftragsverarbeiter auch ein eigenes Vertragsmuster im Rahmen eines gemäß DS-GVO vorgesehenen Zertifizierungsverfahrens zertifizieren lassen.

Für den erforderlichen Inhalt einer solchen Vereinbarung kann weitestgehend auf die noch geltenden Vorgaben § 11 Absatz 2 Bundesdatenschutzgesetzes (BDSG) zurückgegriffen werden. Dabei sind die folgenden Festlegungen zu treffen:

  • Gegenstand der Datenverarbeitung,
  • Dauer,
  • Art und Zweck der Verarbeitung der personenbezogenen Daten,
  • Kategorien der betroffenen Personen,
  • Pflichte und Rechte des Verantwortlichen.

Es kommen noch weitere Anforderungen hinzu. So verlangt die DSGVO umfangreiche Dokumentationspflichten auch beim Auftragsverarbeiter; etwa, dass die Weisungen des Verantwortlichen an den Auftragsverarbeiter entsprechend dokumentiert werden müssen.

Betroffen sind auch die Darstellung der erforderlichen Maßnahmen zur Sicherheit der Verarbeitung gemäß Art. 32 DSGVO.

  • Unteraufträge

Beim Subunternehmereinsatz muss der Cloudanbieter grundsätzlich die schriftliche oder elektronische Zustimmung des Auftraggebers als Verantwortlichen einholen. Nachträglichen Änderungen hierbei sind dem Verantwortlichen vorab mitzuteilen. Dieser kann jedoch gegen den Einsatz des künftigen Subunternehmers Einspruch einlegen. Können sich der Vertragspartner anschließend nicht darüber einigen, führt dies zur Beendigung des bestehenden Vertrags über die Auftragsverarbeitung.

  • Unterstützung durch den Auftragsverarbeiter

Auch treffen den Auftragsverarbeiter gegenüber dem Verantwortlichen Unterstützungspflichten (ebenfalls vertraglich zu fixieren), z.B. durch geeignete technische organisatorische Maßnahmen bei der Gewährleistung der Betroffenenrechte, der Meldepflicht und den Benachrichtigungspflichten im Falle einer Datenschutzverletzung oder auch eine Datenschutzfolgenabschätzung.

  • Neue Risiken durch Betroffenenklage und erhöhte Bußgeldrahmen

Neben der Änderung bzw. Erweiterung inhaltlicher Anforderungen, sind vor allem die neuen Sanktionsmöglichkeiten der Aufsichtsbehörden sowie die zivilrechtlichen Haftungsansprüche Betroffener hervorzuheben:

Betroffene einer rechtswidrigen Datenverarbeitung können künftig Ansprüche auf Schadensersatz unmittelbar herleiten und vor einem Zivilgericht geltend machen.

Auch sieht die DSGVO die Möglichkeit des Verbandsklagerecht vor.

Der Bußgeldrahmen für die Aufsichtsbehörden ist erheblich angehoben worden und beträgt hierbei 10 Mio. € oder bis zu 2% des gesamten weltweiten Jahresumsatzes des abgelaufenen Finanzjahrs, je nachdem was höher ist. Bußgeldbewehrt ist hierbei jeder Verstoß gegen Artikel 83 Absatz 4 a) DSGVO. Bereits eine mangelhafte Dokumentation von Weisungen kann hier den Bußgeldtatbestand auslösen.

  • NEU: unmittelbare Haftung des Auftragsverarbeiters

Neu ist auch eine unmittelbare Haftung des Cloudanbieters als Auftragsverarbeiter gegenüber Betroffenen. Verstöße gegen Art. 83 Absatz 4 a DS-GVO sind für ihn direkt bußgeldbewehrt, z.B. bei Abweichungen von Weisungen des Auftraggebers, sofern dies zu einer unzulässigen Datenverarbeitung führt.

– gesamtschuldnerische Haftung

Daneben können Auftraggeber und Auftragsverarbeiter gesamtschuldnerisch für Handlungen eines Unterbeteiligten des Auftraggebers haften, wenn dieser z.B. keinen geeigneten Dokumentationsnachweis vorlegen kann (Art. 83 Absatz 3 DS-GVO).

– Beweislastumkehr

Unternehmen, also Auftraggeber und Auftragsverarbeiter, müssen zudem künftig jederzeit belegen können, dass sie die DS-GVO eingehalten haben (Art. 5 Absatz 2 aber auch 82 Absatz 3 DS-GVO). Gelingt dies nicht, ist bereits dieser fehlende Nachweis bußgeldbewehrt. Somit besteht eine Beweislastumkehr zu Lasten der datenverarbeitenden Stelle bzw. deren Auftraggeber.

  • Was ist zu tun?

Vor allem die neuen Sanktionsmöglichkeiten der Aufsichtsbehörden sowie die zivilrechtlichen Haftungsansprüche Betroffener sollten Unternehmen veranlassen, sich frühzeitig mit der neuen Rechtslage vertraut zu machen. In jedem Fall sollten die Verträge zum Cloud Computing für den Stichtag 25.05.2018 gepasst werden, vor allem im Hinblick auf die erweiterten Dokumentationspflichten, die Mitteilungspflichten beim Subunternehmereinsatz, die gesamtschuldnerische Haftung sowie das Risiko der erweiterten Sanktionen.

 

  • Das könnte Sie ebenfalls interessieren:

Cloud DSGVOWhitepaper

aus dem Vortrag „Die Keyfacts zur neuen Datenschutz-Grundverordnung – Die wichtigsten 12 Tipps und To Dos bis zum 25.05.2018 zum neuen EU-Datenschutzrecht“

Cloud DSGVO

 

 

 

 

 

Merken

geschrieben von: Matthias Rosa

Matthias Rosa

Fragen zum Thema? Mailen Sie einfach an rosa@res-media.net.

Matthias Rosa
Fachanwalt für Informationstechnologierecht (IT-Recht)

RESMEDIA Mainz – Anwälte für IT-IP-Medien
Am Winterhafen 78 | 55131 Mainz
Fon +49 6131 144 56 -0 | Fax +49 6131 144 56 – 20
E-Mail: rosa@res-media.net
Internet: http://www.res-media.net

 

 

Related Posts

Comments are closed.