Datenschutz beim Cloud Computing in Zeiten der DSGVO

DSGVO und die Cloud: Wolkige Aussichten?
Keine Kommentare

Der Begriff Cloud scheint nicht greifbar zu sein, und doch weiß inzwischen wohl jeder, was damit gemeint ist: von E-Mail-Provider über den Anbieter von Onlinespeicherplatz bis hin zu Dienstleistungen mit Software oder Betriebssystemen per Fernzugriff und noch viel mehr – dies alles fällt unter den Sammelbegriff Cloud Computing. Mit der kommenden Datenschutz-Grundverordnung müssen weitreichende Datenschutzvorgaben beachtet werden.

Werden in der Cloud personenbezogene Daten verarbeitet, also z.B. Name, Anschrift, Geburtsdatum, Kontaktdaten, Bankverbindung, Personenfotos oder auch Kfz-Kennzeichen sowie IP-Adressen, wird dies juristisch als Auftragsverarbeitung (AV) bezeichnet, denn hier erledigt ein Unternehmen die Datenverarbeitung nicht selbst, sondern bedient sich dazu eines Dienstleisters (Details dazu im Kasten: „Praxistipp“). Handelt der Beauftragte dabei sozusagen als „verlängerter Arm“, also weisungsgebunden, dann agiert er im Auftrag des Unternehmens (der sogenannte Verantwortliche), bei dem die Hauptverantwortung für die verarbeiteten Daten verbleibt. Im Unterschied dazu sind Dienstleistungen „höherer Art“, wie beispielsweise Rechts- oder Steuerberatung, keine Auftragsverarbeitung, weil es hier an der Weisungsgebundenheit fehlt.

Praxistipp

Nicht nur Cloud-Computing gilt als Auftragsverarbeitung, es gibt noch zahlreiche andere Dienstleistungen (auch offline), die in diese Kategorie fallen. Dazu zählen u.a.:

  • Datenvernichtungs-/Entsorgungsdienstleister (Reißwolf und Co.)
  • Wartung der Kopierer/Drucker
  • Inhousetechnik (Klimaanlage etc.)
  • Wachschutz
  • Gebäudereinigung
  • Wartung der Telefonanlage
  • IT-Dienstleister
  • Supportcallcenter
  • Marketingagenturen
  • Webanalysesoftware

In all diesen Fällen müssen die Voraussetzungen einer Auftragsverarbeitung erfüllt, d.h. insbesondere die notwendigen Verträge geschlossen werden.

Voraussetzungen für die Auftragsverarbeitung

Die Voraussetzungen für eine rechtskonforme Auftragsverarbeitung haben sich in der EU-Datenschutz-Grundverordnung (DSGVO) im Vergleich zum alten Bundesdatenschutzgesetz (BDSG) etwas verändert. Auftragsverarbeiter müssen hinreichende Garantien dafür bieten, dass sie geeignete technische und organisatorische Maßnahmen (TOM) umgesetzt haben, damit die Verarbeitung von personenbezogenen Daten im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der Betroffenen gewährleistet. Solche Garantien sollen insbesondere ausreichendes Fachwissen, Zuverlässigkeit sowie die erforderlichen Ressourcen von Auftragsverarbeitern bestätigen. Die Einhaltung von genehmigten Verhaltensregeln oder genehmigten Zertifizierungsverfahren kann hierbei als Indikator herangezogen werden. Wer also als Auftragsverarbeiter agieren will und sich z.B. unternehmensinterne Regelungen auferlegt hat, die von der zuständigen Aufsichtsbehörde abgesegnet wurden, hat einen vergleichbaren Vorteil, wie etwa bei einer ISO-27001-Zertifizierung.

International PHP Conference 2018

Getting Started with PHPUnit

by Sebastian Bergmann (thePHP.cc)

Squash bugs with static analysis

by Dave Liddament (Lamp Bristol)

API Conference 2018

API Management – was braucht man um erfolgreich zu sein?

mit Andre Karalus und Carsten Sensler (ArtOfArc)

Web APIs mit Node.js entwickeln

mit Sebastian Springer (MaibornWolff GmbH)

Bedient sich der AV-Dienstleister seinerseits eines Subunternehmers, dann muss er diesen dazu verpflichten, sich ebenfalls an die Vorgaben der DSGVO zu halten. Falls der Subunternehmer seinen Pflichten nicht nachkommen sollte, kann der Auftragsverarbeiter im Verhältnis zum hauptverantwortlichen Unternehmen dafür haftbar gemacht werden.

AV-Vertrag

Als Grundlage für eine korrekte AV sind regelmäßig mindestens zwei Verträge erforderlich, nämlich der Vertrag, der die eigentliche Dienstleistung regelt, sowie zusätzlich ein spezieller AV-Vertrag. Er muss in jedem Fall zwischen dem Verantwortlichen und dem Auftragsverarbeiter geschlossen werden. Dies muss nicht zwingend in Schriftform erfolgen, sondern kann auch elektronisch geschehen. Allerdings empfiehlt sich eine schriftliche Fixierung aus Gründen der besseren Nachweisbarkeit für beide Parteien. In Art.28 DSGVO finden sich die Mindestinhalte eines solchen AV-Vertrags:

  • Gegenstand, Dauer, Art und Zweck der Verarbeitung
  • Kategorien der personenbezogenen Daten
  • Kategorien der betroffenen Personen
  • Pflichten und Rechte des Verantwortlichen
  • Verarbeitung der Daten durch den Auftragsverarbeiter nur auf dokumentierte Weisung des Verantwortlichen, sofern er nicht durch Gesetz hierzu verpflichtet ist
  • Gewährleistung des Auftragsverarbeiters, dass sich die zur Datenverarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen
  • Umsetzung aller erforderlichen Maßnahmen zur Sicherheit der Datenverarbeitung
    durch den Auftragsverarbeiter
  • Einhaltung der Bedingungen für eine Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters
  • Unterstützung des Verantwortlichen durch den Auftragsverarbeiter nach Möglichkeit mit geeigneten TOMs dabei, der Pflicht zur Beantwortung von Anträgen auf Wahrnehmung von Betroffenenrechten nachzukommen
  • Unterstützung des Verantwortlichen durch den Auftragsverarbeiter bei der Einhaltung seiner Pflichten
  • Veranlassung der Löschung bzw. Rückgabe aller Daten nach Beendigung der AV-Dienstleistungen durch den Auftragsverarbeiter (sofern nicht eine gesetzliche Verpflichtung zur Speicherung der Daten besteht)
  • Bereitstellung aller erforderlichen Informationen durch den Auftragsverarbeiter gegenüber dem Verantwortlichen zum Nachweis der Einhaltung seiner Pflichten

AV-Verträge sind also durchaus umfangreich, zumal sie als Anhang auch immer die konkret zu benennenden TOMs des Auftragsverarbeiters beinhalten müssen. Übrigens: Die Pflicht zum Abschluss eines AV-Vertrags bestand auch schon vor Inkrafttreten der DSGVO, damals war sie zum Teil sogar noch strenger geregelt.

Voraussetzungen von Auftragsverarbeitungsverhältnissen

Unabhängig von der konkreten Dienstleistung müssen Auftragsverarbeitungsverhältnisse immer gewisse Voraussetzungen erfüllen. Wenn folgende Fragen jeweils mit „Ja“ beantwortet werden können, dann liegt eine zulässige AV vor:

  • Besteht keine Möglichkeit zur Kenntnisnahme der Daten durch Dritte (z.B. durch Verschlüsselung der Daten)?
  • Liegt eine wirksame Einwilligung der Betroffenen vor?
  • Ist die Weitergabe der Daten für die Vertragserfüllung erforderlich?
  • Erfolgt die Datenverarbeitung mit wirksamem AV-Vertrag?
  • Geschieht die Datenverarbeitung in Deutschland?
  • Oder geschieht die Datenverarbeitung innerhalb des EU-/EWR-Gebiets?
  • Liegt eine zulässige Datenverarbeitung in einem Drittland vor?

Werden Daten anonymisiert oder nach dem Stand der Technik verschlüsselt, dann fehlt ihnen der Personenbezug, sodass die DSGVO-Vorgaben nicht einschlägig sind. Mit Einwilligung der betroffenen Personen oder auch zur Erfüllung von vertraglichen Pflichten dürfen personenbezogene Daten ebenfalls in der Cloud per AV verarbeitet werden. Wichtig ist, dass man einen korrekten AV-Vertrag mit dem Anbieter abschließt (s.o.) und auch den Serverstandort beachtet. Liegt der in Deutschland bzw. in der EU/des Europäischen Wirtschaftsraums (EWR), dann ist das unproblematisch. Zu den EWR-Staaten gehören Island, Liechtenstein und Norwegen. Bei einem Serverstandort in sogenannten Drittstaaten, also in Ländern außerhalb des EU- bzw. EWR-Gebiets, müssen folgende Aspekte beachtet werden:

  • Besteht ein anerkanntes Schutzniveau?
  • Liegt eine Zertifizierung durch den EU-US Privacy
    Shield (USA) vor?
  • Werden die EU-Standardvertragsklauseln eingesetzt?
  • Liegen Binding Corporate Rules (BCR) vor?
  • Ist die Datenverarbeitung zur Vertragserfüllung erforderlich
    (z.B. Warenlieferung an chinesische Kunden)?

Zu den Drittstaaten mit durch die EU-Kommission anerkanntem Schutzniveau gehören Andorra, Argentinien, Kanada (eingeschränkt, nur für Wirtschaftsunternehmen), Schweiz, Färöer-Inseln, Guernsey, Israel, Isle of Man, Jersey, Neuseeland sowie Uruguay. Die USA fällt nicht darunter, für sie gibt es aber mit dem sogenannten EU-US Privacy Shield ein Sonderkonstrukt, der Nachfolgeregelung der früheren Safe-Harbor-Regelung. Die Schweiz ist zwar kein EU-Mitglied, hat aber eine vergleichbare Regelung mit den USA (Swiss-US Privacy Shield). In beiden Fällen besteht für US-Unternehmen die Möglichkeit, sich beim amerikanischen Handelsministerium zu registrieren, um eine schriftliche Bestätigung der US-Regierung über die Einhaltung bestimmter Datenschutzregelungen zu erhalten. Daraus wird dann vonseiten der Europäischen Union ein „angemessenes Datenschutzniveau“ abgeleitet. Im US-Bundesregister kann jedermann kostenfrei recherchieren, welche Unternehmen registriert sind.

In allen anderen Fällen muss ein anerkanntes Schutzniveau geschaffen werden, und zwar z.B. durch Verwendung der EU-Standardvertragsklauseln. Hierbei handelt es sich sozusagen um ein Muster-AV-Vertragswerk, das unverändert übernommen werden muss. Alternativ können auch unternehmensinterne, bindende Regelungen (Binding Corporate Rules, BCR) eingesetzt werden, was jedoch im Wesentlichen nur für internationale Konzerne in Frage kommt.

Neuerungen im Zuge der DSGVO

Ganz wichtig ist die Umsetzung von modernen Technologien. Immer da, wo die Übertragung von Daten oder insbesondere auch die Daten selbst verschlüsselt werden können, sollte von dieser Möglichkeit auch Gebrauch gemacht werden. Allerdings reicht es nach Maßgabe der DSGVO nicht mehr aus, „nur“ rechtskonform zu handeln, man muss dies auch dokumentieren. Denn auch der Auftragsverarbeiter muss – im Unterschied zur alten Rechtslage nach BDSG – ein Verzeichnis von Verarbeitungstätigkeiten für jede AV-Tätigkeit führen. Bei Verstößen gegen diese und andere AV-Pflichten drohen saftige Bußgelder.

Ebenfalls neu ist die Tatsache, dass der Auftragsverarbeiter dann als Verantwortlicher anzusehen ist, wenn er entgegen den Weisungen seines Auftraggebers, also des eigentlich hauptverantwortlichen Unternehmens, handelt.

Übrigens: Cloud-Anbieter, die ihren Sitz in einem Drittstaat haben, müssen einen Vertreter innerhalb der Europäischen Union benennen. Der dient nicht nur als Ansprechpartner für die Auftraggeber, sondern auch für die Datenschutzaufsichtsbehörden.

PHP Magazin

Entwickler MagazinDieser Artikel ist im PHP Magazin erschienen. Das PHP Magazin deckt ein breites Spektrum an Themen ab, die für die erfolgreiche Webentwicklung unerlässlich sind.

Natürlich können Sie das PHP Magazin über den entwickler.kiosk auch digital im Browser oder auf Ihren Android- und iOS-Devices lesen. In unserem Shop ist das Entwickler Magazin ferner im Abonnement oder als Einzelheft erhältlich.

Unsere Redaktion empfiehlt:

Relevante Beiträge

X
- Gib Deinen Standort ein -
- or -