Datenschutz in der Cloud: Vorgaben, Risiken, Beratung

Allerdings dürfen die datenschutzrechtlichen Risiken beim Rückgriff auf die Dienste der Cloudanbieter nicht unbeachtet bleiben, ansonsten könnten sich die Kostenvorteile unvermittelt zur Kosten- und Haftungsfalle entwickeln. Die Risiken beim Cloud Computing sind oftmals strukturbedingt und liegen in der Speicherung von Daten auf Servern, die sich außerhalb des Unternehmens befinden und von einem externen Dienstleister unterhalten werden.

Entscheiden sich Unternehmen für die dezentrale Datenverarbeitung beim Cloudanbieter, sind sie gesetzlich dazu verpflichtet, dafür zu sorgen, dass

• dieser geeignete technische und organisatorische Maßnahmen zum Schutz der ausgelagerten Daten implementiert hat,
• die Verarbeitung im Einklang mit den Vorschriften der DSGVO stattfindet und
• die Rechte der Betroffenen weiterhin gewährleistet werden können. 

Die Einhaltung dieser Pflichten gestaltet sich für Unternehmen in der Praxis oftmals schwierig, wie sich aus den folgenden Anwendungsbeispielen ergibt:

• Vertraulichkeit und Integrität
  Beim Cloud Computing werden die vom Anbieter bereitgestellten Rechenressourcen oftmals durch den Einsatz von Virtualisierung gemeinsam genutzt, sodass keine physische Trennung der Daten zwischen den unterschiedlichen Nutzern erfolgt. Dadurch steigt das Risiko unberechtigter Zugriffe auf die Daten, die beim Cloudanbieter gespeichert werden.
  Daher ist insbesondere bei der Speicherung von sensiblen Daten in der Cloud zu berücksichtigen, welche technischen und organisatorischen Maßnahmen der Cloudanbieter zur Trennung von Kundendaten garantiert. Aber auch bei nicht sensiblen Daten trifft den Auftraggeber die Pflicht, die Datensicherheitsmaßnahmen vor Beauftragung einer sorgfältigen Prüfung zu unterziehen. Bei umfangreichen Auslagerungen von Betroffenendaten dürfte sogar eine Vor-Ort-Kontrolle am Ort der Datenverarbeitung in Einzelfällen erforderlich sein.
• Betroffenenrechte
  Nach Beendigung des Auftragsverarbeitungsvertrags hat das Unternehmen sämtliche ausgelagerten Daten in der Cloud zu löschen. Zudem haben Betroffene unter bestimmten Umständen ein Recht auf Löschung, dem das Unternehmen unverzüglich nachkommen muss. Hingegen speichern Cloudanbieter die Daten zumeist auf verschiedene Plattformen und Datenbanken, sodass sich deren Lokalisierung und endgültige Löschung als äußerst schwierig gestalten kann.
  Folglich haben Unternehmen darauf zu achten, dass sie vom Cloudanbieter in die Lage versetzt werden, die gespeicherten Daten jederzeit final und unverzüglich löschen zu können. Kann der Dienstleister die Datenlöschung nicht restlos sicherstellen, haftet das auftraggebende Unternehmen gegenüber dem Betroffenen und muss sich auch vor der Aufsichtsbehörde verantworten.
• Übermittlung in Drittstaaten
  Unternehmen dürfen Datenübermittlungen in Drittstaaten nur vornehmen, wenn sichergestellt wurde, dass dort ein angemessenes Datenschutzniveau herrscht. Oft werden die in der Cloud gespeicherten Daten vom Cloudanbieter je nach freien Rechenkapazitäten auf unterschiedliche Server rund um die Welt übertragen.
  Für Unternehmen sind die Datenflüsse des Cloudanbieters nicht immer von vornherein bekannt, sodass kaum gewährleistet werden kann, dass die Daten nur in Drittstaaten übermittelt werden, die ein angemessenes Datenschutzniveau aufweisen. Daher ist die Auswahl eines Cloudanbieters, der transparent die Zielländer der Datenübermittlungen von vornherein darlegt, unabdinglich.

Werden von Unternehmen Cloudanbieter beauftragt, die nicht in der Lage sind, die Vorgaben der DSGVO umzusetzen, drohen dem auslagernden Unternehmen erhebliche Geldbußen. Daher ist die Auswahl eines Cloudanbieters, der die Vorgaben der DSGVO einhält, von erheblicher Bedeutung. 

Unsere Datenschutzexperten unterstützen Sie gerne bereits in der Planung von cloud-basierten Datenverarbeitungen oder Datenmigrationen von lokalen Servern zu Clouddiensten:

• Beratung bei der Auswahl datenschutzkonformer Cloudanbieter
• Erstellung und Überprüfung von Binding Corporate Rules und EU-Standardvertragsklauseln für die Datenübermittlung in Drittstaaten
• Erstellung und Überprüfung von Auftragsverarbeitungsverträgen, speziell für den Bereich des Cloud Computing
• Einführung von Prozessen zur Gewährleistung von Betroffenenrechten
• Erstellung oder Anpassung eines Reaktionsplans für den Fall einer vom Cloudanbieter verursachten Datenpanne
• Schulung von Mitarbeitern und Führungskräften beim richtigen Umgang mit Daten und Datenpannen