Cloud-Computing und die DSGVO

Pflichtverschiebung

Joerg Heidrich

Die Datenschutz-Grundverordnung krempelt vieles im europäischen Datenschutzrecht um. Unternehmen müssen sich auf erhebliche Änderungen einstellen – stark betroffen sind nicht nur Nutzer von Cloud-Services, sondern auch Betreiber sowie Dienstleister.

Die Ende Mai 2018 in Kraft tretende europäische Datenschutz-Grundverordnung (DSGVO) ändert viel, aber nicht alles. Viele Regelungen speziell des deutschen Datenschutzes bleiben erhalten. So ist die Verordnung nur dann anwendbar, wenn es sich bei den Informationen, die in der Cloud gespeichert werden sollen, um sogenannte personenbezogene Daten handelt. Das sind nach der DSGVO Angaben, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Explizit genannt wird dabei die Zuordnung einer natürlichen Person „zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten oder zu einer Online-Kennung“. Dies umfasst etwa die Adressen von Kunden oder Kollegen ebenso wie Telefonnummern oder auch IP-Adressen.

Darüber hinaus gibt es besondere Kategorien personenbezogener Daten. Hierunter fallen gemäß Art. 9 DSGVO Informationen, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen. Gleiches gilt für genetische oder biometrische Daten sowie Gesundheitsauskünfte oder Daten zum Sexualleben oder der sexuellen Orientierung eines Menschen. Die Verarbeitung dieser Informationen ist grundsätzlich untersagt, soweit nicht eine der gesetzlichen Ausnahmen greift oder eine Einwilligung vorliegt. Eine dieser Ausnahmen liegt etwa vor, wenn die Verarbeitung zum Schutz „lebenswichtiger Interessen der betroffenen Person“ erforderlich ist. Dementsprechend ist das Verschieben solcher Daten in die Cloud nur sehr eingeschränkt und ausschließlich unter starken Sicherheitsvorkehrungen möglich.

Auswahlkriterien für Auftragsverarbeiter

Wie bisher wird das Verarbeiten von Daten in der Cloud juristisch als Auftragsdatenverarbeitung eingestuft – auch wenn diese in der DSGVO nun Auftragsverarbeitung heißt. Typischerweise setzt der Auftraggeber für die Verarbeitung auf Dienstleister, kontrolliert jedoch die Nutzung der Daten weitgehend selbst und verantwortet sie auch, zumindest bisher.

Die Voraussetzungen für ein solches Verfahren finden sich in Art. 28 DSGVO. Diesem zufolge darf nur mit solchen Cloud-Anbietern zusammengearbeitet werden, die „hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet“. Die technischen und organisatorischen Anforderungen an den Cloud-Anbieter sind dabei hoch. So muss er unter anderem unter Berücksichtigung des Stands der Technik und der Schwere des Risikos für die Rechte und Freiheiten der betroffenen natürlichen Personen „geeignete technische und organisatorische Maßnahmen“ ergreifen. Ziel ist ein dem jeweiligen Risiko der Datenverarbeitung angemessenes Schutzniveau.

Umgekehrt ist vorab das Risiko zu bestimmen, das durch das Weitergeben der betreffenden Daten in die Cloud entsteht. Entscheidend ist dabei die Perspektive: Das Risiko bestimmt sich nämlich nicht wie bisher aus der Sicht des Auftraggebers und dessen IT-Sicherheit, sondern aus der der betroffenen natürlichen Personen. Folglich erhöhen sich die Anforderungen an die IT-Sicherheit in den Fällen ganz erheblich, in denen die vertraulichen personenbezogenen Daten in die Cloud sollen. Dabei kann es im Einzelfall sogar möglich sein, dass ein Verlagern dieser Informationen gar nicht zulässig ist. Auf der anderen Seite sind die technischen Anforderungen bei der Verarbeitung von reinen Adressdaten, die beispielsweise auch öffentlich vorhanden sind, erheblich niedriger.

Aus den IT-Sicherheitsanforderungen resultieren aktive Prüf- und Kontrollpflichten für den Auftraggeber bei seinem Dienstleister. Neben den Vorgaben der IT-Sicherheit muss er sich unter anderem auch darüber informieren, ob eine Datenübermittlung in Staaten außerhalb der EU vorgesehen ist und wie in diesem Fall das erforderliche Datenschutzniveau eingehalten werden soll. Schließlich muss der Cloud-Hoster den Auftraggeber explizit informieren, wenn er Subunternehmen und weitere Auftragsverarbeiter einsetzt.