Datenschutzbehörde  Datenschutz Europa privacy service
 
Datenschutzrechtliche Aspekte der Nutzung von Cloud-Diensten
DSGVO Art 4, 28, 30, 32, 40, 42
Rollenverteilung - Zulässigkeit der Datenverarbeitung als Vorfrage - Prüfpflichten - Auftragsvereinbarung - Verzeichnis von Verarbeitungstätigkeiten - Cloud-Anbieter trägt Mitverantwortung - Zertifizierung im Zuge der Datenschutzgrundverordnung?

Cloud Computing wird immer populärer, auch für österreichische Unternehmen. Nach wie vor herrscht jedoch Skepsis bezüglich der Sicherheit und des Datenschutzes von Cloud-Diensten. Zu Recht sorgen sich datenschutzbewusste Unternehmen um die Daten Ihrer Kunden, vermittelt doch die Nutzung von Cloud-Diensten ein gewisses Gefühl der Fremdbestimmtheit. Wie noch zu zeigen ist, bedeutet die Nutzung der Ressourcen des Cloud-Anbieters nicht auch die Delegierung der datenschutzrechtlichen Verantwortung an diesen. Dabei stellt sich die Frage, wie man für den Datenschutz Sorge tragen kann, wenn die Verarbeitung der Daten in einer "cloud" stattfindet. Die Datenschutz-Grundverordnung (DSGVO) begegnet diesem Problem mit Prüfpflichten und Verantwortlichkeiten für den Verantwortlichen.


Rollenverteilung

Zunächst ist zu klären, wer als Verantwortlicher und Auftragsverarbeiter gemäß DSGVO anzusehen ist. Verantwortlicher gemäß Art 4 Zif 7 DSGVO ist der Cloud-Nutzer, da er die Entscheidung trifft, Daten zu verarbeiten, unabhängig davon, ob er die Daten selbst verarbeitet oder damit einen Auftragsverarbeiter beauftragt. Der Cloud-Anbieter ist gemäß Art 4 Zif 8 DSGVO als Auftragsverarbeiter anzusehen, da er Daten nur zur Herstellung eines ihm aufgetragenen Werkes verarbeitet. Als Betroffene gemäß DSGVO kommen jene Personen in Betracht, deren Daten verarbeitet werden. Betroffen sind beispielweise Mitarbeiter, Kunden oder Lieferanten der Cloud-Anbieter.

Konsequenz der Rollenverteilung ist, dass den Cloud-Nutzer als Verantwortliche, die im DSGVO normierten Pflichten und Verantwortlichkeiten treffen. Den Cloud-Nutzer treffen daher beispielweise Löschungsverpflichtungen.


Zulässigkeit der Datenverarbeitung

Konsequenz der Tatsache, dass der Cloud-Nutzer der Verantwortlicher ist, ist natürlich auch, dass er darauf zu achten hat, dass er Daten rechtmäßig verarbeiten darf. Bevor man die Nutzung eines Cloud-Dienstes zu betrieblichen Zwecken in Erwägung zieht, muss man sich die Frage stellen, ob man die Daten selbst zulässigerweise verarbeiten darf.
Darf man selbst Daten rechtmäßig verarbeiten, kann man im nächsten Schritt prüfen, ob man einen Cloud-Anbieter in Anspruch nehmen darf. Da es sich bei der Cloud-Nutzung um eine Auftragsverarbeitung gemäß Art 28 DSGVO handelt, treffen den Cloud-Nutzer die Prüfpflichten.


Prüfpflichten

Gemäß Art 28 DSGVO dürfen Verantwortliche bei ihren Datenverarbeitung Auftragsverarbeiter in Anspruch nehmen, wenn diese geeignete technische und organisatorische Maßnahmen garantieren, um die Verarbeitung im Einklang mit den Anforderungen der Grundverordnung durchzuführen und den Schutz der Rechte der betroffenen Person zu gewährleisten. Cloud-Nutzer sind also verpflichtet, sich bezüglich der Einhaltung der DSGVO (Datenschutzniveau) und der Sicherheitsbestimmungen (Datensicherheit) beim Cloud-Anbieter zu vergewissern.


Auftragsvereinbarung

Der Cloud-Nutzer hat überdies eine Vereinbarung für Auftragsverarbeitung gemäß Art 28 DSGVO abzuschließen und sich von der Einhaltung der Vereinbarung betreffend eine Verarbeitung im Auftrag des Verantwortlichen durch Einholung der erforderlichen Informationen über die vom Auftragsverarbeiter tatsächlich getroffenen Maßnahmen zu überzeugen.


Verzeichnis von Verarbeitungstätigkeiten

Cloud-Anbieter sind verpflichtet gemäß Art 30 DSGVO ein eigenes Verzeichnis der Verarbeitungsätigkeiten für seine Auftragsverarbeitungen zu führen. Dieses Verzeichnis muss der Auftragsverarbeiter bei Kontrollen der Datenschutzbehörde auf Anfrage zur Verfügung stellen.


Cloud-Anbieter trägt Mitverantwortung

Cloud-Anbieter sind verpflichtet Datenpannen dem Auftraggeber zu melden. Bei Datenschutzverletzungen können auch Auftragsverarbeiter zur Haftung gezogen werden.


Zertifizierung

Die DSGVO fordert von Verantwortlichen und Auftragsverarbeitern umfangreiche Nachweise. Gemäß Art 5 Abs 2 DSGVO (Rechenschaftspflicht) ist der Verantwortliche verpflichtet die Einhaltung der Rechtmäßigkeit einer Verarbeitung nachzuweisen. Weiters ist auch der Auftragsverarbeiter gemäß Art 28, Art 30 Abs 2 und Art 32 DSGVO zur Rechenschaftspflicht verpflichtet. Diese Nachweißpflicht kann auch auf Grundlage genehmigter Verhaltensregeln (Art 40 DSGVO) oder genehmigter Zertifizierungsverfahren (Art 42 DSGVO) erfolgen. Im Ergebnis sollen beide Möglichkeiten einen Verantwortlichen oder Auftragsverarbeiter bei seinem Nachweis über die erfüllten Anforderungen an die Verarbeitung personenbezogener Daten unterstützen.

Ein Cloud-Anbieter, der sich zertifizieren lässt, könnte so als zuverlässig eingestuft werden. Der Verantwortliche hat dann keine weitere individuelle Aufsichtspflicht und das Cloud-Service-Problem wäre bei seriösen Angeboten gelöst.


Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungsservice angeboten. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixabay, Shutterstock, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2024 Information gemäß DSGVO webmaster