rating service  security service privacy service
Datenschutzrechtliche Aspekte der Nutzung von Cloud-Diensten
Philipp Hochstöger
Rollenverteilung - Zulässigkeit der Datenverarbeitung als Vorfrage - Prüfpflichten - Dienstleistervereinbarung - Meldepflicht - Zertifizierung im Zuge der Datenschutzgrundverordnung?

Cloud Computing wird immer populärer, auch für österreichische Unternehmen. Nach wie vor herrscht jedoch Skepsis bezüglich der Sicherheit und des Datenschutzes von Cloud-Diensten. Zu Recht sorgen sich datenschutzbewusste Unternehmen um die Daten Ihrer Kunden, vermittelt doch die Nutzung von Cloud-Diensten ein gewisses Gefühl der Fremdbestimmtheit. Wie noch zu zeigen ist, bedeutet die Nutzung der Ressourcen des Cloud-Anbieters nicht auch die Delegierung der datenschutzrechtlichen Verantwortung an diesen. Dabei stellt sich die Frage, wie man für den Datenschutz Sorge tragen kann, wenn die Verarbeitung der Daten in einer "cloud" stattfindet. Das DSG 2000 begegnet diesem Problem mit Prüfpflichten für den Auftraggeber. Durch die Datenschutzgrundverordnung könnte sich jedoch Grundlegendes ändern.

Rollenverteilung

Zunächst ist zu klären, wer als Auftraggeber und Dienstleister iSd DSG 2000 anzusehen ist. Auftraggeber ist der Cloud-Nutzer, da er die Entscheidung trifft, Daten zu verwenden, unabhängig davon, ob er die Daten selbst verwendet oder damit einen Dienstleister beauftragt. Der Cloud-Anbieter ist als Dienstleister anzusehen, da er Daten nur zur Herstellung eines ihm aufgetragenen Werkes verwendet. Als Betroffene iSd DSG 2000 kommen jene Personen in Betracht, deren Daten verwendet werden. Betroffen sind beispielweise Mitarbeiter, Kunden oder Lieferanten der Cloud-Anbieter.

Konsequenz der Rollenverteilung ist, dass den Cloud-Nutzer als Auftraggeber, die im DSG 2000 normierten Pflichten und Verantwortlichkeiten treffen. Den Cloud-Nutzer treffen daher beispielweise Löschungsverpflichtungen.

Zulässigkeit der Datenverarbeitung

Konsequenz der Tatsache, dass der Cloud-Nutzer der Auftraggeber ist, ist natürlich auch, dass er darauf zu achten hat, dass er Daten rechtmäßig verarbeiten darf und er etwaige Meldepflichten nach § 17 DSG 2000 erfüllt hat. Bevor man die Nutzung eines Cloud-Dienstes zu betrieblichen Zwecken in Erwägung zieht, muss man sich die Frage stellen, ob man die Daten selbst zulässigerweise verarbeiten darf.
Darf man selbst Daten rechtmäßig verarbeiten, kann man im nächsten Schritt prüfen, ob man einen Cloud-Dienst in Anspruch nehmen darf. Da es sich bei der Cloud-Nutzung um eine Dienstleistung iSd DSG 2000 handelt, treffen den Cloud-Nutzer die Prüfpflichten nach § 10 DSG 2000.

Prüfpflichten

Gemäß § 10 Abs. 1 DSG 2000 dürfen Auftraggeber bei ihren Datenanwendungen Dienstleister in Anspruch nehmen, wenn diese ausreichende Gewähr für eine rechtmäßige und sichere Datenverwendung bieten. Cloud-Nutzer sind also verpflichtet, sich bezüglich der Einhaltung des DSG 2000 und der Sicherheitsbestimmungen beim Cloud-Betreiber zu vergewissern. Hier liegt ein großes Problem in der praktischen Durchführbarkeit dieser Bestimmung. Insbesondere bei global verteilten Clouds ist diese Prüfpflicht faktisch nicht einhaltbar.

Dienstleistervereinbarung

Der Cloud-Nutzer hat überdies einen Dienstleistervertrag abzuschließen und sich von der Einhaltung des Dienstleistervertrages durch Einholung der erforderlichen Informationen über die vom Dienstleister tatsächlich getroffenen Maßnahmen zu überzeugen.

Meldepflicht

Werden Daten in einem nicht sicheren Drittstaat verarbeitet, muss sich der Auftraggeber vorab um eine Genehmigung bei der DSB bemühen. Kann ein österreichischer Auftraggeber den Prüf- und Meldepflichten nicht nachkommen, darf er keinen Cloud-Servicevertrag abschließen. Es gibt aber mittlerweile zahlreiche seriöse Cloud-Service-Angebote, bei denen der Verbleib der Daten innerhalb Österreichs, innerhalb der EU oder zumindest innerhalb von Staaten mit gleichwertigem Datenschutz garantiert wird. Damit ist zumindest dieser Aspekt rechtlich abgedeckt.

Zertifizierung

Im Zuge der neuen Datenschutzgrundverordnung wird auch daran gedacht, die Aufsichts- und Prüfpflichten neu zu definieren. So steht in Art 39 des Entwurfes zur Datenschutzgrundverordnung: „ Die Mitgliedstaaten und die Kommission fördern insbesondere auf europäischer Ebene die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -zeichen, anhand deren betroffene Personen rasch das von für die Verarbeitung Verantwortlichen oder von Auftragsverarbeitern gewährleistete Datenschutzniveau in Erfahrung bringen können.“ Der Entwurf des EU-Parlaments sieht überdies ein Verfahren zur Zertifizierung von Auftraggebern und Dienstleistern vor: „Jeder für die Verarbeitung Verantwortliche oder Auftragsverarbeiter kann bei jeder Aufsichtsbehörde in der Union für eine angemessene Gebühr unter Berücksichtigung der Verwaltungskosten eine Zertifizierung darüber beantragen, dass die Verarbeitung personenbezogener Daten im Einklang mit dieser Verordnung durchgeführt wird.“

Ein Cloud-Anbieter, der sich zertifizieren lässt, könnte so als zuverlässig eingestuft werden. Der Auftraggeber hat dann keine weitere individuelle Aufsichtspflicht und das Cloud-Service-Problem wäre bei seriösen Angeboten gelöst.


Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungs- und Seminarservice angeboten und vermittelt. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2017webmaster