Aufgrund des steigenden betrieblichen Datenaufkommens greifen schon längst nicht mehr nur internationale Konzerne auf die Nutzung von Cloud-Computing Diensten zurück, sondern auch kleine und mittelständische Unternehmen. Durch die Nutzung von Cloud-Computing Diensten soll die betriebseigene IT entlastet werden und sogleich ein „sicherer“ Aufbewahrungsort für betriebliche Daten gefunden werden. Insoweit zeigt der folgende Beitrag die rechtlichen Pflichten der DS-GVO auf, die sich für Unternehmen bei der Nutzung von Cloud-Computing Diensten ergeben. Zudem werden haftungsrechtliche Änderungen, die die Einführung der DS-GVO mit sich gebracht hat, dargestellt.

A. Anwendbarkeit

Besondere datenschutzrechtliche Pflichten schreibt die DS-GVO in Bezug auf die Nutzung von Cloud-Computing Diensten ausschließlich vor, wenn hierbei personenbezogene Daten verarbeitet, hier also gespeichert oder transferiert, werden. Personenbezogene Daten sind dabei alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DS-GVO), wie beispielsweise ein Name, eine Adresse, eine Telefonnummer oder eine IP-Adresse. Zudem weist Art. 9 DS-GVO besondere Kategorien an personenbezogenen Daten aus. Danach ist die Verarbeitung von personenbezogenen Daten aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person, verboten. Ausnahmen von diesem Verbot sind unter anderem durch Einwilligung (Art. 9 Abs. 2 lit. a DS-GVO) des Betroffenen oder aufgrund des Schutzes lebenswichtiger Interessen des Betroffenen möglich (Art. 9 Abs. lit. c DS-GVO).

B. Datenschutzrechtliche Vorgaben der DS-GVO

I. Auftragsverarbeitung, Art. 28 DS-GVO

Cloud-Computing Dienste lassen sich grundsätzlich in zwei Arten unterteilen. Zum einen gibt es die klassische Auftragsverarbeitung nach Art. 28 DS-GVO. Andererseits gibt es das Cloud-Computing im Wege einer gemeinsamen Verantwortlichkeit i.S.v. Art. 26 DS-GVO. 1Bräutigam/Thalhofer, in: Bräutigam (Hrsg.), IT-Outsourcing und Cloud-Computing, Teil 14, Rn. 35. Ersteres ist gerade dann anzunehmen, wenn der Auftraggeber, hier also das jeweilige Unternehmen, die Zwecke für die Verarbeitung eindeutig vorgibt, die Verarbeitung für geschäftliche Zwecke des Auftragsgebers erfolgt und sich von dem Interesse des Cloud-Anbieters unterscheidet. 2Vgl. Hartung, in: Kühling/Buchner (Hrsg.), DS-GVO, 2. Aufl., 2018, Art. 28, Rn. 44. Da gerade beim betrieblich genutzten Cloud-Computing in aller Regel das jeweilige Unternehmen den Zweck für die Datenverarbeitung vorgibt, beschränkt sich dieser Beitrag auf die klassische Auftragsverarbeitung nach Art. 28 DS-GVO. Nach Art. 28 DS-GVO hat ein Unternehmen dafür Sorge zu tragen, dass ausschließlich Cloud-Dienstleister beauftragt werden, die garantieren können, dass geeignete technische und organisatorische Maßnahmen für die Datenverarbeitung ergriffen werden, die im Einklang mit den Anforderungen der DSG-VO stehen.

Die erste Maßnahme sollte dabei die Bestimmung des Risikos sein, das sich aus der Weitergabe der Daten an die Cloud ergibt. Die Bestimmung dieses Risikos bemisst sich dabei nicht mehr wie zuvor aus der Sicht des Unternehmens und dessen IT-Sicherheit, sondern vielmehr aus der Sicht des Betroffenen. 3Https://www.heise.de/select/ix/2018/1/1514572536822574, zuletzt abgerufen am 24.06.19. Hieraus können sich je nach Vertraulichkeit der personenbezogenen Daten verschieden hohe Anforderungen an die IT-Sicherheit des Unternehmens ergeben.

Weiter setzt eine ausreichende IT-Sicherheit aktive Prüf- und Kontrollpflichten des Unternehmens bei dem Cloud-Anbieter voraus. Aus Gründen der Einhaltung eines ausreichenden Datenschutzniveaus hat sich das Unternehmen bei seinem Cloud-Anbieter darüber zu informieren, ob die Datenübermittlung innerhalb Deutschlands oder der EU stattfindet oder ob dies in Drittstaaten außerhalb der EU geschieht. Dabei ist insbesondere die Datenübermittlung in die USA problematisch, da hierbei nicht von einem ausreichenden Datenschutzniveau ausgegangen werden kann. 4EUGH, Urt. v. 06.10.15 – C-362/14. Abhilfe kann dabei im Rahmen des sog. Privacy Shields geschaffen werden, bei dem sich in den USA ansässige Unternehmen in eine offizielle Liste des U.S.-Handelsministeriums eintragen lassen können und somit freiwillig ein höheres Schutzniveau im Umgang mit personenbezogenen Daten garantieren. Die Liste dieser zertifizierten Unternehmen kann online abgerufen werden. 5Https://www.privacyshield.gov/list, zuletzt abgerufen am 24.06.19.

Der jeweilige Cloud-Anbieter ist seinerseits dazu verpflichtet, dem Unternehmen mitzuteilen, wenn er für die Ausführung seines Auftrages auf Dritte, wie beispielsweise Subunternehmer, zurückgreift. Diese Vereinbarungen sind in einem gesonderten Dokument, dem sog. Auftragsverarbeitungsvertrag festzuhalten. 6Https://www.heise.de/ratgeber/DSGVO-Was-man-beim-Cloud-Computing-bei-externen-Dienstleistern-beachten-muss-4425677.html?view=print, zuletzt abgerufen ...continue

II. Zertifizierungsverfahren

Für Unternehmen ist es in der Praxis häufig nur schwer nachzuprüfen, ob der beauftragte Cloud-Dienstleister alle nötigen technische und organisatorische Maßnahmen i.S.v. Art. 28 DS-GVO ergriffen hat. Für die Beurteilung dieser Frage erscheint die Bereitstellung eines Zertifizierungsverfahrens nützlich. Bereits heute gibt es eine Reihe von Zertifizierungsverfahren, wie beispielsweise das Gütesiegel SaaS von EuroCloud, CSA STAR oder TÜV Trust IT. 7Https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/CloudComputing/CloudZertifizierung/CloudZertifizierung_node.html, zuletzt abgerufen am ...continue Bei der Nutzung dieser Zertifizierungsverfahren ist jedoch zu beachten, dass diese meist den Anforderungen des Datenschutzes nicht vollends entsprechen, da der Fokus dieser Verfahren meist auf anderen Bereichen liegt. Dies wird dadurch verstärkt, dass diese Zertifizierungsmaßnahmen zumeist sehr intransparent gestaltet sind, was eine genauere Nachvollziehung der bewerteten Kriterien oftmals unmöglich macht. 8Https://www.heise.de/ratgeber/DSGVO-Was-man-beim-Cloud-Computing-bei-externen-Dienstleistern-beachten-muss-4425677.html?view=print, zuletzt abgerufen ...continue Eine geeignete Übersicht, worauf Unternehmen bei der Beauftragung eines Cloud-Anbieters achten sollten, bietet der „Anforderungskatalog Cloud Computing (C5)“ des Bundesamts für Sicherheit in der Informationstechnik. 9 ...continue

III. Löschpflicht, Art. 17 DS-GVO

Eine weitere zentrale Pflicht eines Unternehmens im Rahmen der Nutzung von Cloud-Diensten ist die wirksame Durchsetzung der Löschpflicht nach Art. 17 DS-GVO. Danach sind Unternehmen dazu verpflichtet die von ihnen erhobenen personenbezogenen Daten unverzüglich zu löschen, unter anderem sobald der Zweck für die Erhebung weggefallen ist (Art. 17 Abs. 1 lit. a DS-GVO), die betroffene Person die Einwilligung widerrufen (Art. 17 Abs. 1 lit. b DS-GVO) hat oder die personenbezogenen Daten unrechtmäßig verarbeitet wurden (Art. 17 Abs. 1 lit. d DS-GVO). Ausnahmen von der Löschpflicht sind in Art. 17 Abs. 2 DS-GVO enthalten.

Aus diesem Grund ist es aus Unternehmersicht unerlässlich bereits frühzeitig Abläufe festzulegen, die die Löschung solcher Daten sicherstellen. Von der Löschpflicht umfasst sind zudem auch Datenkopien, Links auf Daten und Kopien. 10Https://www.heise.de/ratgeber/DSGVO-Was-man-beim-Cloud-Computing-bei-externen-Dienstleistern-beachten-muss-4425677.html?view=print, zuletzt abgerufen ...continue Im Einzelfall kann die Durchsetzung der Löschpflicht sehr schwierig sein, nämlich dann, wenn die Löschpflicht mit einer Aufbewahrungspflicht kollidiert, wie etwa im Bereich der gewerblichen Email-Archivierung nach § 257 Abs. 1 Nr. 2 HGB. 11Https://www.heise.de/ratgeber/DSGVO-Was-man-beim-Cloud-Computing-bei-externen-Dienstleistern-beachten-muss-4425677.html?view=print, zuletzt abgerufen ...continue

In diesem Kontext ist zudem umstritten, ob personenbezogene Daten aus einer Cloud überhaupt rechtswirksam gelöscht werden können. Eine physische Vernichtung der Daten kommt nicht in Betracht, sodass in der Praxis die Überschreibung von Schlüsseln verschlüsselter Daten eine mögliche Alternative bietet. 12Https://www.datenschutz-grundverordnung.eu/grundverordnung/art-17-ds-gvo/, zuletzt abgerufen am 24.06.19. Durch die Überschreibung der Schlüssel sind die Daten nicht mehr bzw. nur noch mit erheblichem Aufwand wiederherzustellen. Inwieweit dies aus rechtlicher Sicht einer Löschung gleichsteht ist jedoch umstritten. 13Https://www.heise.de/ratgeber/DSGVO-Was-man-beim-Cloud-Computing-bei-externen-Dienstleistern-beachten-muss-4425677.html?view=print, zuletzt abgerufen ...continue Weiter zu prüfen wird sein, ob unter Umständen auch die Pseudonymisierung oder Anonymisierung einer Löschung gleichkommt. 14Https://www.datenschutz-grundverordnung.eu/grundverordnung/art-17-ds-gvo/, zuletzt abgerufen am 24.06.19.

IV. Haftung

Nach Art. 82 Abs. 4 DS-GVO haften das Unternehmen und der beauftragte Cloud-Anbieter gemeinsam für den entstandenen Schaden, sofern keine Ausnahme nach Abs. 2 oder Abs. 3 einschlägig ist. Dies ist eine Abkehr von der vorherigen Rechtslage, wonach alleine der Auftraggeber verantwortlich war. Die gemeinsame Haftung von Auftraggeber und Beauftragtem hat zur Folge, dass sich der Betroffene nach Art. 79 Abs. 1 und 2 DS-GVO ohne Weiteres auch direkt an den Cloud-Anbieter wenden kann, ohne zu diesem eine vertragliche oder sonstige Beziehung zu haben.

C. Fazit

Aus unternehmerischer Sicht ist es ratsam sich bereits vor der Beauftragung eines Cloud-Anbieters über die Rechtmäßigkeit seiner Dienste zu informieren, da ansonsten Schadensersatzansprüche von Betroffenen auf das Unternehmen zukommen können. Insoweit bietet sich folgende Checkliste 15 Https://www.heise.de/select/ix/2018/1/1514572536822574, zuletzt abgerufen am 24.06.19. an, die Unternehmen vor der Beauftragung eines Cloud-Anbieters durchgehen können:

  1. Welche Daten werden verarbeitet? (Personenbezogene/nicht personenbezogene)
  2. Gibt es hierfür eine gesetzliche Grundlage (bspw. Einwilligung oder Vertrag)?
  3. Hat der Cloud-Anbieter die technischen und organisatorischen Maßnahmen getroffen, die nach Art. 28 DSG-VO nötig sind?
  4. Risikofolgenabschätzung für Betroffene
  5. Erfolgt die Datenübertragung in der EU oder außerhalb? Bedarf es hierzu zusätzlicher Vereinbarungen?
  6. Zertifizierung des Cloud-Anbieters vorhanden?
  7. Löschkonzept vorhanden?

Sofern diese Punkte gewissenhaft durchgearbeitet worden sind, sollte der rechtmäßigen Nutzung von Cloud-Diensten nichts mehr im Wege stehen.

Referenzen   [ + ]

1. Bräutigam/Thalhofer, in: Bräutigam (Hrsg.), IT-Outsourcing und Cloud-Computing, Teil 14, Rn. 35.
2. Vgl. Hartung, in: Kühling/Buchner (Hrsg.), DS-GVO, 2. Aufl., 2018, Art. 28, Rn. 44.
3. Https://www.heise.de/select/ix/2018/1/1514572536822574, zuletzt abgerufen am 24.06.19.
4. EUGH, Urt. v. 06.10.15 – C-362/14.
5. Https://www.privacyshield.gov/list, zuletzt abgerufen am 24.06.19.
6. Https://www.heise.de/ratgeber/DSGVO-Was-man-beim-Cloud-Computing-bei-externen-Dienstleistern-beachten-muss-4425677.html?view=print, zuletzt abgerufen am 24.06.19.
7. Https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/CloudComputing/CloudZertifizierung/CloudZertifizierung_node.html, zuletzt abgerufen am 24.06.19.
8. Https://www.heise.de/ratgeber/DSGVO-Was-man-beim-Cloud-Computing-bei-externen-Dienstleistern-beachten-muss-4425677.html?view=print, zuletzt abgerufen am 24.06.19.
9. Https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Anforderungskatalog-Cloud_Computing-C5.pdf?__blob=publicationFile&v=3, zuletzt abgerufen am 24.06.19.
10. Https://www.heise.de/ratgeber/DSGVO-Was-man-beim-Cloud-Computing-bei-externen-Dienstleistern-beachten-muss-4425677.html?view=print, zuletzt abgerufen am 24.06.19.
11. Https://www.heise.de/ratgeber/DSGVO-Was-man-beim-Cloud-Computing-bei-externen-Dienstleistern-beachten-muss-4425677.html?view=print, zuletzt abgerufen am 24.06.19.
12. Https://www.datenschutz-grundverordnung.eu/grundverordnung/art-17-ds-gvo/, zuletzt abgerufen am 24.06.19.
13. Https://www.heise.de/ratgeber/DSGVO-Was-man-beim-Cloud-Computing-bei-externen-Dienstleistern-beachten-muss-4425677.html?view=print, zuletzt abgerufen am 24.06.19.
14. Https://www.datenschutz-grundverordnung.eu/grundverordnung/art-17-ds-gvo/, zuletzt abgerufen am 24.06.19.
15. Https://www.heise.de/select/ix/2018/1/1514572536822574, zuletzt abgerufen am 24.06.19.