Datenschutzrechtliche Aspekte der Nutzung von Cloud-Diensten
DSGVO Art 4, 28, 30, 32, 40, 42
Rollenverteilung - Zulässigkeit der Datenverarbeitung als Vorfrage - Prüfpflichten - Auftragsvereinbarung - Verzeichnis von Verarbeitungstätigkeiten - Cloud-Anbieter trägt Mitverantwortung - Zertifizierung im Zuge der Datenschutzgrundverordnung?
Cloud Computing wird immer populärer, auch für österreichische Unternehmen. Nach wie vor herrscht jedoch Skepsis bezüglich der Sicherheit und des Datenschutzes von Cloud-Diensten. Zu Recht sorgen sich datenschutzbewusste Unternehmen um die Daten Ihrer Kunden, vermittelt doch die Nutzung von Cloud-Diensten ein gewisses Gefühl der Fremdbestimmtheit. Wie noch zu zeigen ist, bedeutet die Nutzung der Ressourcen des Cloud-Anbieters nicht auch die Delegierung der datenschutzrechtlichen Verantwortung an diesen. Dabei stellt sich die Frage, wie man für den Datenschutz Sorge tragen kann, wenn die Verarbeitung der Daten in einer "cloud" stattfindet. Die Datenschutz-Grundverordnung (DSGVO) begegnet diesem Problem mit Prüfpflichten und Verantwortlichkeiten für den Verantwortlichen.
Rollenverteilung
Zunächst ist zu klären, wer als Verantwortlicher und Auftragsverarbeiter gemäß DSGVO anzusehen ist. Verantwortlicher gemäß Art 4 Zif 7 DSGVO ist der Cloud-Nutzer, da er die Entscheidung trifft, Daten zu verarbeiten, unabhängig davon, ob er die Daten selbst verarbeitet oder damit einen Auftragsverarbeiter beauftragt. Der Cloud-Anbieter ist gemäß Art 4 Zif 8 DSGVO als Auftragsverarbeiter anzusehen, da er Daten nur zur Herstellung eines ihm aufgetragenen Werkes verarbeitet. Als Betroffene gemäß DSGVO kommen jene Personen in Betracht, deren Daten verarbeitet werden. Betroffen sind beispielweise Mitarbeiter, Kunden oder Lieferanten der Cloud-Anbieter.
Konsequenz der Rollenverteilung ist, dass den Cloud-Nutzer als Verantwortliche, die im DSGVO normierten Pflichten und Verantwortlichkeiten treffen. Den Cloud-Nutzer treffen daher beispielweise Löschungsverpflichtungen.
Zulässigkeit der Datenverarbeitung
Konsequenz der Tatsache, dass der Cloud-Nutzer der Verantwortlicher ist, ist natürlich auch, dass er darauf zu achten hat, dass er Daten rechtmäßig verarbeiten darf. Bevor man die Nutzung eines Cloud-Dienstes zu betrieblichen Zwecken in Erwägung zieht, muss man sich die Frage stellen, ob man die Daten selbst zulässigerweise verarbeiten darf.
Darf man selbst Daten rechtmäßig verarbeiten, kann man im nächsten Schritt prüfen, ob man einen Cloud-Anbieter in Anspruch nehmen darf. Da es sich bei der Cloud-Nutzung um eine Auftragsverarbeitung gemäß Art 28 DSGVO handelt, treffen den Cloud-Nutzer die Prüfpflichten.
Prüfpflichten
Gemäß Art 28 DSGVO dürfen Verantwortliche bei ihren Datenverarbeitung Auftragsverarbeiter in Anspruch nehmen, wenn diese geeignete technische und organisatorische Maßnahmen garantieren, um die Verarbeitung im Einklang mit den Anforderungen der Grundverordnung durchzuführen und den Schutz der Rechte der betroffenen Person zu gewährleisten. Cloud-Nutzer sind also verpflichtet, sich bezüglich der Einhaltung der DSGVO (Datenschutzniveau) und der Sicherheitsbestimmungen (Datensicherheit) beim Cloud-Anbieter zu vergewissern.
Auftragsvereinbarung
Der Cloud-Nutzer hat überdies eine Vereinbarung für Auftragsverarbeitung gemäß Art 28 DSGVO abzuschließen und sich von der Einhaltung der Vereinbarung betreffend eine Verarbeitung im Auftrag des Verantwortlichen durch Einholung der erforderlichen Informationen über die vom Auftragsverarbeiter tatsächlich getroffenen Maßnahmen zu überzeugen.
Verzeichnis von Verarbeitungstätigkeiten
Cloud-Anbieter sind verpflichtet gemäß Art 30 DSGVO ein eigenes Verzeichnis der Verarbeitungsätigkeiten für seine Auftragsverarbeitungen zu führen. Dieses Verzeichnis muss der Auftragsverarbeiter bei Kontrollen der Datenschutzbehörde auf Anfrage zur Verfügung stellen.
Cloud-Anbieter trägt Mitverantwortung
Cloud-Anbieter sind verpflichtet Datenpannen dem Auftraggeber zu melden. Bei Datenschutzverletzungen können auch Auftragsverarbeiter zur Haftung gezogen werden.
Zertifizierung
Die DSGVO fordert von Verantwortlichen und Auftragsverarbeitern umfangreiche Nachweise. Gemäß Art 5 Abs 2 DSGVO (Rechenschaftspflicht) ist der Verantwortliche verpflichtet die Einhaltung der Rechtmäßigkeit einer Verarbeitung nachzuweisen. Weiters ist auch der Auftragsverarbeiter gemäß Art 28, Art 30 Abs 2 und Art 32 DSGVO zur Rechenschaftspflicht verpflichtet. Diese Nachweißpflicht kann auch auf Grundlage genehmigter Verhaltensregeln (Art 40 DSGVO) oder genehmigter Zertifizierungsverfahren (Art 42 DSGVO) erfolgen. Im Ergebnis sollen beide Möglichkeiten einen Verantwortlichen oder Auftragsverarbeiter bei seinem Nachweis über die erfüllten Anforderungen an die Verarbeitung personenbezogener Daten unterstützen.
Ein Cloud-Anbieter, der sich zertifizieren lässt, könnte so als zuverlässig eingestuft werden. Der Verantwortliche hat dann keine weitere individuelle Aufsichtspflicht und das Cloud-Service-Problem wäre bei seriösen Angeboten gelöst.
|
