© Galyna Andrushko/Shutterstock.com
Datenschutzrechtliche Voraussetzungen beim Cloud-Computing

Über den Wolken …


Der Begriff „Cloud“ scheint nicht greifbar, geradezu nebulös zu sein. Von E-Mail-Postfächern über Speicherplatz bis hin zu virtuellen Rechnern oder Spezialsoftware – all das und noch einiges mehr kann inzwischen aus der „Wolke“ bezogen werden. Erfolgt hierbei eine Verarbeitung von personenbezogenen Daten, also z. B. Name, Anschrift, Geburtsdatum, Kontaktdaten, Bankverbindung, Personenfotos, Kfz-Kennzeichen oder IP-Adressen, müssen die strengen Vorgaben des Datenschutzrechts beachtet werden.

Zum 25. Mai 2018 ist die EU-Datenschutz-Grundverordnung (DSGVO) wirksam geworden, seit dem gleichen Zeitpunkt gilt auch ein aktualisiertes Bundesdatenschutzgesetz (BDSG). Das Problem an der geänderten Rechtslage ist, dass Clouddienstleistungen als so genannte Auftragsverarbeitung (AV) eingestuft werden können – in den neuen Paragrafen jedoch genaue Definitionen oder Vorgaben fehlen, wer wann weshalb Auftragsverarbeiter ist. In Art. 28 Abs. 1 DSGVO wird lediglich Folgendes festgelegt: „Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen [der DSGVO] erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“ Hier also nur die Vorgabe: wenn Auftragsverarbeitung, dann auch richtig.

Juristische Grundlagen einer Auftragsverarbeitung (AV)

Um zu ergründen, wann denn nun ein AV-Verhältnis vorliegt, hilft ein Blick in die gesetzlichen Definitionen von verantwortlicher Stelle, also dem datenverarbeitenden Unternehmen bzw. der Behörde, und Auftragsverarbeiter. Gemäß Art. 4 Nr. 7 DSGVO ist „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Und nach Art. 4 Nr. 8 DSGVO ist „Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Klar ist zum einen demnach, dass es in beiden Fällen nicht auf die juristische Organisationsform ankommt. Es kann sich also prinzipiell um

  • Unternehmen (GbR, oHG, KG, GmbH, AG, Ltd., UG …),

  • Einzelpersonen (z. B. Kaufmann oder Freiberufler),

  • Behörden (u. a. Bundes-, Landes-, Kommunalbehörden),

  • Religionsgemeinschaften (diese haben z. T. eigene Sonderregeln) oder

  • sonstige Einrichtungen (Verein, Genossenschaft, Stiftung …)

handeln. Nur Privatperson sind ausgenommen, diese müssen das Datenschutzrecht ohnehin nicht beachten.

Außerdem geht aus den Definitionen noch hervor, dass die verantwortliche Stelle „über die Zwecke und Mittel“ der Datenverarbeitung entscheidet und dass der Auftragsverarbeiter lediglich „im Auftrag“ tätig wird. Im Grunde kann ein AV-Verhältnis also immer dann vorliegen, wenn eine Beauftragung, beispielsweise in Form eines Dienst- oder Werkvertrags, erfolgt und dabei personenbezogene Daten der einen Stelle durch die andere verarbeitet werden. Auch der Begriff der Verarbeitung ist definiert. Nach Art. 4 Nr. 2 DSGVO umfasst die „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Es geht hier also um einen Oberbegriff für so ziemlich jeden Vorgang im täglichen Berufsleben, etwa

  • erheben,

  • erfassen,

  • organisieren,

  • speichern,

  • verändern,

  • auslesen,

  • verwenden,

  • abgleichen,

  • verknüpfen,

  • einschränken,

  • löschen oder

  • offenlegen (durch Übermittlung, Verbreitung oder sonstige Bereitstellung) von Daten.

Bei Lichte betrachtet reicht also die Möglichkeit, Einblick in die Daten zu erhalten, wenn also z. B. der IT-Dienstleister Wartungen an der Datenbank vornimmt oder die Daten unverschlüsselt im Cloudspeicher abgelegt werden.

AV oder nicht AV?

Entscheidend bei der Frage, ob eine AV vorliegt, ist neben dem Auftragsverhältnis das Vorliegen einer Weisungsbefugnis der verantwortlichen Stelle (also des Auftraggebers) gegenüber dem Auftragnehmer. Bei den so genannten freien Berufen (Arzt, Anwalt, Steuerberater etc.) ist das beispielsweise nicht der Fall, da sie aufgrund des jeweiligen Berufsrechts – wie der Name schon verrät – im Rahmen ihres Auftrags grundsätzlich frei arbeiten. Allerdings ist die Thematik Auftragsverhältnis aktuell stark umstritten, sodass sich etwa in Bezug auf Steuerberater die Geister scheiden: Manche vertreten die Auffassung, dass man beim Steuerberater nach dessen Tätigkeit differenzieren muss, andere sind der Ansicht, dass Steuerberater niemals Auftragsverarbeiter im Sinne der DSGVO sind.

Diese Diskussion lässt im Grunde schon die ganze Tragweite der Problematik erkennen. Nach alter Rechtslage hat sich die Auftragsdatenverarbeitung nicht nur bei der Bezeichnung, sondern auch inhaltlich von der jetzigen AV unt...

Neugierig geworden? Wir haben diese Angebote für dich:

Angebote für Gewinner-Teams

Wir bieten Lizenz-Lösungen für Teams jeder Größe: Finden Sie heraus, welche Lösung am besten zu Ihnen passt.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang