© Galyna Andrushko/Shutterstock.com
Entwickler Magazin
Datenschutzrechtliche Voraussetzungen beim Cloud-Computing

Über den Wolken …

Der Begriff „Cloud“ scheint nicht greifbar, geradezu nebulös zu sein. Von E-Mail-Postfächern über Speicherplatz bis hin zu virtuellen Rechnern oder Spezialsoftware - all das und noch einiges mehr kann inzwischen aus der „Wolke“ bezogen werden. Erfolgt hierbei eine Verarbeitung von personenbezogenen Daten, also z. B. Name, Anschrift, Geburtsdatum, Kontaktdaten, Bankverbindung, Personenfotos, Kfz-Kennzeichen oder IP-Adressen, müssen die strengen Vorgaben des Datenschutzrechts beachtet werden.

Michael Rohrlich


Zum 25. Mai 2018 ist die EU-Datenschutz-Grundverordnung (DSGVO) wirksam geworden, seit dem gleichen Zeitpunkt gilt auch ein aktualisiertes Bundesdatenschutzgesetz (BDSG). Das Problem an der geänderten Rechtslage ist, dass Clouddienstleistungen als so genannte Auftragsverarbeitung (AV) eingestuft werden können – in den neuen Paragrafen jedoch genaue Definitionen oder Vorgaben fehlen, wer wann weshalb Auftragsverarbeiter ist. In Art. 28 Abs. 1 DSGVO wird lediglich Folgendes festgelegt: „Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen [der DSGVO] erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“ Hier also nur die Vorgabe: wenn Auftragsverarbeitung, dann auch richtig.

Juristische Grundlagen einer Auftragsverarbeitung (AV)

Um zu ergründen, wann denn nun ein AV-Verhältnis vorliegt, hilft ein Blick in die gesetzlichen Definitionen von verantwortlicher Stelle, also dem datenverarbeitenden Unternehmen bzw. der Behörde, und Auftragsverarbeiter. Gemäß Art. 4 Nr. 7 DSGVO ist „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Und nach Art. 4 Nr. 8 DSGVO ist „Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Klar ist zum einen demnach, dass es in beiden Fällen nicht auf die juristische Organisationsform ankommt. Es kann sich also prinzipiell um

Unternehmen (GbR, oHG, KG, GmbH, AG, Ltd., UG …), Einzelpersonen (z. B. Kaufmann oder Freiberufler), Behörden (u. a. Bundes-, Landes-, Kommunalbehörden), Religionsgemeinschaften (diese haben z. T. eigene Sonderregeln) oder sonstige Einrichtungen (Verein, Genossenschaft, Stiftung …)

handeln. Nur Privatperson sind ausgenommen, diese müssen das Datenschutzrecht ohnehin nicht beachten.

Außerdem geht aus den Definitionen noch hervor, dass die verantwortliche Stelle „über die Zwecke und Mittel“ der Datenverarbeitung entscheidet und dass der Auftragsverarbeiter lediglich „im Auftrag“ tätig wird. Im Grunde kann ein AV-Verhältnis also immer dann vorliegen, wenn eine Beauftragung, beispielswe...

Entwickler Magazin
Datenschutzrechtliche Voraussetzungen beim Cloud-Computing

Über den Wolken …

Der Begriff „Cloud“ scheint nicht greifbar, geradezu nebulös zu sein. Von E-Mail-Postfächern über Speicherplatz bis hin zu virtuellen Rechnern oder Spezialsoftware - all das und noch einiges mehr kann inzwischen aus der „Wolke“ bezogen werden. Erfolgt hierbei eine Verarbeitung von personenbezogenen Daten, also z. B. Name, Anschrift, Geburtsdatum, Kontaktdaten, Bankverbindung, Personenfotos, Kfz-Kennzeichen oder IP-Adressen, müssen die strengen Vorgaben des Datenschutzrechts beachtet werden.

Michael Rohrlich


Zum 25. Mai 2018 ist die EU-Datenschutz-Grundverordnung (DSGVO) wirksam geworden, seit dem gleichen Zeitpunkt gilt auch ein aktualisiertes Bundesdatenschutzgesetz (BDSG). Das Problem an der geänderten Rechtslage ist, dass Clouddienstleistungen als so genannte Auftragsverarbeitung (AV) eingestuft werden können – in den neuen Paragrafen jedoch genaue Definitionen oder Vorgaben fehlen, wer wann weshalb Auftragsverarbeiter ist. In Art. 28 Abs. 1 DSGVO wird lediglich Folgendes festgelegt: „Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen [der DSGVO] erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“ Hier also nur die Vorgabe: wenn Auftragsverarbeitung, dann auch richtig.

Juristische Grundlagen einer Auftragsverarbeitung (AV)

Um zu ergründen, wann denn nun ein AV-Verhältnis vorliegt, hilft ein Blick in die gesetzlichen Definitionen von verantwortlicher Stelle, also dem datenverarbeitenden Unternehmen bzw. der Behörde, und Auftragsverarbeiter. Gemäß Art. 4 Nr. 7 DSGVO ist „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Und nach Art. 4 Nr. 8 DSGVO ist „Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Klar ist zum einen demnach, dass es in beiden Fällen nicht auf die juristische Organisationsform ankommt. Es kann sich also prinzipiell um

Unternehmen (GbR, oHG, KG, GmbH, AG, Ltd., UG …), Einzelpersonen (z. B. Kaufmann oder Freiberufler), Behörden (u. a. Bundes-, Landes-, Kommunalbehörden), Religionsgemeinschaften (diese haben z. T. eigene Sonderregeln) oder sonstige Einrichtungen (Verein, Genossenschaft, Stiftung …)

handeln. Nur Privatperson sind ausgenommen, diese müssen das Datenschutzrecht ohnehin nicht beachten.

Außerdem geht aus den Definitionen noch hervor, dass die verantwortliche Stelle „über die Zwecke und Mittel“ der Datenverarbeitung entscheidet und dass der Auftragsverarbeiter lediglich „im Auftrag“ tätig wird. Im Grunde kann ein AV-Verhältnis also immer dann vorliegen, wenn eine Beauftragung, beispielswe...

Neugierig geworden?


   
Loading...

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang