© saicle/Shutterstock.com
Datenschutz beim Cloud Computing in Zeiten der DSGVO

Wolkige Aussichten?


Der Begriff Cloud scheint nicht greifbar zu sein, und doch weiß inzwischen wohl jeder, was damit gemeint ist: von E-Mail-Provider über den Anbieter von Onlinespeicherplatz bis hin zu Dienstleistungen mit Software oder Betriebssystemen per Fernzugriff und noch viel mehr – dies alles fällt unter den Sammelbegriff Cloud Computing. Mit der kommenden Datenschutz-Grundverordnung müssen weitreichende Datenschutzvorgaben beachtet werden.

Werden in der Cloud personenbezogene Daten verarbeitet, also z. B. Name, Anschrift, Geburtsdatum, Kontaktdaten, Bankverbindung, Personenfotos oder auch Kfz-Kennzeichen sowie IP-Adressen, wird dies juristisch als Auftragsverarbeitung (AV) bezeichnet, denn hier erledigt ein Unternehmen die Datenverarbeitung nicht selbst, sondern bedient sich dazu eines Dienstleisters (Details dazu im Kasten: „Praxistipp“). Handelt der Beauftragte dabei sozusagen als „verlängerter Arm“, also weisungsgebunden, dann agiert er im Auftrag des Unternehmens (der sogenannte Verantwortliche), bei dem die Hauptverantwortung für die verarbeiteten Daten verbleibt. Im Unterschied dazu sind Dienstleistungen „höherer Art“, wie beispielsweise Rechts- oder Steuerberatung, keine Auftragsverarbeitung, weil es hier an der Weisungsgebundenheit fehlt.

Praxistipp

Nicht nur Cloud-Computing gilt als Auftragsverarbeitung, es gibt noch zahlreiche andere Dienstleistungen (auch offline), die in diese Kategorie fallen. Dazu zählen u. a.:

  • Datenvernichtungs-/Entsorgungsdienstleister (Reißwolf und Co.)

  • Wartung der Kopierer/Drucker

  • Inhousetechnik (Klimaanlage etc.)

  • Wachschutz

  • Gebäudereinigung

  • Wartung der Telefonanlage

  • IT-Dienstleister

  • Supportcallcenter

  • Marketingagenturen

  • Webanalysesoftware

In all diesen Fällen müssen die Voraussetzungen einer Auftragsverarbeitung erfüllt, d. h. insbesondere die notwendigen Verträge geschlossen werden.

Voraussetzungen für die Auftragsverarbeitung

Die Voraussetzungen für eine rechtskonforme Auftragsverarbeitung haben sich in der EU-Datenschutz-Grundverordnung (DSGVO) im Vergleich zum alten Bundesdatenschutzgesetz (BDSG) etwas verändert. Auftragsverarbeiter müssen hinreichende Garantien dafür bieten, dass sie geeignete technische und organisatorische Maßnahmen (TOM) umgesetzt haben, damit die Verarbeitung von personenbezogenen Daten im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der Betroffenen gewährleistet. Solche Garantien sollen insbesondere ausreichendes Fachwissen, Zuverlässigkeit sowie die erforderli...

Neugierig geworden?

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang