DSGVO und Cloud-Nutzung

Mit dem Wirksamwerden der DSGVO am 25. Mai diesen Jahres, gelten strengere Vorgaben, wenn personenbezogene Daten in der Cloud gespeichert werden. Sie ahnen es schon, es geht dabei mal wieder um das Thema Auftragsdatenverarbeitung (ADV), von dem man in diesem Fall datenschutzrechtlich spricht. In diesem Artikel möchte ich überblickartig darstellen, was sich mit der DSGVO gegenüber der bisherigen Praxis gemäß BDSG § 11 verändert, bzw. an welchen Stellen Handlungsbedarf besteht.

Voraussetzungen für ADV

Wie schon gesagt, gelten strenge Vorgaben für die ADV. Der § 28 DSVGO legt strenge Qualitätsvorgaben an die Datensicherheit und den Datenschutz bei den Cloud-Dienstleistern fest. Danach ist eine Auftragsverarbeitung durch den Cloud-Dienstleister nur dann zulässig, wenn er hinreichend Garantien dafür bietet, dass geeignete technische und organisatorische Maßnahmen (TOM) so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt.
Die Anforderungen werden noch strenger, wenn besonders schutzwürdige personenbezoge Daten (Art. 9 DSGVO) in der Cloud gespeichert werden sollen. Hier besteht ein sog. Speicherungsverbot unter Erlaubnisvorbehalt. Die Speicherung solcher Daten ist nur möglich wenn ein besonders hoher Sicherheitsstandard eingehalten wird. Es muss sich bei den Verarbeitern um Fachpersonal handeln, das besonderen Geheimhaltungspflichten unterliegt (Art. 9 Abs. 3 DSGVO).
Durch dieses Vorgehen wird ein risikobasierter Ansatz mit dem Ziel verfolgt, dass der erforderliche Schutzbedarf der personenbezogenen Daten dem jeweiligen Risiko der Datenverarbeitung angemessen sein muss. Lange Rede, kurzer Sinn: Umso sensiblere personenbezogene Daten (z.B. Angaben zu ethnischer Herkunft, Religionszugehörigkeit, politische Meinung, Gesundheitsdaten) gespeichert werden sollen, umso höher sind die Anforderungen an die Datenverarbeitung.

Kann der Dienstleister das was er verspricht?
Der Auftraggeber hat die Pflicht sich vor der Auftragsvergabe über die technischen und organisatorischen Sicherheitsmaßnahmen (TOM) bei den Cloud-Anbietern zu informieren und die Angemessenheit dieser zu kontrollieren. Dabei ist es auch relevant, ob der Cloud-Dienstleister Subunternehmen oder andere Auftragsdatenverarbeiter einsetzt.
Und dabei sind wir bei einem grundsätzlichen Problem des Auftraggebers angekommen, was auch bereits vor der DSGVO bestanden hat. Denn der Auftraggeber kann sich in der Regel gar kein genaues Bild von den tatsächlich beim Cloud-Dienstleister vorherrschenden technischen und organisatorischen Maßnahmen (TOM) machen.
Als Ausweg aus diesem Dilemma sieht die DSGVO eine verstärkte Nutzung von geeigneten Zertifikaten vor. Diese Zertifikate können dann beispielsweise detaillierte Nachweise zu den technischen und organisatorischen Sicherheitsvorkehrungen (TOM) der Cloud-Dienstleister ersetzen.

Wo werden die Daten gespeichert?
Ein weiterer Punkt ist der geografische Ort an dem die Datenspeicherung stattfindet. Der Auftraggeber muss sich darüber informieren, ob der Cloud-Dienstleister die Daten auf Server außerhalb der EU speichern will und ob in diesem Fall sichergestellt ist, dass an diesen Standorten ein vergleichbares Datenschutzniveau wie in der EU eingehalten wird. Eine Orientierung könnte dieses Kurzpapier bieten.

Lösch-Ansprüche der Nutzer
Cloud-Dienste müssen zukünftig die mit der DSGVO deutlich erweiterten Lösch-Ansprüche der Nutzer umsetzen. In Art. 17 DSGVO wird vorgegeben, dass personenbezogene Daten unverzüglich gelöscht werden müssen, wenn der Zweck für ihre Speicherung entfallen ist, der Betroffene seine Einwilligung zur Speicherung widerruft oder die Nutzung ohnehin schon rechtswidrig war. Ausnahmen von dieser Löschpflicht gibt es nur in Ausnahmefällen.
Um erweiterten Lösch-Ansprüche der Nutzer Umzusetzen, ist es erforderlich entsprechende Löschkonzepte zu entwickelt bzw. vorhandene anzupassen. Idealerweise sollten dabei die bereits vorhandenen Löschkonzepte des ISMS genutzt werden, die die technische Umsetzung konkretisieren.

Datenübertragbarkeit
Eine weitere Herausforderung ist zukünftig das neue Recht auf Datenübertragbarkeit (Art. 20 DSGVO). Danach haben Auftraggeber einen Anspruch darauf, die sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format abzurufen und diese Daten zu anderen Anbietern übertragen können.
Die notwendigen Verfahren zur einfachen Umsetzung dieser Vorschriften, speziell zur einfachen Portierung der Daten zu anderen Diensten, müssen allerdings erst noch entwickelt werden.

Meldepflichten bei Datenpannen und –diebstahl
Bereits jetzt mussten Aufsichtsbehörden und Betroffene bei Datenpannen und Datendiebstahl informiert werden, sofern es sich um sehr sensible Daten (z.B. Kontodaten, Gesundheitsdaten) handelt und schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohten.
Zukünftig darf nach Art. 33 und 34 DSGVO eine Benachrichtigung nur noch unterbleiben, wenn die Datenpanne voraussichtlich nicht zu einem Risiko für die Betroffenen führen kann. Besteht dagegen ein hohes Risiko für deren Rechte und Freiheiten, müssen die Betroffenen informiert werden. Es gibt klare Vorgaben zu dieser Benachrichtigung. Bei den Aufsichtsbehörden muss die Meldung unverzüglich, möglichst innerhalb von 72 Stunden, erfolgen. Bei schweren Datenpannen sind auch die Betroffenen in einer klaren und einfachen Sprache zu informieren.
Grundlage für die Vorgehensweise zur Umsetzung könnte das Abstützen auf Ihrem bereits (eigentlich) vorhandenen Prozess zur Behandlung vermuteter Sicherheitsvorfälle des ISMS sein. Dieser würde unter anderem Meldewege und Verantwortlichkeiten schon mal beschreiben. Man müsste lediglich Anpassungen bei Meldewegen, Definitionen und Schutzzielen machen.

Und nun?
Die dargestellten Themen zeigen die Punkte auf, an denen schon vor dem Wirksamwerden der DSGVO bereits bestehende Verträge mit Cloud-Dienstleistern geprüft und gegebenenfalls angepasst werden sollten, bzw. beim Abschluss neuer Verträge noch genauer darauf geachtet werden sollte, ob der Cloud-Dienstleister die an ihn gestellten Forderungen erfüllen und nachweisen kann.
Orientieren kann man sich an zahlreichen im Netz verfügbaren Vorlagen von Musterverträgen zur ADV, wie beispielsweise der Vorlage des BITKOM.
Und wenn wir gerade schon dabei sind: Falls es sich um ein geändertes oder neues Verfahren handelt, sollte man in jedem Fall rechtzeitig auch an die Datenschutzfolgenabschätzung denken. Die in diesem Zusammenhang ebenfalls einen nicht unerheblichen Aufwand bereiten kann. Aber dazu mehr in einem der folgenden Blogartikel.

23 Mar 2018
EU-DSGVO DSGVO Datenschutz ADV Cloud TOM ISMS
Autor: dirk-groesser

Direktkontakt

Tel: 06035 6023-100
E-Mail: info@ubdg.de

Wir rufen Sie an!

Bitte hinterlassen Sie Ihren Namen und Ihre Telefonnummer. Wir rufen Sie innerhalb unserer Bürozeiten zurück.

Rückruf

Wir rufen Sie an!