Cloud-Computing befindet sich auch in Deutschland auf dem Vormarsch und bildet den Grundstein für technische Neuerungen aller Art. Immer mehr Unternehmen und auch Private nutzen die Online-Speicherdienste. Bereits 2020 sollen rund 80 Prozent des weitweiten Datenverkehrs aus der Cloud kommen.
DS-GVO wird Anwendungsvorrang haben
Mit Ausbreitung des Cloud-Computing wird auch der Ruf nach Datenschutz immer lauter. Die am 25. Mai 2018 in Kraft tretende Datenschutz-Grundverordnung (DS-GVO) soll entsprechende Abhilfe schaffen. Ab diesem Zeitpunkt genießt die DS-GVO zwar keinen Geltungsvorrang, aber Anwendungsvorrang gegenüber nationalem Recht.
Dem nationalen Gesetzgeber wird durch sog. Öffnungsklauseln die Möglichkeit gegeben, bestimmte Problemfälle selbst zu regeln. Allerdings können aufgrund des Normwiederholungsverbots und der unmittelbaren Anwendbarkeit der DS-GVO keine abweichenden Regelungen über bereits detailliert geregelte Fragestellungen getroffen werden.
Cloud-Computing als Auftragsverarbeitung in der DS-GVO
Das Cloud-Computing ist als Auftragsverarbeitung zukünftig ausführlich in Art. 28 DS-GVO geregelt. Auch die Haftung des Auftragnehmers für verordnungswidrig handelnde Unterauftragnehmer sowie die Verantwortlichkeit bei Datenpannen werde zukünftig durch die DS-GVO ausdrücklich geregelt.
Anwendbarkeit der DS-GVO bei Kontakt zur EU
Die DS-GVO wird in Zukunft in einer Vielzahl von Fällen räumlich anwendbar sein. Besteht ein Bezug zur EU oder dem europäischen Wirtschaftsraum (EWR), so muss sie beachtet werden.
Während das deutsche Recht im BDSG noch auf die verantwortliche Stelle abstellt, so lässt die DS-GVO es zur Anwendbarkeit genügen, wenn der Cloud-Anbieter oder Kunde eine Niederlassung innerhalb der EU oder dem EWR hat und personenbezogene Daten verarbeitet werden. Die eigentliche Verarbeitung der Daten muss dabei nicht innerhalb der Union stattfinden. Die DS-GVO ist sogar schon dann anwendbar, wenn Daten einer Person verarbeitet werden, die sich in der EU aufhält.
Damit gilt die DS-GVO zukünftig auch für ausländische Cloud-Anbieter, soweit diese auf dem EU-Markt tätig sind.
Cloud-Anbieter ist für Datenschutz verantwortlich
Verarbeitet ein Auftragsverarbeiter (Cloud-Anbieter) die Daten eines Kunden zukünftig entgegen des erteilten Auftrags, so trägt er für die Verarbeitung und die Sicherheit der Daten selbst die Verantwortung. Dies kann sogar zu Haftungsansprüchen des Betroffenen führen.
Entdeckt der Cloud-Anbieter als Auftragsverarbeiter Datenschutzpannen, so hat er diese umgehend dem Kunden (dem Auftraggeber) zu melden. Auch trifft ihn eine umfassende Dokumentationspflicht aus Art. 30 Abs. 2 DS-GVO für alle datenschutzrechtlich relevanten Vorfälle.
Zudem muss der Auftragsverarbeiter einen datenschutzrechtlich verantwortlichen Repräsentanten (Datenschutzbeauftragter) bestellen, Art. 37 Abs. 1 DS-GVO. Hinzu kommt, dass der Auftragsverarbeiter mit den Datenschutzbehörden kooperieren muss.
Auch den Cloud-Nutzer treffen Datenschutzregelungen in der DS-GVO
Doch auch der Cloud-Kunde hat umfassende Pflichten. Ist zugleich der Cloud-Kunde Verantwortlicher im datenschutzrechtlichen Sinne, so muss er selbstständig auf das Sicherheitsniveau des Cloud-Anbieters achten und diesen sorgfältig auswählen.
Der Anbieter muss gemäß Art. 28 DS-GVO
hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.
Datenschutzzertifikate (Art. 42 DS-GVO) helfen den Kunden entsprechend zuverlässige Cloud-Anbieter schnell zu identifizieren.
Bußgelder auch für Cloud-Kunden möglich
Beauftragt der Cloud Kunde trotz mehrfacher Mitteilung über Datenschutzrechtsverstöße denselben Cloud-Anbieter wieder mit der Verarbeitung seiner Daten, so drohen auch ihm Bußgelder, Art. 83 Abs. 4 lit. a DS-GVO. Denn auch der Cloud-Kunde trägt die Verantwortung über die von ihm herausgegeben Daten. Missachtet er seine Sorgfaltspflichten, ist er für den Datenschutzverstoß genauso verantwortlich, wie auch schon der Cloud-Anbieter.
Um solche Bußgelder zu vermeiden ist der Kunde berechtigt seinen Cloud-Anbieter zu überwachen. Zudem müssen zukünftig alle Weisungen an den Cloud-Anbieter in Textform dokumentiert werden, Art. 28 Abs. 9 DS-GVO.
DS-GVO führt zu ausführlicherem Datenschutz
Kunde und Anbieter wachsen durch die DS-GVO noch mehr zusammen, wenn es um die Übernahmen der Verantwortung zum Schutz der personenbezogenen Daten geht. Im Ergebnis sorgt die neue Datenschutz-Grundverordnung daher für mehr Datenschutz im Bereich des Cloud-Computing. Entgegen der Meinung vieler, der Datenschutz sei ein Bremsklotz im Bereich des Cloud-Computing, ist er wohl eher ein Grundstein für die Ausbreitung der Dienstleistungen.