Die Grenzen zwischen der Datenspeicherung in der eigenen Infrastruktur und in der Cloud sind inzwischen fließend. Doch auch beim Umgang mit Cloud-Lösungen in der Kommunalverwaltung sind die Vorgaben der Datenschutzgrundverordnung (DSGVO) zu beachten.

Zum Tragen kommt die DSGVO regelmäßig dann, wenn es sich bei den Informationen, die in der Cloud gespeichert werden sollen, um personenbezogene Daten handelt. Darunter versteht man Informationen, auf deren Basis eine natürliche Person identifiziert werden kann. Diese Definition umfasst die Adressen von Kunden oder Kollegen ebenso wie Telefonnummern oder IP-Adressen. Darüber hinaus gibt es besondere Kategorien personenbezogener Daten. Hierunter fallen gemäß Art. 9 DSGVO Informationen, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen. Gleiches gilt für genetische oder biometrische Daten sowie Gesundheitsauskünfte oder Daten zum Sexualleben oder der sexuellen Orientierung eines Menschen. Diese Informationen, im Bereich der Verwaltung zum Beispiel Sozial- oder Krankheitsdaten, sind besonders schutzbedürftig, so dass eine Nutzung der Cloud nur eingeschränkt und unter hohen Anforderungen an die IT-Sicherheit möglich ist.

 

Bei der Auswahl des Cloud-Anbieters ist Sorgfalt geboten

Eine Verwaltung, die Daten Dritten zur Verarbeitung überlässt, muss dabei besondere gesetzliche Anforderungen erfüllen. Juristisch wird dies als sogenannte Auftragsverarbeitung nach Art. 28 DSGVO eingestuft. Bei der Speicherung von Daten auf den Rechnern eines Cloud-Unternehmens gibt es schon bei der Auswahl des Anbieters rechtliche Anforderungen. Dieser muss „hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet“.

„Geeignete technische und organisatorische Maßnahmen“ meint, dass die Höhe des Risikos berücksichtigt werden muss, das durch die Speicherung der Daten in der Cloud für die Rechte und Freiheiten der betroffenen natürlichen Personen entsteht. Gleichzeitig wird auch der Stand der Technik berücksichtigt, so dass sich ein Schutzniveau ergibt, das dem jeweiligen Risiko der Datenverarbeitung angemessen ist. Um den gesetzlichen Anforderungen zu genügen, muss vorab auch das Risiko bestimmt werden, das sich allein schon aus der Weitergabe der jeweiligen Daten ergibt. Entscheidend ist dabei die Perspektive der betroffenen natürlichen Personen, nicht jene des Unternehmens oder der Verwaltung. Folglich erhöhen sich die Anforderungen an die IT-Sicherheit ganz erheblich, wenn vertrauliche oder besonders geschützte personenbezogene Daten in der Cloud gespeichert werden sollen; Abhilfe kann beispielsweise die Verschlüsselung der Daten schaffen, sowohl auf dem Transportweg also auch bei der Speicherung auf dem Cloud-Server. Im Einzelfall ist es aber auch möglich, dass ein Verlagern der Informationen gar nicht zulässig ist. Geht es hingegen um reine Adressdaten, die auch öffentlich zugänglich sind, verringern sich die technischen Anforderungen erheblich.

 

Erforderlich sind besondere Verträge

Die IT-Sicherheit bei der Datenverarbeitung in der Cloud wird durch die DSGVO ein elementarer Bestandteil im Umgang mit vertraulichen Informationen. Daraus ergeben sich aktive Prüf- und Kontrollpflichten der Verwaltung gegenüber dem Cloud-Anbieter – und zwar bereits vor dem Beginn der Verarbeitung. Neben den Vorgaben zur IT-Sicherheit muss sich die Verwaltung auch darüber informieren, ob eine Datenübermittlung in Staaten außerhalb der EU vorgesehen ist und wie in diesem Fall das erforderliche Datenschutzniveau eingehalten werden soll. Schließlich muss der Cloud-Hoster den Auftraggeber explizit darüber informieren, wenn er Subunternehmen und weitere Auftragsverarbeiter einsetzt.

Die nötigen Vereinbarungen müssen in einem gesonderten Papier festgehalten werden, dem sogenannten Auftragsverarbeitungsvertrag. Er definiert ausführlich die Pflichten und die Haftung des Cloud-Anbieters sowie den eventuellen Einsatz von Subunternehmen. Auch die technischen und organisatorischen Maßnahmen können im Detail vereinbart werden. Der Auftragsverarbeitungsvertrag tritt neben den eigentlichen Hauptvertrag mit dem Cloud-Anbieter. Zu den wichtigsten dort zu regelnden Punkte zählt das Service-Level-Agreement, bei ausländischen Unternehmen auch Gerichtsstand und Rechtswahl.

 

Der Standort der Server spielt eine große Rolle

Bei der Gestaltung von Cloud-Verträgen geht es auch die Frage nach dem Standort der Server. Die DSGVO sieht eine Weitergabe von Daten nur dann als unproblematisch an, wenn sie innerhalb der EU erfolgt oder in einige Drittstaaten wie Argentinien, Kanada, Israel, Neuseeland oder die Schweiz, die als sicher klassifiziert wurden.

Sollen die personenbezogenen Daten in ein anderes Land exportiert werden, so gelten strenge Anforderungen. Auch eine Weitergabe der Daten in die USA ist nur eingeschränkt erlaubt. Hilfestellung bietet hier der sogenannte Privacy Shield, eine Vereinbarung zwischen der EU und der US-Regierung. In ihrem Rahmen können sich US-Unternehmen zur Einhaltung des europäischen Datenschutzniveaus verpflichten und sich in ein Verzeichnis eintragen, was sich unter privacyshield.gov nachprüfen lässt. Steht ein Cloud-Anbieter auf dieser Liste, dürfen hiesige Daten in die USA übermittelt werden. Alternativ ist es möglich, die Einwilligung aller Betroffenen einzuholen oder einen Vertrag unter Verwendung der vorgegebenen EU-Standardvertragsklauseln zu schließen.

Die wichtigsten US-amerikanischen Cloud-Anbieter wie Amazon Web Services (AWS), Microsoft Azure oder Google stehen im Verzeichnis des Privacy Shield. Diese Unternehmen haben aber auch Niederlassungen in Europa und damit verbunden eigenen Server-Farmen innerhalb der EU. Es dürfte sich in den allermeisten Fällen eher empfehlen, einen Vertrag mit diesen europäischen Ablegern oder mit einem hiesigen Anbieter zu schließen.

 

Fazit

Eine Nutzung von Cloud-Anbietern ist in der Verwaltung längst üblich. Dabei sind aus Gründen des Datenschutzes einige Vorgaben zu beachten. Es ist nötig, mit dem Anbieter gesondert eine zusätzliche Vereinbarung zu treffen, den Auftragsverarbeitungsvertrag. Zudem müssen die technischen und organisatorischen Maßnahmen des Cloud-Betreibers überprüft werden. Je nach Sensibilität der Daten können sich dabei hohe Anforderungen an die IT-Sicherheit ergeben, etwa durch Verschlüsselungstechniken. Bei hochsensiblen Informationen wie Sozial- oder Krankendaten sollte die Verwaltung sorgfältig abwägen, ob diese Daten überhaupt in die Cloud gehören.

Autor: RA Joerg Heidrich, Kanzlei Heidrich Rechtsanwälte in Hannover, www.recht-im-internet.de

 

    Verpassen sie keine Beiträge mehr!

    Wenn Ihnen dieser Beitrag gefällt, abonnieren Sie unsere Newsletter. Dann entgeht Ihnen kein Insidas Artikel mehr.

    Datenschutzhinweis

    Mit dem Abonnement des Newsletters messen wir auch Reichweite und Erfolg, um diesen noch interessanter zu gestalten. Die Einwilligung kann mit Wirkung für die Zukunft widerrufen werden. Ausführliche Hinweise erhalten Sie in unserer Datenschutzerklärung.

    Diese Beiträge könnten Sie auch interessieren

    Mitbestimmung im virtuellen Raum

    Mitbestimmung im virtuellen Raum

    Die Einführung von Software und Diensten erfolgt regelmäßig, um einen dienstlichen oder geschäftlichen Zweck zu erreichen. Dazu werden IT-Projekte aufgesetzt, die sich unterschiedlicher Hilfsmittel bedienen. In der aktuellen Corona-Krise dominieren Projekte zur...

    read more
    In die Cloud, aber richtig?

    In die Cloud, aber richtig?

    In der aktuellen Corona-Krise mit Home Office, Online-Meetings uvm. ist der Zugriff auf Daten oder Software über das Internet verbreiteter denn je. Immer mehr Privatpersonen und Unternehmen nutzen im täglichen Leben Angebote und Dienste aus der Cloud, eine Zukunft...

    read more
    Cybermobbing wird bei Lokalpolitikern zunehmend zum Problem

    Cybermobbing wird bei Lokalpolitikern zunehmend zum Problem

    Auseinandersetzungen in den sozialen Medien schlagen in der Regel einen deutlich raueren Ton an als im echten Leben. Mittlerweile sind von diesem Cybermobbing auch immer häufiger Lokalpolitiker betroffen. Der jüngste Fall, in dem der Landrat von Hameln-Pyrmont, Tjark...

    read more
    So viel können Datenschutzverstöße kosten

    So viel können Datenschutzverstöße kosten

    Mit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) haben sich Bedeutung und Wahrnehmung des Datenschutzes grundlegend verändert. Bekannt gewordene Verstöße und der Umgang der Aufsichtsbehörden mit diesen sorgen dafür, dass Organisationen den gesetzlichen...

    read more
    Risiken bei der Nutzung von Microsoft Office 365

    Risiken bei der Nutzung von Microsoft Office 365

    Microsoft Office 365 ist eine Kombination aus einem Online-Dienst, einer Office-Web-Anwendung und einem Office-Software-Abonnement und hält Einzug in vielen Unternehmen, Verwaltungen und Schulen. Im Herbst 2018 kam eine von der niederländischen Regierung veranlasste...

    read more