In der aktuellen Corona-Krise mit Home Office, Online-Meetings uvm. ist der Zugriff auf Daten oder Software über das Internet verbreiteter denn je. Immer mehr Privatpersonen und Unternehmen nutzen im täglichen Leben Angebote und Dienste aus der Cloud, eine Zukunft ohne die Technologie erscheint kaum noch vorstellbar oder wünschenswert. Analysten sagen voraus, dass viele weit verbreitete IT-Dienste künftig nur noch aus der Cloud heraus zu beziehen sind. Demgegenüber werden jedoch die rechtlichen Bedenken und Fallstricke nicht weniger.
Datenschutzaspekte im Fokus
Lange Zeit spielte das Datenschutzrecht beim Einsatz internationaler Cloudanbieter eine untergeordnete Rolle. Selbst für Verstöße gegen die Regeln des internationalen Datentransfers wurden nur äußerst wenige und überschaubare Bußgelder verhängt. Seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) sind die Bußgeldrisiken massiv gestiegen. Im November 2019 haben sich die deutschen Datenschutzaufsichtsbehörden auf ein Modell zur Bußgeldberechnung verständigt. Seitdem stieg die Höhe der Bußgelder deutlich an. Nun stehen die unterschiedlichsten Aspekte der Rechts- und Datensicherheit in der Cloud im Fokus. Bei wachsender Verbreitung von Cloud-Diensten ein Dilemma?
Wer ist in der Cloud „datenschutzrechtlich verantwortlich“?
Prinzipiell ist eine Organisation für alle Datenverarbeitungsvorgänge, die sie selbst beherrscht und initiiert, verantwortlich. Ein Cloudanbieter hat i.d.R. den Charakter eines Dienstleisters, der nur im Auftrag und unter der Weisung eines Kunden Daten verarbeitet. Er ist daher meist als ein so genannter „Auftragsverarbeiter“ zu charakterisieren. Dazu muss ein wirksamer Auftragsverarbeitungs-Vertrag mit dem Mindestinhalt aus Art 28 DSGVO geschlossen werden.
Dies haben nahezu alle Cloudanbieter realisiert und bieten ihrerseits vorformulierte Auftragsverarbeitungsverträge an.
Alle Garantien des Cloud-Dienstleisters (insbes. nach Art. 24, 32 DSGVO) müssen aber vom Kunden überprüfbar sein. Besteht das geforderte Recht zur Inspektion (durch den Kunden selbst oder einen vom ihm Bevollmächtigten) in der Praxis nicht oder ist es nicht einmal im Vertrag vorgesehen, kann dies zu einem Bußgeld führen – sowohl für den Kunden als auch für den Cloudanbieter.
Und was gilt für Metadaten und Logfiles?
In der Cloud sind alle Datensätze, die sich auf eine Person beziehen lassen sowie eher technische Daten wie z.B. die Daten von Logfiles personenbezogen, selbst wenn sich diese erst mit einem gewissen Aufwand (wieder) einer Person zuordnen lassen.
Eigene Zwecke könnten aus Sicht eines Cloudanbieters etwa darin bestehen, die Nutzung ( bzw. das Nutzerverhalten ) des Cloud-Dienstes zu analysieren oder entstehende Metadaten zu nutzen. Neben der „alleinigen“ Verantwortlichkeit für eine Datenverarbeitung sieht die DSGVO auch das Konzept der „gemeinschaftlichen Verantwortlichkeit“ vor. Dies kann nach der Rechtsprechung des EuGH in einer Vielzahl von Konstellationen der Fall sein.
Bei Nutzung eines Cloud-Providers ist daher genau zu prüfen, für welche Daten der Kunde selbst verantwortlich bleibt und ob er eventuell für einzelne Daten mit dem Cloudanbieter gemeinschaftlich verantwortlich ist. In diesem Fall muss in einem Vertrag festgehalten werden, welche Partei es übernimmt, die Verpflichtungen der DSGVO umzusetzen.
Verschlüsseln hilft (nicht) immer
Um datenschutzrechtlichen Risiken zu entgehen, wurde vielfach die Verschlüsselung der in der Cloud gespeicherten Daten als „die Lösung“ propagiert, da sie dadurch zumindest für den Cloudanbieter und vielleicht sogar für den Verantwortlichen hinreichend „anonymisiert“ würden. Nach Auffassung der Datenschutzaufsichtsbehörden entfällt der Personenbezug von Daten jedoch regelmäßig nicht durch Verschlüsselung. Die Behörden weisen vielmehr darauf hin, dass ein verschlüsseltes Datum nichts anderes ist als ein Pseudonym und behandeln auch eine verschlüsselte Information letztlich als personenbezogenes Datum.
Daten in der Auslands-Cloud
Ein Datentransfer in unsichere Drittstatten (z.B. die USA oder nach China) kann aktuell durch Standardvertragsklauseln oder (im Fall der USA) durch eine Registrierung des Datenempfängers unter dem EU-US-Privacy-Shield rechtskonform erfolgen Es gilt daher einerseits zu prüfen, ob diese Maßnahmen ergriffen wurden und andererseits zu überwachen, ob sich durch EuGH-Urteile Anpassungsbedarf ergibt.
Unternehmenskritische Geschäftsgeheimnisse gehören nicht in die US-Cloud, denn der Cloud-Act gestattet den Zugriff hierauf durch US-Nachrichtendienste. Auch vor dem Hintergrund des Geschäftsgeheimnisschutzgesetzes sollte eine Nutzung einer US-Cloud für Geschäftsgeheimnisse im Einzelfall kritisch geprüft werden.
Und was ist noch zu beachten?
- Bei einer umfangreichen Verlagerung von Datenverarbeitungsvorgängen in der Cloud ist regelmäßig eine Datenschutzfolgenabschätzung durchzuführen. Dazu müssen die technischen und organisatorischen Schutzmaßnahmen des Cloudanbieters bekannt sein.
- Der Gang in die Cloud ist häufig mitbestimmungspflichtig. Es ist in der Praxis wichtig, die Mitarbeitervertretung einerseits früh einzubeziehen und andererseits von dem Cloudanbieter Antworten auf Fragen zu erhalten.
- Finanzämter interessieren sich zunehmend dafür, wo steuerrelevante Daten gespeichert und verarbeitet werden. Die Verpflichtung zur Anzeige der Speicherung von „elektronischen Büchern“ im Sinne der Abgabenordnung ist jedoch vielfach unbekannt. Dabei sind insbesondere die Anforderungen an die Revisionssicherheit nach den „Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)“ zu beachten. Es muss insbesondere geprüft werden, ob der konkrete Cloudanbieter auch die Prüfbarkeit, Nachvollziehbarkeit und den Schutz vor Veränderungen garantieren kann.
Fazit
In Bezug auf „Cloud-Compliance“ herrscht vielfach noch große Unsicherheit: Vom Datenschutz, dem Schutz von Amts- und Geschäftsgeheimnissen, der Verteilung von Verantwortlichkeiten über Mitbestimmungsfragen bis zu einer Anzeigepflicht beim Finanzamt.
Entscheider und Verantwortliche müssen sorgfältig bewerten, ob die geplante Transformation in die Cloud tatsächlich allen rechtlichen Vorschriften und eigenen Compliance-Vorgaben entspricht. Hierzu beraten wir Sie gerne.
