Was muss man bei der Wahl von Cloud-Dienstleistern beachten?

Fachbeitrag

Eines der Hauptthemen im Datenschutz ist die immer weiter fortschreitende Digitalisierung. Unerlässlich ist dabei die Nutzung von Cloud-Anbietern. Die dänische Datenschutzaufsicht hat in ihrer Stellungnahme „Guidance on the use of cloud“ die aktuell unter den Aufsichtsbehörden herrschende Meinung zusammengefasst.

Stellungnahme der dänische Datenschutzbehörde

Die Cloud ist eine der Technologien, die in den letzten Jahren immer mehr Fragen aufwirft. Dies liegt insbesondere daran, dass Funktionen und Informationen immer häufiger dauerhaft verfügbar sein müssen und das Vermarktungsmodell sich entsprechend immer weiter auf Angebote über die Cloud angeboten werden. Diese Angebote sind oftmals sehr standardisiert, so dass der Kunde nur sehr begrenzte Möglichkeiten hat, den Dienst an individuelle Bedürfnisse und Anforderungen anzupassen.

Die dänische Datenschutzbehörde („DDPA“) hat in ihrer Stellungnahme (PDF) die Anforderungen an den Einsatz von Cloud-Dienstleistern zusammengefasst. Und stellt unter anderem dar, was bei US-Dienstleistern zu beachten ist.

Die Stellungnahme ist also auch als Erweiterung der Empfehlungen der EDPB zum Einsatz von Cloud-Dienstleistern zu verstehen.

Was ist bei der Auswahl zu beachten?

Die Aufsichtsbehörde geht bei der Beurteilung in zwei Schritten vor:

  • Zum einen die Zulässigkeit der Verarbeitung personenbezogener Daten selbst
  • und zum anderen die Anforderungen an einen möglichen Drittlandstransfer.

Bei der Datenverarbeitung im Rahmen einer Cloud-Dienstleistung sollte sich der datenschutzrechtlich Verantwortliche bei der Auswahl des Cloud-Anbieters bzw. seines Auftragsverarbeiters zunächst überlegen

  1. welche personenbezogenen Daten verarbeitet werden,
  2. für welche(n) Zweck(e) und
  3. wie die Daten verarbeitet werden.

Anschließend ist eine „Risikobewertung” für die betroffenen Rechte durchzuführen, welche die jeweilige Datenverarbeitung in Relation zu den technischen und organisatorischen Sicherheitsmaßnahmen setzt. Besonders wichtig bei der Nutzung von Cloud-Diensten sei es zu prüfen, ob der Cloud-Service-Anbieter neben den anvertrauten personenbezogenen Daten noch weitere Daten verarbeitet. Das kann insbesondere Metadaten oder andere Servicedaten umfassen. Für diese Fälle muss geprüft werden, wer für die Verarbeitung dieser Verantwortliche ist, welcher Zweck mit der Verarbeitung verfolgt und auf welche Rechtsgrundlage die Verarbeitung gestützt wird.

Verarbeitet der Dienstleister personenbezogene Daten zu eigenen Zwecken, so ist insbesondere wichtig, dass die Verarbeitung der Daten nicht mit den ursprünglichen Zwecken des Verantwortlichen unvereinbar ist.

Der Datentransfer in Drittländer

Ist die Datenverarbeitung und die Nutzung der Cloud hinsichtlich des Verarbeitungsprozesses rechtmäßig, kommt möglicherweise der zweite Schritt. Liegt der Verarbeitungsort in einem Drittland i.S.d. DSGVO, so sind weitere Punkte zu beachten. Bei Datenverarbeitungen in diesen Ländern ist zunächst davon auszugehen, dass das Sicherheitsniveau nicht dem der europäischen Union bzw. des europäischen Wirtschaftsraumes entspricht. Nicht erst seit dem Schrems-II-Urteil sind an derartige Datentransfers besondere Voraussetzungen geknüpft. Folgende Punkte sollten beachtet werden:

  1. Sämtliche Drittlandstransfers sind zu ermitteln.
  2. Das Übermittlungsinstrument ist zu bestimmen.
  3. Das Übermittlungsinstrument muss nach 46 DSGVO in Anbetracht aller Umstände, auf die sich der Verantwortliche beruft, wirksam sein.
  4. Weitere ergänzende Maßnahmen sind zu treffen.
  5. Etwaige Verfahrensvorschriften sind zu beachten.
  6. Die Übermittlungen sind in angemessenen Abständen erneut zu überprüfen.

Standardvertragsklauseln als Übermittlungsinstrument

Soweit kein Angemessenheitsbeschluss für das Drittland besteht, sind Standardvertragsklauseln in den meisten Fällen das richtige Übermittlungsinstrument.

Nicht zuletzt seit dem oben genannten Urteil ist klar, dass es in Drittländern Gesetze und/oder Praktiken gibt, welche die Wirksamkeit der geschlossenen Standardvertragsklauseln beeinträchtigen können. Dies kann zum Beispiel der Fall sein, wenn es im Drittland Gesetze oder Praktiken gibt, welche die Erhebung von oder den Zugang zu den übermittelten personenbezogenen Daten durch Strafverfolgungsbehörden in einer Weise ermöglichen, die nicht den europäischen Standards entsprechen.

Für die zusätzlichen Maßnahmen ist nicht entscheidend, wer diese durchführt, solange diese wirksam sind. Die Aufsichtsbehörde führt jedoch an, dass es Arten von ergänzenden Maßnahmen gibt, die für den Dienstleister schwierig umzusetzen sein können. Unter anderem gilt dies für eine wirksame Verschlüsselung. Insbesondere dann, wenn der Cloud-Dienstleister selbst im Besitz der Verschlüsselungsschlüssel ist. Gerade dann kann die Verschlüsselung laut Behörde nicht als wirksam angesehen werden kann.

Ist das Datenschutzniveau nicht nur eines einzelnen Landes zu bewerten, so empfiehlt die dänische Behörde immer von einem „Worst-Case-Szenario“ auszugehen. Bei der Bewertung ist so vorzugehen, als hätten sämtliche Drittländer „problematische“ Rechtsvorschriften und/oder Praktiken. Entsprechend soll laut der dänischen Aufsichtsbehörde eine besonders detaillierte Bewertung erfolgen, um festzustellen, welche zusätzlichen technischen Maßnahmen umgesetzt werden müssen, um ein wesensgleiches Schutzniveau wie in der EU bzw. im EWR zu gewährleisten.

Maßnahmen bei Datentransfers in die USA

Im Hinblick auf den Einsatz von US-Dienstleistern hält die Behörde den Datentransfer nur unter bestimmten Voraussetzungen für Zulässig. Insbesondere wegene des foreign intelligence surveillance act (FISA 702), der den Ermittlugsbehörden weitgehende Datenzugriffe ermöglicht. Durch diese Regelungen wird das Schutzniveau innerhalb der EU unterschritten, so dass weitere Maßnahmen bei US-Datentransfers erforderlich seien. Insofern wird auf das Dokument des EDPB verwiesen.

Zu den Beispielen für ergänzende technische Maßnahmen, die bei der Nutzung von Cloud-Diensten relevant sind, gehören insbesondere Verschlüsselung, Pseudonymisierung und die sogenannte getrennte Verarbeitung. Wenn ein Cloud-Dienst genutzt wird, bei dem der Dienstleister Zugang zu den übertragenen Daten im Klartext haben muss, kann der EDPB, nach eigener Aussage, derzeit keine zusätzlichen technischen Maßnahmen ins Auge fassen, die tatsächlich ein im Wesentlichen gleichwertiges Schutzniveau wie in der EU bzw. im EWR gewährleisten würden.

Eine Ausnahme käme hier in Betracht, wenn die jeweilige Verarbeitung nicht unter die in der FISA 702 definierten Tatbestände fallen würde. Da die für die Datenverarbeitung relevante Regelung aus Sicht der dänischen Behörde sehr weit gefasst ist, geht die Behörde davon aus, dass es schwierig sein wird zu dokumentieren, dass die spezifischen Arten personenbezogener Daten, die an Cloud-Dienstleister in den USA übermitteln werden, nicht Gegenstand der unter anderem nach FISA 702 genehmigten Überwachungsprogramme sein werden. Die Behörde erwartet jedoch, dass, wenn eine Übermittlung ohne weitere technische Maßnahmen geplant ist, die erforderlichen Nachweise durch den jeweils Verantwortlichen geführt werden.

Die Bewertung des Cloud-Dienstleisters selbst kann in die eigene Dokumentation aufgenommen werden, reicht jedoch nach Angabe der Behörde nicht. Die Bewertung des Datenschutzniveaus muss durch objektive, vertrauenswürdige und zugängliche Informationen gestützt werden.

Alles beim Alten?

Eine weiterhin ernüchternde, aber auch aufschlussreiche Stellungnahme, welche die aktuellen Probleme mit Cloud-Dienstleistern, insbesondere aus der USA, sehr gut zusammengefasst. Es wird immer schwieriger, den Einsatz von US-Dienstleistern zu begründen. An dem richtigen Einsatz der Standardvertragsklauseln sowie der dazugehörigen Bewertung des ausreichenden Schutzniveaus kommt man aktuell wohl kaum vorbei und der Fall, dass eine Verarbeitung nicht Gegenstand der nach FISA genehmigten Überwachungsprogramme ist, muss wohl noch erfunden werden.

Webinar zum Thema

Nicht nur beim Thema Cloud ist die richtige Implementierung von Standardvertragsklauseln unerlässlich. Insbesondere ist der Einsatz der Klauseln keine „Check-the-box“-Übung. Gerade, weil jeder Datentransfer in ein Drittland muss mittels eines „Transfer Impact Assessments“ in den Blick genommen werden muss.

Wenn Sie Ihr Fachwissen in diesem speziellen Rechtsgebiet für den Unternehmensalltag weiter vertiefen möchten, dann besuchen Sie doch unser Webinar zu „neue Standardvertragsklauseln“.

Das Kleingruppenformat ist sehr praxisbezogen gestaltet und bietet viele Best-Practice-Beispiele für die Umsetzung in Ihrem Unternehmen.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

2 Kommentare zu diesem Beitrag

  1. … unklar ist nach wie vor – jedenfalls mir – ob, die bloße Möglichkeit des Zugriffs auf personenbezogene Daten seitens eines Unternehmens aus einem Drittland ausreichend ist, um den Tatbestand des Datentransfers bzw. den der Verarbeitung derselben in einem Drittland zu erfüllen. Ich habe bislang keine Literatur gefunden, die diese Frage eindeutig klärt und bin deshalb für entsprechende Hinweise sehr dankbar.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.