Der Einsatz einer Cloud-Lösung ist in der Regel datenschutzrechtlich relevant, da ein Personenbezug der Dateien, die in der Cloud verarbeitet – also z. B. gespeichert – werden, oft nicht ausgeschlossen werden kann.
Allein das Vorhandensein eines Ansprechpartners z. B. auf einer Rechnung, die innerhalb einer Cloud-Lösung verarbeitet wird, eröffnet bereits den Bereich des Datenschutzes. Weitaus strengere Regelungen müssen auf bspw. Gesundheitsdaten oder Religionsdaten angewandt werden, da es sich hierbei um „besondere Kategorien personenbezogene Daten“ handelt, die besonders schützenswert sind.
1 Abgrenzung Private und Public Cloud
Zunächst sollte sich vor der Verwendung einer Cloud die Frage gestellt werden, um welche Art Cloud es sich überhaupt handelt. Grob lassen sich sogenannte Private Clouds von Public Clouds unterscheiden. Die Besonderheit einer Private Cloud ist, dass hier die dabei eingesetzten Systeme sämtlich zur Infrastruktur zur Herrschaftsdomäne der Verantwortlichen Stelle (Art. 4 I 7 DSGVO) gehören. Beispielsweise könnte sich ein Unternehmen mittels einer Next- oder Owncloud auf einem eigenen Server eine Private Cloud schaffen.
Bei Public Clouds handelt es sich um IT-Leistung, die letztlich gegenüber jedem von einem Dienstleister angeboten werden. Bekannte Anbieter sind z. B. von Amazon, Google, Microsoft u. ä.
Datenschutzrechtlich brisanter ist – wie es sich vermuten lässt – der Einsatz von Public Clouds.
2 Einordnung
Public-Cloud-Anbieter stellen grundsätzlich eine Auftragsverarbeitung dar. Das heißt, dass der Dienstleister der Cloud keine Verantwortung für die Datenverarbeitung trägt, die personenbezogenen Daten nur nach Weisung im Auftrag verarbeitet und das auslagernde Unternehmen weiterhin verantwortlich bleibt.
3 Übermittlungen
3.1 Drittlandsübermittlungen
Wie immer wieder der Presse zu entnehmen ist, sind Übermittlungen in sogenannte Drittländer – insbesondere USA – datenschutzrechtlich oft in der Kritik. Mit Drittländer sind hier Staaten außerhalb des EWR gemeint. Dabei ist der Einsatz von Public Clouds in Drittländern u. A. n. nicht unmöglich, allerdings an gewisse Maßnahmen geknüpft.
Für die Übermittlungen in Drittländer sind drei Möglichkeiten zur rechtlichen Absicherung denkbar
- Feststellung der Angemessenheit des Datenschutzniveaus im Drittland durch die EU-Kommission (Art. 45 DS-GVO) → beispielsweise die Schweiz
- Vorliegen geeigneter Garantien (Art. 46 DS-GVO)
- verbindliche interne Datenschutzvorschriften (Binding Corporate Rules)
- Standarddatenschutzklauseln der EU-Kommission (SCC) oder einer Aufsichtsbehörde (Blogbeitrag zu SCCs)
- genehmigte Verhaltensregeln oder ein genehmigter Zertifizierungsmechanismus
- einzeln ausgehandelte Vertragsklauseln
- Ausnahmen für bestimmte Fälle (Art. 49 DS-GVO).
Das heißt, dass der Einsatz von Cloud-Dienstleistern in Drittländern ist nur unter den obengenannten Möglichkeiten einsetzbar ist.
3.1.1 Schrems-II
Für die Datenübermittlung in die USA besteht seit dem Schrems-II-Urteil zusätzlich die Anforderung, dass personenbezogene Daten nicht alleine auf den Abschluß Standarddatenschutzklauseln gestützt werden können, sondern dass eine Risikobewertung und zusätzliche Maßnahmen erforderlich sind.
3.1.1.1 Was könnten diese zusätzlichen Maßnahmen sein?
- Sichere, leistungsfähige und vor Übermittlung durchgeführte Verschlüsselung der personenbezogenen Daten, wenn der Verschlüsselungsschlüssel beim Verantwortlichen bleibt und der Cloud-Dienstleister keinen Zugriff auf diesen Schlüssel hat.
- Übermittlung von nur pseudonymisierten Daten, die ohne Zuordnungsinformationen keinen Aufschluß auf die Personen geben und der Cloud-Dienstleister keinen Zugriff auf diese Informationen hat.
- Datenaufteilung auf zwei oder mehr Cloud-Anbieter, sodass nicht ein einzelnen Zugriff auf personenbezogene Daten hat.
- Eingrenzen bzw. Konfiguration des Speicherorts. (Einige Clouddienstleister bieten die Möglichkeit die Serverstandorte einzustellen.)
Eine Transportverschlüsselung und Data-at-Rest-Verschlüsselung – selbst in der Kombination – stellt, laut Auffassungen der Datenschutzaufsichtsbehörden, keine zusätzliche Maßnahme dar, wenn der Cloud-Dienstleister im Besitz der kryptografischen Schlüssel ist.
3.1.2 Risikobewertungen
Übermittlungen an Cloud-Dienstleistern können unter Umständen ein wahrscheinlich hohes Risiko mit sich bringen, dass würde bedeuten, dass eine Datenschutzfolgenabschätzung gem. Art. 35 DSGVO (DSFA) (Blogbeitrag zur DSFA) notwendig ist.
Sollten die Datenübermittlungen in Drittländer (insbesondere USA) auf die Standarddatenschutzklauseln der EU-Kommission (s.o.) gestützt werden, ist eine zusätzliche Bewertung der Übermittlung, bedingt durch die Klausel 14 der SCCs, notwendig – eine sogenannte Transfer Impact Assessment (TIA) (Blogbeitrag zur TIA).
4 Betrieb
Sind die rechtlichen Anforderungen für den Einsatz von Cloud-Dienstleistern und Übermittlungen umgesetzt, sind beim Betrieb einer Cloud-Lösung die bekannten technischen und organisatorischen Maßnahmen umzusetzen. Diese sind stets immer unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung zu bewerten und zu implementieren. Des Weiteren sind die Maßnahmen auf die Wirksamkeit mittels eines Verfahren regelmäßig zu überprüfen, zu bewertung und zu evaluieren. Die eingesetzten Maßnahmen sind zudem muss der Verantwortliche mit den Maßnahmen sicherstellen, dass durch Voreinstellung nur personenbezogene Daten die erforderlich ist, verarbeitet werden (Datenschutz durch datenschutzfreundliche Voreinstellungen).
Die Grundsätze für die Verarbeitung personenbezogener Daten (Art. 5) sind ebenfalls bei der Verarbeitung in der Cloud umzusetzen und zu gewährleisten. Auch sei hier noch auf die Anforderung der Erforderlichkeit zur Entscheidung, Begründung, Durchführung oder Beendigung bei der Verarbeitung von Beschäftigtendaten (§ 26 BDSG) hingewiesen.
Für den Einsatz von Public Clouds sollten unter Umständen beispielsweise Funktionen die Nutzern das Teilen von Dateien ermöglichen restriktiver gehandhabt werden, als wenn sich die personenbezogenen Daten auf dem eigenen Fileserver befänden. Auch sind Infrastrukturen die öffentlich erreichbar sind potentiell mehr Gefahren durch Hackingangriffen ausgesetzt als Fileservern – Überprüfungen auch Schwachstellen (z.B. Portscans) sollten daher in Betracht gezogen werden.
Ebenso sind dem Grundsatz der „datenschutzfreundliche Voreinstellungen“ beispielsweise ggf. Einstellungen zu Arbeitsplatz-Auswertungen (Analytics) oder Telemetriedaten voreingestellt zu deaktivieren, um die Arbeitsleistung von Beschäftigten nicht unnötig auszuwerten.
Unter Umständen können auch innerhalb der Cloudumgebung wiederrum Add-In, Plug-In, Apps oder Erweiterungen gebucht werden. Diese Erweiterungen sind desöfteren Dritt-Software die an die Cloudumgebung andocken und u. U. eine Menge Daten – personenbezogen oder Betriebsinformationen – abfangen könnten. Die bereits beschriebenen rechtlichen Grundlagen für die Cloud-Anbieter greifen hier in der Regel nicht, da sich der Cloud-Anbieter hier nicht mehr in seinem Verantwortungsbereich befindet. Daher ist bei jedem Einsatz einer Erweiterung immer stets datenschutzrechtlich zu prüfen, ob ein Datenschutzniveau gegeben ist. Aber auch zusätzliche Features des Public-Cloud-Anbieters können u. U. nicht den gleichen Datenschutzanforderungen unterliegen, wie die Hauptfunktionen des Dienstleisters; beispielsweise könnten automatische Transkriptionen (Übersetzungen) auf US-amerikanischen Servern stattfinden, obwohl die Server als Speicherort der Daten auf europäische Server konfiguriert wurden.
Je nach Unternehmensstruktur macht es daher oft Sinn, dass all die oben beschriebenen und auch weiteren Maßnahmen und Konfigurationen administrativ so eingestellt werden, dass einzelne Nutzer, diese nicht aktiv setzen können. Sollten dann die Beschäftigten ein Feature benötigen, kann dies mittels Genehmigungsprozess gelenkt und ggf. freigegeben werden.
Die comdatis it-consulting GmbH & Co. KG steht für weitere Fragen gerne zur Verfügung.
Unser Blogangebot stellt lediglich einen unverbindlichen Informationszweck und keine Rechtsberatung dar. Sie spiegelt stets nur die Meinung des Autors wider. Insofern verstehen sich alle angebotenen Informationen ohne Gewähr auf Richtigkeit und Vollständigkeit. Für eine Umsetzung ist stets im Einzelfall eine Bewertung notwendig.