- Datenschutz-Grundverordnung (DSGVO) bringt neue Herausforderungen für Cloud Provider
- Auftragsdatenverarbeitungs-Verträge jetzt an die DSGVO anpassen
- Sanktionen und zivilrechtliche Ansprüche ausschließen
In einem Jahr, ab dem 25. Mai 2018, gilt die neue EU-Datenschutz-Grundverordnung (DSGVO) und regelt den Umgang mit personenbezogenen Daten in Cloud-Infrastrukturen neu. „Die rechtlichen Anforderungen an die Auftragsdatenverarbeitung in der Cloud ändern sich mit der neuen europäischen Verordnung“, sagt RA Jens Eckhardt, Vorstand Recht & Compliance EuroCloud Deutschland_eco e. V. „Cloud Provider sind jetzt – auch im Eigeninteresse – gehalten, die Verträge mit ihren Auftraggebern schnellstmöglich zu überprüfen und bis Mai 2018 gegebenenfalls anzupassen, um rechtswidrige Nutzungen zu vermeiden. Die DSGVO sieht keinen Bestandsschutz für Altverträge vor; das heißt auch Altverträge müssen den Vorgaben der DSGVO entsprechen.“
Haftungsprivilegierung schützt nur noch bis Mai 2018
Die Notwendigkeit zur Vertragsüberprüfung besteht insbesondere deshalb, weil erstmals ab Mai 2018 auf die Cloud Provider auch Haftungsansprüche und Sanktionen zukommen könnten. „Die DSGVO schützt Auftragsdatenverarbeiter im Schadensfall nichtmehr in dem gleichen Maße wie die Haftungsprivilegierung nach § 11 Bundesdatenschutzgesetz“, sagt Eckhardt. Den Cloud Providern empfiehlt Eckhardt, sich nicht darauf zu verlassen, dass Sanktionen und Geldbußen sie nicht betreffen werden. Bis zu 20 Millionen Euro oder 4 Prozent des gesamten weltweit erzielten Vorjahresumsatzes sieht die DSGVO theoretisch als maximale Geldbußen vor. In die neuen Dienstleistungsverträge sollten Cloud Provider daher auch sogenannte Freistellungsregelungen aufnehmen, die sie wirtschaftlich von der Haftung freistellen.
Ein weiterer Grund, rechtliche Lücken in den Dienstleistungsverträgen und Dienstleistungen zu schließen: Auf die Cloud-Provider könnten ab Mai 2018 auch zivilrechtliche Ansprüche zukommen. Sollten datenschutzrechtliche Defizite der Ausgestaltung der Dienstleistung oder der Verträge sich als Mangelhaftigkeit der Leistung darstellen, dann könnten Auftraggeber auch mit einem Hinweis hierauf Mängelhaftungsansprüche geltend machen oder gar den Bezug von Infrastructure as a Service (IaaS) oder Software as a Servicer (SaaS) einstellen.
Verträge jetzt auf Rechtssicherheit prüfen
Eckhardt empfiehlt Cloud Providern, proaktiv auf ihre Auftraggeber zuzugehen und die neuen Vorgaben jetzt in den gemeinsamen Verträgen umzusetzen. „In den allermeisten Fällen ist es ausreichend, sich auf andere Vertragstexte zu einigen. Eine Änderung an den Service-Prozessen allein wegen der DSGVO wird in den seltensten Fällen notwendig sein“, sagt Eckhardt.
Eckhardt empfiehlt, individuell die Optionen für ein Vertragsanpassungsverfahren zu überprüfen. Auch falls Verträge keine entsprechenden Anpassungsklauseln enthalten, rät er Auftraggebern und Cloud-Providern zur kooperativen Zusammenarbeit damit kein Auftraggeber das Risiko eingeht, einen Cloud-Service rechtswidrig zu nutzen.
-
Peter Koller peter.koller@eco.de
