Die Datenschutz-Grundverordnung (DS-GVO) bedeutet eine vollkommene Neuausrichtung des Datenschutzrechts in der EU. Die DS-GVO ist als EU-Verordnung in allen EU-Mitgliedstaaten unmittelbar anwendbar. Mit anderen Worten: der Text der DS-GVO gilt.

Die DS-GVO bringt keine grundlegende Veränderung in der Frage, welche Verarbeitung personenbezogener Daten ist zulässig oder unzulässig. Die Rechtsgrundlage ändern sich zwar, aber die Prinzipien bleiben.

Die Bu√ügeldh√∂he steigt um etwa den Faktor 60. Das ist erheblich und ist vom Gesetzgeber auch als ‚ÄěAngstfaktor‚Äú gewollt. Denn nur, was hinreichend Sanktionsdruck ausl√∂st, wird beachtet.

Der eigentliche Paradigmenwechsel im Datenschutzrecht durch die DS-GVO besteht aber darin, dass das Datenschutzrecht sich nicht mehr nur mit der Frage befasst, ob eine Verarbeitung personenbezogener Daten zul√§ssig ist oder nicht, sondern umfassen Dokumentations-, Organisations- und Transparenzpflichten vorsieht. Das ist kein Versehen, sondern gewollt. Der Verantwortliche soll sich mit der Verarbeitung der personenbezogenen Daten befassen, um sich deren Unzul√§ssigkeit und/oder deren Risiken nicht verschlie√üen zu k√∂nnen. Die Umsetzung dieser Pflichten ist umfassend bu√ügeldbewehrt und erfordert ein umfassendes Konzept ‚Äď das auch nach dem 25.05.2018 weiter gelebt werden muss.

Aus der Sicht des Cloud Computing ist aber wichtig zu sehen, dass diese Pflichten jedes Unternehmen betreffen und nicht cloud-spezifische Anforderungen sind. Sie treffen auch nicht speziell oder gar nur den Cloud Provider dieser Rolle. Mit anderen Worten: der Cloud Provider muss f√ľr sein Unternehmen diese Pflichten alle erf√ľllen, aber er ist nicht als Cloud Provider f√ľr seine Auftraggeber f√ľr die Erf√ľllung dieser Pflichten verantwortlich.

Das sollte den Cloud Provider aber nicht dazu verf√ľhren, sich den Themen f√ľr seine eigene Organisation nicht zu stellen. Denn Auftraggeber werden (zunehmend) pr√ľfen und/oder sich zusichern lassen, dass der Cloud Provider f√ľr seinen eigenen Bereich ‚ÄěDS-GVO-compliant‚Äú ist.

Nachfolgend werden daher auch nur die wichtigsten 10 cloud-spezifischen Neuerungen angesprochen. Mit anderen Worten: Neuerungen, die gelten, weil es um Cloud Services geht:

1. Kein Bestandsschutz f√ľr Alt-F√§lle

Nach Erw√§gungsgrund 171 der DS-GVO gilt, dass ab dem 25.05.2018 eine Verarbeitung personenbezogener Daten nur noch dann Datenschutz-compliant ist, wenn sie den Anforderungen der DS-GVO gen√ľgt.

Mit anderen Worten: Auch Alt-Auftr√§ge m√ľssen entsprechend der DS-GVO ausgestaltet werden.

2. Neue Vorgabe f√ľr die Auftragsverarbeitung

Die Auftragsdatenverarbeitung hei√üt unter der DS-GVO Auftragsverarbeitung. Es bleibt grunds√§tzlich aber dabei, dass die Auftragsverarbeitung die datenschutzrechtliche Grundlage f√ľr die Nutzung von Cloud Services ist. Auch die Kernkomponenten einer Auftragsverarbeitung bleiben: Weisungsgebundenheit gegen√ľber dem Auftraggeber, eine Vereinbarung mit Inhalten nach Ma√ügabe der datenschutzrechtlichen Regelungen √ľber die Auftragsvearbeitung und Dokumentation der Vereinbarung.

Die entsprechende Vereinbarung √ľber Auftragsverarbeitung muss aber den Anforderungen des Art.¬†28 DS-GVO gen√ľgen. Inhaltlich ist diese Regelung dem ¬ß¬†11 BDSG-alt √§hnlich, aber im Detail nicht inhaltsgleich. Es muss daher jeder Vereinbarung √ľber die Auftragsverarbeitung √ľberpr√ľft werden.

Einen ersten √úberblick bekommen Sie mit der Checklist im Anhang.

Weitere Regelungen, deren Auswirkungen im Vertrag zu ber√ľcksichitgen sind, aber nicht in Art.¬†28 DS-GVO stehen:

  • 26 DS-GVO: Joint Controllership
  • 29 DS-GVO: Weisungsgebundenheit
  • 32 Abs.¬†4 DS-GVO: Sicherheit der Verarbeitung

Ein Fortschritt f√ľr den Cloud-Bereich, dass Vereinbarungen √ľber die Auftragsverarbeitung nicht mehr dem strengen deutschen Schriftformerfordnis unterfallen, sodass die Vereinbarung auch in elektronischer Form geschlossen werden kann (Art.¬†28 Abs.¬†9 DS-GVO).

Gerade im Cloud-Umfeld stellen sich aber auch zwei neue Herausforderungen:

  • Die Beauftragung von Unterauftragnehmer (Subunternehmern) wird durch Art.¬†28 DS-GVO an strengere Vorgaben gekn√ľpft als nach dem bisherigen deutschen Recht. Allerdings haben bereits viele Vereinbarungen schon solche Regelungen vorgesehen. Aber eine Pr√ľfung im Detail ist gerade auch in diesen F√§llen erforderlich.
  • Der Auftragnehmer muss nach Art.¬†28 DS-GVO st√§rker in Pflicht genommen werden, den Auftraggeber bei der Erf√ľllung seiner Rechte zu unterst√ľtzen. Gerade bei Cloud Services ist das aber nur eingeschr√§nkt stimmig zur Realit√§t des genutzten Cloud Service. Diesem Umstand muss durch die Vertragsgestaltung Beachtung geschenkt werden.

3. Datenschutz durch Technikgestaltung und datenschutzrechtliche Voreinstellung

Die Pflicht zum Datenschutz durch Technikgestaltung und datenschutzrechtliche Voreinstellung trifft nach Art.¬†25 DS-GVO formal den Auftraggeber. Aber da die Umsetzung der Pflicht nicht durch die Nutzung des Services allein sichergestellt werden kann, werden diese Pflichten auf den Cloud Provider faktisch ‚Äědurchschlagen‚Äú.

4. Verzeichnis von Verarbeitungskategorien

Neu ist die Pflicht nach Art.¬†30 Abs.¬†2 DS-GVO f√ľr den Auftragsverarbeiter ein Verzeichnis zu seinen Kategorien von Verarbeitungst√§tigkeiten im Auftrag zu f√ľhren. Der Auftragsverarbeiter hat dieses Verzeichnis der Aufsichtsbeh√∂rde jederzeit auf deren Verlangen vorzulegen.

Nicht zu verwechseln ist das Verzeichnis mit Verzeichnis von Verarbeitungst√§tigkeiten nach Art.¬†30 Abs.¬†1 DS-GVO. Dieses muss der Auftragsverarbeiter in Bezug auf seine eigenen Verarbeitungst√§tigkeiten f√ľhren.

Das bedeutet: Ein Auftragsverarbeiter f√ľhrt zwei Verzeichnisses: eines als Verarbeiter f√ľr Verarbeitungen im eigenen Unternehmensinteresse und eines als Auftragsverarbeiter.

Art.¬†30 Abs.¬†5 DS-GVO sieht eine Ausnahme von der Pflicht zum F√ľhren dieser Verzeichnisse vor. Ob diese √ľberhaupt rechtlich einschl√§gig ist, muss sorgf√§ltig gepr√ľft werden.

Achtung: Lassen Sie sich aber nicht verpflichten, diese Verzeichnisse ihrem Auftraggeber auf Verlangen ohne Weiteres vorzulegen. Denn der Auftraggeber erfährt damit mehr, als er gesetzlich wissen muss und Sie laufen Gefahr gegen Geheimhaltungspflichten zu verstoßen.

5. Meldung der Verletzung des Schutzes personenbezogener Daten

Aus der DS-GVO kann sich die Pflicht bei der Verletzung des Schutzes personenbezogener Daten verpflichtet ergeben, die Aufsichtsbehörde zu benachrichtungen (Art. 33 DS-GVO) und ggf. jede betroffene Person zu unterrichten (Art. 34 DS-GVO).

Eine ‚ÄěVerletzung des Schutzes personenbezogener Daten‚Äú ist nach der Definition in Art.¬†4 Nr.¬†12 DS-GVO eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtm√§√üig, zur Vernichtung, zum Verlust, zur Ver√§nderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten f√ľhrt, die √ľbermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. Ein Vorfall also, der sich bei einem Auftragsverarbeiter ereignen kann.

Art.¬†33 Abs.¬†2 DS-GVO verpflichtet den Auftragsverarbeiter explizit dazu, es dem Auftraggeber unverz√ľglich zu melden, wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird.

Diese Pflicht erf√ľllt keiner gerne. Denn damit ist ein Schadensersatzanspruch durch den Auftraggeber allein schon durch das, was der Auftragnehmer ihm mitteilen muss, schnell begr√ľndet.

6. Cloud Services außerhalb der EU

Die √úbermittlung personenbezogener Daten in L√§nder au√üerhalb der EU (sog. Drittstaaten) wird durch die DS-GVO in Art.¬†44 ff. DS-GVO geregelt. Vereinfacht l√§sst sich sagen, dass sich insoweit nichts Gro√ües √§ndert. Im Detail muss dennoch die Ausgestaltung √ľberpr√ľft werden, weil die Vorgaben in Art.¬†44 ff. DS-GVO detailreicher sind als im bisherigen Datenschutzrecht.

Unver√§ndert bleibt damit auch die Zweistufigkeit der Pr√ľfung der Zul√§ssigkeit eine Verarbeitung in Drittstaaten: 1. Ist die Verarbeitung durch den Cloud Provider zul√§ssig (hierzu oben zur Auftragsvrarbeitng)? 2. Darf die Verarbeitung im oder der Zugriff aus dem Drittstaat erfolgen (Art. 44 ff. DS-GVO)?

Diese Pr√ľfung ist entsprechend f√ľr jeden Subunternehmer durchzuf√ľhren.

Eine erfreuliche Situation ergibt sich dadurch, dass Erw√§gungsgrund 171 DS-GVO vorsieht, dass Beschl√ľsse der EU-Kommission grunds√§tzlich auch √ľber den Anwendungsbeginn der DS-GVO hinaus wirksam bleiben. Das bedeutet insbesondere, dass EU-US Privacy Shield, EU-Standardvertr√§ge und die Anerkennung von Drittstaaten mit angemessenem Datenschutzniveau nicht automatisch entf√§llt.

Auch der neue Art. 28 DS-GVO wirkt sich in diesem Kontext positiv aus. Denn anders als die bisherige Regelungen im deutschen BDSG-alt ist die Auftragsverarbeiutung nicht auf die EU und den EWR beschränkt, sondern auch mit Unternehmen im Drittstaaten möglich.

7. Ausweitung der Haftung des Cloud Providers durch die DS-GVO

Nach dem BDSG-alt hatte der Auftragsverarbeiter eine recht komfortable Haftungssituation. Anspr√ľche waren von Betroffenen gegen den Auftraggeber geltend zu machen. Faktisch wirkte sich das wie ein Haftungsprivilegierung f√ľr die Auftragsverarbeiter aus.

Die DS-GVO kennt eine solche Haftungsprivilegierung nicht mehr. Auch aus Art. 79 DS-GVO ergibt sich, dass der Auftragsverarbeiter direkt verklagt werden kann.

Die DS-GVO geht in Art.¬†82 Abs.¬†2 DS-GVO sogar noch einen Schritt weiter. Ist sowohl ein Auftraggeber als auch ein Auftragsverarbeiter an derselben Verarbeitung beteiligt, so haftet jeder Verantwortliche oder jeder Auftragsverarbeiter f√ľr den gesamten Schaden, damit ein wirksamer Schadensersatz f√ľr die betroffene Person sichergestellt ist. Der Auftragsverarbeiter haftet also gegen√ľber der betroffenen Person auch f√ľr einen Fehler des Auftraggebers. Das gilt nat√ľrlich nicht ohne die Einschr√§nkung, die in Art.¬†82 Abs.¬†2 und 3 DS-GVO vorgesehen sind.

Kurzum: Es besteht das Risiko, dass der Auftragsverarbeiter f√ľr eine Datenschutzverletzung durch den Auftraggeber in Anspruch genommen wird.

Ob der Anspruch gegen ihn am Ende durchsetzbar ist, mag auf einem anderen Blatt stehen. Der Auftragsverarbeiter ist in jedem Fall gut beraten, diese ge√§nderte Situation f√ľr sich zu bewerten und gegebenenfalls durch vertragliche Regelungen mit Auftraggeber hierauf zu reagieren.

8. Sicherheit der Verarbeitung

Die Sicherheit der Verarbeitung (Art.¬†32 DS-GVO) nimmt in der DS-GVO eine ganz zentrale Rolle ein. Sie geht in jeder Hinsicht grundlegend √ľber das bisherige Datenschutzrecht hinaus. Dieser Anforderung muss der Auftragsverarbeiter gen√ľgen, um √ľberhaupt als Auftragsverarbeiter in Betracht zu kommen. Durch die DS-GVO tritt auch st√§rker als nach dem BDSG-alt die Frage nach der Sicherheit der Verarbeitung als Kriterium der Zul√§ssigkeit der Verarbeitung hervor.

Die Sicherheit der Verarbeitung nach DS-GVO ist auch nicht inhaltsgleich mit der IT-Sicherheit. Denn die Schutzziele sind unterschiedlich und k√∂nnen sich sogar entgegen stehen. Die IT-Sicherheit richtet sich am Schutz des Bestands des Unternehmens aus. Die Sicherheit der VEarbeitung nach DS-GVO richtet sich hingegen am Schutz der Rechte und Freiheiten der nat√ľrlichen Person aus.

Art.¬†32 DS-GVO sieht einen eigenst√§ndigen Kriterienkatalog f√ľr die Schutz der personenbezogenen Daten vor. Dieser muss dokumentiert abgearbeitet und der Service daran ausgerichtet werden.

Eine Fortsetzung findet diese Bewertung in der sog. Datenschutz-Folgenabschätzung, deren Ergebnis wiederum dazu zwingen kann, eine Verarbeitung vor deren Beginn mit der Datenschutzaufsichtsbehörde abzustimmen.

9. Mittelbare Erf√ľllung von Pflichten des Auftraggebers/Unterst√ľtzung f√ľr Aufgaben des Auftragsverarbeiters

Eine erhebliche Auswirkungen ‚Äěauf den zweiten Blick‚Äú werden die Regelungen haben, die nicht direkt den Auftragsverarbeiter in die Pflicht nehmen sondern seinen Auftraggeber. Denn: Den Auftraggeber als Verantwortlichen treffen die eingangs angesprochenen umfassenden Dokumentations-, Organisations- und Transparenzpflichten.

In diese Pflichten wird der Auftraggeber bestenfalls den Cloud Provider (nur) einbinden und ber√ľcksichtigen wollen. Schlimmstenfalls wird er seine Pflichten auf den Auftragsverarbeiter auslagern wollen. Von der andere Seite betrachtet, wird er Auftraggeber gewisse Pflichten der DS-GVO gar nicht selbst erf√ľllen k√∂nnen, weil nur der Auftagsverarbeiter √ľber diese Kompetenz verf√ľgt und gerade deshalb auch der Cloud-Service genutzt wird.

Kurzum: Der Cloud Provider muss sich spezifisch f√ľr seinen Cloud-Service festlegen, wie er mit dieser Situation umgehen m√∂chte und was bei ihm alles zum Service geh√∂ren soll.

Nachfolgend werden einzelne Aspekte exemplarisch angesprochen. Bei diesen wird sich je nach Cloud-Service die Frage stellen m√ľssen, ob der Cloud Provider als Bestandteil seine Services die entprechenden Templates, Textes und Best√§tigungen mitliefert.

  • Die Erf√ľllung der Recht der betroffenen Personen nach Artt.¬†12 bis 23 DS-GVO wird der Auftraggeber nicht ohne Einbindung des Cloud Providers erf√ľllen k√∂nnen.
  • F√ľhren des Verzeichnisse von Verarbeitungst√§tigkeiten nach Art.¬†30 Abs.¬†1 DS-GVO setzen Informationen zum Cloud Service voraus.
  • Die Datenschutz-Folgenabsch√§tzung und die Vorherige Konsultation der Aufsichtsbeh√∂rde stellen f√ľr einen Auftraggeber eine erhebliche H√ľrde.

10. Bußgelder

Nach dem BDSG-alt waren die Auftragsverarbeiter in Bezug auf die Ausgestaltung der Auftragsverarbeitung praktisch nicht Adressat von Bu√ügeldsanktionen. Diese trafen den Auftraggeber. Das √§ndert sich durch die DS-GVO. Der Auftragsverarbeiter ist zuk√ľnftig ebenso umfassend Adressat von Bu√ügeldsanktionen wie der Auftraggeber.

In Bezug auf die Bu√ügelder muss bewusst gemacht werden, dass diese bewusst ‚Äěschmerzhaft‚Äú gew√§hlt wurden. Die Nichteinhaltung des Datenschutzes soll nicht g√ľnstiger sein k√∂nnen als die Einhaltung. Dementsprechend drohen je nach Versto√ü Geldbu√üen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Gesch√§ftsjahrs verh√§ngt, je nachdem, welcher der Betr√§ge h√∂her ist oder Geldbu√üen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Gesch√§ftsjahrs verh√§ngt, je nachdem, welcher der Betr√§ge h√∂her ist.

Eine weitere ‚Äď und bei der Diskussion um die H√∂he fast √ľbersehene ‚Äď Ver√§nderung ist die Ausweitung der Datenschutzverletzungen, die Bu√ügeldbewehrt ist. Beispielsweise waren bisher Verst√∂√üe gegen die Sicherheit der Verarbeitung (¬ß¬†9 BDSG-alt) nicht bu√ügeldbewehrt, sind es aber unter der DS-GVO. Der Versto√ü gegen die Meldepflicht bei einer Verletzung des Schutzes personenbezogener Daten (Art.¬†33 Abs.¬†2 DS-GVO). Auch die gesamte Dokumentationspflichten waren bisher nicht bu√ügeldbewehrt, auch weil sie bisher im BDSG-alt √ľberhaupt nicht vorgesehen waren (bspw. Verzeichnis von Kategorien von Verarbeitungst√§tigkeiten).

Der komplette Sanktionsapparat wird strenger. In der Praxis wird sich stärker als die neue Bußgeldhöhe die Erweiterung der bußgeldbewehrten Pflichten auswirken.