Die Einbindung von Cloud-Diensten erfolgt datenschutzrechtlich typischerweise als Auftragsverarbeitung. Diese erfordert eine dem Art. 28 DS-GVO entsprechende Vereinbarung. Immer wieder brandet unterschiedliche Kritik an einer nicht ausreichenden Gestaltung auf – zuletzt durch die Datenschutzaufsichtsbehörden der Länder Niedersachsen, Rheinland-Pfalz, Sachsen, Sachsen-Anhalt und Bayern (LDA) unter Federführung der Berliner Datenschutzaufsichtsbehörde. Sie haben eine Checkliste zu Art. 28 DS-GVO erstellt und gehen auf dieser Grundlage die Prüfung an.
Im Unternehmensalltag sind jedoch weitere Fragen relevant: Die Gestaltung der Meldung bei „Datenschutzpannen“, der Drittlandtransfer insbesondere aufgrund der Standardver-tragsklauseln, Änderungsverlangen, Haftung- und Freistellungsregelungen sowie wie weit darf der Cloud-Provider „das Zepter in der Hand“ haben, ohne dass eine Joint Controllership entsteht. Aus der Sicht des Cloud-Providers ist dabei auch zu berücksichtigen, dass er nach der DS-GVO eigenständig auf Schadensersatz haftet und mit Geldbußen sanktioniert werden kann. Der zu betrachtende Rechtsrahmen geht damit über Art. 28 DS-GVO hinaus und um-fasst die Abgrenzung zur Joint Controllership und den Rechtsrahmen zum Drittlandtransfer, Datenschutzvorfällen und zur Haftung des Auftragsverarbeiters nach der DS-GVO
Der Workshop befasst sich mit der Auftragsverarbeitung aus der Perspektive der Gestaltung einer solchen Vereinbarung in der Praxis und eröffnet aufgrund des Workshop-Charakters den Raum für Diskussion von Gestaltungsmöglichkeiten.
