Unter Cloud-Computing-Diensten werden nach Art. 4 Nr. 19 der RL (EU) 2016/1148 (NIS-RL) digitale Dienste verstanden, die einen Zugang zu einem Pool gemeinsam genutzter Rechenressourcen ermöglichen. Im Unternehmensverkehr ist die Nutzung von Cloud-Diensten sehr verbreitet, doch inwiefern greift der Schutz personenbezogener Daten für die in der Cloud gespeicherten Daten?
Der Verantwortliche nach DSGVO
Mit Ablauf der Umsetzungsfrist der Datenschutzgrundverordnung zum Mai 2018 wird eine Überprüfung der Verantwortlichkeiten zwischen Auftraggeber und Auftragnehmern, wie bei Cloud-Anbietern, notwendig sein. Der Art. 4 Nr. 7 DSGVO erfordert eine Einzelfallbetrachtung der Konstellation Cloud-Kunde und Cloud-Anbieter. Wer tatsächlich der Verantwortliche der Datenverarbeitung ist, hängt davon ab, wer die die Mittel und Zwecke der Verarbeitung festlegt.[1] Eindeutig und transparent sollten Unternehmen festhalten, wer für die „gemeinsamen Zwecke der und die Mittel zur Verarbeitung fest[legt]“, um die Pflichten des Verantwortlichen i.S.d. Art. 26 DSGVO und der Auftragsdatenverarbeiter nach Art. 28 DSGVO zu erfüllen. Im Ergebnis könnten auch der Cloud-Kunde und Cloud-Anbieter als Verantwortliche gemeinsam zur Rechenschaft gezogen werden.
Datenschutz in der Cloud
Prinzipiell gelten Datenschutzgesetze für sämtliche personenbezogene Daten. Es besteht jedoch die Möglichkeit, den Personenbezug für die in der Cloud gespeicherten Informationen dauerhaft zu entfernen und somit die Anwendung des Datenschutzrechts auszuschließen. Der Personenbezug kann dauerhaft und hinreichend (Anonymisierung) entfernt und/oder temporär und entfernbar (Pseudonymisierung oder Verschlüsselung) sein. Für weitere Informationen zu den Begrifflichkeiten lesen Sie gern auf hier nach.
Wird der Personenbezug bei ausreichender Anonymisierung entfernt, kann die Anwendung der DSGVO nach Erwägungsgrund 26 ausgeschlossen werden. Für das Cloud-Computing bedeutet dies, dass einerseits ggf. das Datenschutzrecht in seiner Gänze ausgeschlossen werden könnte oder eine Speicherung personenbezogener Daten in der Cloud durch Technikgestaltung, wie der Verschlüsselung, rechtskonform ist.
Datenschutz durch Technikgestaltung
Eine erhebliche praktische Bedeutung kommt nach Baumgartner/Gausling dem Konzept des Datenschutzes durch Technikgestaltung sowie durch datenschutzfreundlichen Voreinstellungen zu.[2]
Entscheidend ist, ob Unternehmen Cloud-Dienste nur als Speicher oder zur Verarbeitung von Daten verwenden. Sollten unternehmensintern Daten in der Cloud verarbeitet werden, liegen diese unverschlüsselt vor und könnten beim Transport zur Cloud oder bei Ablage in dieser Dritten zugänglich sein. Eine ungewollte Einsichtnahme Dritter, wie des Cloud-Anbieters, kann durch die Verschlüsselung der Daten nach aktuellem Stand der Technik vor dem Speichern in der Cloud erreicht werden. Der Schlüssel darf nicht Dritten bekannt gegeben werden oder zu erraten sein. Wichtig ist, dass auch bei technischen Ausfällen, wie eines Festplattenausfalls, dieser wieder zu beschaffen ist.[3] Im Mittelpunkt der Diskussion besteht-wie bereits auch im BDSG der unbestimmte Rechtbegriff des aktuellen Standes der Technik. Die DSGVO gibt keine verpflichtenden Kriterien vor, was genau darunter zu verstehen ist. Vielmehr muss sich der Verantwortliche hinsichtlich aktueller Änderungen selbstständig informieren, wie beispielsweise des Standes der Technik hinsichtlich eingesetzter Verschlüsselungsmaßnahmen[4].Im Unternehmen wird empfohlen zwei kryptografisch unterschiedliche Verfahren zu kombinieren, damit der Zugang Dritter trotz Entschlüsselung eines Verfahrens weiterhin verhindert werden kann.[5]
Neben der Verschlüsselung besteht die Möglichkeit Daten zu pseudonymisieren, somit den Personenbezug temporär zu entfernen. Neu ist, dass die Datenschutz-Grundverordnung erstmals die Pseudonymisierung nach Art. 32 DSGVO als technisch-organisatorische Maßnahme aufführt. Unter Berücksichtigung des Stands der Technik sollen nach Art. 16 Nis-RL, geeignete und verhältnismäßige technische und organisatorische Maßnahmen ergriffen werden. Die Nis-RL nimmt hierbei nach Art. 16 Abs. 11 NIS-RL Angebote von Klein und Kleinstunternehmen unter 50 MA und Jahresumsatz unter 10 Mio. Euro aus.
Sanktionsmöglichkeit
Sanktioniert werden kann eine Nichtbeachtung der jeweiligen Verpflichtungen im Umgang mit personenbezogenen Daten mit bis zu 10.000.000 € Geldbuße bzw. mit bis zu 2% des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres (Art. 83 Abs. 4 DSGVO). Ggf. sind nach Art. 83 Abs. 5 DSGVO sogar noch höhere Geldbußen möglich.
[1] Hofmann, Anforderungen aus DS-GVO und NIS-RL an das Cloud-Computing, ZD-Aktuell 2017, 05488, beck-online.
[2] Baumgartner/Gausling: Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen, ZD 2017, S. 308.
[3] Heidrich/Wegener, Cloud Computing, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, 2. Aufl. 2017, Rn. 36f.
[4] Baumgartner/Gausling: Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen, ZD 2017, S. 310.
[5] Heidrich/Wegener, Cloud Computing, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, 2. Aufl. 2017, Rn. 39.
Christopher Jahn
11. August 2017 @ 10:06
@Hr. Dehner: Das geht aus dem Artikel auch so hervor. Es handelt sich ja um eine T/O-Maßnahme, die die Datenverarbeitung in der Cloud legitimieren kann und nicht um eine Maßnahme, die das Datenschutzrecht unanwendbar macht.
Der Bußgeldrahmen ist allerdings verkehrt. Richtig wäre 10.000.000 € bzw. 2% des weltweiten Umsatzes. 20.000.000€ bzw. 4% können aber drohen, wenn dadurch eine unzulässige Übermittlung gem. Art. 84 V c an einen Drittstaat (bspw. USA) vorliegt.
Sven Venzke-Caprarese
15. August 2017 @ 22:33
Vielen Dank für Ihren Hinweis! Wir haben den Bußgeldrahmen entsprechend korrigiert.
Thomas Dehner
4. August 2017 @ 17:35
Die Orientierungshilfe der Aufsichtsbehörden sagt dazu: „Der Personenbezug von Daten entfällt jedoch regelmäßig nicht durch die Verschlüsselung. „