Unter Cloud-Computing-Diensten werden nach Art. 4 Nr. 19 der RL (EU) 2016/1148 (NIS-RL) digitale Dienste verstanden, die einen Zugang zu einem Pool gemeinsam genutzter Rechenressourcen ermöglichen. Im Unternehmensverkehr ist die Nutzung von Cloud-Diensten sehr verbreitet, doch inwiefern greift der Schutz personenbezogener Daten für die in der Cloud gespeicherten Daten?

Der Verantwortliche nach DSGVO

Mit Ablauf der Umsetzungsfrist der Datenschutzgrundverordnung zum Mai 2018 wird eine Überprüfung der Verantwortlichkeiten zwischen Auftraggeber und Auftragnehmern, wie bei Cloud-Anbietern, notwendig sein. Der Art. 4 Nr. 7 DSGVO erfordert eine Einzelfallbetrachtung der Konstellation Cloud-Kunde und Cloud-Anbieter. Wer tatsächlich der Verantwortliche der Datenverarbeitung ist, hängt davon ab, wer die die Mittel und Zwecke der Verarbeitung festlegt.[1] Eindeutig und transparent sollten Unternehmen festhalten, wer für die „gemeinsamen Zwecke der und die Mittel zur Verarbeitung fest[legt]“, um die Pflichten des Verantwortlichen i.S.d. Art. 26 DSGVO und der Auftragsdatenverarbeiter nach Art. 28 DSGVO zu erfüllen. Im Ergebnis könnten auch der Cloud-Kunde und Cloud-Anbieter als Verantwortliche gemeinsam zur Rechenschaft gezogen werden.

Datenschutz in der Cloud

Prinzipiell gelten Datenschutzgesetze für sämtliche personenbezogene Daten. Es besteht jedoch die Möglichkeit, den Personenbezug für die in der Cloud gespeicherten Informationen dauerhaft zu entfernen und somit die Anwendung des Datenschutzrechts auszuschließen. Der Personenbezug kann dauerhaft und hinreichend (Anonymisierung) entfernt und/oder temporär und entfernbar (Pseudonymisierung oder Verschlüsselung) sein. Für weitere Informationen zu den Begrifflichkeiten lesen Sie gern auf hier nach.

Wird der Personenbezug bei ausreichender Anonymisierung entfernt, kann die Anwendung der DSGVO nach Erwägungsgrund 26 ausgeschlossen werden. Für das Cloud-Computing bedeutet dies, dass einerseits ggf. das Datenschutzrecht in seiner Gänze ausgeschlossen werden könnte oder eine Speicherung personenbezogener Daten in der Cloud durch Technikgestaltung, wie der Verschlüsselung, rechtskonform ist.

Datenschutz durch Technikgestaltung

Eine erhebliche praktische Bedeutung kommt nach Baumgartner/Gausling dem Konzept des Datenschutzes durch Technikgestaltung sowie durch datenschutzfreundlichen Voreinstellungen zu.[2]

Entscheidend ist, ob Unternehmen Cloud-Dienste nur als Speicher oder zur Verarbeitung von Daten verwenden. Sollten unternehmensintern Daten in der Cloud verarbeitet werden, liegen diese unverschlüsselt vor und könnten beim Transport zur Cloud oder bei Ablage in dieser Dritten zugänglich sein.  Eine ungewollte Einsichtnahme Dritter, wie des Cloud-Anbieters, kann durch die Verschlüsselung der Daten nach aktuellem Stand der Technik vor dem Speichern in der Cloud erreicht werden. Der Schlüssel darf nicht Dritten bekannt gegeben werden oder zu erraten sein. Wichtig ist, dass auch bei technischen Ausfällen, wie eines Festplattenausfalls, dieser wieder zu beschaffen ist.[3] Im Mittelpunkt der Diskussion besteht-wie bereits auch im BDSG der unbestimmte Rechtbegriff des aktuellen Standes der Technik. Die DSGVO gibt keine verpflichtenden Kriterien vor, was genau darunter zu verstehen ist. Vielmehr muss sich der Verantwortliche hinsichtlich aktueller Änderungen selbstständig informieren, wie beispielsweise des Standes der Technik hinsichtlich eingesetzter Verschlüsselungsmaßnahmen[4].Im Unternehmen wird empfohlen zwei kryptografisch unterschiedliche Verfahren zu kombinieren, damit der Zugang Dritter trotz Entschlüsselung eines Verfahrens weiterhin verhindert werden kann.[5]

Neben der Verschlüsselung besteht die Möglichkeit Daten zu pseudonymisieren, somit den Personenbezug temporär zu entfernen. Neu ist, dass die Datenschutz-Grundverordnung erstmals die Pseudonymisierung nach Art. 32 DSGVO als technisch-organisatorische Maßnahme aufführt. Unter Berücksichtigung des Stands der Technik sollen nach Art. 16 Nis-RL, geeignete und verhältnismäßige technische und organisatorische Maßnahmen ergriffen werden. Die Nis-RL nimmt hierbei nach Art. 16 Abs. 11 NIS-RL Angebote von Klein und Kleinstunternehmen unter 50 MA und Jahresumsatz unter 10 Mio. Euro aus.

Sanktionsmöglichkeit

Sanktioniert werden kann eine Nichtbeachtung der jeweiligen Verpflichtungen im Umgang mit personenbezogenen Daten mit bis zu 10.000.000 € Geldbuße bzw. mit bis zu 2% des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres (Art. 83 Abs. 4 DSGVO). Ggf. sind nach Art. 83 Abs. 5 DSGVO sogar noch höhere Geldbußen möglich.

[1] Hofmann, Anforderungen aus DS-GVO und NIS-RL an das Cloud-Computing, ZD-Aktuell 2017, 05488, beck-online.

[2] Baumgartner/Gausling: Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen, ZD 2017, S. 308.

[3] Heidrich/Wegener, Cloud Computing, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, 2. Aufl. 2017, Rn. 36f.

[4] Baumgartner/Gausling: Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen, ZD 2017, S. 310.

[5] Heidrich/Wegener, Cloud Computing, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, 2. Aufl. 2017, Rn. 39.