Die tech­ni­sche Inno­va­ti­on unse­rer Zeit ändert die Gren­zen der Unmög­lich­keit. Was vor eini­gen Jah­ren undenk­bar war, ist schon Rea­li­tät. Fest­plat­ten­spei­che­rung oder über­haupt Daten­ver­ar­bei­tung auf einer Fest­plat­te kann in der Ver­gan­gen­heit blei­ben. Die sog. ‘‘Cloud‘‘ bie­tet nicht nur eine Viel­zahl an diver­sen Mög­lich­kei­ten an, um Daten zu ver­ar­bei­ten, son­dern auch Fle­xi­bi­li­tät, Reduk­ti­on der bis­her eher kom­ple­xen Ver­ar­bei­tungs­vor­gän­ge und eine Bezah­lung, die vom Ver­brauch abhän­gig ist. Die Zahl der Cloud-Pro­vi­der auf natio­na­ler und inter­na­tio­na­ler Ebe­ne nimmt an, denn vie­le Unter­neh­men haben den Bedarf ihre Daten in die Cloud umzu­zie­hen. Die häu­figs­ten Cloud-Dienst­leis­tun­gen, die auf dem Markt gefun­den wer­den kön­nen, sind: Soft­ware as a Ser­vice (Saas), Infra­st­ruc­tu­re as a Ser­vice (Iaas) und Platt­form as a Ser­vice (PaaS), je nach Bedarf des Unter­neh­mens. Es bleibt die Fra­ge, wie man ein­zel­ne Cloud-Dienst­leis­tun­gen mit­ein­an­der inte­grie­ren kann und ob eine Stan­dar­di­sie­rung der unter­schied­li­chen Ser­vices erfor­der­lich ist und wenn ja, ob die­ses mög­lich ist.

Wie sieht die Fra­ge aus daten­schutz­recht­li­cher Sicht für das Unter­neh­men aus?

Im Rah­men des Cloud-Com­pu­ting ver­ar­bei­tet der Cloud-Pro­vi­der per­so­nen­be­zo­ge­ne Daten (z.B. Mitarbeiter‑, Kunden‑, Lie­fe­ran­ten­da­ten usw.). Wir ver­ste­hen, dass es nicht ein­fach ist, die Kon­trol­le kom­plett dem Cloud-Pro­vi­der zu über­ge­ben (ist auch nicht nötig). Vor allem muss man an ers­ter Stel­le die siche­re tech­ni­sche und orga­ni­sa­to­ri­sche Daten­ver­ar­bei­tung gewähr­leis­ten kön­nen. Im Regel­fall ver­ar­bei­tet der Cloud-Pro­vi­der die Daten im Auf­trag des Ver­ant­wort­li­chen. Das setzt den Abschluss einen Auf­trags­ver­ar­bei­tungs­ver­trags zwi­schen dem Ver­ant­wort­li­chen (Unter­neh­men) und dem Cloud-Anbie­ter (Auf­trag­neh­mer) vor. So bleibt das Unter­neh­men der ‘‘Herr der Daten‘‘ und der Cloud-Pro­vi­der bear­bei­tet die Daten nach den Wei­sun­gen des Ver­ant­wort­li­chen. Klingt ver­lo­ckend? An der Stel­le ist es wich­tig, die tech­nisch-orga­ni­sa­to­ri­schen Maß­nah­men, deren Gewähr­leis­tung im Bereich des Cloud-Anbie­ters liegt, nicht zu ver­ges­sen (dar­un­ter Zugangs­kon­trol­le, Zugriffs­kon­trol­le, Zutritts­kon­trol­le usw.).

So weit, so gut… wie sieht es aus, wenn die Daten­ver­ar­bei­tung auf inter­na­tio­na­ler Ebe­ne statt­fin­det? Was ist zu berück­sich­ti­gen, wenn Sie Daten an die USA über­mit­teln oder an Län­der, die sich sowohl außer­halb der EU als auch außer­halb des Euro­päi­schen Wirt­schafts­raums befin­den? Die Daten­schutz­grund­ver­ord­nung (DSGVO) stellt die kon­kre­ten Mög­lich­kei­ten für eine inter­na­tio­na­le Daten­über­mitt­lung dar. Um Daten in ein Dritt­land nach der DSGVO über­mit­teln zu dür­fen, muss ein ange­mes­se­nes Daten­schutz­ni­veau in die­sem Land vor­lie­gen. Die EU-Kom­mis­si­on ist das Organ, das einen Ange­mes­sen­heits­be­schluss ertei­len kann. In wel­chen Staa­ten ein ange­mes­se­nes Daten­schutz­ni­veau gewähr­leis­tet ist, ist in der sog. White-Lis­te der EU erwähnt. Dazu müs­sen auch die Euro­päi­schen Stan­dard­ver­trags­klau­seln (Stan­dard Con­trac­tu­al Clau­ses) berück­sich­tigt wer­den. Die­se sind spe­zi­el­le von der EU-Kom­mis­si­on geneh­mig­te Klau­seln, die eine Daten­über­mitt­lung auf inter­na­tio­na­ler Ebe­ne ermög­li­chen kön­nen. Ein ande­res Instru­ment, dass der DSGVO zur Ver­fü­gung steht, sind sog. geeig­ne­te Garan­ti­en. Wenn weder ein Ange­mes­sen­heits­be­schluss noch geeig­ne­te Garan­ti­en vor­lie­gen, weist die DSGVO auf die Aus­nah­me­fäl­le hin, in denen eine inter­na­tio­na­le Über­mitt­lung der Daten erlaubt wer­den kann. Alle bis jetzt erwähn­ten Infor­ma­tio­nen bezie­hen sich nur auf die Daten­über­mitt­lung. Ande­re Pflich­ten aus der DSGVO – Gewähr­leis­tung der Betrof­fe­nen­rech­te, Löschung der Daten, Sicher­stel­lung der tech­nisch-orga­ni­sa­to­ri­schen Maß­nah­men ent­fal­len nicht und müs­sen im Rah­men der Daten­über­mitt­lung berück­sich­tigt wer­den.

Wenn Sie Fra­gen zu die­sem The­ma haben, ste­hen wir Ihnen selbst­ver­ständ­lich zur Ver­fü­gung. Es han­delt sich um eine umfang­rei­che und sehr spe­zi­fi­sche The­ma­tik, die sich nicht in einem Blog­bei­trag umfas­send dar­stel­len lässt.

Wenn Sie mehr Inter­es­se an dem The­ma haben, kön­nen Sie unse­re Online-Ver­an­stal­tung am 12.05. besu­chen.