Cloud Computing – ist das die Zukunft?
Die technische Innovation
unserer Zeit ändert die Grenzen der Unmöglichkeit. Was vor einigen Jahren undenkbar war, ist schon Realität. Festplattenspeicherung oder überhaupt Datenverarbeitung auf einer Festplatte kann in der Vergangenheit bleiben. Die sog. ‘‘Cloud‘‘ bietet nicht nur eine Vielzahl an diversen Möglichkeiten an, um Daten zu verarbeiten, sondern auch Flexibilität, Reduktion der bisher eher komplexen Verarbeitungsvorgänge und eine Bezahlung, die vom Verbrauch abhängig ist. Die Zahl der Cloud-Provider auf nationaler und internationaler Ebene nimmt an, denn viele Unternehmen haben den Bedarf ihre Daten in die Cloud umzuziehen. Die häufigsten Cloud-Dienstleistungen, die auf dem Markt gefunden werden können, sind: Software as a Service (Saas), Infrastructure as a Service (Iaas) und Plattform as a Service (PaaS), je nach Bedarf des Unternehmens. Es bleibt die Frage, wie man einzelne Cloud-Dienstleistungen miteinander integrieren kann und ob eine Standardisierung der unterschiedlichen Services erforderlich ist und wenn ja, ob dieses möglich ist.
Wie sieht die Frage aus datenschutzrechtlicher Sicht für das Unternehmen aus?
Im Rahmen des Cloud-Computing verarbeitet der Cloud-Provider personenbezogene Daten (z.B. Mitarbeiter‑, Kunden‑, Lieferantendaten usw.). Wir verstehen, dass es nicht einfach ist, die Kontrolle komplett dem Cloud-Provider zu übergeben (ist auch nicht nötig). Vor allem muss man an erster Stelle die sichere technische und organisatorische Datenverarbeitung gewährleisten können. Im Regelfall verarbeitet der Cloud-Provider die Daten im Auftrag des Verantwortlichen. Das setzt den Abschluss einen Auftragsverarbeitungsvertrags zwischen dem Verantwortlichen (Unternehmen) und dem Cloud-Anbieter (Auftragnehmer) vor. So bleibt das Unternehmen der ‘‘Herr der Daten‘‘ und der Cloud-Provider bearbeitet die Daten nach den Weisungen des Verantwortlichen. Klingt verlockend? An der Stelle ist es wichtig, die technisch-organisatorischen Maßnahmen, deren Gewährleistung im Bereich des Cloud-Anbieters liegt, nicht zu vergessen (darunter Zugangskontrolle, Zugriffskontrolle, Zutrittskontrolle usw.).
Wie sieht es mit der Verarbeitung in einem Drittland aus?
So weit, so gut… wie sieht es aus, wenn die Datenverarbeitung auf internationaler Ebene stattfindet? Was ist zu berücksichtigen, wenn Sie Daten an die USA übermitteln oder an Länder, die sich sowohl außerhalb der EU als auch außerhalb des Europäischen Wirtschaftsraums befinden?
Die Datenschutzgrundverordnung (DSGVO) stellt die konkreten Möglichkeiten für eine internationale Datenübermittlung dar. Um Daten in ein Drittland nach der DSGVO übermitteln zu dürfen, muss ein angemessenes Datenschutzniveau in diesem Land vorliegen. Die EU-Kommission ist das Organ, das einen Angemessenheitsbeschluss erteilen kann. In welchen Staaten ein angemessenes Datenschutzniveau gewährleistet ist, ist in der sog. White-Liste der EU erwähnt. Dazu müssen auch die Europäischen Standardvertragsklauseln (Standard Contractual Clauses) berücksichtigt werden. Diese sind spezielle von der EU-Kommission genehmigte Klauseln, die eine Datenübermittlung auf internationaler Ebene ermöglichen können. Ein anderes Instrument, dass der DSGVO zur Verfügung steht, sind sog. geeignete Garantien. Wenn weder ein Angemessenheitsbeschluss noch geeignete Garantien vorliegen, weist die DSGVO auf die Ausnahmefälle hin, in denen eine internationale Übermittlung der Daten erlaubt werden kann. Alle bis jetzt erwähnten Informationen beziehen sich nur auf die Datenübermittlung. Andere Pflichten aus der DSGVO – Gewährleistung der Betroffenenrechte, Löschung der Daten, Sicherstellung der technisch-organisatorischen Maßnahmen entfallen nicht und müssen im Rahmen der Datenübermittlung berücksichtigt werden.
Wenn Sie Fragen zu diesem Thema haben, stehen wir Ihnen selbstverständlich zur Verfügung. Es handelt sich um eine umfangreiche und sehr spezifische Thematik, die sich nicht in einem Blogbeitrag umfassend darstellen lässt.
Besuchen Sie unseren Praxistalk
Wenn Sie mehr Interesse an dem Thema haben, können Sie unsere Online-Veranstaltung am 12.05. besuchen.