Die DSGVO bringt wichtige Änderungen für Cloud-Nutzer und -Anbieter mit sich – eine gründliche Vorbereitung ist unerlässlich
Einhaltung der DSGVO bei der Nutzung von Cloud-Diensten
Die Datenschutz-Grundverordnung (DSGVO) hat erhebliche Auswirkungen auf die Nutzung von Cloud-Diensten, insbesondere hinsichtlich der Verarbeitung und des Schutzes personenbezogener Daten.
Immer mehr Kunden- und Arbeitnehmerdaten landen in der Cloud, was den ständigen Zugriff von verschiedenen Geräten aus ermöglicht. Dies betrifft persönliche Informationen, IP-Adressen von Website-Besuchern und mehr – und fällt datenschutzrechtlich unter die Auftragsverarbeitung. Die DSGVO setzt strenge Qualitätsstandards für Datenschutz und Datensicherheit bei Cloud-Dienstleistern voraus. Die Auftragsverarbeitung ist nur zulässig, wenn der Dienstleister Garantien für die Einhaltung der DSGVO-Anforderungen und den Schutz der Rechte der Betroffenen bietet.
Besonders schutzwürdige Daten erfordern zusätzliche Sicherheitsmaßnahmen und ein angemessenes Schutzniveau, das dem Risiko der Datenverarbeitung entspricht. Je empfindlicher die Daten, desto höher die Sicherheitsanforderungen. Auftraggeber der Datenverarbeitung müssen sich über technische und organisatorische Maßnahmen bei Cloud-Anbietern informieren, insbesondere wenn Daten außerhalb der EU gespeichert werden. Zertifikate spielen eine wachsende Rolle bei der Sicherstellung von Datenschutz.
Änderungen der DSGVO im Januar 2024
Die Datenschutz-Grundverordnung (DSGVO) wurde zuletzt im Jahr 2024 aktualisiert. Diese Änderungen zielen darauf ab, den Schutz der Privatsphäre zu stärken und die Rechte der Verbraucher zu erweitern. Zu den wichtigsten Neuerungen gehören strengere Regeln für die Einholung von Einwilligungen, erweiterte Auskunftsrechte für betroffene Personen und neue Vorgaben zur Datenlöschung. Zudem wurde der Anwendungsbereich der DSGVO erweitert, sodass auch Unternehmen aus Drittländern, die Daten von EU-Bürgern verarbeiten, die DSGVO-Compliance beachten müssen.
Herausforderungen für KMU durch die DSGVO
Serverstandorte und Compliance
Cloud-Anbieter mit Servern in der EU müssen DSGVO-konform sein. Unternehmen können diese Anbieter in der Regel bedenkenlos nutzen, auch für sensible Daten. Es ist jedoch wichtig, die Sicherheitszertifikate und Verschlüsselungen der Cloud-Dienste zu überprüfen, um sicherzustellen, dass sie den höchsten Datenschutzstandards entsprechen.
Vertragsgestaltung und Haftung
Die DSGVO hat die Haftung für Auftragsverarbeiter verschärft. Früher genossen diese eine gewisse Haftungsprivilegierung, die nun nicht mehr besteht. Sowohl der Auftraggeber als auch der Auftragsverarbeiter haften für Datenschutzverletzungen, was bedeutet, dass der Auftragsverarbeiter auch für Fehler des Auftraggebers haftbar gemacht werden kann.
Technische und organisatorische Maßnahmen
Die DSGVO fordert Datenschutz durch Technikgestaltung und datenschutzrechtliche Voreinstellungen. Diese Anforderungen treffen formal den Auftraggeber, werden aber oft auf den Cloud-Anbieter übertragen. Dies erfordert eine sorgfältige Vertragsgestaltung, um die Pflichten klar zu definieren.
Datenübermittlung in Drittländer
Die Übertragung personenbezogener Daten außerhalb der EU unterliegt strengen Bedingungen. Diese können durch Standardvertragsklauseln oder andere geeignete Garantien erfüllt werden. Dies ist besonders relevant bei der Nutzung von US-amerikanischen Cloud-Diensten.
Rechte der betroffenen Personen
Die DSGVO stärkt die Rechte der betroffenen Personen, einschließlich des Rechts auf Zugang, Berichtigung und Löschung ihrer Daten. Cloud-Anbieter müssen sicherstellen, dass sie diese Rechte in ihren Diensten unterstützen.
Strengere Einwilligungsregelungen
Die DSGVO-Änderungen 2024 beinhalten strengere Vorgaben für die Einholung von Einwilligungen. Unternehmen müssen sicherstellen, dass die Zustimmung klar und freiwillig erfolgt, und Nutzern die Möglichkeit geben, ihre Einwilligung jederzeit ohne Begründung zu widerrufen.
Erweiterte Auskunftsrechte
Die Rechte der betroffenen Personen wurden erweitert, sodass sie mehr Informationen über die Verarbeitung ihrer Daten anfordern können. Unternehmen müssen ihre Systeme entsprechend anpassen, um diese Auskünfte bereitstellen zu können.
Datenschutz durch Technikgestaltung
Es wird gefordert, dass Software-Lösungen datenschutzkonform gestaltet werden, was als “Privacy by Design” bekannt ist. Dies könnte KMU entlasten, wenn Anbieter von Softwarelösungen in die Pflicht genommen werden, ihre Produkte entsprechend anzupassen.
Die DSGVO sieht eine gemeinsame Haftung von Auftraggebern und Cloud-Dienstleistern gegenüber Betroffenen vor, sowohl für materielle als auch immaterielle Schäden. Betroffene können sogar direkt gegen den Cloud-Dienstleister vorgehen. Cloud-Dienste müssen die erweiterten Löschansprüche der Nutzer nach Art. 17 DSGVO beachten und Lösungskonzepte entwickeln.
Bestehende Verträge mit Cloud-Dienstleistern sollten überprüft und gegebenenfalls angepasst werden, um Sanktionen zu vermeiden. Aktuelle Musterverträge von Verbänden können dabei hilfreich sein. Beim Abschluss neuer Verträge sollte auf Zertifizierungen geachtet werden.
Die Musterverträge der Verbände Bitkom (Download PDF) oder der Datenschutzvereinigung GDD können dabei hilfreich sein.