Die DSGVO bringt wichtige Änderungen für Cloud-Nutzer und -Anbieter mit sich – eine gründliche Vorbereitung ist unerlässlich

compliance in der cloud news bild
Die Cloud-Nutzung wächst, doch die Datenschutzgrundverordnung (DSGVO) wirft neue Pflichten und Anforderungen für Cloud-Dienstleister und Unternehmen auf.

Die Cloud-Nutzung wächst, doch die Datenschutzgrundverordnung (DSGVO) wirft neue Pflichten und Anforderungen für Cloud-Dienstleister und Unternehmen auf. Es ist wichtig, diese zu verstehen, um Sanktionen zu vermeiden.

Immer mehr Kunden- und Arbeitnehmerdaten landen in der Cloud, was den ständigen Zugriff von verschiedenen Geräten aus ermöglicht. Dies betrifft persönliche Informationen, IP-Adressen von Website-Besuchern und mehr – und fällt datenschutzrechtlich unter die Auftragsverarbeitung. Die DSGVO setzt strenge Qualitätsstandards für Datenschutz und Datensicherheit bei Cloud-Dienstleistern voraus. Die Auftragsverarbeitung ist nur zulässig, wenn der Dienstleister Garantien für die Einhaltung der DSGVO-Anforderungen und den Schutz der Rechte der Betroffenen bietet.

Besonders schutzwürdige Daten erfordern zusätzliche Sicherheitsmaßnahmen und ein angemessenes Schutzniveau, das dem Risiko der Datenverarbeitung entspricht. Je empfindlicher die Daten, desto höher die Sicherheitsanforderungen. Auftraggeber der Datenverarbeitung müssen sich über technische und organisatorische Maßnahmen bei Cloud-Anbietern informieren, insbesondere wenn Daten außerhalb der EU gespeichert werden. Zertifikate spielen eine wachsende Rolle bei der Sicherstellung von Datenschutz.

Die DSGVO sieht eine gemeinsame Haftung von Auftraggebern und Cloud-Dienstleistern gegenüber Betroffenen vor, sowohl für materielle als auch immaterielle Schäden. Betroffene können sogar direkt gegen den Cloud-Dienstleister vorgehen. Cloud-Dienste müssen die erweiterten Löschansprüche der Nutzer nach Art. 17 DSGVO beachten und Lösungskonzepte entwickeln.

Das neue Recht auf Datenübertragbarkeit (Art. 20 DSGVO) stellt weitere Herausforderungen dar, da die Portierung von Daten zu anderen Diensten noch entwickelt werden muss. Die Meldepflicht bei Datenpannen und -diebstahl wird strenger. Bei schweren Datenpannen sind die Betroffenen in klarer Sprache zu informieren.

Vor dem Inkrafttreten der DSGVO sollten bestehende Verträge mit Cloud-Dienstleistern überprüft und gegebenenfalls angepasst werden. Aktuelle Musterverträge von Verbänden können dabei hilfreich sein. Beim Abschluss neuer Verträge sollte auf Zertifizierungen geachtet werden.

Die Musterverträge der Verbände Bitkom (Download PDF) oder der Datenschutzvereinigung GDD können dabei hilfreich sein.