Schauen Sie dem Anbieter in die Augen

Beim Cloud-Computing handelt es sich nach allgemeiner Auffassung um eine Auftragsdatenverarbeitung im Sinne von § 11 BDSG.

Der Cloud-Anwender ist nach dieser Regelung Nutzer und bleibt auch bei der Nutzung von Cloud Computing für die Rechtmäßigkeit der Datenverarbeitung im Rahmen der Nutzung des Dienstes gemäß § 3 Abs. 7 BDSG verantwortlich, da er den Zweck der Datenverarbeitung bestimmt. Auf die Größe des Unternehmens sowohl auf Anbieter, als auch auf Nutzer Seite kommt es daher nicht an, da das Ungleichgewicht bei der Vertragsgestaltung einer kleinen verantwortlichen Stelle gegenüber einem großen Cloud-Anbieter keine Rechtfertigung für den Nutzer darstellt, Vertragsklauseln zu akzeptieren, die nicht mit dem Datenschutzrecht vereinbar ist.

Unternehmen, gleich welcher Größe, müssen die vertraglichen Abreden mit dem sorgfältig ausgewählten Cloud-Anbietern also auf Augenhöhe verhandeln und dürfen diese nur dann akzeptieren, wenn die Leistungen des Anbieters im Einklang mit den datenschutzrechtlichen Bestimmungen stehen und der Cloud-Anbieter nur im Rahmen der Weisungen des Cloud-Anwenders tätig wird. Hinzu kommt die Pflicht des Unternehmens, sich sowohl vor Beginn der Datenverarbeitung als auch anschließend regelmäßig die Einhaltung der beim Cloud-Anbieter getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Neben den Datensicherheitsanforderungen der Verfügbarkeit, Vertraulichkeit und Integrität sind zudem die Datenschutzziele der Transparenz, Nicht-Vertretbarkeit und Intervenierbarkeit sowie das Cloud-spezifische Schutzziel der Datenportabilität im Hinblick auf den Betroffenenschutz zu prüfen.

In der Praxis ist der damit verbundene Kontrollaufwand, insbesondere vor Ort beim Cloud-Anbieter aufgrund der tatsächlichen Gegebenheiten (wie Zugangsrecht zu den Rechenzentren, Verteilung der Rechenzentren) oft nicht praktikabel. Es ist daher anerkannt, dass der Cloud-Anbieter in Form einer Selbstbindung dem Cloud-Nutzer detaillierte Prüfberichte zur Verfügung stellt oder die Kontrollrechte an eine unabhängige, fachlich und zuverlässige Stelle übertragen werden, die einschlägig zertifiziert ist. Hierbei sollte geprüft werden, ob der Cloud-Anbieter eine Kopie des Zertifikates und/oder den dazugehörige Evaluationsbericht zur Verfügung stellen kann.

PRAXISTIPP 2:

Unternehmen sollten ausschließlich einen Cloud-Anbieter auswählen, der mittels einer Selbstbindung detaillierte Prüfberichte zur Verfügung stellt oder die Kontrollrechte an eine unabhängige, fachlich und zuverlässige Stelle übertragen hat, die einschlägig zertifiziert ist.

 Im letzten Teil unserer Serie zum Thema Cloud Computing erfahren Sie, welche Klauseln vertraglich mit dem Anbieter geregelt sein sollten und was diese beinhalten sollten.

WK LEGAL ist eine auf den Bereich der Neuen Medien spezialisierte Wirtschaftsrechtskanzlei und berät eine Vielzahl von Unternehmen in diesem Bereich. Gerne stehen wir auch Ihnen für Ihre unverbindlichen Fragen zur Verfügung. Sprechen Sie uns einfach per E-Mail an.

Sie haben zu diesem Artikel weitergehende Fragen? Stellen Sie Ihre Fragen direkt und unverbindlich an den Autor dieses Artikels über das nachfolgende Kontaktformular.

[insert_ajaxcontact id=2443]