Drum prüfe, wer sich (ewig) bindet …

Die gesetzlichen Vorgaben verlangen im Weiteren, dass ein schriftlicher Vertrag zwischen dem Anwender und dem Anbieter geschlossen wurde, der insbesondere die Vorgaben von § 11 Abs. 2 BDSG berücksichtigt.

Im Hinblick auf die datenschutzrechtlichen Regelungen sollte der Vertrag mit dem Anbieter die folgenden Punkte enthalten bzw. regeln:

(1) Als Mindestvoraussetzung sollte in diesem Vertrag geregelt sein, dass der Cloud-Anbieter den Weisungen des Cloud-Anwenders Folge zu leisten hat und er technische und organisatorische Maßnahmen zu treffen hat, um die personenbezogenen Daten angemessen zu schützen. Hierbei sollte eine Beschreibung der konkreten Maßnahmen unbedingt erforderlich sein.

(2) Gegenstand und Laufzeit der Cloud-Nutzung sowie Art, Umfang und Zweck der Verarbeitung personenbezogener Daten.

(3) Ein besonderes Augenmerk sollte auf die Regelung über die Bedingungen der Rückgabe personenbezogener Daten oder zur Zerstörung der Daten nach Vertragsende gelegt werden.

(4) Zwischen den Parteien sollte eine Vertraulichkeitsklausel vereinbart werden, die für den Cloud-Anbieter und sein zugriffsberechtigtes Personal verbindlich ist.

(5) Verpflichtung des Cloud-Anbieters, den Anwender bei der Ausübung der Betroffenenrechte im Hinblick auf Gewährleistung von Auskunft, Berichtigung und Löschung der Daten zu unterstützen.

(6) Die Weitergabe von Daten an Dritte durch den Cloud-Anbieter sollte untersagt sein, soweit eine Übermittlung oder Weitergabe an einen Unterauftragnehmer vertraglich nicht besonders geregelt ist.

(7) Klarstellend sollte der Anbieter verpflichtet werden den Anwender im Falle eines Datenschutzverstoßes, der die Daten des Anwenders betrifft, zu informieren.

(8) Der Anbieter sollte sich verpflichten dem Anwender eine Liste der Orte zu übergeben, oder diese dem Vertrag als Anlage beizufügen, an denen die Daten durch verarbeitet werden können.

(9) Eine ausdrückliche Regelung, welche dem Cloud-Anwender das Recht einräumt, die Einhaltung der Verpflichtungen des Cloud-Anbieters zu überwachen und den Cloud-Anbieter zur Kooperation mit dem Anwender verpflichtet.

(10) Regelung über eine Informationspflicht des Anbieters für den Fall relevanter technischer oder organisatorischer Umstände des Cloud-Dienstes, wie z.B. die Implementierung zusätzlicher Funktionalitäten.

(11) Das Loggen und Auditieren wesentlicher Verarbeitungen personenbezogener Daten bei dem Cloud-Anbieter oder seinen Unterauftragnehmern.

(12) Verpflichtung des Anbieters, den Anwender über rechtlich zulässige Zugriffe der Strafverfolgungsbehörden und anderen staatlichen Stellen zu informieren und unzulässige und nicht zwingend gesetzlich gebotene Anfragen zurückzuweisen.

(13) Eine allgemeine Zusicherung des Anbieters, dass seine interne Organisation und Datenverarbeitungsvorgänge mit den Anforderungen des jeweils geltenden Rechts und mit entsprechenden technischen Standards übereinstimmen.

Auch sollte eine zusätzliche Regelung enthalten sein, welche den Schutz nicht personenbezogener Daten, wie z.B. technische Daten oder Finanzdaten, im Sinne des Unternehmens regelt.

Darüber hinaus sollte der Vertrag mit dem Cloud-Anbieter auch die Einräumung notwendiger Nutzungsrechte für das Cloud-Computing beinhalten. Z.B. im Falle der Nutzung von Software würde diese nämlich die Software vom Server des Cloud-Anbieters in den Arbeitsspeicher des Nutzers geladen werden. Hierbei handelt es sich um eine urheberrechtlich relevante Vervielfältigungshandlung, die nur dann zulässig ist, wenn entsprechende Nutzungsrechte eingeräumt sind und die Speicherung im Arbeitsspeicher nur vorübergehend und mit dem Zweck der bestimmungsgemäßen Nutzung der Applikation erfolgt.

Praxistipp 3:

Unternehmen sollten einen Vertrag nur mit einem Anbieter abschließen, der durch die Einhaltung der datenschutzrechtlichen und urheberrechtlichen Bestimmungen im Vertrag eine Vertrauensbasis für eine erfolgreiche Zusammenarbeit und für die Sicherheit der Unternehmens- und Kundendaten schafft.

Fazit

Das Cloud-Computing bietet Unternehmen in technischer Hinsicht viele neue Möglichkeiten und mag auch unter wirtschaftlichen Aspekten besonders interessant sein. Gleichwohl sollte bei der Planung, Migration und Umsetzung des Cloud-Computing im Unternehmen auf die gesetzlichen Vorgaben geachtet werden.

Nur durch die Beachtung der gesetzlichen Vorschriften kann der Wechsel in die Cloud einem Unternehmen nachhaltige Vorteile bringen, da hierdurch bereits die Auswahl des geeigneten Partners unterstützt wird und auch die dauerhafte Verwendung der Cloud für das Unternehmen dann keine rechtlichen Risiken birgt.

WK LEGAL ist eine auf den Bereich der Neuen Medien spezialisierte Wirtschaftsrechtskanzlei und berät eine Vielzahl von Unternehmen in diesem Bereich. Gerne stehen wir auch Ihnen für Ihre unverbindlichen Fragen zur Verfügung. Sprechen Sie uns einfach per E-Mail an.

Sie haben zu diesem Artikel weitergehende Fragen? Stellen Sie Ihre Fragen direkt und unverbindlich an den Autor dieses Artikels über das nachfolgende Kontaktformular.

[insert_ajaxcontact id=2443]