Cloud-Anbieter im Lichte der DSGVO. Anforderungen und Sicherheitsmaßnahmen

Inhaltsverzeichnis

Literaturverzeichnis

Abkürzungsverzeichnis

Abbildungsverzeichnis

A. Einleitung
I. Blick auf Datenschutz
II. Zielsetzung und Fragestellung der Arbeit

B. Hintergründe

C. Cloud-Computing
I. Cloud Konzept und Modelle
II. Cloud-Anbieter als Auftragsverarbeiter
III. Allgemeine Risiken der Cloud
IV. Personenbezogene Daten in der Cloud

D. Anforderungen der DS-GVO für Cloud-Anbieter
I. Sachliche und räumliche Anwendungsbereiche
1. Sachlicher Anwendungsbereich
2. Räumlicher Anwendungsbereich
II. Verantwortung und Pflichten der Parteien nach der DS-GVO
1. Verantwortlichkeit und Pflichten des Cloud Service Anbieters
a) Vertretung in der EU
b) Ausweitung der Haftung
c) Recht auf Vergessenwerden
d) Cyberangriffe und Meldepflicht
e) Verzeichnis von Verarbeitungstätigkeiten
2. Verantwortlichkeit des CloudNutzers
III. Technisch organisatorische Maßnahmen
1. Privacy by Design
3. Verschlüsslung
3. Zertifizierungen

E. Praktischer Fall zur Veranschaulichung - Amazon Web Service (AWS)
I. Die gemeinsame Verantwortung in AWS
II. Anwendungsbereiche
III. TOM (technische organische Maßnahmen)
1. Verschlüsselung in AWS System
2. Security by Design
3. Konformität Programm (Zertifizierung)
IV. Fall zur Veranschaulichung – Zwischenfazit

F. Ergebnis der Masterarbeit
I. Anwendungsbereiche
II. Verantwortung
III. TOM

G. Zusammenfassung und Ausblick

Endnotenverzeichnis

Literaturverzeichnis

Christian Hamann, S. 1090-1097 Europäische Datenschutz-Grundverordnung - neue Organisationspflichten für Unternehmen, Juris BB 2017, 1090-1097.

Johanna M. Hofmann, Anforderungen aus DS-GVO und NIS-RL an das Cloud Computing, Beck Online, 05488, 2017.

Albrecht/ Jotzo in Das neue Datenschutzrecht der EU, Teil 2, Rn. 13f. Nomos; Auflage: 1, 30. September 2016.

Kai-Uwe Plath, Kommentar zum BDSG und zur DSGVO sowie den Datenschutzbestimmungen des TMG und TKG, Verlag Dr. Otto Schmidt, Auflage 2, 18.07.2018.

Diana Rataj, Einfluss des allgemeinen Persönlichkeitsrechts auf den einfachgesetzlichen Datenschutz, Springer Verlag, Wiesbaden 2017.

Städer Stefan, Rechtskonformes Identitätsmanagement im Cloud-Computing, 2017.

Hennrich Thorsten, Herausforderungen an den Rechtsrahmen für Datenschutz, Duncker & Humblot; Auflage 1, 18. November 2015.

Internetquellen

Amazon Cloudfront, Entwicklerhandbuch, 2016-09-29, unter: https://docs.aws.amazon.com/de_de/AmazonCloudFront/latest/DeveloperGuide/cf_dg.pdf#georestrictions (abgerufen am 30.07.18).

Amazon Web Services Datenschutzhinweis, 29. 06 2018, unter: https://d1.awsstatic.com/legal/privacypolicy/AWS%20Privacy%20Policy%20-%20German%20Translation%20(2018-06-29).pdf (abgerufen am 15,07,2018).

Anforderungskatalog Cloud Computing (C5), Bundesamt für Sicherheit in der Informationstechnik – BSI, September 2017, unter: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Anforderungskatalog-Cloud_Computing-C5.pdf?__blob=publicationFile&v=3 (abgerufen 10,07,2018).

Anwendungsbereich der Europäischen Datenschutzgrundverordnung, Dok.-Nr. #50159, unter: https://www.frankfurt-main.ihk.de/recht/themen/datenschutzrecht/europaeische_datenschutzgrundverordnung/index.html (abgerufen am .3.06.2018).

Auf dem Weg zur EU-Datenschutz-Grundverordnung, Trend Micro WhitePaper, unter: http://www.trendmicro.de/media/wp/wp-eu-privacy-protection-regulation-de.pdf (abgerufen am 01,06.2018).

Wilfried Bernhardt, Cloud-Computing Service Vereinbarkeit mit dem Daten-schutz, 31,05,2017, unter: https://www.gisa.de/wp-content/uploads/pdf/Bernhardt_Cloud-Computing.pdf (abgerufen am 01.06.2018).

Bitkom, Begleitende Hinweise zu der Anlage Auftragsverarbeitung, 2017, unter: https://www.bitkom.org/NP-Themen/NP-Vertrauen-Sicherheit/Datenschutz/EU-DSG/170515-LF-Auftragsverarbeitung-online.pdf (abgerufen am 20.06.2018).

Linda Boegelein, Auftragsdatenverarbeitung 28.07.2017, unter: https://it-service.network/blog/2017/09/28/auftragsdatenverarbeitung-adv-vertag-aendert-sich/ (abgerufen 03.06.2018).

Linda Boegelen, Datenschutz-Folgenabschätzung Kennen Sie Ihr Risiko? 03 jan 2018, unter: https://it-service.network/blog/2018/01/03/datenschutz-folgenabschaetzung-risikobewertung/ (abgerufen am 20.06.2018).

Linda Boegelein, DSFA, unter: https://it-service.network/blog/2018/01/10/dsgvo-pia-risikoanalyse-wann-ist-dsfa-pflicht/ (abgerufen am 06.08.2018).

Linda Boegelein, Verarbeitungsverzeichnis, 27.02.2018, unter: https://it-service.network/blog/2018/02/27/verarbeitungsverzeichnis-nach-dsgvo/ (abgerufen am 07.06.2018).

Linda Boegelein, Verfahrensverzeichnis, 23.02.2018, unter: https://it-service.network/blog/2018/02/23/verfahrensverzeichnis-nach-dsgvo/ (abgerufen am 23.07.2018).

Linda Boegelein, wie Sie die DSGVO in der Cloud umsetzen, 29. Juni 2017, unter: https://it-service.network/blog/2017/05/29/eu-datenschutz-dsgvo-gdpr/ (abgerufen am 17.06.2018).

Agnieszka Czernik, Isms & DSGVO, Möglichkeiten der Zertifizierung, 09,12,2016. https://www.datenschutzbeauftragter-info.de/isms-dsgvo-moeglichkeiten-der-zertifizierung/ (abgerufen am 22.06.2018).

DAAKS, Amtliche Hinweise Zur Datenschutzzertifizierung, 10,04,2018, unter: https://www.dakks.de/content/keine-g%C3%BCltige-zertifizierung-nach-der-eu-dsgvo-vor-dem-25-mai-2018-m%C3%B6glich (abgerufen 22.07.2018).

Datenschutz-Folgenabschätzung: Risikobewertung in Sachen Datenschutz, unter: https://www.datenschutz.org/folgenabschaetzung/ (abgerufen am 22.05.2018).

Dennis Jansen, Krieg der Daten 28.03.2018, https://www.cr-online.de/blog/2018/03/28/krieg-der-daten-kollision-von-eu-dsgvo-und-us-cloud-act/ (abgerufen am 05.07.2018).

Dr. Datenschutz, Recht auf Vergessenwerden bzw. die Löschungspflicht nach DSGVO, 27.März.2017, unter: https://www.datenschutzbeauftragter-info.de/das-recht-auf-vergessenwerden-bzw-die-loeschungspflicht-nach-dsgvo/ (abgerufen am 23.06.2018).

Dr. Datenschutz, Verzeichnis von Verarbeitungstätigkeiten des Auftragsverarbeiters, 22.06.2017, unter: https://www.datenschutzbeauftragter-info.de/verzeichnis-von-verarbeitungstaetigkeiten-des-auftragsverarbeiters/ (abgerufen am 23.07.2018).

Dr. Datenschutz, Was bedeutet Privacy by Design / Privacy by Default wirklich?, 17.10. 2017 unter: https://www.datenschutzbeauftragter-info.de/was-bedeutet-privacy-by-design-privacy-by-default-wirklich/ (abgerufen 06.06.2018).

DSGVO in einfachen Worten, Warum Es Sich Lohnt, Dieses Verzeichnis Zu Führen, unter: https://eu-datenschutz-grundverordnung.net/verzeichnis-von-verarbeitungstaetigkeiten-dokumentationspflicht/ ( abgerufen am 12.08.2018).

Institute der Wirtschaftsprüfer, Fragen und Antworten zu der EU Datenschutz-Grundverordnung, 08,03,2018, unter: https://www.idw.de/blob/107866/528016427b62499f7b7c2fe0ae4d284d/down-datenschutz-fragen-und-antworten-data.pdf (abgerufen am 14.06.2018).

Martin Führer, Datentransfer ins Ausland, 2014, angestrebter akademischer Grad Master of Laws (LL.M.), Universität Wien, 2014, unter: http://othes.univie.ac.at/35360/1/2014-09-20_0400619.pdf (abgerufen am 28.07.2018).

GINDAT, Datenschutz-Grundverordnung: Was ändert sich für Cloud-Nutzer, 2017, unter: https://www.gindat.de/news/news-einzelansicht/article/datenschutz-grundverordnung-was-aendert-sich-fuer-cloud-nutzer.html (abgerufen 06.06.2018).

Pierre Gronau, Security By Design in DS-GVO Projekte, 29.06.2018, unter: https://www.cio.de/a/security-by-design-in-dsgvo-projekten,3582710 (Abgerufen am 22.07.2018).

Jürgen Hartz, Neue Datenschutzgrundverordnung: Zeit zu handeln, 5 März 2018, unter: https://transformations-magazin.com/neue-datenschutzgrundverordnung-zeit-zu-handeln/293/ (abgerufen am 06.06.2018).

Geritt Hötzel, Sind verschlüsselte Daten personenbezogene Daten?, 08.01.2018, unter: https://www.voelker-gruppe.com/stuttgart/verschluesselte_daten_personenbezogen/ (abgerufen am 09.06.2018).

Introduction to AWS Security by Design, November 2015, unter: https://d1.awsstatic.com/whitepapers/compliance/Intro_to_Security_by_Design.pdf (abgerufen am 22.07.2018).

Florian Karlstetter, Wann ein Cloud-Dienst DSGVO-konform ist, 22.02.2018, unter: https://www.cloudcomputing-insider.de/wann-ein-cloud-dienst-dsgvo-konform-ist-a-687011/ (abgerufen 7.6.2018).

Eric Knorr, Was ist Cloud Computing?, 20.09.2017, unter: https://www.computerwoche.de/a/was-ist-cloud-computing,3331603,2, (abgerufen am 11.06.2018).

Michael Kretschmer, EU-DSGVO: „Recht auf Vergessenwerden“ und Backups – ein Widerspruch?, 26.07.2018. https://www.infopoint-security.de/eu-dsgvo-recht-auf-vergessenwerden-und-backups-ein-widerspruch/a16324/ (abgerufen am 25.07.2018).

Kurzpapier Nr. 5: Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO, unter: https://www.datenschutzzentrum.de/artikel/1162-Kurzpapier-Nr.-5-Datenschutz-Folgenabschaetzung-nach-Art.-35-DS-GVO.html (abgerufen am 20.06.2018).

Bernahrd Krämer, E-Mail-Anbieter sind keine Auftragsverarbeiter im Sinne der DSGVO, 29.05.2018, unter: https://www.bernhard-kraemer.com/2018/05/29/e-mail-anbieter-sind-keine-auftragsverarbeiter/ (abgerufen am 21.06.2018).

James Lapalme, Eu-Dsgvo: Bis Zu 20 Millionen Strafe Bei Nichteinhaltung, 30.01.2017, unter: https://www.it-daily.net/it-sicherheit/datenschutz/14452-eu-datenschutzgrundverordnung-eu-dsgvo (abgerufen am 01.06.2018).

James Lapalme, EU-DSGVO: Kryptischen Gesetzestexten mit Kryptologie begegnen, Mai 2017, unter: https://www.searchsecurity.de/meinung/EU-DSGVO-Kryptischen-Gesetzestexten-mit-Kryptologie-begegnen (abgerufen am 21.08.2018).

Birgit Lemken, Ein Schritt zur DSGVO-Compliance 10.05.2018, unter: https://www.computerwoche.de/a/ein-schritt-zur-dsgvo-compliance,3332133 (abgerufen 07.06.2018).

Ralf Lieser, B2C E-Commerce, 17 August 2017, unter: https://www.netz98.de/blog/b2b-e-commerce/was-bedeutet-die-datenschutzgrundverordnung-fuer-ihre-cloud-produkte/ (abgerufen am 13.07.2018).

Guillaume Marcerou, Sensible und nicht sensible Daten – der entscheidende Unterschied, Dezember 28, 2017, unter: https://www.criteo.com/de/insights/eu-datenschutz-grundverordnung-sensible-und-nicht-sensible-daten-der-entscheidende-unterschied/ (abgerufen 28.07.2018).

Mauß Datenschutz, Gemeinsam für die Verarbeitung Verantwortliche nach der DSGVO, 17.Oktober 2017, unter: https://datenschutzbeauftragter-hamburg.de/2017/10/gemeinsam-fuer-die-verarbeitung-verantwortliche-nach-der-ds-gvo/ (abgerufen am 7.7.2018).

Eduard Meelhuysen, So hilft Cloud-Verschlüsselung bei der DSGVO-Compliance, 04,10,2017. https://www.security-insider.de/so-hilft-cloud-verschluesselung-bei-der-dsgvo-compliance-a-647544/ (abgerufen am 11.07.2018).

Meine Datenschutz Erklärung, Verzeichnis von Verarbeitungstätigkeiten nach DS-GVO, 28,12.2017. https://www.webseitenschutzpaket.de/artikel/verzeichnis-von-verarbeitungstaetigkeiten-dsgvo/ (abgerufen am 20.07.2018).

Sebastian Meissner, Neue Möglichkeiten der Zertifizierung durch die DSGVO 5. Dezember 2017, Köln, unter: https://www.european-privacy-seal.eu/AppFile/GetFile/d7bb16c9-c142-481b-a18f-81cedd0f8245 (abgerufen am 29.07.2018).

Merkmale des AWS-Service für GDPR, unter: https://aws.amazon.com/de/compliance/gdpr-center/service-capabilities/ (abgerufen am 31.07.2018).

Microsoft Traust Center, So unterstützen unsere Produkte bei der DSGVO-Compliance, unter: https://www.microsoft.com/de-de/TrustCenter/privacy/gdpr/solutions (abgerufen am 10.07.2018).

Modell der gemeinsamen Verantwortung, unter: https://aws.amazon.com/de/compliance/shared-responsibility-model/ (abgerufen am 01.08.2018).

Neues Datenschutzrecht ab Mai 2018, Grundsatz der Verarbeitung nach Treu und Glauben und Transparenz, unter: https://eu-datenschutz-grundverordnung.net/verarbeitung-nach-treu-und-glauben/ (abgerufen 06.06.2018).

Marcus Niese, Die Datenschutz-Folgenabschätzung, März 2017, unter: https://www.rehm-verlag.de/verwaltung/aktuelle-beitraege-datenschutz/die-datenschutz-folgenabschaetzung/ (abgerufen am 19.06.2018).

Ntt Com Security, unter: http://www.nttcomsecurity.ch/kompetenzen/security-services/dsgvo-service/ (abgerufen am 12.06.2018).

Orientierungshilfe Cloud Computing, Version 2.0/09.10.2014, unter: https://www.datenschutz-bayern.de/print/technik/orient/oh_cloud.pdf (abgerufen am 22.07.2018).

Martini in Paal/ Pauly, DSGVO, 1, Art. 24, 2017 Nummer. 20, 40, unter: https://www.pingdigital.de/blog/2017/08/28/technische-und-organisatorische-massnahmen-nach-der-dsgvo/1178 (abgerufen am 13.06.2018).

Sheila Pancholi, GDPR: The biggest change to data laws in over 20 years but are companies ready?, 28,02.2018. https://www.ibtimes.co.uk/gdpr-biggest-change-data-laws-over-20-years-are-companies-ready-1663405 (abgerufen am 01.06.2018).

Andrea Pfundmeier, Umsetzung der DS-GVO bei Boxcryptor, 06, 05, 2018. https://www.boxcryptor.com/de/blog/post/boxcryptors-gdpr-journey-part-5-encryption/ (abgerufen am 09.06.2018).

https://www.pingdigital.de/blog/2017/08/28/technische-und-organisatorische-massnahmen-nach-der-dsgvo/1178 , (abgerufen am 11.07.2018).

PresseBox 891236, Wann ist ein Cloud-Dienst DSGVO-geeignet? 31.01.2018, unter: https://www.pressebox.de/pressemitteilung/uniscon-gmbh-the-web-privacy-company/Wann-ist-ein-Cloud-Dienst-DSGVO-geeignetOE/boxid/891236 (abgerufen am 11.07.2018).

Bruno Quint, Neue Wege für Datensicherheit in der Cloud, 30.01.18. unter: https://www.egovernment-computing.de/neue-wege-fuer-datensicherheit-in-der-cloud-a-681298/ (abgerufen am 20.07.2018).

Reform der EU-Datenschutzvorschriften 2018, unter: https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_de (abgerufen am 28.05.2018).

Jürgen Richter, Datenminimierung durch Pseudonymisierung, 10.05.2018, unter: https://www.computerwoche.de/a/ein-schritt-zur-dsgvo-compliance,3332133 (abgerufen 07.06.2018).

Rainer M. Richter, Cyberangriffe und DSGVO: Die Meldepflichten, 20.07.2017, unter: https://www.silicon.de/blog/cyberangriffe-und-dsgvo-die-meldepflichten/?inf_by=5ae8b66f671db8b3748b4d67 (abgerufen 21.07.2018).

Matthias Rosa, Cloud Computing und die EU-DSGVO, 11.07.2017, unter: http://blog.orbit.de/2017/07/11/cloud-computing-und-eu-dsgvo/ (abgerufen 06.06.2018).

Matthias Rosa, So geht das mit dem Cloud Computing im Unternehmen nach der neuen DSGVO ab Mai 2018, unter: https://blog-it-recht.de/2017/07/10/so-geht-das-mit-dem-cloud-computing-nach-der-neuen-dsgvo-ab-mai-2018/, (abgerufen am 14.06.2018).

Peter Schaar, Europäischer Startschuss für die Datenschutzreform: Eine Chance für wirksame Verbesserungen, DuD 2012, unter: https://link.springer.com/content/pdf/10.1007%2Fs11623-012-0055-0.pdf (abgerufen am 10.06-2018).

Nicole Schmidt, Über die Informationspflicht des Verantwortlichen nach Art. 34 Abs. 1 DSGVO, 12.06.2017, unter: https://www.suedwest-datenschutz.com/ueber-die-informationspflicht-des-verantwortlichen-nach-art-34-abs-1-dsgvo/ (abgerufen 29.05.2018).

Nicole Schmidt, Das Marktortprinzip in der DSGVO, 26 Oktober 2016,unter: https://www.suedwest-datenschutz.com/das-marktortprinzip-in-der-dsgvo/ (abgerufen am 17.07.2018).

Stephen Schmidt, AWS and the General Data Protection Regulation (GDPR), 25.April 2018, unter: https://aws.amazon.com/de/blogs/security/aws-and-the-general-data-protection-regulation/ (abgerufen am 25.07.2018).

Peter Schmitz, Was die DSGVO bei Cyberangriffen fordert, 18.03.2018, unter: https://www.security-insider.de/was-die-dsgvo-bei-cyberangriffen-fordert-a-699805/ (abgerufen am 16.07.2018).

Oliver Schonschek, Das Verzeichnis von Verarbeitungstätigkeiten nach DSGVO, unter: https://www.searchsecurity.de/lernprogramm/Das-Verzeichnis-von-Verarbeitungstaetigkeiten-nach-DSGVO (abgerufen am 28.07.2018).

Oliver Schonschek, Was ändert sich bei der Datenschutz-Zertifizierung, 19.03.18, unter: https://www.security-insider.de/was-aendert-sich-bei-der-datenschutz-zertifizierung-a-695286/ (abgerufen am 26.07.2018).

Oliver Schonschek, welche Bedeutung die DSGVO für die Cloud Auswahl hat, 15.11.2017, unter https://www.cloudcomputing-insider.de/welche-bedeutung-die-dsgvo-fuer-die-cloud-auswahl-hat-a-660762/ (abgerufen am 22.07.2018).

Oliver Schonschek, GDPR/DSGVO und Zertifikate, unter: https://www.searchstorage.de/lernprogramm/GDPR-DSGVO-und-Zertifikate-Auswahl-von-Cloud-Storage (abgerufen am 25.07.2018).

Oliver Schonscheck, was Cloud-Nutzer wissen müssen, 05.06.2017, unter: https://www.computerwoche.de/a/datenschutz-grundverordnung-was-cloud-nutzer-wissen-muessen,3330645,2 (abgerufen am 23.06.2018).

Peter Schmitz, Sind Cloud-Speicher und DSGVO ein Widerspruch?, 25.07.18, unter: https://www.security-insider.de/sind-cloud-speicher-und-dsgvo-ein-widerspruch-a-732667/ (abgerufen am 17.06.2018).

Mathias Schneider, Die EU-Datenschutz-Grundverordnung kommt, 27.07.2016, unter: https://www.hlfp.de/blog/2016/07/die-eu-datenschutz-grundverordnung-kommt (abgerufen am 16.07.2018).

Security by Design, Der Ansatz von Security by Design, https://aws.amazon.com/de/compliance/security-by-design/ (abgerufen am 29.07.2018).

Servinga, Chancen und Risiken im Zusammenhang mit Cloud-Computing, 16.03.2018. https://www.servinga.com/blog/security/eu-dsgvo-chancen-und-risiken-im-zusammenhang-mit-cloud-computing/ (abgerufen 27.06.2018).

Frank Siemons, Daten sicher nach Microsoft Azure oder AWS verlagern, unter: https://www.searchsecurity.de/tipp/Daten-sicher-nach-Microsoft-Azure-oder-AWS-verlagern (abgerufen am 12.07.2018).

RA Steinle, Meldepflicht bei Datenpannen, 13.01.2017, unter: http://www.it-rechtsanwalt.com/datenschutz/dsgvo-meldepflicht-bei-datenpannen-4874.php (abgerufen 10.06.2018, (abgerufen 10.06.2018).

Regina Stoiber, wann handelt es sich um einen Auftragsverarbeiter?, April 2018, unter: https://regina-stoiber.com/2018/04/12/wann-handelt-es-sich-um-einen-auftragsverarbeiter-auftragsdatenverarbeiter-dsgvo/ (abgerufen am 19.06.2018).

Städer Stefan, Rechtskonformes Identitätsmanagement im Cloud-Computing, 2017.

Teamdrive, Cloud Sicherheit und die Datenschutz-Grundverordnung GDPR, https://www.teamdrive.com/de/cloud-sicherheit-und-die-dsgvo/ (abgerufen am 28.07.2018).

The Blue is You! AWS Shared Responsibility Model and the Need for Backup, unter: https://n2ws.com/blog/aws-cloud/aws-shared-responsibility-model-security (abgerufen am 25.07.2018).

Hennrich Thorsten, Herausforderungen an den Rechtsrahmen für Datenschutz, Duncker & Humblot; Auflage 1, 18. November 2015.

Tätigkeitsbericht 6. des BayLDA vom März 2015, unter: https://www.lda.bayern.de/media/baylda_report_06.pdf (abgerufen am 12.08.2018).

Verband der Internetwirtschaft, Die wichtigsten 10 Neuerungen beim Cloud Computing, unter: https://www.eco.de/dsgvo/die-wichtigsten-10-neuerungen-beim-cloud-computing/#4__verzeichnis_von_verarbeitungskategorien (abgerufen am 20.07.2018).

Sebastian Viog, Privacy by Design & Privacy by Default, 5 Juni 2018, unter: https://piwikpro.de/blog/privacy-by-design-und-privacy-by-default/ , (abgerufen am 18.07.2018).

Was ist der Unterschied zwischen EU und EG? Unter: https://www.diekaelte.de/Archiv/Heftarchiv/article-204656-102997/das-sollten-sie-wissen-.html?UPOS=2 (abgerufen am 01.06.2018).

Daniel Wolf, 5 Tipps für DSGVO in der Cloud, 15,01,2018, unter: https://www.monitor.at/storyid/article/5-tipps-fuer-dsgvo-in-der-cloud/ (abgerufen am 23.07.2018).

Chad Woolf, All AWS Services GDPR ready, 26. März 2018. https://aws.amazon.com/de/blogs/security/all-aws-services-gdpr-ready/ (aufgerufen am 26.07.2018).

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Abbildungsverzeichnis

Abbildung 1: Aufbau der Arbeit

Abbildung 2: Modell der gemeinsamen Verantwortung

A. Einleitung

I. Blick auf Datenschutz

Es wird mit der Zeit immer wichtiger, personenbezogene Daten zu schützen, da es hierbei um die Rechte und Freiheiten von Personen geht. Europäische Länder wurden bereits in der Vergangenheit von der europäischen Union dabei unterstützt, Datenschutzgesetze zu regeln und zu erschaffen.ⁱ

Die europäischen Länder verfügen über die meisten nationalen Gesetze, die den Schutz der Daten regeln. Ab dem 24. Mai 2016 ist die Datenschutz-Grundverordnung (DSGVO) in Kraft getreten, nach 2 Jahren Gnadenfrist steht diese Grundverordnung seit dem 25. Mai 2018 zur Anwendung, wodurch sich das gesamte europäische Datenschutzrecht im Umbruch befindet.ⁱⁱ Diese Verordnung wurde als die größte Änderung bei Datenschutzgesetzen seit den letzten 20 Jahren bewertet.ⁱⁱⁱ

Die DS-GVO unterscheidet sich von Richtlinie 95/46/EG, denn die Richtlinie erlangte keine Rechtswirkung in den jeweiligen Ländern und musste nicht in nationales Recht umgesetzt werden. Die Verordnung hingegen impliziert nach dem Rate der Kommission Rechtsakte, die als Ganzes verbindlich sind und unmittelbar in jedem Mitgliedstaat gelten.^iv Das erschwert die Lage für die Unternehmen; vor allem wird die praktische Umsetzung für die Cloud-Anbieter viel aufwendiger als in anderen Arbeitsbranchen. Die neue Verordnung stellt ausdrücklich ein Pflichtenprogramm für solche Unternehmen auf. Bei einer Verletzung der datenschutzrechtlichen Pflichten kann ein Bußgeld in Millionenhöhe erfolgen.^v

II. Zielsetzung und Fragestellung der Arbeit

Das Ziel der vorliegenden Masterarbeit besteht darin zu ermitteln, welche Neuerungen der DS-GVO die Cloud-Anbieter betreffen und welche Anforderungen und Sicherheitsmaßnahmen demnach die Cloud-Anbieter im Zuge der neuen DS-GVO erfüllen müssen. In diesem Zusammenhang werden in dieser Arbeit nur die nachfolgenden drei Hauptkriterien diskutiert:

1- Die Anwendungsbereiche der DS-GVO (räumlich und sachlich)
2- Die Verantwortung und Pflichten der Parteien
3- Die technischen und organisatorischen Maßnahmen

Die nachfolgende Abbildung zeigt den Aufbau der Arbeit übersichtlich in grafischer Darstellung:

Abbildung 1: Aufbau der Arbeit ^vi

Abbildung in dieser Leseprobe nicht enthalten

Um die Fragestellung „Anforderungen an den Umgang mit personenbezogenen Daten und Sicherheitssystemen im Bereich der Cloud-Dienstleistungen vor dem Hintergrund der DS-GVO“ zu erforschen, wurde sich intensiv mit den Grundlagen der DS-GVO befasst und deren Umsetzung anhand eines praktischen Anwendungsfalls (Amazon Web Service) untersucht.

Die DS-GVO findet erst seit einigen Monaten ihre Anwendung und es ist dem aktuell noch kleinen Angebot an Literatur und praktischen Fällen geschuldet, dass das Thema nicht ausführlicher und intensiver behandelt werden kann. Der Fall von Amazon Web Service als praktisches Beispiel bot sich hier aufgrund gesammelter Erfahrungswerte an. Hierfür wurden viele Internetquellen und juristische Beiträge als Literaturquellen herangezogen.

B. Hintergründe

Aus guten Gründen wird über die hier zuvor genannten Aspekte geforscht. Die DS-GVO erweitert den Anwendungsbereich deutlich im Vergleich zu den nationalstaatlichen Gesetzen.^vii daher wird es für jeden Anbieter wichtig sein festzustellen, ab welchen räumlichen bzw. sachlichen Grenzen die DS-GVO für seine Daten greift. Das kann sicherlich für den Cloud-Anbieter, insbesondere als Multi- Regionen-Anbieter, eine Priorität sein.^viii

Um ihrer Verantwortung nachzukommen, ist es für Parteien sehr wichtig zu wissen, unter welchen Bedingungen die Verteilung der Verantwortung gilt. In diesem Kontext muss klar sein, wer für die Verstoßung der Datenschutzgesetze haftet und welche neuen Pflichten die DS-GVO gebracht hat. Hier wird das Modell gemeinsame Verantwortung, das in Artikel 26 der DS-GVO dargelegt wird, ein wichtiger Diskussionspunkt sein.^ix

Zusätzlich enthält die DS-GVO neue Anforderungen. Für diese Änderungen wird als Abkürzung TOM verwendet. Die technischen und organisatorischen Maßnahmen stellen eine wichtige Säule der Datenschutz-Dokumentation dar.

C. Cloud-Computing

I. Cloud Konzept und Modelle

Cloud-Computing ist ein Dienst, der heutzutage bei vielen Anwendungen zum Tragen kommt. Im Moment benutzen wir diesen Dienst für Email, Daten- und Software Speicherung und Bearbeitung. Die Definition des Konzepts aus technischer Sicht ist eine On-Demand Dienste-Bereitstellung von IT-Infrastrukturen und Anwendungen unter virtualisierten Speicher-Ressourcen. Diese Ressourcen befinden sich in Ressourcen-Pools, auf die parallel von vielen Personen – abhängig von ihrer Autorisierung – zugegriffen werden kann. ^x

Das Cloud-Computing ist generell in 4 Typen zu kategorisieren:

- Infrastructure as a Service (IaaS): Hier greift das Unternehmen über das Internet auf IT-Infrastrukturen des Anbieters zu.
- Plattform as a Service (PaaS): Das Unternehmen kann über das Internet eine Softwareumgebung zur Verfügung stellen, die Applikation wird in der Wolke verfügbar gemacht.
- Software as a Service (SaaS): Die Nutzung von Software wird durch diese Lösung möglich, Software wird auf der Infrastruktur des Anbieters installiert.
- Communication as a Service (CaaS): Dieses Service-Modell ermöglicht eine integrierte Verwaltung der gesamten Unternehmenskommunikation.^xi

Cloud-Computing hat sich in den letzten Jahren immens entwickelt und greift fast alle Computing Dienste, Servers, Emails, Software und viel mehr, außerdem wurden in den letzten Jahren viele Angebote vom Cloud Anbieter für jeden Nutzer zur Verfügung gestellt, wozu nur wenige Klicks nötig waren. Das klingt sehr interessant für die Nutzer, ist aber aus juristischer Sicht eine komplizierte Angelegenheit. Auf die Frage, wie die personenbezogenen Daten konkret geschützt werden können, sollen Gesetze und Verordnungen eine Antwort geben. Der Schutz ist insbesondere dann von hoher Relevanz, wenn es sich um sensible und personenbezogene Daten handelt.^xii In der Cloud befindet sich die IT-Infrastruktur des Cloud-Anbieters in verschiedenen Rechnungszentren und in verschiedenen Ländern,^xiii für den Nutzer sieht dies aber immer ähnlich aus, Er kann seine Ressourcen praktisch in Millisekunden erreichen. Juristisch jedoch ergeben sich potenzielle Schwierigkeiten. Es braucht geeignete Verordnungen und Regelungen, die auf diese neue Technologie eingehen.

Die DS-GVO ist die neueste Verordnung der EU, die neue Regeln und Anforderungen für Cloud Anbieter mit dem Ziel des Schutzes personenbezogener Daten erstellt hat.^xiv

Public, privat oder hybrid gelten als bekannte Cloud Modelle bzw. Arten. Sie unterscheiden sich durch ihren Zugriff. Public steht für alle Internetnutzer zur Verfügung, charakteristisch für die private Cloud ist dagegen ein eingeschränktes Nutzerrecht, um die Ressourcen zu erreichen. Die Mischungsform aus privat und public Cloud wird als hybrid Cloud bezeichnet. Eine solche kann erstellt werden, wenn die jeweils einzelnen Erscheinungsformen spezielle Kunden-Anforderungen nur unzureichend umsetzen.^xv

Der große Unterschied liegt im gesetzlichen Bereich. Der Zugriff auf public Cloud ist eine grundsätzlich für mehrere Nutzer gleichzeitig erlaubte Aktion, wohingegen ein Zugriff auf die private Cloud ohne das Recht auf Zugang strafbar sein kann.

Aus den eben genannten Gründen muss privat Cloud von Cloud Anbietern anders geschützt werden, so muss beispielsweise nach Angaben des Datenbesitzers von bestimmten Nutzern und nach bestimmten Berechtigungen konfiguriert werden.^xvi

II. Cloud-Anbieter als Auftragsverarbeiter

Der Auftragsverarbeiter gemäß Art.4 Ziff.8 DS-GVO ist derjenige, der die Daten im Auftrag eines anderen verarbeitet. Der Verantwortliche gegenüber dem Auftragsverarbeiter muss weisungsbefugt sein, der Auftragsverarbeiter darf die Daten für die Zwecke des Verantwortlichen nutzen.

Dem Weisungsbefugten obliegt die Verantwortung gegenüber dem Betroffenen und er ist für die Wahrung der Rechte des Betroffenen auf Auskunft und alle weitere Datenverarbeitungen wie das Löschen oder Speichern oder ähnliche Prozesse verantwortlich.^xvii

Eine Auftragsverarbeitung liegt vor, wenn die Bearbeitung der Daten durch den Auftragnehmer nicht seinen eigenen Zwecken dient, d.h. kein eigenes Interesse an der Verarbeitung vorliegt. Die Auftragsverarbeitung fungiert vorwiegend als technische Unterstützung bei einer Datenverarbeitung. Es geht hierbei weniger um die fachliche Leistung. Der Auftraggeber wählt die Art der Verarbeitung, der Auftragsverarbeiter übernimmt dafür die technische Unterstützungsfunktion und unterliegt den Anweisungen des Kunden bzw. Auftragsgebers. Deshalb wird der Auftragsverarbeiter nach DS-GVO Art. 4 Nr. 10 nicht als Dritter angesehen. Daraus ergibt sich, dass der Auftragsverarbeiter im Rahmen der Datenverarbeitung nach Art. 4 Abs. 7 DS-GVO kein Verantwortlicher ist, d.h. derjenige, der von der Datenverarbeitung betroffen ist, muss seine Rechte nach Art. 15. DS-GVO gegen den Verantwortlichen verlangen.^xviii

Obwohl der Cloud-Computing-Dienstleistungsabnehmer (Cloud-Kunde) in der Literatur pauschal als Verantwortlicher bezeichnet wird, wurde Gem. Art. 4 Nr. 7 DS-GVO der Verantwortliche definiert als derjenige, der der Verarbeitung entscheidet. Hier soll nach Einzelfall geprüft werden, ob der Cloud-Kunde, der Cloud-Computing-Dienstleistungsanbieter oder beide gemäß Art. 26 Abs. 1 DS-GVO verantwortlich sein könnten. Nach der Verpflichtung einen Vertrag auszuschließen soll die Entscheidung über die Verantwortung der Parteien anhand des Vertrags erfolgen. Im Cloud-Computing Fall gilt der Cloud-Anbieter als Auftragsverarbeiter, da er die Daten bearbeitet und in seiner Cloud speichert. Daher muss er der DS-GVO folgen.^xix

Es gibt auch Diskussionen darüber, für welche Dienste in der Cloud der Cloud-Anbieter als Auftragsverarbeiter gilt.

In zahlreichen Foren wurde das Thema diskutiert, ob E-Mail-Anbieter Auftragsverarbeiter nach DSGVO sind oder ob es sich hier um Telekommunikationsdienstleister handelt und daher kein Auftragsverarbeitungsvertrag benötigt wird.

Nach deutschen Datenschutz-Aufsichtsbehörden wird die Speicherung von E-Mails als Nachrichtenübermittlung angesehen, weswegen der E-Mail-Anbieter bzw. Cloud-Anbieter im Rahmen seiner Angebote als TK-Dienstleister betrachtet wird und kein Auftragsverarbeitungs-Vertrag mit dem Kunden abschließen muss.^xx

III. Allgemeine Risiken der Cloud

Obwohl die Cloud-Computing Technologie mit dem Speichern von Daten zahlreiche Vorteile verspricht, zögern die Unternehmen noch, diese zu verwenden. Der Grund dafür ist, dass aus der Sicht der Unternehmen zu viel Unsicherheit darüber herrscht, wie die Datensicherheit und der Datenschutz in der Cloud gewährleistet werden können. Eine ECO-Studie ergibt, dass in Deutschland über die Hälfte (57 Prozent) der Unternehmen der Meinung sind, dass sich ihre IT-Sicherheit durch die Nutzung von Cloud-Diensten verschlechtern könnte.^xxi

Die Nutzung der Cloud hängt zusammen mit mehreren bekannten Sicherheitsproblemen und Risiken, vor allem vorsätzlich falsches Handeln, wie beim Kopieren von Daten, Manipulation, Änderung an Konfigurationseinstellungen oder unbeabsichtigte Löschung von Daten. Auch diverse Sicherheitslücken sind zu beachten, da durch Datenübertragung die Daten abgehört werden können, auch birgt die technische Infrastruktur Sicherheitsmängel.^xxii

Aus der rechtlichen Sicht hilft ein Fragenkatalog, um festzustellen, welcher Cloud-Anbieter ausreichend gegen die Risiken geschützt ist. Die Fragen drehen sich vor allem um die Verschlüsselung der Daten, da mit solch einer Risiken reduziert werden können. Auch muss erfragt werden, ob für den Speicherungsort der Daten ein angemessenes Schutzniveau vorgeschrieben wurde.

Aus den vorherigen Herausforderungen geht hervor, dass die Wahl eines seriösen Clouddienste-Anbieters einem Verantwortlichen übergeben werden muss. Dieser muss den Anforderungen an den Datenschutz und an die Datensicherheit in seiner Cloud nachkommen. Bei all diesen Risiken der Cloud muss der Cloud-Provider die Einhaltung der DSGVO-Konformität gewährleisten, weshalb die Wahl des Anbieters nach genauen Kriterien erfolgen sollte.^xxiii

IV. Personenbezogene Daten in der Cloud

In der Cloud werden verschiedene Arten von Daten gespeichert und nach DS-GVO soll die Verarbeitung der Daten je nach Art der Daten unterschiedlich ablaufen. Die DS-GVO hat vor allem das Ziel, die personenbezogenen Daten zu schützen. Zu den personenbezogenen Daten zählen alle Informationen, die sich auf eine identifizierte, natürliche Person beziehen oder durch die eine natürliche Person identifiziert werden kann. Dazu zählen z.B. Adresse, Geburtsdatum, Telefonnummer, E-Mail-Adresse, Kontonummer, Religionszugehörigkeit, Personalnummer, Pseudonym, usw.^xxiv

Die Grundsätze für die Verarbeitung personenbezogener Daten sind in Artikel 5 DS-GVO zu finden. Dort ist geregelt, dass die Verarbeitung nur dann zulässig ist, wenn eine Rechtsgrundlage für die Datenverarbeitung vorliegt.^xxv

In Artikel 9 ist die DS-GVO noch konkreter formuliert und untersagt die Verarbeitung von besonderen Kategorien der personenbezogenen Daten bis auf bestimmte Ausnahmen.

Die Definition von besonderen Kategorien ist in Absatz 1 zu finden, der unter anderem enthält:

- die rassische und ethnische Herkunft
- politische Meinungen und Überzeugungen
- religiöse oder weltanschauliche Überzeugungen
- Zugehörigkeit zu einer Gewerkschaft
- genetische Daten
- biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person (Fingerabdruck)
- Gesundheitsdaten
- sexuelle Orientierung

Die DS-GVO nennt solche Arten von Daten sensible Daten, die nur unter bestimmten Bedingungen in Artikel 9 Abs.2 verarbeitet werden.

Der Cloud-Anbieter muss berücksichtigen, dass die Verarbeitung von der Art der Daten abhängt. Daher muss er auch besondere Maßnahmen für jede Art von Daten nach DS-GVO-Anforderungen ergreifen. Sollte das Unternehmen die personenbezogenen Daten bzw. sensible Daten in eine Cloud auslagern, wird hier ein besonderer Schutz für die Bearbeitung der sensiblen Daten notwendig. Dazu gehört unter anderem ein Auftragsdatenverarbeitungs-Vertrag, der sogenannte ADV-Vertrag. In diesem wird geregelt, wie solche Daten durch den Cloud-Anbieter verarbeitet werden sollten, um die Anforderungen der DS-GVO für die Verarbeitung solcher sensiblen Daten zu erfüllen.^xxvi

D. Anforderungen der DS-GVO für Cloud-Anbieter

Die DSGVO stellt neue, umfangreiche Anforderungen an Unternehmen im Vergleich zur bisherigen Rechtlage in Deutschland und anderen EU Ländern. Jeder Unternehmer hat bereits damit begonnen, neue Strukturen und Prozesse zu schaffen, um den Vorgaben der DS-GVO zu entsprechen. Zu diesen zusätzlichen Anforderungen zählen auf der einen Seite erhebliche Bußgelder und sonstige Haftungsrisiken, aber auch höhere Anforderungen an sichere IT Systeme auf der anderen Seite und viele andere Maßnahmen, die sich je nach Datenart und der Firmenstruktur von Firma zu Firma unterscheiden können.

Für die Verarbeitung personenbezogener Daten im Auftrag des Cloud-Nutzers formulieren hier mehrere Artikel in der DS-GVO neue Anforderungen, allerdings, werden hier nur bestimmte Punkte bearbeitet.^xxvii

I. Sachliche und räumliche Anwendungsbereiche

1. Sachlicher Anwendungsbereich

In Artikel 2 steht konkret, dass diese Verordnung für voll oder teilweise automatisierte Verarbeitung der personenbezogenen Daten gilt, außerdem gilt sie für die nichtautomatisierte Verarbeitung personenbezogener Daten. Die Verordnung betrifft also Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.^xxviii

Die DS-GVO behandelt personenbezogene Daten, die im Cloud Dateisystem verarbeitet sind bis auf bestimmte Fälle, für die die Verordnung nicht zutrifft, zum Beispiel die Verarbeitung der personenbezogenen Daten zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten oder die Daten, die durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit verarbeitet werden^xxix.

Anhand Art. 2 greift die DS-GVO grundsätzlich bis auf die Ausnahmen in Abs. 2 jede datenverarbeitende Person. Es wird hierbei nicht unterschieden, ob es sich um öffentliche oder nicht-öffentliche Stellen handelt.

Der Cloud-Anbieter unterliegt der DS-GVO, wenn die Eröffnung des sachlichen Anwendungsbereichs erfüllt ist. Voraussetzungen sind eine Verarbeitung personenbezogener Daten und keine Anwendbarkeit vorrangiger Regelungen^xxx.

Über den Begriff personenbezogener Daten erklärt Artikel. 4, dass darunter grundsätzlich alle Daten fallen, die sich einer bestimmten oder bestimmbaren natürlichen Person zuordnen lassen. Der Begriff Verarbeitung wird in Abs. 2 anders erklärt als im BDSG. Hier wird lediglich der Begriff der „Verarbeitung“ ohne Beschränkung benutzt, was für Cloud-Feld große Bedeutung hat, weil hier die DS-GVO jede Art von Verarbeitung greifen wird. Die Art der Verarbeitung ist durch den gleichen Artikel (2) genauer dargestellt. Die DS-GVO bezieht sich auf eine ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nichtautomatisierte Verarbeitung personenbezogener Daten, also typischerweise eine computergestützte Verarbeitung wie es in Cloudsystemen der Fall ist.

2. Räumlicher Anwendungsbereich

Der räumliche Anwendungsbereich ist nach DS-GVO erweitert und die Datenschutzgesetze gelten jetzt auch für Verantwortliche außerhalb der EU. Artikel 3 regelt, unter welchen Umständen die Unternehmen unter die DS-GVO aus räumlicher Sicht fallen. Die Verordnung betrifft ein Unternehmen, wenn es als Verantwortlicher oder Auftragsverarbeiter von einer Niederlassung in der EU aus agiert, unabhängig davon, in welchem Ort diese Verarbeitung erfolgt. Ebenso ist nicht auschlaggebend, ob die betroffenen Personen innerhalb der EU wohnen oder arbeiten oder nicht.^xxxi

Oft werden Daten in der Cloud zwischen Multi Regionen übermittelt. Solche Prozesse dürfen nach DSGVO nicht ohne Ergänzung vollzogen werden, denn laut DS-GVO dürfen personenbezogene Daten, die EU-Bürgern gehören, nicht in einem Land aufbewahrt werden, sobald die Gesetze nicht den geltenden EU-Mindeststandards entsprechen. Der Cloud-Anbieter ist als Datenverantwortlicher verpflichtet, genau darauf zu achten, wo die von ihm in die Cloud migrierten Daten gespeichert werden. Artikel 44 Absatz.2 spricht über Voraussetzungen, die im Ausland gegeben sein sollen, um dorthin übertragen zu dürfen. Ein angemessenes Schutzniveau ist hier das hauptsächliche Kriterium. Die Länder außerhalb der EU werden in die EU-Kommissions-Liste eingestuft. Der Cloud-Anbieter muss diese Liste bei personenbezogener Datenübermittlung und Speicherung im Ausland berücksichtigen. Art. 45 DSGVO definiert unter dem Titel Angemessenheitsbeschlusses das angemessene Schutzniveau im Zielland, wobei es hier unter anderem um die Rechtsprechung, den Rechtsstaat und um die Beachtung von Menschenrechten und Grundfreiheiten wie in Abs. 2 a geht. Ein weiteres Kriterium ist die Unabhängigkeit und die Wirksamkeit der Aufsichtsbehörden im Hinblick auf die Überwachung und Einhaltung von Datenschutzregeln (Abs. 2 b). ^xxxii

Des Weiteren beinhaltet Art. 49 DS-GVO die Ausnahmen für bestimmte Fälle, Abs. 1 beschreibt die ausdrückliche Einwilligung Betroffener in die Übermittlung, Art. 2 b konkretisiert die Erfüllung eines Vertrages zwischen der betroffenen Person und dem Verantwortlichen oder bzw. die Durchführung vorvertraglicher Maßnahmen auf Antrag der betroffenen Person.

An dieser Stelle soll der Cloud-Anbieter als Auftragsverarbeiter die neuen Anforderungen der DS-GVO bezüglich Datenübermittlung an Drittstaaten beachten. Die Liste der Länder mit angemessenem Schutzniveau wird immer aktualisiert und auf den Seiten der EU-Kommission bekanntgegeben.

Die DS-GVO stellt eine wichtige sinnvolle Neuerung zum Thema Datenspeicherung und -übermittlung ins Ausland bei Fehlen eines Angemessenheitsbeschlusses und eines geeigneten Schutzniveaus dar. Das Europäische Datenschutzsiegel ist als freiwillige Zertifizierung von Unternehmen vorgesehen, die den transnationalen Datentransfer im Sinne einer vorab erteilten Genehmigung erleichtern würde.^xxxiii Unter Datenschutzsiegel versteht man ein standardisiertes Datenschutzzeichen. Hier kann der Cloud-Anbieter insofern profitieren, als die Datenübermittlung erleichtert und eine erhöhte Transparenz und verbesserte Einhaltung der DS-GVO zugesichert wird.^xxxiv

Die DS-GVO greift nach der neuen räumlichen Anwendung dann, wenn die Datenverarbeitungen von Unternehmen außerhalb der EU durchgeführt werden und EU Personen betreffen, um Waren oder Dienstleistungen anzubieten.^xxxv Nach dem so genannten „Marktortprinzip“ müssen sich alle Unternehmen an die DS-GVO halten, die bei auf europäischem Territorium getätigten Geschäften personenbezogene Daten europäischer Bürger verarbeiten.^xxxvi

Hauptsächlich unterliegen der DS-GVO die Cloud Anbieter, die als Verantwortliche oder Auftragsverarbeiter der Daten fungieren. Wenn eine Niederlassung in der EU agiert, unterliegt der Anbieter auch der Verordnung, obwohl in diesem Fall die Verarbeitung nicht in EU Ländern erfolgt. Die wichtige Erweiterung der DSGVO um die räumliche Anwendung soll Menschen außerhalb der EU Schutz garantieren. Das Ziel dahinter ist ein effektiver Grundrechtsschutz auf gleich hohem Datenschutzniveau und die Schaffung gleicher Wettbewerbsbedingungen.^xxxvii

Das Marktortprinzip gilt unabhängig davon, ob die Datenverarbeitung außerhalb der EU stattfindet oder nicht. Die Unternehmen bzw. Cloud-Anbieter, die sich außerhalb des EU-Landes befinden, müssen sich daher entsprechend mit der DSGVO auseinandersetzen und eventuelle Anpassungen und Änderungen nach der DS-GVO vornehmen.^xxxviii

Eine praktische Neuregelung, die zu der räumlichen Anwendung zählt, findet sich in Artikel 3 Abs. 2 lit b DS-GVO. Es handelt sich um die Überwachung von Personen in der EU, die durch Internetaktivitäten mit Hilfe von Datenverarbeitungstätigkeiten verfolgt werden, wodurch Personendaten aufgrund verschiedenster Sachverhalte erhoben werden können. Dies geschieht auch im Falle der Tätigkeiten der Cloud-Anbieter. Fast jeder Anbieter betreibt eine remote Überwachung von Kunden mithilfe von virtuellen Maschinen oder Speicherplatten, auf denen Information über Personen gesammelt werden oder ähnliche Tätigkeiten innerhalb des Service Spektrums der Anbieter durchgeführt werden. In solchen Fällen greift die EU Datenschutzregulierung und der Anbieter muss sich hier an die DS-GVO halten. ^xxxix.

Auch bei der räumlichen Anwendung der DS-GVO gibt es Einschränkungen im Vergleich zur vorhanden nationalen Datenschutzregel. Im Fall der Verarbeitung gilt als der Verantwortliche und Auftragsverarbeiter, wer nicht in der EU niedergelassen ist. Verantwortliche aus Drittstaaten fallen nicht unter die DS-GVO, das gilt auch, wenn jemand, der in der EU ansässig ist, die Daten der betroffenen Personen verarbeitet.^xl

Für die Anbieter kann das ein Unterschied machen, denn der Anbieter ist der Auftragsverarbeiter und wenn er in Drittstaaten ohne Niederlassung in der EU agiert, gilt für ihn nicht das europäische Datenschutzrecht^xli. Die DS-GVO bleibt für Datenverarbeitungen von den Verantwortlichen oder Auftragsverarbeitern mit einer Niederlassung in der EU bindend, der Ort der Verarbeitung ist hier irrelevant. Sollten die Datenverarbeitungen von Verantwortlichen oder Auftragsverarbeitern in Drittstaaten erfolgen, gilt die DS-GVO nur dann, sobald die Daten einer EU ansässigen Person gehören.^xlii

II. Verantwortung und Pflichten der Parteien nach der DS-GVO

1. Verantwortlichkeit und Pflichten des Cloud Service Anbieters

Die Verantwortlichkeit der Cloud-Anbieter als Datenverarbeiter wurde durch die DS-GVO verschärft. Der Anbieter wird im Rahmen der Auftragsverarbeitung mit dem Nutzer bzw. Auftragsgeber zur Verantwortung gezogen, was mehr Anforderungen und Pflichten von mehreren Seiten mit sich zieht.

a) Vertretung in der EU

Betrachtet man erneut die räumliche Anwendung, betrifft die DS-GVO den Anbieter, der personenbezogene Daten für Personen verarbeitet, die sich in der Union befinden, auch wenn keine Niederlassung für den Anbieter in der EU vorliegt.

In diesem Fall soll gemäß Art.27 Abs.1 ein Vertreter schriftlich genannt werden, der die Verantwortung für die Datenverarbeitung der EU Personen übernimmt.^xliii

Die Verordnung verpflichtet sowohl den Verantwortlichen als auch den Auftragsverarbeiter. Der Vertreter kann jede in der Union niedergelassene natürliche oder juristische Person sein. Eine Ausnahme gilt in mehreren bestimmten Fällen, in denen es sich nicht um eine Datenverarbeitung in größerem Umfang und um sensible Daten handelt. Die sensiblen Daten werden in Art. 9 Abs. 1 definiert (rassische oder ethnische Herkunft, Gesundheitsdaten oder genetische Daten).^xliv Der Vertreter ist auch dann nicht erforderlich, wenn anhand der Art, des Umfangs und der Zwecke der Verarbeitung die Wahrscheinlichkeit eines Risikos für die Rechte und Freiheiten der betroffenen Personen nicht erwartet ist. Behörden und öffentliche Stellen sind von der Funktion des EU-Vertreters befreit.

b) Ausweitung der Haftung

In der Regel ist die Haftung zwischen Auftraggeber und Auftragsverarbeiter verteilt. Der Auftragsverarbeiter kann seine Verantwortung reduzieren, wenn er seine Unschuld beweisen kann. Sollte die Nutzung der Daten nicht nach der Vereinbarung vom Auftragsverarbeiter (Cloud Anbieter) erfolgen, haftet er dann als verantwortlich gemäß DS-GVO Art. 28 Abs. 10, da die Daten für unvereinbarte Zwecke verwendet wurden.^xlv

Den Auftragsverarbeiter kann im Rahmen seiner Haftung ein Bußgeld von bis zu 20 Millionen Euro oder 4% des Jahresumsatzes des letzten Geschäftsjahres erwarten.^xlvi

Zu den Neuerungen der DS-GVO zählt die Erweiterung der Haftung des Cloud-Anbieters als Auftragsverarbeiter gegenüber Betroffenen. Diesbezüglich sind neue Haftungsregeln formuliert.^xlvii Vor allem Verstöße gegen Art. 83 Absatz 4 a DS-GVO verursachen ein direktes Bußgeld, Abweichungen von Weisungen des Auftraggebers sind ein Beispiel dieses Verstoßes, da diese zu einer unzulässigen Datenverarbeitung führen.^xlviii

Der Auftragsverarbeiter soll immer geeignete Dokumentationsnachweise vorlegen, um sich gesamtschuldnerisch gegen die Handlungen eines Unterbeteiligten zu schützen.^xlix Die Einhaltung der DS-GVO ist für Cloud-Anbieter nachzuweisen, ansonsten droht den Auftragsverarbeitern die neue Verordnung mit den neuen Sanktionsmöglichkeiten.^l Die Aufsichtsbehörden sowie die zivilrechtlichen Haftungsansprüche Betroffener sollten die Cloud-Anbieter veranlassen, vor Anwendungsdatum der DS-GVO ihre Verträge anzupassen, vor allem die erweiterten Dokumentationspflichten und die Mitteilungspflichten beim Subunternehmereinsatz wahrzunehmen, um die Haftung und das Risiko der erweiterten Sanktionen zu beachten.^li

Neben den detaillierten Haftungsregelungen, die die DS-GVO enthält, ist eine weitergehende Haftung für die Verarbeitung nicht ausgeschlossen. Nach Art.82 Abs.1, 4 DS-GVO haftet der Auftragsverarbeiter gegenüber dem Betroffenen auf Schadensersatz^lii. Der Cloud-Anbieter und alle Beteiligten an der Verarbeitungskette haften gegenüber dem Betroffenen, so kann er über Art.82 Abs. 5 DS-GVO die anderen Beteiligten in Haftung nehmen.^liii Die Einschränkung der Haftung des Auftragsverarbeiters bei Verstößen gegen die betreffenden Personen regelt die Verordnung in Art.82 Abs.2 S.2. Der Auftragsverarbeiter haftet nicht für die vertraglich auferlegten Pflichten nach den Anforderungen in Art.28 Abs. 3, 4 und 5 DS-GVO.^liv Der Auftragsverarbeiter unterliegt der Pflicht und übernimmt die Verantwortung für bestimmte Verantwortungspunkte, unter anderem:

- Die zweckmäßige Verarbeitung der Daten mit Pflichten zur Hinweisung bei rechtswidrigen Weisungen
- Die technischen und organisatorischen Schutzmaßnahmen
- Die Richtigkeiten der Beauftragung von Unterauftragnehmern
- Meldung von Datenschutzvorfällen
- Datenschutz-Folgeabschätzungen, wenn vereinbart
- Erstellung und Führung einer Auftragsverarbeitung
- Geeignete vertragsgemäße Löschung und Rückgabe von Daten nach Abschluss der Verarbeitung

Sollte der Auftragsverarbeiter anhand der Zwecke und Mittel der Verarbeitung als Verantwortlicher die Verarbeitung vollzogen haben, haftet er auch ohne die Beschränkung nach Art.82 Abs.2 S. 2 DS-GVO dafür^lv. Er ist in diesem Fall verpflichtet, eine dokumentierte Weisung einzuhalten, ansonsten verliert er seine zuvor genannte Haftungsprivilegierung.^lvi Um im Rahmen der Auftragsverarbeitungsvereinbarung die DS-GVO einzuhalten und seine Haftungsrisiken zu senken, muss er für jeden Auftrag Art, Zweck und Mittel im Zusammenhang mit der Verarbeitung angeben, damit die Haftungsrisiken entsprechend der übernommenen Rollen verteilt werden.

[...]

---

ⁱ Reform der EU-Datenschutzvorschriften 2018.

ⁱⁱ Auf dem Weg zur EU-Datenschutz-Grundverordnung, Trend Micro WhitePaper.

ⁱⁱⁱ Sheila Pancholi, GDPR: The biggest change to data laws in over 20 years.

^iv Was ist der Unterschied zwischen EU und EG?

^v Lapalme, Eu-Dsgvo: Bis zu 20 Millionen Strafe bei Nichteinhaltung, 30.01.2017.

^vi Ntt Com Security, unter: http://www.nttcomsecurity.ch/kompetenzen/security-services/dsgvo-service/.

^vii Anwendungsbereich der Europäischen Datenschutzgrundverordnung, Dok.-Nr. #50159.

^viii Anwendungsbereich der Europäischen Datenschutzgrundverordnung, Dok.-Nr. #50159.

^ix Mauß Datenschutz, Gemeinsam für die Verarbeitung Verantwortliche nach der DSGVO.

^x Stefan Sädtler, Rechtskonformes Identitätsmanagement im Cloud, Seite 7.

^xi Eric Knorr, Was ist Cloud Computing?.

^xii Wilfried Bernhardt, Cloud-Computing Service Vereinbarkeit mit dem Datenschutz, S. 5 ff.

^xiii Orientierungshilfe Cloud Computing (Version 2.0/09.10.2014), S. 28 ff.

^xiv Wilfried Bernhardt, Cloud-Computing Service Vereinbarkeit mit dem Datenschutz, S. 15.

^xv Stefan Sädtler, Rechtskonformes Identitätsmanagement im Cloud, S. 8.

^xvi Arvato Bertelsmann, Cloud Security & Cloud Compliance, Mai 2016, S. 11.

^xvii Wilfried Bernhardt, Cloud-Computing Service Vereinbarkeit mit dem Datenschutz S. 16 ff.

^xviii Institute der Wirtschaftsprüfer, Fragen und Antworten zu der EU Datenschutz-Grundverordnung.

^xix Regina Stoiber, Wann handelt es sich um einen Auftragsverarbeiter?, April 2018.

^xx Bernahrd Krämer, E-Mail-Anbieter sind keine Auftragsverarbeiter im Sinne der DSGVO.

^xxi Oliver Schonschek, Welche Bedeutung die DSGVO für die Cloud Auswahl hat.

^xxii Orientierungshilfe Cloud Computing (Version 2.0/09.10.2014), S. 27.

^xxiii Servinga, Chancen und Risiken im Zusammenhang mit Cloud-Computing.

^xxiv Guillaume Marcerou, Sensible und nicht sensible Daten – der entscheidende Unterschied.

^xxv Artikel. 5 Abs. 1 lit. f. DS-GVO.

^xxvi Teamdrive, Cloud Sicherheit und die Datenschutz-Grundverordnung GDPR.

^xxvii Siehe oben B.

^xxviii Dr. Kai-Uwe Plath, Kommentar zum BDSG und zur DSGVO sowie den Datenschutzbestimmungen des TMG und TKG, Seite 955.

^xxix Art 2 Abs 2 lit. C,D DS-GVO.

^xxx Art 2 Abs. 3 und 4 DSGVO.

^xxxi Dok.-Nr. #50159 IHK Frankfurt am Main.

^xxxii Dennis Jansen, Krieg der Daten.

^xxxiii Martin Führer, Datentransfer ins Ausland, Wien, Seite 22.

^xxxiv ErwGr 77 DS-GVO.

^xxxv Art.3 Abs.2. DS-GVO.

^xxxvi Nicole Schmidt, Das Marktortprinzip in der DSGVO, 26 Oktober 2016.

^xxxvii Nicole Schmidt, Das Marktortprinzip in der DSGVO, 26 Oktober 2016.

^xxxviii Nicole Schmidt, Das Marktortprinzip in der DSGVO, 26 Oktober 2016.

^xxxix ErwGr 21 DS-GVO.

^xl Martin Führer, Datentransfer ins Ausland, 2014, Seite 8.

^xli Schaar, Europäischer Startschuss für die Datenschutzreform: Eine Chance für wirksame Verbesserungen, DuD 2012, Seite 154.

^xlii Martin Führer, Datentransfer ins Ausland, 2014, Seite 56.

^xliii Transfer von Daten im Lichte der EU-DSGVO, Silivia Bauer, 2017, Seite 164.

^xliv Sara Maier, Nicht in größerem Umfang sensible Daten im Sinne des Art. 9 Abs, 20, (abgerufen am 16.06.2018). Sara Maier, Nicht in größerem Umfang sensible Daten im Sinne des Art. 9 Abs, 20.

^xlv Transfer von Daten im Lichte der EU-DSGVO, Silivia Bauer, 2017, Seite 164.

^xlvi Artikel 83. DS-GVO.

^xlvii Bitkom, Begleitende Hinweise zu der Anlage Auftragsverarbeitung, 2017 Seite 32.

^xlviii Matthias Rosa, So geht das mit dem Cloud Computing im Unternehmen nach der neuen DSGVO ab Mai 2018.

^xlix Art. 83 Absatz 3 DS-GVO.

^l Art. 5 Absatz 2, Art. 82 Absatz 3 DS-GVO.

^li Matthias Rosa, So geht das mit dem Cloud Computing im Unternehmen nach der neuen DSGVO ab Mai 2018.

^lii Bitkom, Begleitende Hinweise zu der Anlage Auftragsverarbeitung, 2017 Seite 32.

^liii Bitkom, Begleitende Hinweise zu der Anlage Auftragsverarbeitung, 2017 Seite 33.

^liv Art.82 Abs.2 S.2. DS-GVO.

^lv Linda Boegelein, Auftragsdatenverarbeitung 28.07.2017.

^lvi Bitkom, Begleitende Hinweise zu der Anlage Auftragsverarbeitung, 2017 Seite 34.