Willkommen im STRATO Blog. Hier gibt es News und Tipps rund ums Hosting.

 

Menu

Veröffentlicht am: 05. November 2019

Beitragsbild Datenschutzrecht Cloud Europa USA

Datenschutz: Welche Rechte haben Kunden von Cloud-Anbietern in Europa und den USA?

Die verschiedenen Datenschutzansätze in Europa und den USA wirken sich entscheidend auf die Rechte aus, mit denen Kunden von Cloud-Hosting-Anbietern nach den Datenschutzgesetzen ausgestattet werden.

Dies ist der dritte Teil unserer Beitragsreihe zum Thema Datenschutz bei Cloud-Hosting-Anbietern in den USA und Europa. Hier geht es zu Teil 1und hier zu Teil 2.

I. Rechte der Kunden nach der DSGVO in Europa

Weil unter der Geltung der DSGVO in Europa Cloud-Anbieter bei Datenverarbeitungen gegenüber ihren Kunden als weisungsgebundene „Auftragsverarbeiter“ tätig werden, korrespondieren die Kundenrechte weitgehend mit den Anbieterpflichten. Alle Kundenrechte fußen darauf, dass Cloud-Anbieter in Bezug auf die eingesetzten Technologien über einen entscheidenden Kenntnisvorsprung verfügen, der zum Schutz eingespeister Daten ihre Unterstützung notwendig macht.

Europäische Kunden können gegenüber Cloud-Anbietern gemäß Art. 28 DSGVO insofern verlangen, dass

Betroffenenrechte

Gleichzeitig steht europäischen Kunden das Recht zu, Cloud-Anbieter jederzeit zur Unterstützung bei der Reaktion auf Betroffenenanträge anzuhalten. Wie im zweiten Teil dieser Reihe ausgeführt, spricht man bei Personen, deren personenbezogene Daten gespeichert werden, von „Betroffenen“ oder „Datensubjekten“. Betroffene haben gemäß der DSGVO bestimmte Rechte, beispielsweise auf Datenauskunft oder -löschung. Üben Datensubjekte, deren Daten vom Kunden in die Cloud eingespeist wurden, gegenüber dem Kunden Betroffenenrechte muss der Cloud-Anbieter mit bereits eingerichteten Maßnahmen zur Hand greifen und für die effektive Umsetzung der Betroffenenrechte sorgen.

Ein Beispiel: Verlangt ein Kunde die Löschung seines Kundenkontos von einem Händler, der seinen Shop über eine Cloud betreibt, kann der Händler vom Cloud-Anbieter die Mitwirkung bei der Löschung und bei der unwiederbringlichen Datenentfernung verlangen.

Für diese Mitwirkung ist eine wirksame Protokollierung der Verarbeitungssituationen und Datenbestände mit Blick auf den einzelnen Kunden ebenso erforderlich wie eine kundenbezogene Datenorganisation. Zudem sind interne Abläufe und Verantwortlichkeiten zu definieren.

Kundenrechte im Fall von Datenpannen

Hiermit einher geht auch das Recht der Kunden, vom Cloud-Anbieter im Fall von Datenpannen (z.B. unberechtigten Fremdzugriffen, Datenmanipulationen, Datenverlusten) Systemeinblicke, Risikoabschätzungen und geeignete Abhilfemaßnahmen zu verlangen. Denn nur so kann ein Risiko für die Rechte der Betroffenen effektiv eingedämmt werden. Außerdem ermöglicht allein die Mitwirkung des Cloud-Anbieters dem Kunden, seine in derlei Fällen entstehenden gesetzlichen Meldepflichten aus Art. 33 und 34 DSGVO ordnungsgemäß zu erfüllen.

Kundenrechte in Bezug auf Subunternehmer

Hinzukommt, dass europäische Kunden Cloud-Anbietern verbieten können, bei der Verarbeitung personenbezogener Daten über die Cloud im Kundenauftrag auf Subunternehmer zuzugreifen. Deren Einsatz ist nur mit der ausdrücklichen Einwilligung des Kunden möglich. Anderenfalls würden erhebliche Kontrollverluste der Kunden drohen.

Beendigung des Vertrags

Schließlich haben Kunden zur Ausübung einer effektiven Datenkontrolle auch das Recht, nach Beendigung eines Cloud-Hosting-Vertrages vom Anbieter eine unwiderrufliche Löschung aller eingespeisten personenbezogen Daten aus allen Systemen zu verlangen.

Auftragsverarbeitung

All diese Rechte und die konkreten Umstände und Mechanismen für eine wirksame Durchsetzung müssen in Bezug auf die konkrete Hosting-Leistung in einem sogenannten „Vertrag über die Auftragsverarbeitung“ (AVV) definiert und verbindlich festgelegt werden. Auf den Abschluss eines solchen datenschutzrechtlichen Vertrages hat jeder Cloud-Hosting-Kunde einen gesetzlichen Anspruch.

Verletzt der Anbieter Pflichten aus dem Vertrag, können dem Kunden empfindliche Regressansprüche zustehen.

II. Rechte von Cloud-Hosting-Kunden in den USA

Für Kunden in den USA existieren keine gesetzlich verankerten Datenschutzrechte, die mit denen in Europa vergleichbar wären.

Dies hat zur Folge, dass Cloud-Anbieter auf Grundlage der Dienstleistungsverträge selbst entscheiden können, ob und inwieweit sie ihren Kunden eine datenschutzrechtliche Kontrolle ermöglichen wollen.

Meist wird hierbei vertraglich nur auf interne Compliance-Regelungen zur datenschutzrechtlichen Organisation verwiesen, ohne Kunden aber selbst Interventionsrechte einzuräumen.

Freilich liegt dies auch daran, dass in den USA eine Auftragsverarbeitung nach dem europäischen Modell nicht existiert. Im Zweifel sind Betroffene in den USA, deren Daten durch einen Cloud-Hosting-Kunden in eine US-Cloud eingespeist wurden, hier aber weitgehend schutzlos gestellt. Die wirksame Kontrolle ihrer Daten und die hierfür erforderlichen Rechte der Cloud-Hosting-Kunden hängen so von der Willkür und dem Wohlwollen der Anbieter ab.

Dieser Beitrag enstand in Zusammenarbeit mit der IT-Recht Kanzlei München.

Mehr Informationen zum Thema Datensicherheit und Cloud-Hosting findest Du hier:

Zur Cloud-Studie von STRATO und forsa

Du möchtest Deine Daten sicher bei einem deutschen Cloud-Anbieter aufbewahren?

Zum Cloud-Speicher HiDrive

Der Autor:

Autor: Phil Salewski

Ich bin Rechtsanwalt bei der IT-Recht Kanzlei München und auf das Datenschutz- und Wettbewerbsrecht spezialisiert. Zu meinen Mandanten gehören vor allem Unternehmer mit Tätigkeitsschwerpunkt im Online-Handel.

Hinterlasse eine Antwort

Bitte beachte, dass sich Dein Kommentar auf den Artikel beziehen sollte. Wenn Du ein persönliches Kundenanliegen besprechen möchtest, wende Dich bitte an unseren Kundenservice auf Facebook, Twitter oder über Hilfe & Kontakt.
Wir freuen uns, wenn Du uns Deinen Namen hinterlässt. So wissen wir, wie wir Dich bei unserer Antwort ansprechen können.
Wenn Du Deine E-Mail-Adresse einträgst, wirst Du per Mail über unsere Antwort informiert. Sie wird zum Schutz Deiner Daten aber nicht veröffentlicht. Beide Angaben sind freiwillig.

Hier bloggen

Lisa Kopelmann
ist Ansprechpartnerin für den Blog und berichtet über aktuelle STRATO Themen

Oliver Meiners
schreibt über alles, was für Dich als STRATO Kunde wichtig ist

Tobias Mayer
berichtet über Neuigkeiten aus dem Unternehmen

Michael Poguntke
schreibt über den Online-Speicher HiDrive, den Homepage-Baukasten, Webshops und Server

Christian Lingnau
bloggt über WordPress & andere CMS

Franz Neumeier
gibt Tipps zum erfolgreichen Bloggen

Sven Hähle
kennt sich bei Domains hervorragend aus

Patrick Schroeder
erzählt die Stories unserer Kunden

Ann-Christin Schmitt
schreibt über HiDrive, den Homepage-Baukasten und guten Websitecontent

Christian Rentrop
bloggt über Software-Themen

Phil Salewski
ist spezialisiert auf das Datenschutz- und Wettbewerbsrecht