Willkommen im STRATO Blog. Hier gibt es News und Tipps rund ums Hosting.

 

Menu

Veröffentlicht am: 30. Oktober 2019

Beitragsbild DSGVO Cloud Act

Pflichten beim Datenschutz: Was müssen Cloud-Anbieter in Deutschland und den USA beachten?

Die europäische Datenschutzgrundverordnung (DSGVO) und der amerikanische CLOUD Act stehen sich gegenüber. Welche grundsätzlichen Pflichten haben Anbieter in Europa einerseits und in den USA andererseits zu erfüllen und welches Konfliktpotenzial bringt dies mit sich?

Dies ist der zweite Teil unserer Beitragsreihe zum Thema Datenschutz bei Cloud-Hosting-Anbietern in den USA und Europa. Hier geht es zu Teil 1.

I. Rechtliche Pflichten von Cloud-Hosting-Anbietern in Europa

Speisen Nutzer von Cloud-Hosting-Diensten personenbezogene Daten in die Cloud ein, sind sie nach der DSGVO weiterhin eigenständig für den Schutz dieser Daten verantwortlich und so grundsätzlich selbst gehalten, alle notwendigen Datenschutz- und Datensicherheitsmaßnahmen zu garantieren.

Cloud-Anbieter werden in Europa hinsichtlich der eingespeisten Daten nur als sogenannte Auftragsverarbeiter tätig, die bestimmte Datenverarbeitungen (etwa das Speichern, Kategorisieren und Bereithalten der Daten) weisungsgebunden für ihre Kunden übernehmen.

Datenverantwortliche dürfen gemäß Art. 28 DSGVO nur mit solchen Auftragsverarbeitern zusammenarbeiten, welche geeignete technische und organisatorische Maßnahmen für die Datensicherheit bereithalten. Daher sind Cloud-Anbieter stets verpflichtet, den typischen Risiken von cloud-basierten Datenverarbeitungen wirksam zu begegnen.

Dies erfordert die Einrichtung wirksamer Maßnahmen zur Verhinderung von:

Auf technischer Seite müssen Cloud-Anbieter dafür insbesondere hinreichende Verschlüsselungs- und Anonymisierungsoptionen sowie Back-Up-Lösungen anbieten.

Gleichzeitig müssen Cloud-Anbieter sicherstellen, dass Kunden Ihre Kontrollrechte als Datenverantwortliche wahrnehmen können. Da eine Vor-Ort-Kontrolle oftmals nicht möglich ist, sind hier einsehbare Protokolle zum Datenmonitoring vorzuhalten, über welche Kunden Zugriff auf ihre Datenbestände erhalten und diese gegebenenfalls verändern können.

Zusätzlich ist über technische Wege zu gewährleisten, dass Kunden auf Antrag Betroffenenrechte umsetzen können. Betroffene, auch Datensubjekte genannt, sind Personen, deren personenbezogene Daten verarbeitet werden. Betroffene haben das Recht auf Datenauskünfte, Datenlöschungen, Datenberichtigungen und schließlich auch auf Datenübertragung im Falle eines Anbieterwechsels. Diese Abläufe muss der Cloud-Anbieter technisch ermöglichen.

Beachtet werden muss auch, dass es Cloud-Anbietern gemäß Art. 28 Abs. 2 DSGVO gesetzlich untersagt ist, ohne vorherige schriftliche Genehmigung mit weiteren Sub-Dienstleistern zusammenzuarbeiten, die mit eingespeisten Daten in Berührung kommen könnten.

Schließlich müssen Kunden nach Beendigung des Vertrages mit dem Cloud-Anbieter die Möglichkeit erhalten, eingebrachte Datensätze unwiederbringlich entfernen zu lassen und insbesondere eine Weiterverfügbarkeit sowie Zugriffsmöglichkeiten des Anbieters zu verhindern. Hier sind dem Kunden technische Maßnahmen zur Verfügung zu stellen, mit denen alle von ihm eingespeisten Daten nach seiner Wahl entweder gelöscht oder ihm zurückgegeben werden und vorhandene Kopien unwiederbringlich vernichtet werden.

In rechtlicher Hinsicht sind all diese Umstände spätestens im Zeitpunkt der erstmaligen Beanspruchung des Cloud-Hostings zu regeln. Dazu ist zwischen dem Cloud-Anbieter und jedem einzelnen Kunden ein spezifischer, verpflichtender „Vertrag über die Auftragsdatenverarbeitung“ abzuschließen.

Eine Besonderheit ist abschließend zu beachten, wenn Daten aus der Cloud außerhalb des Europäischen Wirtschaftsraums gespeichert oder dorthin vom Anbieter übermittelt werden. Dies ist nicht ohne weiteres möglich, sondern bedarf einer ausdrücklichen Rechtsgrundlage für jedes Drittland. Für Datenübermittlungen in die USA ist etwa eine Zertifizierung des Anbieters im US-EU-Privacy Shield erforderlich, welche das Einhalten des europäischen Datenschutzniveaus in den USA gewährleistet. Daneben bestehen für manche Drittländer sogenannte Angemessenheitsbeschlüsse der EU-Kommission. Schließlich können Datentransfers ins außereuropäische Ausland auch über die Unterzeichnung von Standardvertragsklauseln gerechtfertigt werden. Diese werden von der EU-Kommission bereitgestellt.

II. Konfliktpotenzial: Rechtliche Pflichten von Cloud-Hosting-Anbietern in den USA

In den USA existieren keine einheitlichen gesetzlichen Datenschutzstandards für Cloud-Anbieter. Vielmehr können Unternehmen im Bereich des Cloud-Hostings weitgehend selbst festlegen, inwieweit sie datenschutzrechtlichen Bedenken ihrer Kunden begegnen wollen (sog. Compliance). Dies hat vor allem Auswirkungen auf die Übermittlung von cloud-basierten Daten von Europa aus in die USA, weil hier gemäß der DSGVO zu gewährleisten ist, dass das europäische Datenschutzrecht mit all seinen Facetten (etwa der Abschluss eines Auftragsverarbeitungsvertrages mit dem amerikanischen Cloud-Anbieter) eingehalten wird.

Im März 2018 ist mit einem neuen US-amerikanischen Rechtsakt ein weiteres Problem für US-amerikanische Cloud-Anbieter hinzugekommen. Unter der Regierung von Donald Trump wurde der sogenannte CLOUD Act erlassen, der unter anderem Cloud-Anbieter zur weitgehenden Offenlegung von Daten (personenbezogene Daten sowie Wirtschaftsinformationen und Telemetriedaten) gegenüber US-Behörden verpflichtet. Nach dem Gesetz sind US-Unternehmen, die Daten im Ausland verarbeiten, immer dem US-Recht unterworfen und infolgedessen dazu verpflichtet, die in ihrer Obhut befindlichen Daten den US-Behörden auf Anfrage offenzulegen. Die Notwendigkeit eines Gerichtsbeschlusses besteht hier nicht.

Diese Rechtspflicht von Cloud-Anbietern steht seitdem in einem unlösbaren Widerspruch zur DSGVO. Deren Art. 48 verbietet nämlich die Übermittlung von personenbezogenen Daten an Behörden eines Drittlandes, solange kein Rechtshilfeabkommen mit dem Drittland besteht. Ein solches ist mit den USA nie abgeschlossen worden und wird bislang auch nicht verhandelt.

US-Cloudanbieter, die auch Europäer zu ihren Kunden zählen, stehen damit vor einem Dilemma: Entweder sie verstoßen mit dem Nachkommen der Übermittlungsaufforderung einer US-Behörde gegen die DSGVO und setzen sich damit der Gefahr empfindlicher Bußgelder aus, oder sie widersetzen sich der behördlichen Aufforderungen und akzeptieren die Konsequenzen nach US-Recht.

Um diesem Dilemma zu entgehen, wird zwar teilweise eine vollständige Datenverschlüsselung von personenbezogenen Daten bei der Übermittlung an US-Behörden vorgeschlagen. US-Behörden sind allerdings nach dem CLOUD Act befugt, Datensätze auch in unverschlüsselter Form anzufordern oder diese selbst zu entschlüsseln.

Dieser Beitrag enstand in Zusammenarbeit mit der IT-Recht Kanzlei München. Es folgt:

Teil 3: Rechte der Kunden (natürliche Personen) nach US-Recht, Europäischem Recht und deutschem Recht

Mehr Informationen zum Thema Datensicherheit und Cloud-Hosting findest Du hier:

Zur Cloud-Studie von STRATO und forsa

Du möchtest Deine Daten sicher bei einem deutschen Cloud-Anbieter aufbewahren?

Zum Cloud-Speicher HiDrive

Der Autor:

Autor: Phil Salewski

Ich bin Rechtsanwalt bei der IT-Recht Kanzlei München und auf das Datenschutz- und Wettbewerbsrecht spezialisiert. Zu meinen Mandanten gehören vor allem Unternehmer mit Tätigkeitsschwerpunkt im Online-Handel.

Hinterlasse eine Antwort

Bitte beachte, dass sich Dein Kommentar auf den Artikel beziehen sollte. Wenn Du ein persönliches Kundenanliegen besprechen möchtest, wende Dich bitte an unseren Kundenservice auf Facebook, Twitter oder über Hilfe & Kontakt.
Wir freuen uns, wenn Du uns Deinen Namen hinterlässt. So wissen wir, wie wir Dich bei unserer Antwort ansprechen können.
Wenn Du Deine E-Mail-Adresse einträgst, wirst Du per Mail über unsere Antwort informiert. Sie wird zum Schutz Deiner Daten aber nicht veröffentlicht. Beide Angaben sind freiwillig.

Hier bloggen

Lisa Kopelmann
ist Ansprechpartnerin für den Blog und berichtet über aktuelle STRATO Themen

Oliver Meiners
schreibt über alles, was für Dich als STRATO Kunde wichtig ist

Tobias Mayer
berichtet über Neuigkeiten aus dem Unternehmen

Michael Poguntke
schreibt über den Online-Speicher HiDrive, den Homepage-Baukasten, Webshops und Server

Christian Lingnau
bloggt über WordPress & andere CMS

Franz Neumeier
gibt Tipps zum erfolgreichen Bloggen

Sven Hähle
kennt sich bei Domains hervorragend aus

Patrick Schroeder
erzählt die Stories unserer Kunden

Ann-Christin Schmitt
schreibt über HiDrive, den Homepage-Baukasten und guten Websitecontent

Christian Rentrop
bloggt über Software-Themen

Phil Salewski
ist spezialisiert auf das Datenschutz- und Wettbewerbsrecht