Kommt es zu Verstößen eines eingesetzten Cloud-Anbieters gegen geltendes Recht, sollten Unternehmen umgehend handeln. Denn aus rechtlicher Sicht stellt die Datenverarbeitung durch einen Cloud-Anbieter eine Auftragsverarbeitung (AV) dar. Dabei bleibt der Auftraggeber für die Datenverarbeitung verantwortlich. Konsequenterweise ist der Verantwortliche gesetzlich dazu verpflichtet, den Cloud-Anbieter regelmäßig auf die Einhaltung bestimmter rechtlicher Vorgaben zu kontrollieren. Kommt es zu Abweichungen oder offensichtlichen Rechtsverstößen, hilft das folgende Vorgehen.
Was tun, wenn der Cloud-Anbieter Probleme bereitet?
Stellt der Auftraggeber einen Verstoß des Cloud-Dienstleisters gegen die im AV-Vertrag getroffenen Vereinbarungen oder geltendes Datenschutzrecht fest, so hat er zunächst den Schweregrad des festgestellten Verstoßes zu bewerten. Dafür bietet sich die Einteilung in mittelschwere, schwere und sehr schwere Verstöße an. Bei der Bewertung sind folgende Kriterien zu berücksichtigen:
Art und Schutzbedarf der Daten
Mittlerer Verstoß
Daten der Personalabrechnung (Vergütungsgruppe, KFZ-Kennzeichen, Adressdaten)
Schwerer Verstoß
Gesundheitsdaten, Religionszugehörigkeit
Sehr schwerer Verstoß
Medizinische Daten lebenserhaltender Systeme, Aufenthaltsdaten prominenter Personen
Beeinträchtigung des Rechts auf informationelle Selbstbestimmung
Mittlerer Verstoß
Beeinträchtigung für Betroffene tolerabel
Schwerer Verstoß
Erhebliche Beeinträchtigung möglich
Sehr schwerer Verstoß
Sehr massive Beeinträchtigung möglich
Entstandene oder drohende Schäden
Mittlerer Verstoß
Keine bis geringe Schäden
Schwerer Verstoß
Erhebliche Schäden
Sehr schwerer Verstoß
Existenzbedrohende Schäden
Ursachen des Verstoßes
Mittlerer Verstoß
Weder vorsätzliches noch fahrlässiges Handeln
Schwerer Verstoß
Fahrlässige Verursachung
Sehr schwerer Verstoß
Vorsätzliche Verursachung
Getroffene Sicherheitsmaßnahmen
Mittlerer Verstoß
Angemessener Schutz trotz Verstoß vorhanden
Schwerer Verstoß
Kein ausreichender Schutz
Sehr schwerer Verstoß
Gravierende Sicherheitslücken
Maßnahmen bei festgestellten Rechtsverstößen des Cloud-Anbieters
Nach erfolgter Kategorisierung der Rechtsverstöße sind entsprechend den oben aufgeführten Kategorien bestimmte Reaktionen des Auftraggebers angezeigt.
Mittlerer Verstoß des Cloud-Anbieters:
- Einschaltung des Datenschutzbeauftragten
- Meldung des Falles an zuständige Aufsichtsbehörde
- Aufforderung zur unverzüglichen Behebung des Verstoßes (max. ein Monat)
- Kontrolle der Behebung
Schwerer Verstoß des Cloud-Anbieters:
- Einschaltung des Datenschutzbeauftragten
- Meldung des Falles an zuständige Aufsichtsbehörde
- Information der Betroffenen
- Aufforderung zur unverzüglichen Behebung des Verstoßes (max. eine Woche)
- Kontrolle der Behebung
- Einstellung der Datenverarbeitung sowie Übersendung der Daten an den Cloud-Anbieter
- Kündigung des Auftrages
Sehr schwerer Verstoß des Cloud-Anbieters:
- Einschaltung des Datenschutzbeauftragten
- Meldung des Falles an zuständige Aufsichtsbehörde
- Information der Betroffenen
- Fristlose Kündigung des Auftrages
- Migration der Daten zu einem anderen Cloud-Anbieter
- Sicherstellung der Löschung der Daten beim ehemaligen Cloud-Anbieter
Vorbeugung: Sorgfältige Auswahl des Cloud-Anbieters
Da in gewissen Fällen eine Kündigung des Cloud-Hosting-Auftrages angezeigt ist, hat der Auftraggeber bereits im Vorfeld Maßnahmen zu treffen, die eine allzu große Abhängigkeit von einem bestimmten Cloud-Anbieter verhindern. Unternehmen sollten diesbezüglich schon bei der Auswahl eines Cloud-Anbieters bestimmte Kriterien beachten. Gerade in Hinblick auf das Recht auf Datenübertragbarkeit gemäß Art. 20 DSGVO ist dieser Punkt von großer Wichtigkeit. Im Übrigen existieren auch sog. Migrationsdienste, die bei der Datenübertragung zwischen Cloud-Anbietern behilflich sind und mögliche bestehende Inkompatibilitäten beseitigen können.
Dieser aktualisierte Artikel erschien zuerst am 23. Februar 2015.