Da auch Cloud-Anbieter an einer möglichst kosteneffizienten Arbeitsweise interessiert sind, werden Vorgaben der Auftraggeber nicht immer strikt eingehalten. Kommt es zu Abweichungen, lässt sich mit Hilfe folgender Kategorisierung ermitteln, welche Reaktionen bei Rechtsverstößen von Cloud-Anbietern für Unternehmen angezeigt sind.

Immer mehr Unternehmen setzen derzeit auf den Einsatz von Cloud-Technologien und streben eine vollständige Migration der eigenen IT-Infrastruktur in die Cloud an. Dies hat den Vorteil von Kostenersparnissen und bietet zugleich die Möglichkeit, den Leistungsumfang konkret auf die jeweiligen Unternehmenswünsche anzupassen. Aus rechtlicher Sicht stellt die Datenverarbeitung durch einen Cloud-Anbieter eine Auftragsdatenverarbeitung (ADV) dar. Dabei bleibt der Auftraggeber für die Datenverarbeitung verantwortlich. Konsequenterweise ist dieser daher gesetzlich verpflichtet, den Cloud-Anbieter regelmäßig auf die Einhaltung bestimmter rechtlicher Vorgaben zu kontrollieren.

Was tun, wenn der Cloud-Anbieter Probleme bereitet?

Stellt der Auftraggeber bei der ADV einen Verstoß des Cloud-Dienstleisters gegen die Vereinbarungen oder geltendes Datenschutzrecht fest, so hat er zunächst den Schweregrad des festgestellten Verstoßes zu bewerten. Die Verstöße sollten jeweils in die Kategorien mittelschwere, schwere und sehr schwere Verstöße eingeteilt werden. Bei der Bewertung sind die folgend aufgeführten Kriterien zu berücksichtigen:

Tabelle Arten und Schweregrade für Rechtsverstöße des Cloud-Anbieters

Zum Vergrößern bitte auf die Tabelle klicken.

Maßnahmen bei festgestellten Rechtsverstößen des Cloud-Anbieters

Nach erfolgter Kategorisierung der Rechtsverstöße durch das auftraggebende Unternehmen sind entsprechend den oben aufgeführten Kategorien bestimmte Reaktionen des Auftraggebers angezeigt.

Mittlerer Verstoß des Cloud-Anbieters:

  • Einschaltung des Datenschutzbeauftragten
  • Aufforderung zur unverzüglichen Behebung des Verstoßes (max. ein Monat)
  • Kontrolle der Behebung

Schwerer Verstoß des Cloud-Anbieters:

  • Einschaltung des Datenschutzbeauftragten
  • Aufforderung zur unverzüglichen Behebung des Verstoßes (max. eine Woche)
  • Kontrolle der Behebung
  • Einstellung der Datenverarbeitung sowie Übersendung der Daten an den Cloud-Anbieter
  • Kündigung des Auftrages

Sehr schwerer Verstoß des Cloud-Anbieters:

  • Einschaltung des Datenschutzbeauftragten
  • Meldung des Falles an zuständige Aufsichtsbehörde
  • Information der Betroffenen
  • Fristlose Kündigung des Auftrages
  • Migration der Daten zu einem anderen Cloud-Anbieter
  • Sicherstellung der Löschung der Daten beim ehemaligen Cloud-Anbieter

Vorbeugung: Sorgfältige Auswahl des Cloud-Anbieters

Da in gewissen Fällen eine Kündigung des Cloud-Hosting-Auftrages angezeigt ist, hat der Auftraggeber bereits im Vorfeld Maßnahmen zu treffen, die eine allzu große Abhängigkeit von einem bestimmten Cloud-Anbieter verhindern. Unternehmen sollten diesbezüglich schon bei der Auswahl eines Cloud-Anbieters bestimmte Kriterien beachten. Im Übrigen existieren auch sog. Migrationsdienste, die bei der Datenübertragung zwischen Cloud-Anbietern behilflich sind und mögliche bestehende Inkompatibilitäten beseitigen können.