Rechtsverstoß des Cloud-Anbieters – was müssen Unternehmen tun?

Inhalt

[vc_row][vc_column][vc_column_text el_class=”klara-blog-intro”]Kommt es zu Verstößen eines eingesetzten Cloud-Anbieters gegen geltendes Recht, sollten Unternehmen umgehend handeln. Denn aus rechtlicher Sicht stellt die Datenverarbeitung durch einen Cloud-Anbieter eine Auftragsverarbeitung (AV) dar. Dabei bleibt der Auftraggeber für die Datenverarbeitung verantwortlich. Konsequenterweise ist der Verantwortliche gesetzlich dazu verpflichtet, den Cloud-Anbieter regelmäßig auf die Einhaltung bestimmter rechtlicher Vorgaben zu kontrollieren. Kommt es zu Abweichungen oder offensichtlichen Rechtsverstößen, hilft das folgende Vorgehen.[/vc_column_text][vc_column_text]

Was tun, wenn der Cloud-Anbieter Probleme bereitet?

Stellt der Auftraggeber einen Verstoß des Cloud-Dienstleisters gegen die im AV-Vertrag getroffenen Vereinbarungen oder geltendes Datenschutzrecht fest, so hat er zunächst den Schweregrad des festgestellten Verstoßes zu bewerten. Dafür bietet sich die Einteilung in mittelschwere, schwere und sehr schwere Verstöße an. Bei der Bewertung sind folgende Kriterien zu berücksichtigen:[/vc_column_text][vc_column_text css=”.vc_custom_1554410857160{border-bottom-width: 1px !important;padding-bottom: 1em !important;border-bottom-color: #e3e3e3 !important;border-bottom-style: solid !important;}”]

Art und Schutzbedarf der Daten

[/vc_column_text][vc_row_inner][vc_column_inner width=”1/3″][vc_custom_heading text=”Mittlerer Verstoß” font_container=”tag:h4|text_align:left” use_theme_fonts=”yes” el_class=”klara-bold”][vc_column_text el_class=”kl-flatter”]Daten der Personalabrechnung (Vergütungsgruppe, KFZ-Kennzeichen, Adressdaten)[/vc_column_text][/vc_column_inner][vc_column_inner width=”1/3″][vc_custom_heading text=”Schwerer Verstoß” font_container=”tag:h4|text_align:left” use_theme_fonts=”yes” el_class=”klara-bold”][vc_column_text el_class=”kl-flatter”]Gesundheitsdaten, Religionszugehörigkeit[/vc_column_text][/vc_column_inner][vc_column_inner width=”1/3″][vc_custom_heading text=”Sehr schwerer Verstoß” font_container=”tag:h4|text_align:left” use_theme_fonts=”yes” el_class=”klara-bold”][vc_column_text el_class=”kl-flatter”]Medizinische Daten lebenserhaltender Systeme, Aufenthaltsdaten prominenter Personen[/vc_column_text][/vc_column_inner][/vc_row_inner][vc_column_text css=”.vc_custom_1554410980312{border-bottom-width: 1px !important;padding-bottom: 1em !important;border-bottom-color: #e3e3e3 !important;border-bottom-style: solid !important;}”]

Beeinträchtigung des Rechts auf informationelle Selbstbestimmung

[/vc_column_text][vc_row_inner][vc_column_inner width=”1/3″][vc_custom_heading text=”Mittlerer Verstoß” font_container=”tag:h4|text_align:left” use_theme_fonts=”yes” el_class=”klara-bold”][vc_column_text el_class=”kl-flatter”]Beeinträchtigung für Betroffene tolerabel[/vc_column_text][/vc_column_inner][vc_column_inner width=”1/3″][vc_custom_heading text=”Schwerer Verstoß” font_container=”tag:h4|text_align:left” use_theme_fonts=”yes” el_class=”klara-bold”][vc_column_text el_class=”kl-flatter”]Erhebliche Beeinträchtigung möglich[/vc_column_text][/vc_column_inner][vc_column_inner width=”1/3″][vc_custom_heading text=”Sehr schwerer Verstoß” font_container=”tag:h4|text_align:left” use_theme_fonts=”yes” el_class=”klara-bold”][vc_column_text el_class=”kl-flatter”]Sehr massive Beeinträchtigung möglich[/vc_column_text][/vc_column_inner][/vc_row_inner][vc_column_text css=”.vc_custom_1554411052353{border-bottom-width: 1px !important;padding-bottom: 1em !important;border-bottom-color: #e3e3e3 !important;border-bottom-style: solid !important;}”]

Entstandene oder drohende Schäden

[/vc_column_text][vc_row_inner][vc_column_inner width=”1/3″][vc_custom_heading text=”Mittlerer Verstoß” font_container=”tag:h4|text_align:left” use_theme_fonts=”yes” el_class=”klara-bold”][vc_column_text el_class=”kl-flatter”]Keine bis geringe Schäden[/vc_column_text][/vc_column_inner][vc_column_inner width=”1/3″][vc_custom_heading text=”Schwerer Verstoß” font_container=”tag:h4|text_align:left” use_theme_fonts=”yes” el_class=”klara-bold”][vc_column_text el_class=”kl-flatter”]Erhebliche Schäden[/vc_column_text][/vc_column_inner][vc_column_inner width=”1/3″][vc_custom_heading text=”Sehr schwerer Verstoß” font_container=”tag:h4|text_align:left” use_theme_fonts=”yes” el_class=”klara-bold”][vc_column_text el_class=”kl-flatter”]Existenzbedrohende Schäden[/vc_column_text][/vc_column_inner][/vc_row_inner][vc_column_text css=”.vc_custom_1554411135576{border-bottom-width: 1px !important;padding-bottom: 1em !important;border-bottom-color: #e3e3e3 !important;border-bottom-style: solid !important;}”]

Ursachen des Verstoßes

[/vc_column_text][vc_row_inner][vc_column_inner width=”1/3″][vc_custom_heading text=”Mittlerer Verstoß” font_container=”tag:h4|text_align:left” use_theme_fonts=”yes” el_class=”klara-bold”][vc_column_text el_class=”kl-flatter”]Weder vorsätzliches noch fahrlässiges Handeln[/vc_column_text][/vc_column_inner][vc_column_inner width=”1/3″][vc_custom_heading text=”Schwerer Verstoß” font_container=”tag:h4|text_align:left” use_theme_fonts=”yes” el_class=”klara-bold”][vc_column_text el_class=”kl-flatter”]Fahrlässige Verursachung[/vc_column_text][/vc_column_inner][vc_column_inner width=”1/3″][vc_custom_heading text=”Sehr schwerer Verstoß” font_container=”tag:h4|text_align:left” use_theme_fonts=”yes” el_class=”klara-bold”][vc_column_text el_class=”kl-flatter”]Vorsätzliche Verursachung[/vc_column_text][/vc_column_inner][/vc_row_inner][vc_column_text css=”.vc_custom_1554411175214{border-bottom-width: 1px !important;padding-bottom: 1em !important;border-bottom-color: #e3e3e3 !important;border-bottom-style: solid !important;}”]

Getroffene Sicherheitsmaßnahmen

[/vc_column_text][vc_row_inner][vc_column_inner width=”1/3″][vc_custom_heading text=”Mittlerer Verstoß” font_container=”tag:h4|text_align:left” use_theme_fonts=”yes” el_class=”klara-bold”][vc_column_text el_class=”kl-flatter”]Angemessener Schutz trotz Verstoß vorhanden[/vc_column_text][/vc_column_inner][vc_column_inner width=”1/3″][vc_custom_heading text=”Schwerer Verstoß” font_container=”tag:h4|text_align:left” use_theme_fonts=”yes” el_class=”klara-bold”][vc_column_text el_class=”kl-flatter”]Kein ausreichender Schutz[/vc_column_text][/vc_column_inner][vc_column_inner width=”1/3″][vc_custom_heading text=”Sehr schwerer Verstoß” font_container=”tag:h4|text_align:left” use_theme_fonts=”yes” el_class=”klara-bold”][vc_column_text el_class=”kl-flatter”]Gravierende Sicherheitslücken[/vc_column_text][/vc_column_inner][/vc_row_inner][vc_column_text]

Maßnahmen bei festgestellten Rechtsverstößen des Cloud-Anbieters

Nach erfolgter Kategorisierung der Rechtsverstöße sind entsprechend den oben aufgeführten Kategorien bestimmte Reaktionen des Auftraggebers angezeigt.

Mittlerer Verstoß des Cloud-Anbieters:

Schwerer Verstoß des Cloud-Anbieters:

  • Einschaltung des Datenschutzbeauftragten
  • Meldung des Falles an zuständige Aufsichtsbehörde
  • Information der Betroffenen
  • Aufforderung zur unverzüglichen Behebung des Verstoßes (max. eine Woche)
  • Kontrolle der Behebung
  • Einstellung der Datenverarbeitung sowie Übersendung der Daten an den Cloud-Anbieter
  • Kündigung des Auftrages

Sehr schwerer Verstoß des Cloud-Anbieters:

  • Einschaltung des Datenschutzbeauftragten
  • Meldung des Falles an zuständige Aufsichtsbehörde
  • Information der Betroffenen
  • Fristlose Kündigung des Auftrages
  • Migration der Daten zu einem anderen Cloud-Anbieter
  • Sicherstellung der Löschung der Daten beim ehemaligen Cloud-Anbieter

Vorbeugung: Sorgfältige Auswahl des Cloud-Anbieters

Da in gewissen Fällen eine Kündigung des Cloud-Hosting-Auftrages angezeigt ist, hat der Auftraggeber bereits im Vorfeld Maßnahmen zu treffen, die eine allzu große Abhängigkeit von einem bestimmten Cloud-Anbieter verhindern. Unternehmen sollten diesbezüglich schon bei der Auswahl eines Cloud-Anbieters bestimmte Kriterien beachten. Gerade in Hinblick auf das Recht auf Datenübertragbarkeit gemäß Art. 20 DSGVO ist dieser Punkt von großer Wichtigkeit. Im Übrigen existieren auch sog. Migrationsdienste, die bei der Datenübertragung zwischen Cloud-Anbietern behilflich sind und mögliche bestehende Inkompatibilitäten beseitigen können.

Dieser aktualisierte Artikel erschien zuerst am 23. Februar 2015.[/vc_column_text][/vc_column][/vc_row][vc_row el_class=”blog-cta”][vc_column][vc_row_inner][vc_column_inner][vc_column_text el_class=”klara-call-text”]In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.[/vc_column_text][ult_buttons btn_title=”Zum Datenschutz-Portal” btn_link=”url:%2Fdatenschutz%2F|||” btn_align=”ubtn-center” btn_size=”ubtn-large” btn_title_color=”#ffffff” btn_bg_color=”” btn_hover=”ubtn-center-dg-bg” btn_bg_color_hover=”#62a8e8″ icon_size=”32″ btn_icon_pos=”ubtn-sep-icon-at-left” btn_border_style=”solid” btn_color_border=”#ffffff” btn_color_border_hover=”#ffffff” btn_border_size=”1″ btn_radius=”0″ btn_font_size=”desktop:18px;tablet:18px;tablet_portrait:18px;mobile_landscape:16px;mobile:16px;”][/vc_column_inner][/vc_row_inner][/vc_column][/vc_row]

Weiterlesen

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.