Header graphic for print
Datenschutz News & Trends
Rubrik: Datensicherheit

Art. 29 Datenschutzgruppe zu Cloud Computing, Outsourcing und Datenschutz

Die Art. 29 Datenschutzgruppe legte am 1. Juli und am 6. Juni 2012 neue Dokumente zu Cloud Computing und zu Binding Corporate Rules vor, die Leitlinien für deren datenschutzkonforme Ausgestaltung enthalten.

Stellungnahme zum Cloud Computing

In der Stellungnahme vom 1. Juli 2012 zum Cloud Computing analysiert die Art. 29 Gruppe datenschutzrechtliche „hot topics“, die sich im Zusammenhang mit der Datenverarbeitung in der Cloud stellen.

Das Arbeitspapier soll eine Orientierungshilfe für Anbieter und Anwender von Cloud Diensten bieten und enthält eine Art Checkliste mit Empfehlungen und Richtlinien für eine datenschutzkonforme Ausgestaltung von Cloud-Diensten. Zudem werden Anforderungen an die Ausgestaltung der Vertragsbeziehungen zwischen Cloud-Anbieter und Cloud-Anwender gestellt.

Datenschutzrechtliche Risiken beim Cloud-Anbieter ergeben sich insbesondere aufgrund der Intransparenz der Prozesse bei der Datenverarbeitung und  aus den sich daraus ergebenden fehlenden Kontrollmöglichkeiten. Dies betrifft etwa die Überprüfung der technischen und organisatorischen Sicherheitsmaßnahmen.  

Daher soll z.B. der Nutzer über nachgelagerte Auftragsdatenverarbeiter oder verschiedene Orte der Datenverarbeitung informiert werden und der Vertrag muss eine klare Regelung für die Löschung von Daten enthalten. Außerdem sind technische und organisatorische Maßnahmen zur Gewährleistung des Datenschutzes vertraglich festzulegen. Für die Übermittlung personenbezogener Daten in Länder außerhalb der EU ist ein angemessenes Datenschutzniveau z.B. durch die Verwendung von Standardvertragsklauseln oder Binding Corporate Rules (BCRs), also verbindliche Unternehmensrichtlinien zur Erfüllung des Datenschutzes, sicherzustellen.

Der Leitfaden basiert auf der Annahme, dass zwischen Cloud-Nutzer und Cloud-Anbieter in der Regel ein Auftragsdatenverarbeitungsverhältnis besteht. Der Cloud-Nutzer ist dabei als Verantwortlicher i.S.d. BDSG für die Datenverarbeitung und die Einhaltung des Datenschutzes anzusehen. In diesem Zusammenhang begrüßt die Art. 29 Gruppe die Regelung im Entwurf der EU-Datenschutzverordnung, nach der Cloud-Anbieter, die die strengen Sicherheitsvorgaben nicht beachten, künftig ebenfalls als Verantwortliche anzusehen sind.

Leitfaden für Binding Corporate Rules (BCRs)

BCRs werden zunehmend von multinationalen Unternehmen und Konzernen eingesetzt, um bei Datenübermittlungen in Länder außerhalb der EU ein angemessenes Datenschutzniveau sicherzustellen. Nachdem die Art. 29 Datenschutzgruppe bereits im Jahr 2008 Leitlinien für BCRs von Controllern veröffentlicht hat, wurde nun ein Arbeitspapier mit Anforderungen an BCRs von Datenverarbeitern herausgebracht, die den Einsatz von BCRs erleichtern sollen. Damit ist der Leitfaden vor allem für die Cloud-Anbieter, aber auch für Outsourcing-Provider und Unternehmen, die global Datenverarbeitungsdienste anbieten, interessant.

Die Leitlinien betreffen die Ausgestaltung der BCRs selbst sowie des Vertrages zwischen dem Controller und dem Datenverarbeiter (Service-Level-Agreement). Die Ausarbeitung ist insbesondere vor dem Hintergrund, dass der Entwurf der EU-Datenschutzschutzverordnung ausdrücklich unternehmensinterne Vorschriften als geeignete Garantie zum Schutz personenbezogener Daten bei der Datenverarbeitung im Ausland nennt, zu begrüßen.

So ist in den BCRs z.B. zu regeln, wie die BCR intern und extern rechtlich verbindlich und damit für den Betroffenen einklagbar werden, und es sollte eine Beschreibung der Datenverarbeitung und der Datenflüsse, inklusive eine Liste der Unternehmen, die an die BCRs gebunden sind, enthalten sein. Ferner sollen die BCRs die Hauptniederlassung des Datenverarbeiters in der EU verpflichten, die Verantwortung für Datenverstöße durch nachgelagerte Auftragsdatenverarbeiter, die sich nicht in der EU befinden, zu tragen und Schadensersatz zu zahlen.

Die BCRs sind in das Service-Level-Agreement einzubeziehen und dem Vertrag als Anhang beizufügen. In  dem Vertrag ist u.a. zu regeln, ob eine nachgelagerte Auftragsdatenverarbeitung durch ein an die BCRs gebundenes Unternehmen generell zulässig sein soll oder der Controller jeder neuen Auftragsdatenverarbeitung explizit zustimmen muss. Im Fall einer generellen Einwilligung ist der Controller über jede neue Auftragsdatenverarbeitung zu unterrichten und es ist ihm die Möglichkeit einzuräumen, den Vertrag zu beenden.

 

Diese Webseite verwendet Cookies. Wenn Sie diese Webseite nutzen, akzeptieren Sie die Verwendung von Cookies. Mehr erfahren

Ich stimme zu