Obwohl die DSGVO keine grundsätzlichen Änderungen bei den Maßstäben für die Verarbeitung personenbezogener Daten setzt, ergeben sich zahlreiche neue Anforderungen für Auftraggeber und Auftragnehmer. Dies betrifft insbesondere die Vertragsgestaltung mit Cloud-Providern. Die Prinzipien für die Verarbeitung und Speicherung personenbezogener Daten bleiben zwar grundsätzlich die gleichen, jedoch hat sich die Rechtsgrundlage erheblich geändert. Dies betrifft vor allem die Höhe des Bußgeldes bei Verstößen gegen die DSGVO. So beträgt die maximale Geldbuße bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr, in Abhängigkeit davon, welcher Wert höher ist.
Durch die DSGVO wurde ein Paradigmenwechsel der Gestalt ausgelöst, dass das Datenschutzrecht jetzt umfassende Dokumentations-, Organisations- und Transparenzpflichten fordert. Der Auftraggeber muss bei Verarbeitung personenbezogener Daten die Unzulässigkeit überprüfen und auf Verarbeitungsrisiken hin untersuchen. Diese sind zu identifizieren und angemessene Maßnahmen zur Risikoreduzierung zu planen und umzusetzen.
Seit dem 25.05.2018 ist die Verarbeitung personenbezogener Daten grundsätzlich nur noch dann datenschutzkonform, wenn sie den Anforderungen der DSGVO genügt. Gegebenenfalls müssen daher auch bereits bestehende Verträge mit Cloud-Providern entsprechend neu ausgestaltet oder mit Zusätzen versehen werden. Dabei ist es erforderlich zu überprüfen, ob die entsprechenden Cloud-Provider ihre Verträge selbstständig an die Erfordernisse angepasst und ihre Kunden darüber informieren haben. Ist dies nicht geschehen, ist der Auftraggeber verpflichtet, die erforderliche Anpassung vom Cloud-Provider zu fordern.
Auftragsverarbeitung
Die Artikel 28 und 29 der DSGVO regeln die Auftragsverarbeitung (früher Auftragsdatenverarbeitung) und sind für jede Vereinbarung zwischen Auftraggeber und Service-Provider bei Auftragsverarbeitungen bindend.
Daraus ergeben sich gerade im Cloud-Umfeld grundsätzlich sich zwei anspruchsvolle Neuerungen:
- Der Auftragnehmer (Cloud-Provider) ist bei der Beauftragung von Subunternehmen durch Art. 28 DSGVO an sehr viel strengere Vorgaben gebunden. Er hat sicherzustellen, dass seine Subunternehmer DSGVO-konform vorgehen (Art. 28, Abs. 4 DSGVO) und ist dafür haftbar. Darüber hinaus muss der Einsatz von Subunternehmern vom verantwortlichen Auftraggeber genehmigt werden.
- Der Auftragnehmer ist nach Art. 28, Abs. 3e DSGVO unter anderem stärker verpflichtet den verantwortlichen Auftraggeber nach Möglichkeit mit geeigneten technischen und organisitorischen Maßnahmen dabei zu unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III genannten Rechte, wie z. B. der Informationspflicht oder der Berichtigung und Löschung von Daten einer betroffenen Person nachzukommen.
Diese Änderungen sollten beim Vertragsabschluss unbedingt berücksichtigt werden, wobei nicht unterschätzt werden sollte, dass es sich bei Cloud-Service-Vertragswerken der Provider zum größten Teil um standardisierte Fassungen handelt. Ferner sollte im Vertrag unbedingt nach Art. 25 DSGVO die Pflicht zum Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen geregelt werden. Formal ist dies Aufgabe des Auftraggebers. Da jedoch die Umsetzung nicht allein durch die Nutzung des Cloud-Services allein sichergestellt werden kann, um geeignete technische und organisatorische Maßnahmen bei der Datenverarbeitung zu treffen, sollte hier vor allem der Cloud-Provider in die Pflicht genommen werden.
Cloud-Services in Ländern außerhalb der EU
Im Art. 44 ff. wird die Übermittlung personenbezogener Daten in Länder außerhalb der EU geregelt. Hier ist auch nach Art. 28 DSGVO die Zulässigkeit der Verarbeitung durch den Cloud-Provider zu prüfen sowie die Frage nach der Verarbeitung im oder der Zugriff aus dem jeweiligen Drittstaat Art. 44 ff. DSGVO. Die Prüfung ist entsprechend für jeden Subunternehmer durchzuführen. Soweit ein Provider von Cloud-Services ohne eigenes Rechenzentrum arbeitet, ist der Rechenzentrumsbetreiber der Subunternehmer.
Ausweitung der Haftung
Waren nach dem alten Bundesdatenschutzgesetz Ansprüche von Betroffenen gegen den Auftraggeber geltend zu machen, ergibt sich nun aus Art. 79 DSGVO, dass der Auftragsverarbeiter direkt verklagt werden kann. Ferner regelt der Art. 82 Abs. 2 DSGVO darüber hinaus, dass jeder Verantwortliche oder jeder Auftragsverarbeiter, der an derselben Verarbeitung beteiligt ist, für den gesamten Schaden gegenüber der betroffenen Person haftet. Der Auftragsverarbeiter haftet also auch für einen Fehler des Auftraggebers. Somit ist ein wirksamer Schadensersatz für den Betroffenen sichergestellt.
DSGVO als elementarer Bestandteil
Durch die DSGVO ergeben sich eine ganze Reihe neuer Gesichtspunkte für einen Vertragsabschluss mit einem Cloud-Provider. Altverträge sollten ebenso überprüft werden. Ist hier aufgrund standardisierter Verträge eine Einbeziehung der DSGVO nicht möglich, sollte in jedem Fall über einen Wechsel des Cloud-Providers nachgedacht werden.