Sofortkontakt

Cloud Computing und Datenschutz: So schützen Unternehmen ihre Daten rechtskonform und sicher

geschätzte Lesezeit: 6 Minuten
Rechtsanwalt Marco Bennek
Philipp Obladen
Rechtsanwalt
(0221) 800 676 80
Jahrelange Erfahrung auf dem Gebiet des Urheberrechts
Persönliche Beratung ist unser Anspruch
Von über 250 Mandanten empfohlen
Hochspezialisiert auf Verteidigung geistigen Eigentums
Fragen? Kontaktieren Sie uns!

Cloud-Computing ist für viele Unternehmen unverzichtbar geworden. Es ermöglicht den Zugriff auf Daten und Anwendungen im Netzwerk von überall aus, fördert die Zusammenarbeit und steigert die Effizienz.

Doch bei aller Flexibilität einer Cloud-Lösung darf der Schutz Ihrer sensiblen Unternehmensdaten nicht vernachlässigt werden. Was Datenschutz und Rechtssicherheit betrifft, sollten Sie die Risiken von Cloud-Computing kennen und geeignete Maßnahmen zu deren Minimierung ergreifen.

Als spezialisierte Anwälte, unter anderem im Datenschutzrecht, stehen wir Ihnen mit Rat und Tat zur Seite, um Ihre Cloud-Nutzung rechtssicher zu gestalten.

Inhalt
Primary Item (H2)Sub Item 1 (H3)
Inhalt

1. Wie ist Cloud-Computing definiert?

Cloud-Computing beschreibt die Nutzung von Rechenleistungen, Speicherplatz und Anwendungen über das Internet in einem Netzwerk. Die Cloud - auf deutsch Wolke - ersetzt hier zunehmend eigene Server oder lokale IT-Infrastruktur, die bisher Standard in der unternehmerischen IT waren.

Cloud Computing und Datenschutz
Sie haben Fragen zum Thema Cloud Computing und Datenschutz? Kontaktieren Sie uns telefonisch unter (0221) 800 676 80 oder per E-Mail an ka*****@**************er.de

Unternehmen greifen dabei auf externe Anbieter als Dienstleister für ihr Netzwerk zurück. Diese bieten Cloud-Dienste wie Datenablage, Softwareanwendungen oder Plattformen an, die flexibel skalierbar sind. Typische Stichworte für die verschiedenen möglichen Dienstleistungen sind etwa Platform-as-a-Service (PaaS), Infrastructure-as-a-Service (IaaS, IT-Infrastruktur) oder Software-as-a-Service (SaaS).

Auf den ersten Blick hat Cloud-Computing überzeugende Vorteile: Kosteneinsparungen, einfache Erweiterbarkeit und ortsunabhängiger Zugriff sind einige von ihnen. Zudem steigt das Volumen der zu verarbeitenden Daten beständig, Big Data liegt im Trend. Schon deshalb ist die Cloud ein relevantes Thema für Sie. Der Umgang mit ihr bringt neue Herausforderungen mit sich. Was gilt etwa für Cloud-Computing und Datenschutz?

2. Cloud-Computing: Wo ist es datenschutzrechtlich verortet?

Die Datenschutz-Grundverordnung (DSGVO) und einige nationale deutsche Gesetze wie das Bundesdatenschutzgesetz (BDSG) regeln den Umgang mit personenbezogenen Daten in Deutschland sowie Europa. 

Wie ist Cloud-Computing datenschutzrechtlich einzuordnen?

Bei Cloud-Diensten handelt es sich in aller Regel um sogenannte Auftragsverarbeitungen nach Art. 28 DSGVO, bei denen der Cloud-Anbieter als Auftragsverarbeiter im Auftrag des Unternehmens tätig wird. Sie mit Ihrem Unternehmen nehmen dabei die Rolle des datenschutzrechtlichen Auftraggebers ein. Was sich zunächst einfach anhören mag, ist mit einer Vielzahl von Pflichten für Sie als Unternehmen verbunden.

Das bedeutet in erster Linie: Sie müssen sicherstellen, dass die Verarbeitung Ihrer Daten den gesetzlichen Vorgaben der DSGVO entspricht. Die Kontrollpflicht obliegt Ihnen als Auftraggeber. Um dieser Aufgabe nachkommen zu können, benötigen Sie mindestens klare vertragliche Regelungen mit dem Anbieter, die datenschutzkonform nach der DSGVO gestaltet ist. Dabei haben Sie in dem Vertrag auch technische und organisatorische Maßnahmen zum Schutz der sensiblen Daten zu gestalten. Hier sind datenschutzrechtlich sogenannte AV-Vertragsklauseln unverzichtbar.

Mögliche besondere Herausforderungen für Sie

Die Verträge zur Auftragsverarbeitung sind keine Verträge, die sich einem typischen Mustervertrag aus dem BGB oder anderen Rechtsbereichen zuordnen lassen. Es geht oft um eine Mischung aus verschiedenen Vertragstypen wie Miet-, Leasing-, Werk- und/oder Dienstvertrag, die das konkrete Nutzungsverhältnis individuell gestalten. 

Die datenschutzrechtlichen AV-Regelungen sind dabei zusätzlich zu integrieren, um Cloud-Computing und Datenschutz vereinbar zu machen. Hier hat der Anbieter idealerweise auch Prozesse für die Meldung von Datenschutzverletzungen etabliert. 

Sie haben Fragen rund um das Thema Cloud-Computing? Zögern Sie nicht, uns zu kontaktieren!

Wir beraten Sie umfassend und individuell und unterstützen Sie bei der Umsetzung.

3. Ist die Cloud datenschutzkonform?

Nicht jede Cloud-Lösung ist per se datenschutzkonform. Hier kann es beim Cloud-Computing und Datenschutz auf mehrere Faktoren ankommen:

  • Standort des Servers: Werden Daten in Ländern gespeichert, deren Datenschutzstandards niedriger sind? Dann besteht ein potenziell erhöhtes Risiko für den Datenschutz, dem Sie begegnen müssen.
  • Vertragliche Vereinbarungen: Bestehen klare Verträge mit dem Anbieter, die den Datenschutz sowie die Verantwortungsbereiche regeln? Wie können Sie Ihrer Kontrollpflicht nachkommen?
  • Technische Maßnahmen: Sind etwa Verschlüsselung, Zugriffskontrollen und Backup-Systeme vorhanden?
  • Seriosität des Anbieters: Wie ist der Anbieter insgesamt zu bewerten? Gilt er als seriös, oder ist er für eine eher laxe Umgangsweise mit Daten und Datenschutz bekannt?

Wenn alle diese Punkte positiv im Sinne der DSGVO erfüllt sind, können Sie zunächst von einer datenschutzkonformen Nutzung ausgehen. Jedoch kommt es immer auf den Einzelfall und die genauen Umstände an.

4. Gilt die DSGVO für jedes Cloud-Computing?

Sie haben Ihren Firmensitz/Wohnsitz in Deutschland und der Anbieter des Cloud-Computing hat seinen Sitz in der EU? Dann gilt direkt für alle Beteiligten die DSGVO. 

Kontaktieren Sie uns gerne bei Fragen oder wenn Sie rechtliche Unterstützung benötigen. Wir sind für Sie da!

Sie sollten dabei aber beachten, für welche Art von Daten die DSGVO gilt. Sie ist nicht anwendbar auf anonyme Daten und auf Daten von juristischen Personen wie Aktiengesellschaften oder GmbHs. Die Frage nach der Geltung der DSGVO richtet sich also auch danach, welche Arten von Daten Sie in der Cloud speichern. Hier können Sie mit Blick auf die wertvollen Daten Ihrer juristischen Person weitere Schutzbedürfnisse haben, die nicht auf die DSGVO zurückgehen, sondern etwa auf den wirtschaftlichen Wert der Daten. Auch das kann ein Thema im Vertrag mit dem Anbieter sein, vorrangig mit Blick auf die technischen Maßnahmen zum Schutz aller Unternehmensdaten, die Sie in die Cloud bringen. 

Viele besonders große und bekannte Anbieter von Cloud-Leistungen haben ihren Sitz gerade nicht in der EU, sondern etwa in den USA. Auf Sie wartet dann eine noch höhere Komplexität bei der Vertragsgestaltung mit einem solchen Anbieter, denn Sie müssen dafür sorgen, dass der Vertrag so ausgestaltet wird, dass ein mit der DSGVO vergleichbares Datenniveau entsteht. Sie können dies auf verschiedenen vertraglichen Wegen erreichen. Die Frage des vergleichbaren Datenschutzniveaus ist im Einzelfall zu beurteilen und erweist sich oft als schwierig zu bewerten. Das gilt umso mehr, wenn Sie keine Expertise im Datenschutz haben.

5. Welche Datenschutzrisiken birgt Cloud-Computing konkret?

Wenn es um Cloud-Computing und Datenschutz geht, haben Sie unter anderem folgende Aspekte im Auge:

  • Datenverlust: Bei technischen Problemen oder Cyberangriffen können Daten verloren gehen.
  • Unbefugter Zugriff: Ohne geeignete Sicherheitsmaßnahmen könnten Unbefugte auf Ihre Daten zugreifen.
  • Rechtswidrige Speicherung: Wenn Daten in unsicheren Ländern gespeichert werden, droht eine Verletzung der DSGVO.
  • Mangelnde Transparenz: Nicht alle Anbieter informieren ausreichend über ihre Sicherheitsmaßnahmen.

Diese Risiken sollten Sie kennen, um gezielt Gegenmaßnahmen zu ergreifen.

6. Wie schütze ich meine Daten in der Cloud?

Der Schutz Ihrer Daten beginnt bei der Auswahl des richtigen Anbieters. Achten Sie auf spezielle Zertifizierungen zum Cloud-Computing wie das Trusted-Cloud-Zertifikat und das C5-Testat des Bundesministeriums für Sicherheit in der Informationstechnik (BSI) oder die ISO-Norm ISO/IEC 27001.

Bei der Auswahl sollte der Serverstandort wichtig sein. Für Anbieter außerhalb der EU muss ein mit der DSGVO vergleichbares Datenschutzniveau erreicht werden. Das kann zum Beispiel über den Abschluss sogenannter SCC - Standardvertragsklauseln - sichergestellt werden. 

Sie schließen mit dem Anbieter einen Vertrag mit AV-Regelungen. Der Anbieter verfügt außerdem über eine verständliche und umfassende Datenschutzerklärung. Sie regelt unter anderem diese Punkte:

  • Welche Daten werden verarbeitet?
  • Wie werden die Daten verarbeitet?
  • Wer hat auf Daten Zugriff, welche Subdienstleister werden eingebunden?

Zudem sollten für Cloud-Computing und Datenschutz technische Maßnahmen greifen, die man als sogenannte TOMs (technisch-organisatorische Maßnahmen) im Sinne der DSGVO definiert:

  • Verschlüsselung: Ihre Daten werden bei Transfer und Speicherung verschlüsselt (End-to-End).
  • Zugriffskontrollen: Der Zugriff gilt nur für autorisierte Personen, am besten mit Multi-Faktor-Authentifizierung.
  • Regelmäßige Backups: Es werden Sicherungskopien Ihrer wichtigsten Daten erstellt.
  • Monitoring/Protokollierung: Sie können Zugriffe und Aktivitäten in Ihrer Cloud im Detail nachverfolgen.
Wir beraten bundesweit und stellen Datenschutzbeauftragte. Rufen Sie uns an: 0221-80067680.

Mehr zur Datenschutzgrundverordnung lesen Sie in diesem Beitrag.

7. Was können unsere Anwälte beim Cloud-Computing und Datenschutz für Sie tun?

Als Experten im Datenschutzrecht beraten wir Sie umfassend zum Thema Datenschutz im Zusammenhang mit Cloud-Computing. Wir prüfen Ihre bestehenden oder noch in Verhandlung befindlichen Verträge mit Anbietern, entwickeln individuelle Datenschutzerklärungen und unterstützen Sie bei der Umsetzung technischer Maßnahmen. 

Kommen Sie jetzt zu uns! Machen Sie Cloud-Computing und Datenschutz von Anfang an zum Thema. Kontaktieren Sie uns noch heute für eine individuelle Beratung!

8. Fazit

  • Cloud-Computing bietet viele Vorteile, birgt aber auch Datenschutzrisiken.
  • Die Speicherung in der Cloud muss DSGVO-konform erfolgen.
  • Risiken wie Datenverlust oder unbefugter Zugriff lassen sich unter anderem durch technische Maßnahmen minimieren.
  • Verträge mit Anbietern sollten klar geregelt sein.

9. Häufig gestellte Fragen (FAQ)

Was muss ich bei der Auswahl eines Cloud-Anbieters beachten?

Achten Sie auf Cloud-Computing-Zertifizierungen, den Standort des Rechenzentrums sowie transparente Sicherheitsmaßnahmen.

Kann ich meine bestehenden Verträge zum Cloud-Computing anpassen lassen?

Ja. Wir prüfen Ihre Verträge und passen sie an die aktuellen gesetzlichen Vorgaben an. Wir unterstützen auch bei der möglichen Beendigung bestehender Verträge und der Auswahl eines neuen Anbieters.

Welche technischen Maßnahmen sind bei Cloud-Computing und Datenschutz besonders wichtig?

Verschlüsselung, Zugriffskontrollen und regelmäßige Backups sind essentiell für den Schutz Ihrer Daten.

Was tun bei einem Datenschutzvorfall in der Cloud?

Sofortige Benachrichtigung der Aufsichtsbehörde sowie Dokumentation des Vorfalls sind notwendig. Wir beraten und unterstützen Sie dabei.

Warum sollte ich bei der Gestaltung von Cloud-Computing und Datenschutz einen spezialisierten Anwalt einschalten?

Wir sorgen dafür, dass Ihr Unternehmen alle gesetzlichen Anforderungen erfüllt, und vermeiden für Sie teure Abmahnungen oder Bußgelder.

Bildquellennachweis: weerapatkiatdumrong | Canva.com

Philipp Obladen
Philipp Obladen
Rechtsanwalt Obladen ist Fachanwalt für gewerblichen Rechtsschutz. Seine Ausbildung führte von Salt Lake City/USA über Singapur und Marburg schließlich nach Köln, wo er sein 1. Staatsexamen absolvierte. Sein 2. Staatsexamen legte er vor dem Landesjustizprüfungsamt in Düsseldorf ab. Seit Anbeginn seiner anwaltlichen Tätigkeit ist Rechtsanwalt Obladen nahezu ausschließlich auf den Gebieten des gewerblichen Rechtsschutzes, sowie des Medien- und Urheberrechts tätig.
(0221) 800 676 80
kanzlei@obladen-gaessler.de
Teilen: 
Rechtsanwalt Marco Bennek
Philipp Obladen
Rechtsanwalt
(0221) 800 676 80
Jahrelange Erfahrung auf dem Gebiet des Urheberrechts
Persönliche Beratung ist unser Anspruch
Von über 250 Mandanten empfohlen
Hochspezialisiert auf Verteidigung geistigen Eigentums
Fragen? Kontaktieren Sie uns!
Kategorien
Alle
Allgemein
Datenschutz
Interessantes
IT & Datenschutz
Marken & Werbung
Patent & Design
Presse & Medien
Rechtsprechung
Urheber & Verlagsrecht
Wettbewerb & Ecommerce
Neueste Beiträge
Copyright 2011 - 2022 OBLADEN · GAESSLER Rechtsanwälte. | Alle Rechte vorbehalten
Menu
close
crosschevron-down