Leitlinie zur Cloudnutzung

Im Lichte der EuGH Rechtsprechung (Schrems II) empfehlen wir unseren Kunden folgende Leitlinie, wenn es um die Einbindung von Cloudlösungen geht. Optimisten meinen, dass sich die rechtlichen Rahmenbedingungen für die Nutzung von Dienstleistern aus sog. unsicheren Drittstaaten in absehbarer Zeit auf politischer Ebene wieder ändern und das Thema dann wieder entspannter angegangen werden kann. Wir teilen diesen Optimismus leider bei allem guten Willen nicht.

Cloudlösungen für Kundendaten

Für Cloudlösungen sind ausschließlich Dienstleister auszuwählen, die ihren Sitz innerhalb der DSGVO Jurisdiktion haben (EU plus EWR). Zur Vereinfachung von vertragsrechtlichen Fragestellungen sowie von Kontrollhandlungen sind Dienstleister mit Sitz in Deutschland zu bevorzugen.

Gewähren Dienstleister Institutionen oder Personen auch nur gelegentlich Zugriff auf Daten, die sich während dieser Tätigkeit einer Jurisdiktion eines unsicheren Drittstaats verpflichtet fühlen (müssen), scheiden diese Dienstleister für eine Zusammenarbeit aus – und zwar unabhängig davon, von aus wo diese Zugriffe erfolgen. Diese Regelung umfasst beispielsweise Support- oder Wartungstätigkeiten durch US-Dienstleister auch dann, wenn diese in Deutschland auf in Deutschland gehostete Daten durch US-Personal stattfinden würden. Diese Vorgabe muss über die gesamte Kette eingebundener Subunternehmer eingehalten und durch belastbare Verträge verbindlich gemacht sein.

Jegliche Zugriffsmöglichkeit von Entitäten, die einem unsicheren Drittsaat zuzurechnen sind, müssten Kunden und Kooperationspartnern offengelegt werden. Die Einhaltung dieser Grundsätze hat somit sehr hohe vertriebliche Bedeutung.

Cloudlösungen für Mitarbeiter- und Lieferantendaten

Die für Kundendaten vorstehend formulierten Grundsätze gelten auch für Mitarbeiter- und Lieferantendaten. Hier sind jedoch Ausnahmen immer dann möglich, wenn hinsichtlich des Funktionsumfangs einer angestrebten Lösung keine annähernd vergleichsweise ‚EU-Lösung‘ gewählt werden kann und geeignete Maßnahmen zum Schutz der Daten vorgenommen werden können.

Die Betroffenen wären in jedem Fall in geeigneter Form über den Drittstaatentransfer zu informieren (DS-Hinweise).

Schutz der Daten bei Cloudlösungen

Beim Schutz von Daten sind technische Maßnahmen (Verschlüsselung) generell organisatorischen Maßnahmen (Vereinbarungen) vorzuziehen. Als Daten seien alle Informationen zu verstehen, die für das Unternehmen einen Wert darstellen bzw. vertraulich sind und/oder einen Personenbezug haben. Bei allen Daten mit einem nicht nur geringen Schutzbedarf (anhand der unternehmensinternen Metrik zu definieren) ist generell eine Verschlüsselung anzustreben. Ein (übergangsweiser) Verzicht auf Verschlüsselung kommt hier nur dann in Frage, wenn alle involvierten Dienstleister über Zweifel hinsichtlich ihrer Zuverlässigkeit erhaben sind, auf organisatorische Schutzmaßnahmen also vertraut werden kann.

Eine Verschlüsselung ist immer dann unverzichtbar, wenn auch bei entsprechenden vertraglichen Vereinbarungen trotzdem Zugriffe auf die Daten von Personen oder Institutionen zu befürchten sind, die sich einer Jurisdiktion eines unsicheren Drittstaats verpflichtet fühlen (müssen). Von diesem Umstand ist formell aufgrund der EuGH Rechtsprechung stets auszugehen, wenn in irgendeiner Weise z.B. US-Unternehmen an der Leistungserbringung beteiligt sind oder faktisch Einfluss auf die Leistungserbringung nehmen können.

Eine Verschlüsselung ist auch dann unverzichtbar, wenn ein Dienstleister sie von sich aus oder auf Nachfrage insb. zum Schutz vor Zugriffen von US-Personen oder Institutionen empfiehlt. Ein Verzicht unter diesen Umständen wäre als fahrlässig zu bewerten.

Als Verschlüsselung im vorstehenden Sinne sind alle Maßnahmen zu verstehen, die einen Zugriff auf Inhalte (Informationen) des Unternehmens durch Mitarbeiter eines Clouddienstleisters oder Dritter wirksam verhindern – und zwar während des Transports der Daten vom und zum Clouddienstleister, der Kommunikation zwischen einzelnen Systemen beim Clouddienstleister, der Verarbeitung und im Ruhezustand der Daten.

Das Wesen einer Clouddienstleistung ist die Bereitstellung von Infrastrukturen (IaaS), Plattformen (PaaS) oder Services (SaaS). Der Clouddienstleister hat somit zumindest immer die Kontrolle über die technische Infrastruktur und in der Regel bis zur „Oberkante“ des Betriebssystems. Während eine Verschlüsselung im vorstehenden Sinn illegitime Zugriffe auf die Inhalte der Daten wirksam einschränken kann, kann Verschlüsselung die Zerstörung der Daten nicht verhindern. Dieser Situation ist je nach Schutzbedarf in dienstleister-übergreifenden Sicherungskonzepten Rechnung zu tragen.

Das Abweichen von vorstehenden Regeln kann neben vertrieblichen Implikationen als Verstoß gegen die DSGVO gewertet werden. Hieraus ergeben sich erhebliche Bußgeldrisiken. Darüber hinaus muss mit Schadenersatzansprüchen der Betroffenen und oder von Kooperationspartnern gerechnet werden. Da sich für Schadenersatzansprüche auf Basis der DSGVO hinsichtlich der Höhe der Zahlungen noch keine europaweit einheitliche Rechtsprechung etabliert hat, muss auch dieses Risiko als möglicherweise erheblich betrachtet werden. Ein Schadenersatzanspruch auf Basis der DSGVO setzt keinen beweisbaren materiellen Schaden voraus, sondern kann auch auf immateriellen Schäden begründet werden.