test echtdaten datenschutz datenübertragbarkeit portabilität bcr binding corporate rules datenschutzerklärung homepage

Nutzung von Cloud-Dienstleistern

Immer mehr Unternehmen entdecken den Vorteil von Cloud-Diensten: Man spart sich Investitionen in eigene Infrastruktur, Software und in deren Wartung. Damit spart man vielleicht auch noch Personal ein. Außerdem bleibt man skalierbar und muss sich nicht um die Datensicherung kümmern. Die gewonnene Liquidität kann dann anderweitig im Unternehmen sinnvoll eingesetzt werden.

Eine solche Nutzung von Cloud-Diensten kann regelmäßig als Auftragsdatenverarbeitung gem. § 11 BDSG angesehen werden und ist damit vom Gesetzgeber auch noch begünstigt, wenn das entsprechende Vertragswerk existiert.

Nur Vorteile durch die Cloud?

Bedauerlicher Weise wird von vielen Unternehmen in der Euphorie über das gesparte Geld und die Flexibilität übersehen, dass der Gesetzgeber gewisse Anforderungen bezüglich der Auswahl des Dienstleisters hat. So ist z. B. das Datenschutzniveau welches beim Dienstleister herrscht, genauestens zu prüfen und muss mind. dem EU-Datenschutzniveau entsprechen. Sowohl für Auftragsdatenverarbeitungen in Deutschland als auch außerhalb Deutschlands aber in der EU existieren Standardverträge, die genutzt werden können. Soll eine Auftragsdatenverarbeitung außerhalb der EU, also in einem sog. Drittstaat stattfinden, so fordert das BDSG die Sicherstellung eines entsprechenden Datenschutzniveaus beim Auftragnehmer. Das könnte theoretisch ganz einfach durch entsprechende vertragliche Regelungen erreicht werden. Wären da nicht die im Ausland geltenden Gesetze. Solange nämlich eine verschlüsselte Übertragung der Daten per Gesetz verboten ist oder zumindest ausgehebelt wird, nützen die schönsten vertraglichen Vereinbarungen gar nichts.

Safe Harbor war mal

Bislang waren die USA hier eine rühmliche Ausnahme. Durch das Safe Harbor Abkommen, dem Unternehmen freiwillig beitreten konnten, war sicher gestellt, dass bei diesen Unternehmen ein aus deutscher Sicht ausreichendes Datenschutzniveau herrscht. Bedauerlicher Weise hat die Konferenz der Bundes- und Landesdatenschützer vor ca. einem Monat gerade beschlossen, dass das Safe Harbor Abkommen aufgrund der geltenden Anti-Terrorgesetzgebung der USA nicht mehr als ausreichend anzusehen ist.

Die Anti-Terrorgesetzgebung der USA

Diese Gesetzgebung hebelt sogar die Möglichkeit aus, ein europäisches Tochterunternehmen aus einem US-amerikanischen Mutterkonzern als Dienstleister einzusetzen. Die amerikanischen Anti-Terrorgesetze gehen nämlich soweit, dass auch ausländische Töchter gezwungen werden können, den Geheimdiensten Zugriff auf ihre Daten zu geben. Erreicht wird das durch die Sanktionierung der amerikanischen Unternehmen für die „Verfehlungen“ ihrer ausländischen Töchter.

Jetzt wird geklagt!

Erste Unternehmen wie z. B. Microsoft haben erkannt, dass ihnen in Deutschland ein enormes Potenzial an Kunden entgehen könnte, wenn dieser Zustand so bleibt und werben nun damit, dass sie in solchen Fällen die Datenherausgabe verweigern und gegen solche Herausgabebeschlüsse klagen würden.

Ob solche Klagen erfolgreich sind, wird die Zukunft zeigen müssen. Aktuell würde ich jedenfalls jedem meiner Kunden davon abraten, Cloud-Dienstleistungen oder auch andere Auftragsdatenverarbeitungen von Unternehmen zu nutzen, die einen amerikanischen Mutterkonzern haben.

Planen Sie eine Auftragsdatenverarbeitung mit Dienstleistern im EU-Ausland oder in einem Drittstaat? Nehmen Sie Kontakt auf, ich unterstütze Sie gerne!


Diesen Beitrag teilen