Datenschutz Cloud- / IT-Dienstleister & Softwarehersteller

Cloud-Computing bietet effizienten, flexiblen und bedarfsgerechten Service über ein Netzwerk (meist über das Internet) und die Cloud ist aus dem heutigen Geschäftsleben fast nicht mehr wegzudenken. „Software as a Service“, „Platform as a Service“, oder „Infrastructure as a Service“ ermöglichen überall verfügbare Rechenleistung ohne hohe Anschaffungskosten oder aufwändige Wartung. Es werden diverse IT-Dienstleistungen, wie z.B. Speicherplatz und Anwendungssoftware, vom Anbieter online angeboten. Unternehmen müssen für die Vorhaltung ihrer Daten z.B. keine eigenen Server mehr betreiben, sondern können je nach Bedarf Kapazitäten und Dienstleistungen in Anspruch nehmen und auch entsprechend abrechnen.
Ihre Daten – Ihre Verantwortung. Auch in der Cloud
Doch wie steht es beim Cloud-Computing mit dem Datenschutz? Sind personenbezogene Daten im Spiel, müssen sämtliche Vorschriften zum Datenschutz beachtet werden. Wer Cloud-Dienste in Anspruch nimmt, bleibt für die Daten auch verantwortlich und muss sicherstellen, neben der Verantwortung auch die Kontrolle über die Daten zu behalten.
Vielfältige rechtliche Herausforderungen
Die Cloud birgt weitere Risiken, weil verschiedene Parteien zusammenarbeiten. Datenschutzrechtlich müssen die Kooperationen und die entsprechenden Datenflüsse vertraglich aufeinander genau abgestimmt werden. Löschpflichten zum Beispiel sollte nur derjenige erfüllen, der vertraglich festgelegt hat, nach welchen Verfahren, mit welchen Kontrollmechanismen und wann gelöscht werden soll. Cloud-Nutzer müssen den Betroffenen Transparenz, Integrität und Revisionssicherheit der Datenverarbeitung garantieren – in der „fernen Wolke“ ist dies nur über individuelle vertragliche Vereinbarungen mit dem Anbieter möglich. Im Speziellen müssen folgende Risiken beachtet und bearbeitet werden:

Datenverlust und Datenmanipulation
Zugriff auf die Daten seitens des Cloud Anbieters, Dritter oder Geheimdienste
Identitätsdiebstahl und Missbrauch von Accounts
(Vorrübergehende) Nichtverfügbarkeit des Cloud Dienstes

Cloud-Computing braucht Erfahrung im internationalen Datenschutz
Datenschutzrechtliche Komplexität erlangt die Cloud, wenn Ländergrenzen überschritten werden, und fast jede Cloud ist international. Wissen Sie, wo genau der Server steht, auf dem Ihre Kundendaten oder Mitarbeiterdaten verarbeitet werden? Technische und organisatorische Fragen zum Datenschutz sind besonders wichtig, wenn personenbezogene Daten die EU bzw. den EWR verlassen. Datentransfer in sog. Drittstaaten verlangt eine zusätzliche vertragliche Absicherung, wenn das Datenschutzniveau – wie oft – im Zielland niedrig ist. Solche Vorkehrungen sind wichtig, wenn die digitale Expansion erfolgreich und ohne große Risiken ablaufen soll.
Ihr Partner für EU-Standardvertragsklauseln und Binding Corporate Rules
Die Standardvertragsklauseln der EU-Kommission oder Binding Corporate Rules (Art. 46 DSGVO) können als Grundlage für die Datenübermittlungen über die Cloud herangezogen werden. Kommen internationale Subunternehmer hinzu, müssen auch passende Verträge zur Auftragsdatenverarbeitung geschlossen und entsprechende Kontrollpflichten beachtet werden.
Verträge sichern ab
Wer garantiert Ihnen, dass Cloud-Anbieter nicht auftragswidrig handeln? Unter anderem müssen auch Vertragsstrafen neben geeigneten Kontrollmaßnahmen vertraglich festgeschrieben werden, die mit den ebenfalls vereinbarten Weisungsrechten korrespondieren.

Wie wir Sie unterstützen:

Als Experten im Datenschutzrecht bringen wir unser Know-how nachhaltig in Ihre Projekte ein und navigieren Sie sicher durch die Cloud. Unser Team verfügt über vielfältige Erfahrungen sowohl als Berater für Cloud-Anbieter als auch für Unternehmen, die mit der Cloud arbeiten. Mit einem Datenschutz-Audit unterstützen wir beide Seiten gleichermaßen und sorgen somit für eine nachweisbare Rechtskonformität, wodurch Sie die Wettbewerbsfähigkeit Ihres Unternehmens nachhaltig stärken können. Durch Risikoanalysen und datenschutzrechtliche Prüfungen tragen wir Sorge dafür, dass Risiken minimiert werden.
Gerne stehen wir Ihrem Unternehmen bei Bedarf auch als externer Datenschutzbeauftragter zur Verfügung bzw. unterstützen Ihren betrieblichen Datenschutzbeauftragten bei der rechtskonformen Umsetzung von Cloud Computing. Überzeugen Sie sich von unserem Leistungsangebot und treten Sie mit uns in Kontakt, um einen unverbindlichen Gesprächstermin zu vereinbaren.

IT-Dienstleister und Softwarehersteller
IT-Dienstleister und Softwarehersteller sehen sich ebenfalls und nicht nur auf Grund der DSGVO besonderen datenschutzrechtlichen Herausforderungen gegenüber.
Die DSGVO verlangt, dass die Voreinstellungen bei Software z.B. zu mehr Datenschutz führen und den Nutzer im Datenschutz unterstützen sollen. Zudem ist für die Erhebung, Speicherung und Verarbeitung der personenbezogenen Daten der Nutzer eine informierte Einwilligung der Betroffenen oder eine andere Rechtsgrundlage erforderlich.
Art. 25 der DSGVO weist explizit auf den Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen hin und unterstreicht damit die besondere Bedeutung. Die Maßnahmen (u.a. Privacy by Design / Privacy by Default) sollen sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.
Zudem soll die Menge der erhobenen personenbezogenen Daten per Voreinstellung begrenzt werden, ebenso der Umfang ihrer Verarbeitung. Die Speicherfristen müssen klar definiert und reguliert werden, und der Zugang zu den Daten muss begrenzt werden.

Gerne helfen wir Ihnen mit einem professionellem Datenschutz-Management Wettbewerbsvorteile aufzubauen, Kundenbeziehungen zu festigen und neue Kunden zu gewinnen. Sie profitieren hierbei von der hohen Fachkompetenz und den Mehrfach-Qualifikationen (in den Bereichen Datenschutz, Cloud Computing und IT-Sicherheit) unserer Rechtsanwälte und Datensicherheitsexperten. Sprechen Sie uns gerne an.