Die Datenschutz-Grundverordnung (DS-GVO) bedeutet eine vollkommene Neuausrichtung des Datenschutzrechts in der EU. Die DS-GVO ist als EU-Verordnung in allen EU-Mitgliedstaaten unmittelbar anwendbar. Mit anderen Worten: der Text der DS-GVO gilt.
Die DS-GVO bringt keine grundlegende Veränderung in der Frage, welche Verarbeitung personenbezogener Daten ist zulässig oder unzulässig. Die Rechtsgrundlage ändern sich zwar, aber die Prinzipien bleiben.
Die Bußgeldhöhe steigt um etwa den Faktor 60. Das ist erheblich und ist vom Gesetzgeber auch als „Angstfaktor“ gewollt. Denn nur, was hinreichend Sanktionsdruck auslöst, wird beachtet.
Der eigentliche Paradigmenwechsel im Datenschutzrecht durch die DS-GVO besteht aber darin, dass das Datenschutzrecht sich nicht mehr nur mit der Frage befasst, ob eine Verarbeitung personenbezogener Daten zulässig ist oder nicht, sondern umfassen Dokumentations-, Organisations- und Transparenzpflichten vorsieht. Das ist kein Versehen, sondern gewollt. Der Verantwortliche soll sich mit der Verarbeitung der personenbezogenen Daten befassen, um sich deren Unzulässigkeit und/oder deren Risiken nicht verschließen zu können. Die Umsetzung dieser Pflichten ist umfassend bußgeldbewehrt und erfordert ein umfassendes Konzept – das auch nach dem 25.05.2018 weiter gelebt werden muss.
Aus der Sicht des Cloud Computing ist aber wichtig zu sehen, dass diese Pflichten jedes Unternehmen betreffen und nicht cloud-spezifische Anforderungen sind. Sie treffen auch nicht speziell oder gar nur den Cloud Provider dieser Rolle. Mit anderen Worten: der Cloud Provider muss für sein Unternehmen diese Pflichten alle erfüllen, aber er ist nicht als Cloud Provider für seine Auftraggeber für die Erfüllung dieser Pflichten verantwortlich.
Das sollte den Cloud Provider aber nicht dazu verführen, sich den Themen für seine eigene Organisation nicht zu stellen. Denn Auftraggeber werden (zunehmend) prüfen und/oder sich zusichern lassen, dass der Cloud Provider für seinen eigenen Bereich „DS-GVO-compliant“ ist.
Nachfolgend werden daher auch nur die wichtigsten 10 cloud-spezifischen Neuerungen angesprochen. Mit anderen Worten: Neuerungen, die gelten, weil es um Cloud Services geht:
1. Kein Bestandsschutz für Alt-Fälle
Nach Erwägungsgrund 171 der DS-GVO gilt, dass ab dem 25.05.2018 eine Verarbeitung personenbezogener Daten nur noch dann Datenschutz-compliant ist, wenn sie den Anforderungen der DS-GVO genügt.
Mit anderen Worten: Auch Alt-Aufträge müssen entsprechend der DS-GVO ausgestaltet werden.
2. Neue Vorgabe für die Auftragsverarbeitung
Die Auftragsdatenverarbeitung heißt unter der DS-GVO Auftragsverarbeitung. Es bleibt grundsätzlich aber dabei, dass die Auftragsverarbeitung die datenschutzrechtliche Grundlage für die Nutzung von Cloud Services ist. Auch die Kernkomponenten einer Auftragsverarbeitung bleiben: Weisungsgebundenheit gegenüber dem Auftraggeber, eine Vereinbarung mit Inhalten nach Maßgabe der datenschutzrechtlichen Regelungen über die Auftragsvearbeitung und Dokumentation der Vereinbarung.
Die entsprechende Vereinbarung über Auftragsverarbeitung muss aber den Anforderungen des Art. 28 DS-GVO genügen. Inhaltlich ist diese Regelung dem § 11 BDSG-alt ähnlich, aber im Detail nicht inhaltsgleich. Es muss daher jeder Vereinbarung über die Auftragsverarbeitung überprüft werden.
Einen ersten Überblick bekommen Sie mit der Checklist im Anhang.
Weitere Regelungen, deren Auswirkungen im Vertrag zu berücksichitgen sind, aber nicht in Art. 28 DS-GVO stehen:
- 26 DS-GVO: Joint Controllership
- 29 DS-GVO: Weisungsgebundenheit
- 32 Abs. 4 DS-GVO: Sicherheit der Verarbeitung
Ein Fortschritt für den Cloud-Bereich, dass Vereinbarungen über die Auftragsverarbeitung nicht mehr dem strengen deutschen Schriftformerfordnis unterfallen, sodass die Vereinbarung auch in elektronischer Form geschlossen werden kann (Art. 28 Abs. 9 DS-GVO).
Gerade im Cloud-Umfeld stellen sich aber auch zwei neue Herausforderungen:
- Die Beauftragung von Unterauftragnehmer (Subunternehmern) wird durch Art. 28 DS-GVO an strengere Vorgaben geknüpft als nach dem bisherigen deutschen Recht. Allerdings haben bereits viele Vereinbarungen schon solche Regelungen vorgesehen. Aber eine Prüfung im Detail ist gerade auch in diesen Fällen erforderlich.
- Der Auftragnehmer muss nach Art. 28 DS-GVO stärker in Pflicht genommen werden, den Auftraggeber bei der Erfüllung seiner Rechte zu unterstützen. Gerade bei Cloud Services ist das aber nur eingeschränkt stimmig zur Realität des genutzten Cloud Service. Diesem Umstand muss durch die Vertragsgestaltung Beachtung geschenkt werden.
3. Datenschutz durch Technikgestaltung und datenschutzrechtliche Voreinstellung
Die Pflicht zum Datenschutz durch Technikgestaltung und datenschutzrechtliche Voreinstellung trifft nach Art. 25 DS-GVO formal den Auftraggeber. Aber da die Umsetzung der Pflicht nicht durch die Nutzung des Services allein sichergestellt werden kann, werden diese Pflichten auf den Cloud Provider faktisch „durchschlagen“.
4. Verzeichnis von Verarbeitungskategorien
Neu ist die Pflicht nach Art. 30 Abs. 2 DS-GVO für den Auftragsverarbeiter ein Verzeichnis zu seinen Kategorien von Verarbeitungstätigkeiten im Auftrag zu führen. Der Auftragsverarbeiter hat dieses Verzeichnis der Aufsichtsbehörde jederzeit auf deren Verlangen vorzulegen.
Nicht zu verwechseln ist das Verzeichnis mit Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 1 DS-GVO. Dieses muss der Auftragsverarbeiter in Bezug auf seine eigenen Verarbeitungstätigkeiten führen.
Das bedeutet: Ein Auftragsverarbeiter führt zwei Verzeichnisses: eines als Verarbeiter für Verarbeitungen im eigenen Unternehmensinteresse und eines als Auftragsverarbeiter.
Art. 30 Abs. 5 DS-GVO sieht eine Ausnahme von der Pflicht zum Führen dieser Verzeichnisse vor. Ob diese überhaupt rechtlich einschlägig ist, muss sorgfältig geprüft werden.
Achtung: Lassen Sie sich aber nicht verpflichten, diese Verzeichnisse ihrem Auftraggeber auf Verlangen ohne Weiteres vorzulegen. Denn der Auftraggeber erfährt damit mehr, als er gesetzlich wissen muss und Sie laufen Gefahr gegen Geheimhaltungspflichten zu verstoßen.
5. Meldung der Verletzung des Schutzes personenbezogener Daten
Aus der DS-GVO kann sich die Pflicht bei der Verletzung des Schutzes personenbezogener Daten verpflichtet ergeben, die Aufsichtsbehörde zu benachrichtungen (Art. 33 DS-GVO) und ggf. jede betroffene Person zu unterrichten (Art. 34 DS-GVO).
Eine „Verletzung des Schutzes personenbezogener Daten“ ist nach der Definition in Art. 4 Nr. 12 DS-GVO eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. Ein Vorfall also, der sich bei einem Auftragsverarbeiter ereignen kann.
Art. 33 Abs. 2 DS-GVO verpflichtet den Auftragsverarbeiter explizit dazu, es dem Auftraggeber unverzüglich zu melden, wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird.
Diese Pflicht erfüllt keiner gerne. Denn damit ist ein Schadensersatzanspruch durch den Auftraggeber allein schon durch das, was der Auftragnehmer ihm mitteilen muss, schnell begründet.
6. Cloud Services außerhalb der EU
Die Übermittlung personenbezogener Daten in Länder außerhalb der EU (sog. Drittstaaten) wird durch die DS-GVO in Art. 44 ff. DS-GVO geregelt. Vereinfacht lässt sich sagen, dass sich insoweit nichts Großes ändert. Im Detail muss dennoch die Ausgestaltung überprüft werden, weil die Vorgaben in Art. 44 ff. DS-GVO detailreicher sind als im bisherigen Datenschutzrecht.
Unverändert bleibt damit auch die Zweistufigkeit der Prüfung der Zulässigkeit eine Verarbeitung in Drittstaaten: 1. Ist die Verarbeitung durch den Cloud Provider zulässig (hierzu oben zur Auftragsvrarbeitng)? 2. Darf die Verarbeitung im oder der Zugriff aus dem Drittstaat erfolgen (Art. 44 ff. DS-GVO)?
Diese Prüfung ist entsprechend für jeden Subunternehmer durchzuführen.
Eine erfreuliche Situation ergibt sich dadurch, dass Erwägungsgrund 171 DS-GVO vorsieht, dass Beschlüsse der EU-Kommission grundsätzlich auch über den Anwendungsbeginn der DS-GVO hinaus wirksam bleiben. Das bedeutet insbesondere, dass EU-US Privacy Shield, EU-Standardverträge und die Anerkennung von Drittstaaten mit angemessenem Datenschutzniveau nicht automatisch entfällt.
Auch der neue Art. 28 DS-GVO wirkt sich in diesem Kontext positiv aus. Denn anders als die bisherige Regelungen im deutschen BDSG-alt ist die Auftragsverarbeiutung nicht auf die EU und den EWR beschränkt, sondern auch mit Unternehmen im Drittstaaten möglich.
7. Ausweitung der Haftung des Cloud Providers durch die DS-GVO
Nach dem BDSG-alt hatte der Auftragsverarbeiter eine recht komfortable Haftungssituation. Ansprüche waren von Betroffenen gegen den Auftraggeber geltend zu machen. Faktisch wirkte sich das wie ein Haftungsprivilegierung für die Auftragsverarbeiter aus.
Die DS-GVO kennt eine solche Haftungsprivilegierung nicht mehr. Auch aus Art. 79 DS-GVO ergibt sich, dass der Auftragsverarbeiter direkt verklagt werden kann.
Die DS-GVO geht in Art. 82 Abs. 2 DS-GVO sogar noch einen Schritt weiter. Ist sowohl ein Auftraggeber als auch ein Auftragsverarbeiter an derselben Verarbeitung beteiligt, so haftet jeder Verantwortliche oder jeder Auftragsverarbeiter für den gesamten Schaden, damit ein wirksamer Schadensersatz für die betroffene Person sichergestellt ist. Der Auftragsverarbeiter haftet also gegenüber der betroffenen Person auch für einen Fehler des Auftraggebers. Das gilt natürlich nicht ohne die Einschränkung, die in Art. 82 Abs. 2 und 3 DS-GVO vorgesehen sind.
Kurzum: Es besteht das Risiko, dass der Auftragsverarbeiter für eine Datenschutzverletzung durch den Auftraggeber in Anspruch genommen wird.
Ob der Anspruch gegen ihn am Ende durchsetzbar ist, mag auf einem anderen Blatt stehen. Der Auftragsverarbeiter ist in jedem Fall gut beraten, diese geänderte Situation für sich zu bewerten und gegebenenfalls durch vertragliche Regelungen mit Auftraggeber hierauf zu reagieren.
8. Sicherheit der Verarbeitung
Die Sicherheit der Verarbeitung (Art. 32 DS-GVO) nimmt in der DS-GVO eine ganz zentrale Rolle ein. Sie geht in jeder Hinsicht grundlegend über das bisherige Datenschutzrecht hinaus. Dieser Anforderung muss der Auftragsverarbeiter genügen, um überhaupt als Auftragsverarbeiter in Betracht zu kommen. Durch die DS-GVO tritt auch stärker als nach dem BDSG-alt die Frage nach der Sicherheit der Verarbeitung als Kriterium der Zulässigkeit der Verarbeitung hervor.
Die Sicherheit der Verarbeitung nach DS-GVO ist auch nicht inhaltsgleich mit der IT-Sicherheit. Denn die Schutzziele sind unterschiedlich und können sich sogar entgegen stehen. Die IT-Sicherheit richtet sich am Schutz des Bestands des Unternehmens aus. Die Sicherheit der VEarbeitung nach DS-GVO richtet sich hingegen am Schutz der Rechte und Freiheiten der natürlichen Person aus.
Art. 32 DS-GVO sieht einen eigenständigen Kriterienkatalog für die Schutz der personenbezogenen Daten vor. Dieser muss dokumentiert abgearbeitet und der Service daran ausgerichtet werden.
Eine Fortsetzung findet diese Bewertung in der sog. Datenschutz-Folgenabschätzung, deren Ergebnis wiederum dazu zwingen kann, eine Verarbeitung vor deren Beginn mit der Datenschutzaufsichtsbehörde abzustimmen.
9. Mittelbare Erfüllung von Pflichten des Auftraggebers/Unterstützung für Aufgaben des Auftragsverarbeiters
Eine erhebliche Auswirkungen „auf den zweiten Blick“ werden die Regelungen haben, die nicht direkt den Auftragsverarbeiter in die Pflicht nehmen sondern seinen Auftraggeber. Denn: Den Auftraggeber als Verantwortlichen treffen die eingangs angesprochenen umfassenden Dokumentations-, Organisations- und Transparenzpflichten.
In diese Pflichten wird der Auftraggeber bestenfalls den Cloud Provider (nur) einbinden und berücksichtigen wollen. Schlimmstenfalls wird er seine Pflichten auf den Auftragsverarbeiter auslagern wollen. Von der andere Seite betrachtet, wird er Auftraggeber gewisse Pflichten der DS-GVO gar nicht selbst erfüllen können, weil nur der Auftagsverarbeiter über diese Kompetenz verfügt und gerade deshalb auch der Cloud-Service genutzt wird.
Kurzum: Der Cloud Provider muss sich spezifisch für seinen Cloud-Service festlegen, wie er mit dieser Situation umgehen möchte und was bei ihm alles zum Service gehören soll.
Nachfolgend werden einzelne Aspekte exemplarisch angesprochen. Bei diesen wird sich je nach Cloud-Service die Frage stellen müssen, ob der Cloud Provider als Bestandteil seine Services die entprechenden Templates, Textes und Bestätigungen mitliefert.
- Die Erfüllung der Recht der betroffenen Personen nach Artt. 12 bis 23 DS-GVO wird der Auftraggeber nicht ohne Einbindung des Cloud Providers erfüllen können.
- Führen des Verzeichnisse von Verarbeitungstätigkeiten nach Art. 30 Abs. 1 DS-GVO setzen Informationen zum Cloud Service voraus.
- Die Datenschutz-Folgenabschätzung und die Vorherige Konsultation der Aufsichtsbehörde stellen für einen Auftraggeber eine erhebliche Hürde.
10. Bußgelder
Nach dem BDSG-alt waren die Auftragsverarbeiter in Bezug auf die Ausgestaltung der Auftragsverarbeitung praktisch nicht Adressat von Bußgeldsanktionen. Diese trafen den Auftraggeber. Das ändert sich durch die DS-GVO. Der Auftragsverarbeiter ist zukünftig ebenso umfassend Adressat von Bußgeldsanktionen wie der Auftraggeber.
In Bezug auf die Bußgelder muss bewusst gemacht werden, dass diese bewusst „schmerzhaft“ gewählt wurden. Die Nichteinhaltung des Datenschutzes soll nicht günstiger sein können als die Einhaltung. Dementsprechend drohen je nach Verstoß Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist oder Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist.
Eine weitere – und bei der Diskussion um die Höhe fast übersehene – Veränderung ist die Ausweitung der Datenschutzverletzungen, die Bußgeldbewehrt ist. Beispielsweise waren bisher Verstöße gegen die Sicherheit der Verarbeitung (§ 9 BDSG-alt) nicht bußgeldbewehrt, sind es aber unter der DS-GVO. Der Verstoß gegen die Meldepflicht bei einer Verletzung des Schutzes personenbezogener Daten (Art. 33 Abs. 2 DS-GVO). Auch die gesamte Dokumentationspflichten waren bisher nicht bußgeldbewehrt, auch weil sie bisher im BDSG-alt überhaupt nicht vorgesehen waren (bspw. Verzeichnis von Kategorien von Verarbeitungstätigkeiten).
Der komplette Sanktionsapparat wird strenger. In der Praxis wird sich stärker als die neue Bußgeldhöhe die Erweiterung der bußgeldbewehrten Pflichten auswirken.