Welche Auswirkungen hat die DSGVO auf die Auftragsdatenverarbeitung in der Cloud?

Auch für die cloudbasierte Auftragsdatenverarbeitung gelten innerhalb der EU die Regelungen der DSGVO. Sowohl der Cloud-Nutzer als verantwortliche Stelle, als auch der Cloud-Anbieter bzw. -Provider müssen geeignete Maßnahmen zum DSGVO-konformen Datenschutz nachweisen. Durch die DSGVO kann allerdings in Zukunft auch der Cloud-Anbieter als Auftrags-Datenverarbeiter für Datenschutzverletzungen haftbar gemacht werden.

Datenübermittlung via Cloud

Personenbezogene Daten dürfen grundsätzlich in ein Drittland außerhalb der EU übermittelt werden. Dies ist aber nur dann legal, wenn der Cloud-Provider ein DSGVO-konformes Datenschutzniveau nachweisen kann. Er muss somit garantieren, dass die technischen und organisatorischen Maßnahmen auf eine Art und Weise durchgeführt werden, die eine den Anforderungen der Verordnung gemäße Verarbeitung und den Schutz der Rechte der betroffenen Person sicherstellt. Dies lässt sich durch eine der DSGVO entsprechende Zertifizierung, die von der EU-Kommission anerkannt sein muss, nachweisen.

Welche Zertifizierung gilt?

Cloud-Anbieter können sich gemäß dem sogenannten „EU-US Privacy Shield“ zertifizieren lassen. Das EU-US Privacy Shield stellt eine datenschutzrechtliche Absprache zwischen der Europäischen Union und den Vereinigten Staaten von Amerika dar, die den Schutz personenbezogener Daten regelt, welche von einem Mitgliedsstaat der EU in die USA übermittelt werden. Nach dem sogenannten „Safe-Harbor-Urteil“ besteht jedoch nicht volle Klarheit darüber, ob Privacy Shield weiterhin Bestand haben wird.

Daher sollte auch die Möglichkeit in Betracht gezogen werden, Cloud-Provider zu wählen, deren Rechenzentren sich auf dem Gebiet der Europäischen Union bzw. des Europäischen Wirtschaftsraumes befinden.

Weitere Fragen und Antworten rund um die DSGVO finden Sie in unserer DSGVO-FAQ.