MH - Fotolia
EU-DSGVO/GDPR: Gemeinsame Verantwortung für Cloud Storage
Werden Cloud-Dienste wie Storage gemeinsam genutzt, wird auch die Verantwortung für den Datenschutz geteilt. Die Datenschutz-Grundverordnung (DSGVO) macht hierzu klare Vorgaben.
Bei der Nutzung von Cloud-Diensten wie Cloud Storage denken viele Unternehmen an Auftragsverarbeitung, wenn es um den Datenschutz geht. Das ist auch gut und richtig, denn der Cloud-Provider hat in aller Regel die Rolle eines Auftragsverarbeiters. Doch es gibt eine weitere Konstellation bei der Nutzung von Cloud Storage und anderen Cloud-Services, bei der die Vorgaben der Datenschutz-Grundverordnung (DSGVO/GDPR) genau betrachtet werden sollten.
Wenn verschiedene Unternehmen eine Infrastruktur wie Cloud Storage gemeinsam nutzen, um personenbezogene Daten zu verarbeiten, kann datenschutzrechtlich eine gemeinsame Verantwortlichkeit für den Datenschutz vorliegen. Diese ist abzugrenzen von der Auftragsverarbeitung, bei der einer der Auftraggeber und einer der Auftragnehmer ist, wobei ebenfalls beide eine Verantwortung für den Datenschutz tragen. Kommt es zu einer Datenschutzverletzung, wird auch der Auftragnehmer zum Verantwortlichen für den Datenschutz.
Der Fall, dass mehrere Unternehmen gemeinsam für den Datenschutz verantwortlich sind, liegt aber anders. Hier ist keiner ausschließlich Auftraggeber oder Auftragnehmer, sondern die verschiedenen Unternehmen sind „Partner“ in der Verarbeitung, wenn man so sagen will.
DSGVO: Gemeinsam für die Verarbeitung Verantwortliche
Im Gegensatz zum bisherigen Bundesdatenschutzgesetz (BDSG) nennt die DSGVO ausführlich die besondere Situation, dass mehrere Unternehmen gemeinsam als Verantwortliche für die Verarbeitung personenbezogener Daten auftreten. Die DSGVO sagt hierzu in Artikel 26:
- Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß der DSGVO erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind. In der Vereinbarung kann eine Anlaufstelle für die betroffenen Personen angegeben werden.
- Diese Vereinbarung muss die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln. Das wesentliche der Vereinbarung wird der betroffenen Person zur Verfügung gestellt.
- Ungeachtet der Einzelheiten der Vereinbarung kann die betroffene Person ihre Rechte im Rahmen der DSGVO bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen.
Wenn also zum Beispiel zwei Unternehmen gemeinsam die Zwecke der und die Mittel zur Verarbeitung personenbezogener Daten, zum Beispiel die Speicherung in einem Cloud Storage, festlegen, so sind sie gemeinsam Verantwortliche für den Datenschutz.
Anforderungen an gemeinsam Verantwortliche
Da dieses Instrument für Unternehmen in Deutschland eine Neuerung darstellt, sollten verschiedene Missverständnisse verhindert werden:
- Während man gemeinsam Verantwortung trägt, teilt man sich die Verantwortung nicht, sondern jeder für sich ist verantwortlich für den Datenschutz, jeweils für seine Verarbeitung.
- Es reicht auch nicht, dass ein Unternehmen der gemeinsam Verantwortlichen eine Rechtsgrundlage für die Verarbeitung hat, sondern jedes Unternehmen braucht eine eigene Rechtsgrundlage.
- Die Einwilligung, die ein Unternehmen erhalten hat, kann insbesondere nicht ohne weiteres auf das andere, gemeinsam verantwortliche Unternehmen übertragen werden.
- Kommt es zur Datenschutzverletzung, können auch Informationspflichten gegenüber dem anderen verantwortlichen Unternehmen eintreten.
- Die Übermittlung personenbezogener Daten zwischen den gemeinsam Verantwortlichen braucht ebenfalls eine Rechtsgrundlage.
Wichtig: Gemeinsame Entscheidung über Zwecke und Mittel der Verarbeitung
Im Gegensatz zum Beispiel zur Auftragsverarbeitung entscheiden die gemeinsam verantwortlichen Unternehmen gemeinsam über die Zwecke und Mittel der Verarbeitung. Jedes Unternehmen unter den gemeinsam Verantwortlichen muss einen Einfluss auf die Verarbeitung haben, damit die rechtliche Situation nach Artikel 26 DSGVO eintritt. Wer genau welche Rolle einnimmt und wer welchen Umfang der Verantwortung trägt, muss in der eingangs genannten Vereinbarung festgelegt werden.
Eine denkbare Konstellation im Bereich Cloud Storage wäre, dass der Betreiber des Cloud Storage die gespeicherten Daten für eigene Zwecke nutzen will. Der Anwender des Cloud Storage, der zum Beispiel seine Kundendaten dort vorhalten möchte, muss diesen Zwecken des Anbieters zustimmen. Die betroffenen Personen müssen über die geplanten Verarbeitungen aller gemeinsam verantwortlichen Unternehmen informiert werden, für jede der Verarbeitungen ist eine Rechtsgrundlage erforderlich.
Anbieter und Anwender des Cloud Storage planen dann eine jeweils eigene Verarbeitung auf Basis der Cloud-Storage-Plattform. Der Anbieter ist dann offensichtlich nicht nur ein Auftragnehmer, sondern er und der Anwender sind gemeinsam Verantwortliche für den Datenschutz, mit allen Pflichten, die in Artikel 26 DSGVO genannt werden.
Folgen Sie SearchStorage.de auch auf Twitter, Google+, Xing und Facebook!