Verträge für Cloud Computing müssen wasserdicht sein

Die Aufsichtsbehörden für den Datenschutz weisen auf Mängel bei Verträgen für Auftragsdatenverarbeitung hin, wozu auch Cloud Computing zählt.

Dieser Artikel behandelt

Cloud-Sicherheit

44 Prozent der Unternehmen in Deutschland nutzen bereits Cloud Computing, so der Cloud-Monitor 2015 des IT-Verbandes Bitkom. Ob diese Unternehmen auch rechtlich einwandfreie Verträge mit den jeweiligen Cloud-Anbietern geschlossen haben, steht auf einem anderen Blatt. Aus Sicht des Datenschutzes jedenfalls sind Vertragslücken zu befürchten, Cloud-Verträge entsprechen dann nicht dem Datenschutzrecht.

Wie das Landesamt für Datenschutzaufsicht in Bayern (LDA Bayern) kürzlich klarstellte, muss derjenige einen detaillierten Vertrag schließen, der andere für sich mit personenbezogenen Daten arbeiten lässt. Wird ein solcher Vertrag nicht oder unzureichend abgeschlossen, droht ein Bußgeld. Das Bayerische Landesamt für Datenschutzaufsicht hat vor kurzem im Fall einer unzureichenden Auftragserteilung eine Geldbuße in fünfstelliger Höhe festgesetzt.

Unternehmen, die Cloud Computing oder eine andere Form der Auftragsdatenverarbeitung für die Verarbeitung personenbezogener Daten wählen, sind dazu angehalten, die sogenannte Auftragskontrolle nach BDSG (Bundesdatenschutzgesetz) genau auszuführen. Dies beginnt bereits mit einer datenschutzkonformen Gestaltung des Vertragswerkes.

BDSG nennt genaue Anforderungen an Vertragswerke

Was alles in einem Vertrag zur Auftragsdatenverarbeitung (ADV) geregelt sein muss, wird genau im Bundesdatenschutzgesetz (§ 11 BDSG) dargelegt – für ein Gesetz sogar erstaunlich detailliert und ausführlich. Zu den Punkten, die zum Beispiel in einem Cloud-Vertrag aus datenschutzrechtlicher Sicht zu regeln sind, gehören:

Allgemeine Aussagen zur Datensicherheit in einem Cloud-Vertrag reichen nicht.

  • Gegenstand und Dauer des Auftrags;
  • Umfang, Art und Zweck der vorgesehenen Erhebung;
  • Verarbeitung oder Nutzung von Daten;
  • die Art der Daten und der Kreis der Betroffenen;
  • Regelungen zur Berichtigung, Löschung und Sperrung von Daten;
  • die Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen;
  • die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen (zum Beispiel Cloud-Subprovider);
  • die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers;
  • mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen;
  • der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält;
  • die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags; und
  • die nach § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen.

Dabei müssen alle diese Punkte schriftlich vereinbart sein, nicht nachweisbare mündliche Absprachen mit dem Cloud-Anbieter reichen nicht.

Technisch-organisatorische Maßnahmen genau beschreiben und vereinbaren

Gerade die sogenannten TOMs, die technisch-organisatorischen Maßnahmen im Datenschutz, werden häufig zu ungenau definiert. Die Datensicherheitsmaßnahmen müssen konkret und spezifisch schriftlich vereinbart werden. Fehlen konkrete Festlegungen hierzu, stellt dies eine Ordnungswidrigkeit dar, die mit Geldbuße von bis zu 50.000 Euro geahndet werden kann, so das BayLDA. Dies ist keine theoretische Möglichkeit. Die Datenschutzaufsicht für den nichtöffentlichen Bereich in Bayern hat bereits ein entsprechend hohes Bußgeld verhängt. 

In dem konkreten Fall hatte das Unternehmen in seinen schriftlichen Aufträgen mit mehreren Auftragsdatenverarbeitern keine konkreten technisch-organisatorischen Maßnahmen zum Schutz der Daten festgelegt. Die Aufträge enthielten laut Datenschutzaufsicht nur einige wenige pauschale Aussagen und Wiederholungen des Gesetzestextes. Dies reicht keinesfalls aus, so die Datenschutzaufsicht.

Prüfpflicht und Verantwortung des Auftraggebers

Die Forderung nach einer konkreten und spezifischen Festlegung von Datensicherheitsmaßnahmen ist aus gutem Grund in dem BDSG enthalten.

Mehr zum Thema Datenschutz in der Cloud:

EU-Datenschutz-Grundverordnung: Was sich beim Cloud Computing ändert.

Welche Datenschutzprüfungen trotz Cloud-Zertifikat notwendig sind.

Neue Orientierungshilfe zu Datenschutz und Cloud.

Cloud: Der Lock-In-Effekt und die Folgen für den Datenschutz.

Kein Cloud Bursting ohne Datenschutz.

Der Auftraggeber zum Beispiel bei Cloud Computing bleibt in der Verantwortung für den Datenschutz. Der Cloud-Nutzer muss deshalb die Maßnahmen des Auftragnehmers, also des Cloud-Anbieters, kontrollieren und überwachen. Dies ist aber nur sinnvoll möglich, wenn es konkrete Vorgaben im technisch-organisatorischen Bereich gibt, die überprüft werden können.

Grundlage der vertraglichen Festlegungen zu den Datensicherheitsmaßnahmen muss das Datenschutzkonzept des Cloud-Nutzers auf Basis des Schutzbedarfs der Daten sein. Die zu regelnden Maßnahmen betreffen die Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeits- und Trennungskontrolle. Die reine Nennung dieser Maßnahmen reicht nicht, der technisch-organisatorische Datenschutz muss mit Inhalten konkret gefüllt sein.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im September 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Cloud-Sicherheitsstandards

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close