Immer mehr Unternehmen greifen auf Cloud-Lösungen zurück, um Kundendaten effizient zu verwalten und Geschäftsprozesse zu optimieren. Doch mit der zunehmenden Nutzung von Cloud-Technologien wächst auch die Verantwortung, den Datenschutz gemäß der Datenschutz-Grundverordnung (DSGVO) sicherzustellen. Durch neue Beschlüsse und Regularien hat sich der rechtliche Rahmen in den letzten Jahren weiterentwickelt, insbesondere hinsichtlich internationaler Datenübertragungen.
Wer die DSGVO-Vorgaben konsequent im Blick behält, kann nicht nur Compliance gewährleisten, sondern auch das Vertrauen von Kunden und Geschäftspartnern stärken.
DSGVO und die Verwaltung personenbezogener Daten
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare lebende Person beziehen. Verschiedene Teilinformationen, die gemeinsam zur Identifizierung einer bestimmten Person führen können, stellen ebenfalls personenbezogene Daten dar.[1] Beispiele für personenbezogene Daten sind u.a.: Name und Vorname, E-Mail-Adresse (z.B. vorname,name@unternehmen.com) Privatanschrift oder eine IP-Adresse.
Die DSGVO legt den Fokus darauf, wie mit personenbezogenen Daten umgegangen wird: vom Zugang über die Speicherung und Weitergabe bis hin zur Löschung. Dies betrifft insbesondere Kundendaten, die Unternehmen im Rahmen ihrer Geschäftstätigkeit verarbeiten. Je nach genutzter Cloud-Anwendung, etwa im Bereich CRM, steigt der Anteil an Kundendaten, die in der Cloud verarbeitet werden. Hier stellt sich die Frage:
Sollen Kundendaten überhaupt in der Cloud gespeichert werden?
Einige Unternehmen setzen bereits auf marktführende Cloud-Lösungen wie Salesforce. Die damit verbundene Speicherung und Verarbeitung von Kundendaten in der Cloud verlangen jedoch nach klaren rechtlichen Grundlagen.
Rechtliche Grundlagen: Data Processing Agreements
Für jede Cloud-Lösung ist ein sogenanntes Data Processing Agreement (DPA), auch Vereinbarung zur Auftragsverarbeitung (AVV) genannt, unerlässlich. Ein solches Agreement regelt, wie mit den Daten umgegangen wird, und sollte sowohl mit dem Hersteller der Lösung als auch mit dem Systemintegrator abgeschlossen werden. Beide Parteien – Hersteller und Integrator – können auf die Daten zugreifen.
„Ohne klare vertragliche Regelungen zum Datenschutz riskieren Unternehmen nicht nur hohe Bußgelder, sondern auch einen Vertrauensverlust bei Kunden und Partnern,“ betont Dr. Sabrina Seak, Legal Counsel & Data Protection Officer von Damovo.
Systemintegratoren, die das System aufbauen, konfigurieren und betreuen, haben intensiven Zugang zu Daten. Hersteller hingegen benötigen Zugriff auf die Daten, etwa bei tiefen Eingriffen in die Systemarchitektur. Diese unterschiedlichen Zugriffsebenen machen eindeutige Regelungen innerhalb des DPA notwendig.
Neue Entwicklungen in der internationalen Datenübertragung: Der EU-US Data Privacy Framework
Seit Juli 2023 gilt ein neuer Angemessenheitsbeschluss, das EU-US Data Privacy Framework. Dieses Abkommen vereinfacht die Übertragung personenbezogener Daten in die USA erheblich, indem es zertifizierten US-Unternehmen erlaubt, Daten ohne zusätzliche Maßnahmen wie Standardvertragsklauseln (SCC) oder Transfer Impact Assessments (TIA) zu empfangen. Dabei werden durch neue Regulierungen auch die Zugriffe von US-Geheimdiensten beschränkt, und europäische Bürger erhalten umfassende Rechtsmittel, um den Datenschutz in den USA durchzusetzen.
Standardvertragsklauseln (SCC): Sicherheit bei Drittland-Datenübertragungen
Die SCC haben weiterhin Bestand und sind besonders bei Datenübertragungen in andere Drittländer außerhalb der USA notwendig. Zusätzlich zu den vertraglichen Schutzmechanismen der SCC sind, gemäß den Empfehlungen des Europäischen Datenschutzausschusses (EDPB), auch technische Maßnahmen erforderlich, um unberechtigte Zugriffe auf Daten zu verhindern. Solche Maßnahmen umfassen etwa Verschlüsselung und die Hoheit über Codes durch die Kunden-Maßnahmen, die besonders bei Cloud-Anwendungen von US-Anbietern als schwierig gelten und teilweise zu Einschränkungen in der Nutzung führen können.
Technische und organisatorische Maßnahmen (TOMs)
Im DPA werden technische und organisatorische Maßnahmen (TOMs) detailliert beschrieben, die sicherstellen sollen, dass die DSGVO eingehalten wird. Diese Maßnahmen müssen sowohl der Hersteller als auch der Dienstleister bereitstellen. Der Systemintegrator erhält etwa Zugriff auf Daten über Multi-Authentifizierungs-maßnahmen, und es wird genau festgelegt, welche Mitarbeitergruppen Zugriff haben. In manchen Fällen können Unternehmen sogar verlangen, dass bestimmte Personen namentlich genannt werden. Diese strikten Regelungen bieten Unternehmen eine Möglichkeit, die DSGVO-Konformität der eingesetzten Cloud-Lösung regelmäßig zu überprüfen.
Transfer Impact Assessments: Beibehalten in unsicheren Drittstaaten
Obwohl der EU-US Data Privacy Framework für die USA inzwischen eine sichere Grundlage bietet, müssen für andere Drittländer weiterhin Transfer Impact Assessments (TIA) durchgeführt werden. Diese TIAs bieten Einblick, wann und warum Daten an Dritte weitergegeben oder ausgelagert werden und sind bei US-Anbietern, die nicht zertifiziert sind, weiterhin notwendig.
Fazit: Cloud-Datenschutz erfordert laufende Anpassungen
Unternehmen, die Cloud-Lösungen nutzen, müssen zahlreiche rechtliche und organisatorische Aspekte beachten, um die Anforderungen der DSGVO zu erfüllen. Die neuen Entwicklungen, wie der EU-US Data Privacy Framework, bieten eine Entlastung für den Datenaustausch mit den USA, während in anderen Drittländern weiterhin SCC und TIA erforderlich sind. Das Abschließen von DPAs, die Berücksichtigung der SCC und der TIA in unsicheren Staaten bleiben entscheidende Faktoren für eine sichere und rechtskonforme Datenverarbeitung in der Cloud.
[1] https://commission.europa.eu/law/law-topic/data-protection/reform/what-personal-data_de#:~:text=Referenzen-,Antwort,stellen%20ebenfalls%20personenbezogene%20Daten%20dar.