Der Einsatz von Cloud-Diensten ist datenschutzrechtlich als Auftragsverarbeitung (Art. 28 DSGVO) einzuordnen, wenn der Cloud-Anbieter personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
AV-Vertrag (Art. 28 DSGVO): Ein schriftlicher oder elektronischer Auftragsverarbeitungsvertrag mit dem Cloud-Anbieter ist Pflicht. Der AVV muss den Mindestinhalt des Art. 28 Abs. 3 DSGVO enthalten: Gegenstand und Dauer, Art und Zweck, Datenkategorien, Pflichten des Auftragsverarbeiters (Weisungsbindung, Vertraulichkeit, TOM, Unterstützung bei Betroffenenrechten, Löschung/Rückgabe, Nachweispflichten).
Vorabprüfung: Der Verantwortliche muss vor der Beauftragung prüfen, ob der Cloud-Anbieter hinreichende Garantien für geeignete technische und organisatorische Maßnahmen bietet (Art. 28 Abs. 1 DSGVO). Zertifizierungen (ISO 27001, SOC 2) können als Faktoren herangezogen werden, ersetzen aber nicht die eigene Prüfung.
Drittlandstransfer: Bei Cloud-Anbietern mit Servern außerhalb der EU/des EWR müßen die Anforderungen der Art. 44 ff. DSGVO erfüllt werden. Standarddatenschutzklauseln (Art. 46 Abs. 2 lit. c DSGVO) sind das häufigste Instrument. Seit der Schrems-II-Entscheidung des EuGH können ergänzende Maßnahmen (Transfer Impact Assessments, Verschlüßelung) erforderlich sein.
Risiken: Die DSK-OH Cloud Computing (2014) benennt zentrale Risiken: Kontrollverlust über die Daten, Vendor-Lock-in (Abhängigkeit vom Anbieter), unklare Datenlöschung, mangelhafte Mandantentrennung. Cloud Computing darf nicht zu einer Absenkung des Datenschutzniveaus führen.
Verschlüßelung: Daten sollten bei der Übertragung (TLS) und bei der Speicherung (Encryption at Rest) verschlüßelt werden. Bei besonders sensiblen Daten ist eine Verschlüßelung empfohlen, bei der der Cloud-Anbieter keinen Zugriff auf die Schlüßel hat (Client-Side Encryption).