Zur Übersicht Pflichten

Was ist bei der Nutzung von Cloud-Diensten datenschutzrechtlich zu beachten?

Art. 28Art. 32Art. 44-49 DSGVO

Cloud-Dienste sind typische Fälle der Auftragsverarbeitung. Der Cloud-Anbieter verarbeitet Daten im Auftrag und auf Weisung des Verantwortlichen.

Pflichten des Verantwortlichen

  1. Vorabprüfung: Hinreichende Garantien des Cloud-Anbieters für geeignete TOM prüfen (Art. 28 Abs. 1 DSGVO). Zertifizierungen (z.B. ISO 27001) können als Indikator dienen.
  2. AVV abschließen: Mit allen acht Mindestinhalten nach Art. 28 Abs. 3 DSGVO.
  3. Drittlandtransfer prüfen: Bei Cloud-Anbietern mit Sitz oder Rechenzentren außerhalb der EU/EWR: Angemessenheitsbeschluss, SCCs oder andere Garantien erforderlich (Art. 44 ff. DSGVO).
  4. Verschlüßelung: Daten sollten nach Möglichkeit vor dem Upload verschlüßelt werden (Art. 32 DSGVO).
  5. Unterauftragsverarbeiter: Prüfen, welche Unterauftragsverarbeiter der Cloud-Anbieter einsetzt und ob eine Genehmigung erforderlich ist.

Häufiger Fehler

Viele Unternehmen nutzen kostenlose Cloud-Dienste (z.B. Dropbox, Google Drive in der kostenlosen Version) ohne AVV und ohne Drittlandsprüfung. Dies ist rechtswidrig und kann Bußgelder nach sich ziehen.

Quellen

Art. 28, 32, 44-49 DSGVODSK-Kurzpapier Nr. 13

Verwandte Fragen

Rechtsgrundlagen

Wann liegt eine Auftragsverarbeitung vor und wann eine eigene Verantwortlichkeit?

 Pflichten

Auftragsverarbeitungsvertrag (AVV): Wann und was muss rein?

 Pflichten

Was müßen Unternehmen beim Einsatz von Videokonferenzsystemen beachten?