Cloud-native Services rechtskonform realisieren

Eine illustrierte Waage, wie sie Justitia in der Hand hält.
© wildpixel | istockphoto.com

Was bei einer Auftragsverarbeitung zu beachten ist, wie ich mit Datenschutzpannen umgehe und worauf es bei Verträgen nach DSGVO ankommt: Antworten lieferte das Webinar von EuroCloud Native und eco Akademie mit Dr. Jens Eckhardt, Fachanwalt für IT-Recht und Vorstand bei EuroCloud Deutschland.

Nicht erst seit dem jüngsten Urteil zum EU-US Privacy Shield bleiben Rechtsfragen im Cloud Computing ein Dauerbrenner. „Cloud-Services müssen sich stets im geltenden Rechtsrahmen bewegen, um schmerzhafte Fehler zu vermeiden“, sagte Dr. Jens Eckhardt, Fachanwalt für IT-Recht und Vorstand bei EuroCloud Deutschland: „Wer mit Cloud-Technologien arbeitet, muss die Fallstricke kennen.“ Denn ein Cloud-Recht, dass der technologischen Entwicklung folgt, gibt es nicht.

Cloud-Native-Provider in der Sandwich-Position

Nicht anders bei Cloud-Native-Anwendungen. „Dienstleister wie etwa Cloud-Native-Provider müssen wissen, was sie tun“, sagte Eckhardt. Dabei befinden sich die Cloud Natives in einer Sandwich-Position zwischen den Plattformbetreibern und ihren eigenen Kunden. Eckhardt: „Das kann beispielsweise bei der Auftragsverarbeitung herausfordernd werden.“ Denn stehen die Vorgaben von Hyperscalern und Cloud-Native-Kunden in Konflikt, ist Fingerspitzengefühl und juristische Expertise gefragt. „Lösbar ist alles, aber ob alles bereits gelöst ist, ist die andere Frage“, sagte Eckhardt, der bereits seit 2001 auf Rechtsfragen zu Marketing, Datenschutz, Informationstechnologie und Telekommunikation spezialisiert ist.

Rechtsregime auf cloud-native Services anwenden

Ob bei Big-Data-Analytics, künstlicher Intelligenz oder Applikationen für das Internet of Things – wie dabei die Datenschutz-Grundverordnung (DSGVO) zu beachten ist, ließen sich die rund 70 Teilnehmerinnen und Teilnehmer aus Expertensicht erläutern. „Nicht nur für junge Unternehmen und Start-ups, wie sie sich in der Cloud-Native-Initiative von EuroCloud Deutschland versammeln, sind das mehr als spannende Insights“, sagte Dr. Nils Kaufmann, Leiter bei EuroCloud Native. „Jeder, der in der Public Cloud arbeitet, muss sich mit seinen Diensten zu jeder Zeit im geltenden Rechtsregime bewegen.“

Verantwortung für Datenverarbeitung: Über Zweck und Mittel entscheiden

Dr. Jens Eckhardt, Vorstand EuroCloud Deutschland
Zur Person: Dr. Jens Eckhardt ist Fachanwalt für Informationstechnologierecht sowie ECSA Legal Auditor, Datenschutz-Auditor (TÜV) und Compliance-Officer (TÜV). Er ist für Derra, Meyer & Partner Rechtsanwälte PartGmbB tätig und berät seit 2001 bundesweit nationale und internationale Unternehmen zu den Themen Datenschutz, Informationstechnologie, Telekommunikation und Marketing.

Beispielsweise kann es nach DSGVO keine Datenverarbeitung ohne einen Verantwortlichen geben. „Egal, wo Daten verarbeitet werden, es gibt immer jemanden, der über Zwecke und Mittel entscheidet und insofern verantwortlich ist“, sagte Eckhardt. Möchte etwa ein Kunde die Software-as-a-Service(SaaS)-Lösung eines Anbieters nutzen, dann schließt er einen Vertrag zur Auftragsverarbeitung mit dem Dienstleister. „Der SaaS-Anbieter ist in dem Fall der Verantwortliche, weil er allein über die Art und Weise der Datenverarbeitung entscheidet“, sagte Eckhardt.

Kombiniert der Anwender dann die Ergebnisse der SaaS-Anwendung mit eigenen Datenquellen, um weitergehende Möglichkeiten für sich und seine Kunden zu erschließen, kann sich eine geteilte Verantwortung als Joint Controller ergeben. Das Joint Controllership trifft zum Beispiel auch auf Google-Analytics nach Ansicht der deutschen Datenschutzaufsichtsbehörden zu. „Als Joint Controller sind Anbieter und Betreiber gleichermaßen in der Pflicht“, sagte Eckhardt.

Ob Verantwortlicher oder Auftragsverarbeiter – der neue Leitlinien-Entwurf des EU-Datenschutzausschusses hält fest, dass sich die jeweilige Rolle nicht vertraglich definieren lässt. „Diese ergibt sich allein daraus, wer Daten wie verarbeitet und über die Zwecke und Mittel entscheidet.“ Und was darüber hinaus ebenfalls möglich ist: Auftragsverarbeiter und Verantwortlicher können gleichzeitig bei einer Dienstleistung vorliegen – (nur) nicht aber in Bezug auf dieselbe Datenverarbeitung.

Datenschutzpannen fristgerecht melden und kooperativ bearbeiten

Datenschutz ohne EU-US Pivacy Shield
Datenschutz ohne EU-US Pivacy Shield – so geht’s: Seit Juli 2020 bietet das EU-US Privacy Shield keine gültige Grundlage mehr für Datenübertragungen in die USA. Mittelständische Cloud-Anbieter sollten Datenschutzhinweise jetzt korrigieren. Wie es geht, zeigt die EuroCloud Checkliste zum Datenschutz ohne EU-US Pivacy Shield.

Kommt es zu einer Datenschutzpanne, sind alle Parteien mehr als gut beraten, wenn sie ihre Pflichten fristgerecht erfüllen. „Meldung und Haftung hängen zusammen“, sagte Eckhardt. Nach dem alten Bundesdatenschutzgesetz galten Auftragsverarbeiter noch als haftungsprivilegiert. „Es drohten kaum Sanktionen oder Bußgelder“, sagte Eckhardt: „Mit dem neuen Regime hat sich auch das gewandelt.“ So müssen Verantwortliche nach DSGVO eine Datenschutzpanne binnen 72 Stunden an die Aufsichtsbehörde melden. Auftragsverarbeiter melden an den Verantwortlichen – und das sogar unverzüglich.

„Generell gilt, dass die Haftung für Auftragsverarbeiter heute günstiger ist als für Joint Controller“, sagte Eckhardt. „Kann der Auftragsverarbeiter nachweisen, dass er nicht gegen seine originären Pflichten verstoßen hat, dann besteht für ihn die Möglichkeit, sich von seiner Schuld zu befreien.“ Eine Option, die im Joint Controllership fehlt. Hier sind beide in der Pflicht. „Am besten, Joint Controller geben inhaltsgleiche Meldungen ab“, sagte Eckhardt. „Und es wirkt sich positiv auf das Verfahren aus, wenn sich alle – im Falle des Falles – von Anfang kooperativ zeigen.“

Was ist bei Drittländern nach DSGVO zu beachten, welche Regeln gelten nach dem Brexit und welche Möglichkeiten gibt es, um personenbezogenen Daten verschlüsselt und anonymisiert zu verarbeiten – das Webinar mit Dr. Jens Eckhardt steht aufgezeichnet im members+ Bereich bereit, dem Content-Angebot exklusiv für Mitglieder. Seit April veranstalten EuroCloud Native und EuroCloud Deutschland darüber hinaus quartalsweise das „Cloud Legal Meet-up“, ein neues Format exklusiv für Mitglieder. Das nächste Webinar ist für den 2. Juni (10:00 – 11:30 Uhr) geplant.

Cloud-native Services rechtskonform realisieren