Juristische Hürden bei Cloud-Collaboration-Lösungen

Auftragsdatenverarbeitung

Das Beispielunternehmen muss den Umgang mit personenbezogenen Daten auf einen Erlaubnistatbestand stützen können. Zwar kommt dafür grundsätzlich eine Einwilligung in Betracht. Praktisch sprechen jedoch einige Gründe gegen die Einwilligung als Erlaubnistatbestand: Das Maschinenbauunternehmen müsste von seinen Kunden, Lieferanten und Mitarbeitern eine Einwilligung abfragen, was einen hohen Dokumentationsaufwand bedeutet. Zusätzlich ist es problematisch, ob die Einwilligung eines Mitarbeiters aufgrund seiner sozialen Abhängigkeit vom Arbeitgeber überhaupt wirksam ist. Schließlich kann eine Einwilligung jederzeit widerrufen werden.

Es empfiehlt sich deshalb, auf andere Erlaubnistatbestände auszuweichen. So sollte der Abschluss eines Auftragsdatenverarbeitungsvertrages für den Einsatz einer Collaboration-Lösung vorgezogen werden. Ein Grund: Beim Vorliegen eines solchen Vertrages muss nicht jede Übermittlung von personenbezogenen Daten individuell auf ihre Zulässigkeit überprüft werden. Die Auftragsdatenverarbeitung führt dazu, dass die Datenverarbeitung des Providers dem Maschinenbauunternehmen zugerechnet wird.

Grundlage der Auftragsdatenverarbeitung ist ein Vertrag zwischen dem Maschinenbauunternehmen und dem Provider, in dem sich der Provider bezüglich der Datenverarbeitung den Weisungen des Unternehmens unterwirft. Der Inhalt des Vertrages ist vom Gesetz vorgeschrieben. Neben dem Weisungsrecht muss der Vertrag unter anderem Regelungen über die Art der Daten, die umzusetzenden technischen Datenschutzmaßnahmen und zum Einsatz in Subunternehmern enthalten. Schließlich ist das Unternehmen verpflichtet, die Umsetzung der technischen Datenschutzmaßnahmen durch Kontrollen beim Provider sicherzustellen.