Klarheit für nebulöse Cloud-Leistungen

3. Regeln für den Umgang mit personenbezogenen Daten

In der Cloud werden häufig auch personenbezogene Daten verarbeitet und gespeichert. Es handelt sich um eine Auftragsdatenverarbeitung, bei der der Anbieter die Daten des Nutzers in dessen rechtlicher Risiko- und Verantwortungssphäre verarbeitet und speichert.

Nach dem Bundesdatenschutzgesetz (BDSG) müssen die Parteien den Vertrag über die Auftragsdatenverarbeitung in schriftlicher Form schließen. Es sind Regelungen zur Berichtigung, Löschung und Sperrung von Daten sowie zum Einräumen von Kontrollrechten zugunsten des Kundenunternehmens zu fixieren.

Daneben muss geklärt werden, ob der Anbieter zur Erfüllung seiner vertraglichen Pflichten Dritte beauftragen darf. Da der Kunde auch in diesem Verhältnis verantwortlich bleibt, sollte eine Unterbeauftragung vertraglich ausgeschlossen oder von der Zustimmung des Unternehmens abhängig gemacht werden. Ferner muss der Kunde gegenüber dem Anbieter weisungsberechtigt sein.

Die wichtigsten Fragen zur Auftragsdatenverarbeitung:

• Haben die Parteien einen schriftlichen Vertrag zur Auftragsdatenverarbeitung im Sinne des BDSG geschlossen?

• Ist die Zulässigkeit von Unterbeauftragungen durch den Anbieter geregelt?

• Wurde dem Kunden ein Weisungsrecht gegenüber dem Anbieter eingeräumt?

• Kann das Unternehmen die Einhaltung der datenschutzrechtlichen Vorgaben beim Anbieter oder Subunternehmer auf geeignete Weise kontrollieren?