Sichere Lieferkette

Datenschutz beim Sub-Cloud-Provider

Sonderregeln für Nicht-EU-Datentransfers

Sofern Sub-Cloud-Provider außerhalb der EU beziehungsweise des Europäischen Wirtschaftsraums (EWR) eingesetzt werden, kommt eine weitere Komponente hinzu: Sofern der Anbieter nicht in einem anerkannten "sicheren Drittstaat" ansässig ist, braucht der Datenempfänger für ein angemessenes Schutzniveau zusätzlicher Vorkehrungen. Hierfür kommen entweder die so genannten EU-Standardvertragsklauseln zum Einsatz - bei US-Unternehmen sind das die Safe-Harbour-Grundsätze. Beide Regelungsinstrumentarien enthalten auch Vorgaben dazu, unter welchen Voraussetzungen Unterauftragnehmer in die Datenverarbeitung eingeschaltet werden dürfen.

Fazit

Geht es nach den EU-Standardvertragsklauseln, ist der Kunde selbst verpflichtet, ein jährliches, aktuelles Verzeichnis der mit "Unterauftragsverarbeitern" geschlossenen Vereinbarungen zu führen. Dazu braucht er die angesprochenen Unteraufträge vom Cloud Provider. Das Vertragsverhältnis zwischen Cloud- und Sub-Cloud-Provider muss mit den rechtlichen Gegebenheiten des Landes vereinbar sein, in dem der Kunde niedergelassen ist. Bei einer Gewährleistung des Datenschutzniveaus mithilfe des Safe-Harbour-Regimes ist besondere Vorsicht geboten: Das Safe Harbour-Framework gestattet die Weitergabe von Daten an andere Unternehmen als so genannte "onward transfers" unter vermeintlich einfach zu erfüllenden Anforderungen.

Gerade bei der "Lieferung" durch Sub-Cloud-Providern außerhalb der USA (und damit dem Geltungsbereich des Safe Harbour-Regimes) sind zusätzliche Absicherungen ratsam, etwa durch Verwendung der EU-Standardvertragsklauseln. Fest steht: Nicht alle aufgeführten Regelungen werden gegenüber den Cloud-Providern durchsetzbar sein. Die zunehmende Nutzung und Akzeptanz von Cloud-Services zeigt auch eine zunehmende Aufgeschlossenheit gegenüber dem Thema Datenschutz-Compliance in Cloud-Umgebungen. Vor allem müssen anwendende Unternehmen vorausschauend damit umgehen, wenn sie Datenschutz und Datensicherheit in ihrer Cloud-Lieferkette geregelt haben wollen. (sh)