Cloud Computing und Datenschutz

Digitalisierung und Cloud-Modelle
Cloud-Provider stellen für Unternehmen aus der Privatwirtschaft und für Anwender im öffentlichen Sektor (Bundes-, Landes-, Kommunalverwaltungen und öffentliche Unternehmen) zahlreiche attraktive Cloud-Modelle als Innovationsmotor für die digitale Transformation bereit. Vernetzte Dateninfrastrukturen (wie zukünftig das EU-Projekt GAIA-X) ermöglichen einen jederzeitigen, standortunabhängigen Zugriff auf in der Cloud gespeicherte Daten. Hochskalierbar, bedarfsabhängig, kostengünstig und in Echtzeit bieten Cloud-Provider Rechen- und Speicherkapazitäten (Infrastructure as a Service), Entwicklungs- und Ausführungsumgebungen (Platform as a Service) oder standardisierte An-wendungen (Software as a Service) an. Die Cloud-Produkte werden beliebigen Nutzern (Public Cloud), konzerninternen Anwendern (Private Cloud), gemeinsam mit anderen Cloud-Providern (Community Cloud) oder als Kombination (Hybrid Cloud) bereitgestellt.

Schrems-II-Urteil und Rechtsgrundlagen für Datentransfer
Datenmengen werden an den Cloud-Provider übermittelt und zentral in der Cloud gespeichert. Weltweit verfügen gerade die US-Hyperscaler (Microsoft, Amazon, IBM, Salesforce und Google) über den größten Marktanteil, die höchste Skalier-barkeit und Funktionalität. Bei US-Cloud-Anbietern ist jedoch unsicher, inwieweit Ermittlungsbehörden auf die in der Cloud gespeicherten Daten zugreifen dürfen. Nach Sec. 702 „Foreign Intelligence Surveillance Act“ (FISA) dürfen US-Sicherheitsbehörden i.R.d. PRISM und UPSTREAM-Überwachungsprogramme auf übermittelte Daten zugreifen. Dieses mangelnde Datenschutzniveau in den USA führte bereits zur Unwirksamkeit des Safe-Harbor-Abkommens (Schrems-I). Im Juli 2020 erklärte der EuGH (Schrems-II) auch das Nachfolgeabkommen (EU-US-Privacy-Shield) für unwirksam, weshalb seitdem eine Grundlage für einen Angemessenheitsbeschluss fehlt.

DSGVO-Grundsätze zum Daten-transfer
Der Anwender (Datenexporteur) ist für die Übermittlung und Datenverarbeitung durch den Cloud-Anbieter (Datenimporteuer/Auftragsverarbeiter) verantwortlich. Verarbeitet der Cloud-Provider die Daten außerhalb der EU, greifen die Grundsätze zum Datentransfer in Drittstaaten (Art. 44 ff. DSG-VO). Als Erlaubnisgründe kommen ein Angemes-senheitsbeschluss der EU-Kommission, geeignete Garantien (etwa Standarddatenschutzklauseln) und Ausnahmeregelungen in Betracht.

Lösungen für datenschutzkonfor-men Cloud-Einsatz
Die EU-Kommission hat am 04.06.2021 Standard-vertragsklauseln (SCC) angenommen, die bei Da-tentransfers angewendet werden können. Sie sollen die EuGH-Vorgaben umsetzen, wonach die SCC‘s durch weitere Klauseln/zusätzliche Garantien („additional safeguards“) zu flankieren sind. Zukünftig obliegt Verwendern und Aufsichtsbehörden die Prüfpflicht, ob die neuen SCC trotz staatlicher Zugriffsrechte ein angemessenes Datenschutzniveau gewährleisten oder ob zusätzliche Garantien notwendig sind.

Referent:
Als Rechtsanwalt des Praxisbereiches Öffentliches Wirtschaftsrecht im Düsseldorfer Büro von Bird und Bird LLP ist Dr. Benjamin Wübbelt Experte für die Projektdurchführung an der Schnittstelle zwischen dem Vergaberecht und dem Informationstechnologierecht.
Sein Beratungsschwerpunkt bildet das Vergaberecht mit besonderem Bezug zum Informationstechnologie- und Datenschutzrecht. In diesem Zusammenhang betreut er komplexe IT-Infrastrukturprojekte über die volle Distanz, inklusive Vertragsgestaltung und Projektdurchführung. Darüber hinaus berät er Mandanten umfassend in sämtlichen (sozial-)datenschutzrechtlichen Angelegenheiten sowie zu Fragen der IT-Sicherheit und IT-Compliance.