Datenschutz: Welche Rechte haben Kunden von Cloud-Anbietern in Europa und den USA?

Die verschiedenen Datenschutzansätze in Europa und den USA wirken sich entscheidend auf die Rechte aus, mit denen Kunden von Cloud-Hosting-Anbietern nach den Datenschutzgesetzen ausgestattet werden.

Dies ist der dritte Teil unserer Beitragsreihe zum Thema Datenschutz bei Cloud-Hosting-Anbietern in den USA und Europa. Hier geht es zu Teil 1 – und hier zu Teil 2.

I. Rechte der Kunden nach der DSGVO in Europa

Weil unter der Geltung der DSGVO in Europa Cloud-Anbieter bei Datenverarbeitungen gegenüber ihren Kunden als weisungsgebundene „Auftragsverarbeiter“ tätig werden, korrespondieren die Kundenrechte weitgehend mit den Anbieterpflichten. Alle Kundenrechte fußen darauf, dass Cloud-Anbieter in Bezug auf die eingesetzten Technologien über einen entscheidenden Kenntnisvorsprung verfügen, der zum Schutz eingespeister Daten ihre Unterstützung notwendig macht.

Europäische Kunden können gegenüber Cloud-Anbietern gemäß Art. 28 DSGVO insofern verlangen, dass

• sämtliche Mitarbeiter des Cloud-Anbieters, die mit eingespeisten Daten der Kunden in Berührung kommen, sich zur Vertraulichkeit verpflichtet haben


• der Cloud-Anbieter alle erforderlichen technischen und organisatorischen Maßnahmen ergreift, die zum Schutz der Daten und zu deren Sicherheit erforderlich sind (Verschlüsselung, Anonymisierung, Back-Up-Lösungen, Krisenmanagement bei Systemausfällen, etc.)


• der Cloud-Anbieter adäquate Mittel bereitstellt, die dem Kunden regelmäßige Datensicherheitskontrollen und eine Prüfung der Wirksamkeit der eingerichteten Schutzmaßnahmen ermöglichen (etwa über die Bereitstellung von Zugriffsprotokollen zum Datenmonitoring)

Betroffenenrechte

Gleichzeitig steht europäischen Kunden das Recht zu, Cloud-Anbieter jederzeit zur Unterstützung bei der Reaktion auf Betroffenenanträge anzuhalten. Wie im zweiten Teil dieser Reihe ausgeführt, spricht man bei Personen, deren personenbezogene Daten gespeichert werden, von „Betroffenen“ oder „Datensubjekten“. Betroffene haben gemäß der DSGVO bestimmte Rechte, beispielsweise auf Datenauskunft oder -löschung. Üben Datensubjekte, deren Daten vom Kunden in die Cloud eingespeist wurden, gegenüber dem Kunden Betroffenenrechte muss der Cloud-Anbieter mit bereits eingerichteten Maßnahmen zur Hand greifen und für die effektive Umsetzung der Betroffenenrechte sorgen.

Ein Beispiel: Verlangt ein Kunde die Löschung seines Kundenkontos von einem Händler, der seinen Shop über eine Cloud betreibt, kann der Händler vom Cloud-Anbieter die Mitwirkung bei der Löschung und bei der unwiederbringlichen Datenentfernung verlangen.

Für diese Mitwirkung ist eine wirksame Protokollierung der Verarbeitungssituationen und Datenbestände mit Blick auf den einzelnen Kunden ebenso erforderlich wie eine kundenbezogene Datenorganisation. Zudem sind interne Abläufe und Verantwortlichkeiten zu definieren.

Kundenrechte im Fall von Datenpannen

Hiermit einher geht auch das Recht der Kunden, vom Cloud-Anbieter im Fall von Datenpannen (z.B. unberechtigten Fremdzugriffen, Datenmanipulationen, Datenverlusten) Systemeinblicke, Risikoabschätzungen und geeignete Abhilfemaßnahmen zu verlangen. Denn nur so kann ein Risiko für die Rechte der Betroffenen effektiv eingedämmt werden. Außerdem ermöglicht allein die Mitwirkung des Cloud-Anbieters dem Kunden, seine in derlei Fällen entstehenden gesetzlichen Meldepflichten aus Art. 33 und 34 DSGVO ordnungsgemäß zu erfüllen.

Kundenrechte in Bezug auf Subunternehmer

Hinzukommt, dass europäische Kunden Cloud-Anbietern verbieten können, bei der Verarbeitung personenbezogener Daten über die Cloud im Kundenauftrag auf Subunternehmer zuzugreifen. Deren Einsatz ist nur mit der ausdrücklichen Einwilligung des Kunden möglich. Anderenfalls würden erhebliche Kontrollverluste der Kunden drohen.

Beendigung des Vertrags

Schließlich haben Kunden zur Ausübung einer effektiven Datenkontrolle auch das Recht, nach Beendigung eines Cloud-Hosting-Vertrages vom Anbieter eine unwiderrufliche Löschung aller eingespeisten personenbezogen Daten aus allen Systemen zu verlangen.

Auftragsverarbeitung

All diese Rechte und die konkreten Umstände und Mechanismen für eine wirksame Durchsetzung müssen in Bezug auf die konkrete Hosting-Leistung in einem sogenannten „Vertrag über die Auftragsverarbeitung“ (AVV) definiert und verbindlich festgelegt werden. Auf den Abschluss eines solchen datenschutzrechtlichen Vertrages hat jeder Cloud-Hosting-Kunde einen gesetzlichen Anspruch.

Verletzt der Anbieter Pflichten aus dem Vertrag, können dem Kunden empfindliche Regressansprüche zustehen.

II. Rechte von Cloud-Hosting-Kunden in den USA

Für Kunden in den USA existieren keine gesetzlich verankerten Datenschutzrechte, die mit denen in Europa vergleichbar wären.

Dies hat zur Folge, dass Cloud-Anbieter auf Grundlage der Dienstleistungsverträge selbst entscheiden können, ob und inwieweit sie ihren Kunden eine datenschutzrechtliche Kontrolle ermöglichen wollen.

Meist wird hierbei vertraglich nur auf interne Compliance-Regelungen zur datenschutzrechtlichen Organisation verwiesen, ohne Kunden aber selbst Interventionsrechte einzuräumen.

Freilich liegt dies auch daran, dass in den USA eine Auftragsverarbeitung nach dem europäischen Modell nicht existiert. Im Zweifel sind Betroffene in den USA, deren Daten durch einen Cloud-Hosting-Kunden in eine US-Cloud eingespeist wurden, hier aber weitgehend schutzlos gestellt. Die wirksame Kontrolle ihrer Daten und die hierfür erforderlichen Rechte der Cloud-Hosting-Kunden hängen so von der Willkür und dem Wohlwollen der Anbieter ab.

Dieser Beitrag enstand in Zusammenarbeit mit der IT-Recht Kanzlei München.

Mehr Informationen zum Thema Datensicherheit und Cloud-Hosting findest Du hier:

Du möchtest Deine Daten sicher bei einem deutschen Cloud-Anbieter aufbewahren?