Die verschiedenen Datenschutzans\u00e4tze in Europa und den USA wirken sich entscheidend auf die Rechte aus, mit denen Kunden von Cloud-Hosting-Anbietern nach den Datenschutzgesetzen ausgestattet werden.<\/p>\n\n\n\n\n\n\n\n
Dies ist der dritte Teil unserer Beitragsreihe zum Thema Datenschutz bei Cloud-Hosting-Anbietern in den USA und Europa. Hier geht es zu Teil 1<\/a> \u2013 und hier zu Teil 2<\/a>.<\/p>\n\n\n\n Weil unter der Geltung der DSGVO<\/a> in Europa Cloud-Anbieter bei Datenverarbeitungen gegen\u00fcber ihren Kunden als weisungsgebundene \u201eAuftragsverarbeiter\u201c t\u00e4tig werden, korrespondieren die Kundenrechte weitgehend mit den Anbieterpflichten. Alle Kundenrechte fu\u00dfen darauf, dass Cloud-Anbieter in Bezug auf die eingesetzten Technologien \u00fcber einen entscheidenden Kenntnisvorsprung verf\u00fcgen, der zum Schutz eingespeister Daten ihre Unterst\u00fctzung notwendig macht.<\/p>\n\n\n\n Europ\u00e4ische Kunden k\u00f6nnen gegen\u00fcber Cloud-Anbietern gem\u00e4\u00df Art. 28 DSGVO insofern verlangen, dass<\/p>\n\n\n\n Gleichzeitig steht europ\u00e4ischen Kunden das Recht zu, Cloud-Anbieter jederzeit zur Unterst\u00fctzung bei der Reaktion auf Betroffenenantr\u00e4ge anzuhalten. Wie im zweiten Teil dieser Reihe ausgef\u00fchrt, spricht man bei Personen, deren personenbezogene Daten gespeichert werden, von \u201eBetroffenen\u201c oder \u201eDatensubjekten\u201c. Betroffene haben gem\u00e4\u00df der DSGVO bestimmte Rechte, beispielsweise auf Datenauskunft oder -l\u00f6schung. \u00dcben Datensubjekte, deren Daten vom Kunden in die Cloud eingespeist wurden, gegen\u00fcber dem Kunden Betroffenenrechte muss der Cloud-Anbieter mit bereits eingerichteten Ma\u00dfnahmen zur Hand greifen und f\u00fcr die effektive Umsetzung der Betroffenenrechte sorgen.<\/p>\n\n\n\n Ein Beispiel:<\/strong> Verlangt ein Kunde die L\u00f6schung seines Kundenkontos von einem H\u00e4ndler, der seinen Shop \u00fcber eine Cloud betreibt, kann der H\u00e4ndler vom Cloud-Anbieter die Mitwirkung bei der L\u00f6schung und bei der unwiederbringlichen Datenentfernung verlangen.<\/p>\n\n\n\n F\u00fcr diese Mitwirkung ist eine wirksame Protokollierung der Verarbeitungssituationen und Datenbest\u00e4nde mit Blick auf den einzelnen Kunden ebenso erforderlich wie eine kundenbezogene Datenorganisation. Zudem sind interne Abl\u00e4ufe und Verantwortlichkeiten zu definieren.<\/p>\n\n\n\n Hiermit einher geht auch das Recht der Kunden, vom Cloud-Anbieter im Fall von Datenpannen (z.B. unberechtigten Fremdzugriffen, Datenmanipulationen, Datenverlusten) Systemeinblicke, Risikoabsch\u00e4tzungen und geeignete Abhilfema\u00dfnahmen zu verlangen. Denn nur so kann ein Risiko f\u00fcr die Rechte der Betroffenen effektiv einged\u00e4mmt werden. Au\u00dferdem erm\u00f6glicht allein die Mitwirkung des Cloud-Anbieters dem Kunden, seine in derlei F\u00e4llen entstehenden gesetzlichen Meldepflichten aus Art. 33 und 34 DSGVO ordnungsgem\u00e4\u00df zu erf\u00fcllen.<\/p>\n\n\n\n Hinzukommt, dass europ\u00e4ische Kunden Cloud-Anbietern verbieten k\u00f6nnen, bei der Verarbeitung personenbezogener Daten \u00fcber die Cloud im Kundenauftrag auf Subunternehmer zuzugreifen. Deren Einsatz ist nur mit der ausdr\u00fccklichen Einwilligung des Kunden m\u00f6glich. Anderenfalls w\u00fcrden erhebliche Kontrollverluste der Kunden drohen.<\/p>\n\n\n\n Schlie\u00dflich haben Kunden zur Aus\u00fcbung einer effektiven Datenkontrolle auch das Recht, nach Beendigung eines Cloud-Hosting-Vertrages vom Anbieter eine unwiderrufliche L\u00f6schung aller eingespeisten personenbezogen Daten aus allen Systemen zu verlangen.<\/p>\n\n\n\n All diese Rechte und die konkreten Umst\u00e4nde und Mechanismen f\u00fcr eine wirksame Durchsetzung m\u00fcssen in Bezug auf die konkrete Hosting-Leistung in einem sogenannten \u201eVertrag \u00fcber die Auftragsverarbeitung\u201c<\/strong> (AVV) <\/strong>definiert und verbindlich festgelegt werden. Auf den Abschluss eines solchen datenschutzrechtlichen Vertrages hat jeder Cloud-Hosting-Kunde einen gesetzlichen Anspruch.<\/p>\n\n\n\n Verletzt der Anbieter Pflichten aus dem Vertrag, k\u00f6nnen dem Kunden empfindliche Regressanspr\u00fcche zustehen.<\/p>\n\n\n\n F\u00fcr Kunden in den USA existieren keine gesetzlich verankerten Datenschutzrechte, die mit denen in Europa vergleichbar w\u00e4ren.<\/p>\n\n\n\n Dies hat zur Folge, dass Cloud-Anbieter auf Grundlage der Dienstleistungsvertr\u00e4ge selbst entscheiden k\u00f6nnen, ob und inwieweit sie ihren Kunden eine datenschutzrechtliche Kontrolle erm\u00f6glichen wollen.<\/p>\n\n\n\n Meist wird hierbei vertraglich nur auf interne Compliance-Regelungen zur datenschutzrechtlichen Organisation verwiesen, ohne Kunden aber selbst Interventionsrechte einzur\u00e4umen.<\/p>\n\n\n\n Freilich liegt dies auch daran, dass in den USA eine Auftragsverarbeitung nach dem europ\u00e4ischen Modell nicht existiert. Im Zweifel sind Betroffene in den USA, deren Daten durch einen Cloud-Hosting-Kunden in eine US-Cloud eingespeist wurden, hier aber weitgehend schutzlos gestellt. Die wirksame Kontrolle ihrer Daten und die hierf\u00fcr erforderlichen Rechte der Cloud-Hosting-Kunden h\u00e4ngen so von der Willk\u00fcr und dem Wohlwollen der Anbieter ab.<\/p>\n\n\n\n Dieser Beitrag enstand in Zusammenarbeit mit der IT-Recht Kanzlei M\u00fcnchen<\/a>.<\/strong><\/p>\n\n\n\n <\/p>\n\n\n\nI. Rechte der Kunden nach der DSGVO in Europa<\/strong><\/h2>\n\n\n\n
Betroffenenrechte<\/h4>\n\n\n\n
Kundenrechte im Fall von Datenpannen<\/h4>\n\n\n\n
Kundenrechte in Bezug auf Subunternehmer <\/h4>\n\n\n\n
Beendigung des Vertrags<\/h4>\n\n\n\n
Auftragsverarbeitung <\/h4>\n\n\n\n
II. Rechte von Cloud-Hosting-Kunden in den USA<\/strong><\/h2>\n\n\n\n
Mehr Informationen zum Thema Datensicherheit und Cloud-Hosting findest Du hier:<\/h4>\n\n\n\nZur Cloud-Studie von STRATO und forsa<\/a>\n\n\n\n
Du m\u00f6chtest Deine Daten sicher bei einem deutschen Cloud-Anbieter aufbewahren? <\/h4>\n\n\n\n