Bird & Bird untersucht Vereinbarungen prominenter Cloud-Anbieter

Cloud-Verträge oft mangelhaft bei der Erfüllung deutscher Gesetze

Seite: 3/4

Firma zum Thema

Überraschenderweise schreiben nicht alle Anbieter sogenannte „Vereinbarungen zur Auftragsdatenverarbeitung“ vor, was allerdings unerlässlich ist, sobald der Benutzer personenbezogene Daten in eine Cloud verlagert. Großer Handlungsbedarf besteht also darin, die gesetzlichen Anforderungen des §11 BSDG (Bundesdatenschutzgesetz) für Cloud-Dienstleistungen richtig in die Anbieterverträge zu implementieren. Das Fehlen ausreichend dokumentierter technischer und organisatorischer Maßnahmen, wie es §9 BSDG eigentlich fordert, bewertet Bird & Bird ebenfalls als unbefriedigend.

Laut Bird & Bird entstehen zusätzliche Datenschutzprobleme, wenn der Anbieter seine Infrastruktur außerhalb der EU bzw. des europäischen Wirtschaftsraums betreibt. Hier müssen also ordnungsgemäße vertragliche Vereinbarungen und ausreichende Sicherheitsvorkehrungen garantiert sein, die den Linien der EU-Modellklauseln oder den Safe-Harbor-Regelungen entsprechen. Nutzer sollten sich andererseits bewusst sein, dass die deutschen Datenschutzbehörden ihre Regelungen für internationale Datentransfers verschärft haben. Unter anderem nehmen die deutschen Datenschützer in einem „Zwei-Stufen-Test“ die Rechtmäßigkeit sowie die adäquaten Anforderungen des Transfers genau unter die Lupe.

Bildergalerie

Mehr Wissen beim Nutzer

Die Behörden haben darüber hinaus deutlich gemacht, dass bestimmte Daten, wie Gesundheitsdaten, nicht international transferiert werden dürfen. Alle Vereinbarungen der Anbieter, die internationale Transfers betreffen, sind aber sehr allgemein gehalten. Bird & Bird bemängelt, dass Nutzer kaum erfahren, wo ihre Daten gehostet werden. Die Wirtschaftskanzlei weist daher darauf hin, dass Nutzer selbst sicherstellen müssen, dass alle rechtlichen Anforderungen für eine rechtskonforme Verarbeitung ihrer Daten erfüllt sind.

Ein weiterer, sehr relevanter Fehler in den meisten Vereinbarungen ist das Fehlen einer Informationspflicht der Anbieter im Falle von Datenlecks. Der Gesetzgeber nimmt hier den Nutzer (Controller) in die Pflicht, sofort zu handeln und Behörden oder betroffene Personen über einen Datenverlust oder -diebstahl zu informieren. Bird & Bird findet es sehr beunruhigend, dass Dienstleister ihre Kunden über Datenlecks auch über einen längeren Zeitraum hinweg im Unklaren lassen dürfen. Es steht also im ureigenen Interesse der Nutzer, mit ihrem Provider eine entsprechende Informationsklausel im Service-Vertrag zu verankern.

Artikelfiles und Artikellinks

(ID:39312490)