6. osborneclarke.de
Übermittlung an Dritte
Auftragsdatenverarbeitung
Auftragsdatenverarbeitung Funktionsübertragung
Weisungsgebundenheit des Weisungsfreiheit des Dienstleisters
Auftragnehmers Eigenverantwortlichkeit des
Fehlende Entscheidungsbe- Dienstleisters
fugnis des Auftragnehmers Handeln des Dienstleisters im
Auftragnehmer tritt (gegenüber dem eigenen Namen gegenüber dem
Betroffenen) nicht in eigenem Betroffenen
Namen auf
9. osborneclarke.de
Internationaler Aspekt
Beschränkung auf EU/EWR
§ 3 Abs. 8 S. 3 BDSG
"Dritte sind nicht … Stellen, die …"
• im Inland,
• in der EU oder
• im EWR (EU zusammen mit Island, Liechtenstein, Norwegen)
"personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen"
10. osborneclarke.de
Kontrollpflichten
Auftragsdatenverarbeitung und § 9 BDSG
§ 9 S. 1 BDSG
"Stellen, die .. im Auftrag personenbezogene Daten erheben, verarbeiten oder
nutzen, haben … insbesondere die in der Anlage … genannten Anforderungen
zu gewährleisten"
§ 11 Abs. 2 BDSG
"Der Auftraggeber hat sich … regelmäßig von der Einhaltung der beim
Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu
überzeugen"
11. osborneclarke.de
Kontrollpflichten
Technische und organisatorische Maßnahmen
Aus der Anlage zu § 9 S.1 BDSG
• "Zutrittskontrolle"
• "Zugangskontrolle"
• "Zugriffskontrolle"
• "Weitergabekontrolle"
• "Eingabekontrolle"
• "Auftragskontrolle"
• "Verfügbarkeitskontrolle"
• Gebot der Trennung nach Zweck
12. osborneclarke.de
Die rechtlichen Herausforderungen
Fazit für das Cloud Computing
• Faktische Beschränkung auf Anbieter aus EU, EWR
• Zumindest im Falle des Public Cloud Computings Kontrollpflichten kaum
wahrzunehmen
• In der (Virtual) Private Cloud jedoch lösbar (solange der Anbieter wirklich nur
Datenverarbeiter bleibt)
16. osborneclarke.de
Technische Lösung
Resultat der Verschlüsselung
Dank Verschlüsselung erfolgt eine technisch beschlagnahmesichere
Speicherung der Daten
• Niemand ist technisch in der Lage, die Vertraulichkeit global aufzuheben
• Einziger Sicherheitsanker: Das Geheimnis des Teilnehmers
17. osborneclarke.de
Technische Lösung
Bedeutung der Verschlüsselung
• Anonymisierte Daten sind für den die Daten erhaltenden Anbieter keine
personenbezogenen Daten i. S. v. § 3 Abs. 1 BDSG, Vorschriften des BDSG
sind nicht anwendbar.
• Einzelheiten zwar umstritten, Konzept trägt aber in der Praxis
• Verschlüsselung erleichtert in jedem Fall die Interessensabwägung nach §
28 BDSG und vor allem die Auftragsdatenverarbeitung (Zugangskontrolle,
Zugriffskontrolle, Weitergabekontrolle)!
19. osborneclarke.de
Erforderlichkeit der ADV vermeiden
Fehlende Personenbeziehbarkeit
Cloud Computing ist ohne Auftragsdatenverarbeitung verwendbar bei Daten
ohne Personenbezug und ohne Personenbeziehbarkeit
Prüfen Sie dennoch, welche Daten Sie wie in die Cloud geben. Auch nicht dem
Bundesdatenschutzgesetz unterfallene Daten können etwa als
Geschäftsgeheimnis kritisch sein
Verschlüsselung trägt als Lösung für beide Aspekte
20. osborneclarke.de
Erforderlichkeit der ADV vermeiden
EU-Standardvertragsklauseln als Alternative
EU-Standardvertragsklauseln
• Übermittlung an Dritten liegt vor
• Lücken mit Wertungen von § 11 BDSG ausfüllen
• Rechtfertigung der Übermittlung nach § 28 Abs. 1 S. 1 Nr. 2 BDSG
• § 28 Abs. 6 BDSG als Grenze
– Nicht in die Cloud dürfen Angaben über die rassische und ethnische
Herkunft, politische Meinungen, religiöse oder philosophische
Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder
Sexualleben (§ 3 Abs. 9 BDSG)
21. osborneclarke.de
Erforderlichkeit der ADV vermeiden
Vermeintliche Alternativen
In der Praxis teilweise als Erlaubnistatbestand missverstanden
• Übermittlung an sichere Drittstaaten; oder
• Safe-Harbor
Diese Mechanismen erfüllen lediglich die zusätzlichen Anforderungen nach
§ 4b BDSG, rechtfertigen aber nicht die eigentliche Übermittlung
22. osborneclarke.de
So geht's richtig
Territoriale Beschränkung
Anbieter in EU/EWR auswählen
• Entscheidend ist der Serverstandort
• Komplexe Kettenvertragsverhältnisse mit Anbietern aus verschiedenen
Ländern sind möglich
23. osborneclarke.de
So geht's richtig
Best Practices
• Suchen Sie den Anbieter sorgfältig aus
• Verschlüsseln Sie Daten nach Möglichkeit
• Sorgen Sie für eine Auditierbarkeit – idealerweise der Daten, sonst der
Technologien und Prozesse
• Achten Sie auf Transparenz! Können Sie die Aussagen der Anbieter prüfen?