Affiliate-Marketing
Afterbuy
Amazon
Apotheken-Online-Shop
Apps (Datenschutzerklärung)
Argato
Avocadostore
Azoo
Booklooker
branchbob
BrickLink
Cardmarket
Cdiscount.com
Chrono24
commerce:seo
CosmoShop
Delcampe
Dienstleistungen
Discogs
Dropshipping-Marktplatz.de
eBay
eBay-Kleinanzeigen
ecwid
eGun
Einkaufsbedingungen (B2B)
ePages
Etsy
Facebook
FairFox
Fairmondo.de
galeria.de
Gambio
Gambio-Cloud
Gastro-Lieferservice (Restaurants)
GTC for Shopify
Handmade at Amazon
Homepages
Hood
Hosting-B2B
Hosting-B2B-B2C
Idealo-Direktkauf
Instagram
Jimdo
Joomla
JTL
Kasuwa
Kaufland.de
Kauflux
kayamo
Lightspeed
LinkedIn
Lizenzo
Magento 1 und Magento 2
manomano
Mediamarkt.de
meinOnlineLager
metro.de
modified eCommerce-Shops
Mädchenflohmarkt
Online-Shop
Online-Shop (Verkauf digitaler Inhalte)
Online-Shop - B2B
OpenCart
Otto.de
Oxid-Shops
Palundu
Pinterest
placeforvegans.de
plentymarkets
Praktiker.de
Prestashop
PriceMinister.com
productswithlove
RAIDBOXES
Restposten
restposten24.de
Ricardo.ch
Seminare
Shop - Online-Kurse (live/on demand)
Shop - Verkauf von eigener Software
Shop - Verkauf von fremder Software
Shop - Vermietung von Waren
Shopgate
shopify
Shopware
Shpock+
shöpping.at
smartvie
Squarespace
STRATO
Teilehaber.de
TikTok-Präsenzen
Tumblr
Twitch
Twitter
TYPO3
Verkauf von Veranstaltungstickets
Verkauf über individuelle Kommunikation (B2B + B2C)
Verkauf über individuelle Kommunikation (B2B)
Verkauf über Printkataloge
Verkauf über stationären Handel
Vermietung Ferienwohnungen
Vermietung von Shops (inkl. Hosting)
VersaCommerce
VirtueMart
webador
Werky
Wix
WooCommerce
WooCommerce German Market
WooCommerce Germanized
WordPress
Wordpress-Shops
wpShopGermany
Xanario
XING
xt:Commerce
Yatego
YouTube
Zen-Cart
ZVAB
von RA Phil Salewski

Teil 2: Datenschutzrechtliche Pflichten der Cloudhosting-Anbieter in Europa und den USA

News vom 13.11.2019, 14:31 Uhr | Keine Kommentare

Mit unterschiedlichen rechtlichen Datenschutzstandards in Europa und in den USA sehen sich Cloud-Hosting-Anbieter bei transatlantischen Bezügen auch mit inhaltlich stark divergierenden Datenschutz- und Datensicherheitspflichten konfrontiert. Gegenüber stehen sich die europäische Datenschutzgrundverordnung (DSGVO) und der amerikanische CLOUD Act. Lesen Sie nachfolgend, welche grundsätzlichen Pflichten Anbieter in Europa einerseits und in den USA andererseits zu erfüllen haben und welches Konfliktpotenzial dies mit sich bringt.

I.Rechtliche Pflichten von Cloudhosting-Anbietern in Europa

Speisen Nutzer von Cloudhosting-Diensten personenbezogene Daten in die Cloud ein, sind sie nach der DSGVO weiterhin originär für den Schutz dieser Daten verantwortlich und so grundsätzlich selbst gehalten, alle notwendigen Datenschutz- und Datensicherheitsmaßnahmen zu garantieren.

Cloudanbieter werden in Europa hinsichtlich der eingespeisten Daten nur als sogenannte Auftragsverarbeiter tätig, die bestimmte Datenverarbeitungen (etwa das Speichern, Kategorisieren und Bereithalten der Daten) weisungsgebunden für ihre Kunden übernehmen.

Weil Datenverantwortliche gemäß Art. 28 DSGVO nur mit solchen Auftragsverarbeitern zusammenarbeiten dürfen, welche geeignete technische und organisatorische Maßnahmen für die Datensicherheit bereithalten, sind Cloud-Anbieter stets verpflichtet, den typischen Risiken von cloudbasierten Datenverarbeitungen wirksam zu begegnen.

Dies erfordert die Einrichtung wirksamer Maßnahmen zur Verhinderung von

  • Datenverlust und Datenmanipulation
  • Identitätsdiebstählen
  • Unberechtigten Drittzugriffen
  • Schutzlücken wegen vorübergehender Nichtverfügbarkeit

Auf technischer Seite müssen Cloudanbieter dafür insbesondere hinreichende Verschlüsselungs- und Anonymisierungsoptionen sowie Back-Up-Lösungen anbieten.

Gleichzeitig müssen Cloudanbieter sicherstellen, dass Kunden Ihre Kontrollrechte als Datenverantwortliche wahrnehmen können. Da eine Vor-Ort-Kontrolle oftmals nicht möglich ist, sind hier einsehbare Protokolle zum Datenmonitoring vorzuhalten, über welche Kunden Zugriff auf ihre Datenbestände erhalten und diese gegebenenfalls verändern können.

Zusätzlich ist über technische Wege zu gewährleisten, dass Kunden auf Antrag von Datensubjekten (Betroffenen) deren Betroffenenrechte umsetzen können. Hierzu gehören vordefinierte Abläufe zur Erteilung notwendiger Datenauskünfte, zur Umsetzung von Datenlöschungen, zur Durchführung von Datenberichtigungen und schließlich auch zur Datenübertragung im Falle eines Anbieterwechsels.

Beachtet werden muss auch, dass es Cloudanbietern gemäß Art. 28 Abs. 2 DSGVO gesetzlich untersagt ist, ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung mit weiteren Sub-Dienstleistern zusammen zu arbeiten, die mit eingespeisten Daten in Berührung kommen könnten.

Schließlich müssen Kunden nach Beendigung des Vertrages mit dem Cloudanbieter die Möglichkeit erhalten, eingebrachte Datensätze unwiederbringlich entfernen zu lassen und insbesondere eine Weiterverfügbarkeit sowie Zugriffsmöglichkeiten des Anbieters zu verhindern. Hier sind dem Kunden technische Maßnahmen zur Verfügung zu stellen, mit denen alle von ihm eingespeisten Daten nach seiner Wahl entweder gelöscht oder ihm zurückgegeben werden und vorhandene Kopien unwiederbringlich vernichtet werden.

In rechtlicher Hinsicht sind all diese Umstände abschließend spätestens im Zeitpunkt der erstmaligen Beanspruchung des Cloudhostings in einem spezifischen „Vertrag über die Auftragsdatenverarbeitung“ zu regeln, der zwischen dem Cloud-Anbieter und jedem einzelnen Kunden verpflichtend abzuschließen ist.

Eine Besonderheit ist abschließend zu beachten, wenn Daten aus der Cloud außerhalb des Europäischen Wirtschaftsraums gespeichert oder dorthin vom Anbieter übermittelt werden. Dies ist nicht ohne Weiteres möglich, sondern bedarf einer ausdrücklichen Rechtsgrundlage für jedes Drittland. Für Datenübermittlungen in die USA ist etwa eine Zertifizierung des Anbieters im US-EU-Privacy Shield erforderlich, welche das Einhalten des europäischen Datenschutzniveaus in den USA gewährleistet.

Daneben bestehen für manche Drittländer sogenannte Angemessenheitsbeschlüsse der EU-Kommission. Schließlich können Datentransfers ins außereuropäische Ausland auch über die Unterzeichnung von Standardvertragsklauseln gerechtfertigt werden. Diese werden von der EU-Kommission bereitgestellt.

Banner Starter Paket

II. Konfliktpotenzial: Rechtliche Pflichten von Cloudhosting-Anbietern in den USA

In den USA existieren keine einheitlichen gesetzlichen Datenschutzstandards für Cloudanbieter. Vielmehr können Unternehmen im Bereich des Cloud-Hostings weitgehend selbst festlegen, inwieweit sie datenschutzrechtlichen Bedenken ihrer Kunden begegnen wollen (sog. Compliance). Dies hat vor allem Auswirkungen auf die Übermittlung von cloudbasierten Daten von Europa aus in die USA, weil hier gemäß der DSGVO zu gewährleisten ist, dass das europäische Datenschutzrecht mit all seinen Facetten (etwa der Abschluss eines Auftragsverarbeitungsvertrages mit dem amerikanischen Cloud-Anbieter) eingehalten wird.

Im März 2018 ist mit einem neuen US-amerikanischen Rechtsakt ein weiteres Problem für US-amerikanische Cloudanbieter hinzugekommen. Unter der Regierung von Donald Trump wurde der sog. „CLOUD Act“ erlassen, der unter anderem Cloud-Anbieter zur weitgehenden Offenlegung von Daten (personenbezogene Daten sowie Wirtschaftsinformationen und Telemetriedaten) gegenüber US-Behörden verpflichtet. Nach dem Gesetz sind US-Unternehmen, die Daten im Ausland verarbeiten, immer dem US-Recht unterworfen und infolgedessen dazu verpflichtet, die in ihrer Obhut befindlichen Daten den US-Behörden auf Anfrage offenzulegen. Die Notwendigkeit eines Gerichtsbeschlusses besteht hier nicht.

Diese Rechtspflicht von Cloudanbietern steht seitdem in einem unlösbaren Widerspruch zur DSGVO. Deren Art. 48 verbietet nämlich die Übermittlung von personenbezogenen Daten an Behörden eines Drittlandes, solange kein Rechtshilfeabkommen mit dem Drittland besteht. Ein solches ist mit den USA nie abgeschlossen worden und wird bislang auch nicht verhandelt.

US-Cloudanbieter, die auch Europäer zu ihren Kunden zählen, stehen damit vor einem Dilemma:
Entweder sie verstoßen mit den Nachkommen der Übermittlungsaufforderung einer US-Behörde gegen die DSGVO und setzen sich damit der Gefahr empfindlicher Bußgelder aus, oder Sie widersetzen sich der behördlichen Aufforderungen und akzeptieren die Konsequenzen nach US-Recht.

Um diesem Dilemma zu entgehen, wird zwar teilweise eine maximale Datenverschlüsselung von personenbezogenen Daten bei der Übermittlung an US-Behörden vorgeschlagen. US-Behörden sind allerdings nach dem CLOUD Act befugt, Datensätze auch in unverschlüsselter Form anzufordern oder diese selbst zu entschlüsseln.

III. Fazit

Die datenschutzrechtlichen Pflichten, die US- und EU-Anbietern von Cloudhosting-Lösungen im jeweiligen Land auferlegt werden, sind grundsätzlich nicht vergleichbar. Während EU-Anbieter umfangreiche Datensicherungsanforderungen, Weitergabeverbote, Mitwirkungsobliegenheiten und vertragliche Bindungspflichten umsetzen müssen, legen US-Anbieter ihre Datenschutzanforderungen in Form von Compliance-Richtlinien grundsätzlich selbst fest. Für unüberwindbare Probleme sorgt allerdings bei transatlantischen Bezügen der US-CLOUD Act, der US-Anbietern die Offenlegung von Daten gegenüber Behörden auferlegt. Das Folgeleisten derartiger Forderungen verstößt nämlich automatisch gegen die DSGVO, sofern hiervon EU-Kunden betroffen werden.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Autor:
Phil Salewski
Rechtsanwalt

Besucherkommentare

Bisher existieren keine Kommentare.

Vielleicht möchten Sie der Erste sein?

© 2005-2021 · IT-Recht Kanzlei Keller-Stoltenhoff, Keller