• 81% der deutschen Unternehmen nutzen bereits Cloud-Services, und weitere 14% planen eine zukünftige Nutzung.
• Für 86% dieser Unternehmen stellt das Vertrauen in die Sicherheit und Compliance des Cloud-Anbieters ein absolutes Muss dar.

Im Jahr 2023 wurde Facebook zu einem Rekordbußgeld von 1,2 Milliarden Euro verurteilt, da personenbezogene Daten trotz Standard-Vertragsklauseln ungeschützt auf amerikanischen Cloud-Servern gespeichert wurden. Auch Vodafone musste 2021 in Spanien über acht Millionen Euro Strafe zahlen, weil personenbezogene Cloud-Daten ungesichert übertragen wurden.

Diese Beispiele zeigen, wie wichtig es für Unternehmen ist, ihre Datenverarbeitungsverträge korrekt abzuschließen und die Anforderungen der DSGVO umzusetzen.

Die Nutzung von Cloud-Speichern für personenbezogene Daten stellt eine Auftragsverarbeitung dar. Dafür ist der Abschluss eines Auftragsverarbeitungsvertrags mit einem gesetzlich vorgeschriebenen Mindestinhalt erforderlich. Dieser Vertrag muss Folgendes umfassen:

• Zweck der Datenverarbeitung
• Betroffene Datenarten
• Die Pflicht des Anbieters oder Auftragsnehmers, Subunternehmen anzugeben und die Daten zu löschen, wenn dies erforderlich ist.

Der Auftragsverarbeitungsvertrag regelt damit umfassend die Datenverarbeitung durch den Anbieter und dient der Sicherstellung der Einhaltung der DSGVO-Vorgaben.

In Österreich setzen 66% der Unternehmen, die Cloud-Dienste nutzen, auf globale und ausländische Anbieter. Viele dieser Unternehmen übermitteln dabei unbewusst personenbezogene Daten in unsichere Drittländer, da nur in EU-Staaten, Norwegen und Island die DSGVO gilt.

Ein Datentransfer in bestimmte Drittländer ist zulässig, wenn ein Angemessenheitsbeschluss der EU-Kommission vorliegt. Dieser Beschluss bestätigt, dass das jeweilige Land ein angemessenes Datenschutzniveau bietet, was die Übertragung personenbezogener Daten ohne zusätzliche Sicherheitsmaßnahmen ermöglicht. Derzeit gibt es Angemessenheitsbeschlüsse für folgende Länder:

• Andorra, Argentinien, Kanada, Färöer, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, Schweiz, Uruguay, Japan, das Vereinigte Königreich und Südkorea.
• Für die USA besteht ein partieller Angemessenheitsbeschluss, der nur für zertifizierte Unternehmen gilt. Die Liste dieser Unternehmen ist hier einsehbar.

Falls Daten in Länder übertragen werden, die nicht Teil des Europäischen Wirtschaftsraumes (EWR) sind oder für die kein Angemessenheitsbeschluss vorliegt, sind zusätzliche Sicherheitsmaßnahmen notwendig. Zu diesen Maßnahmen zählt insbesondere der Abschluss von Standardvertragsklauseln (SCCs). Diese Vertragsvorlagen wurden von der Europäischen Kommission erlassen und dienen als rechtliche Grundlage für die Auftragsverarbeitung in diesen Ländern.

Bei der Zusammenarbeit mit US-amerikanischen Cloud-Anbietern kann geprüft werden, ob diese nach dem Data Privacy Framework zertifiziert sind. Dieses Abkommen zwischen der EU und den USA stellt sicher, dass zertifizierte Unternehmen bestimmte Datenschutzstandards einhalten. Falls das US-Unternehmen zertifiziert ist, entfällt die Pflicht zum Abschluss von Standardvertragsklauseln; der Auftragsverarbeitungsvertrag bleibt jedoch weiterhin notwendig.

• Auftragsverarbeitungsvertrag: Wenn Cloud-Speicher für personenbezogene Daten genutzt werden, muss immer ein Auftragsverarbeitungsvertrag abgeschlossen werden.
• Sitz des Anbieters prüfen: Befindet sich dieser außerhalb des Europäischen Wirtschaftsraums (EWR)?
• Angemessenheitsbeschluss prüfen: Besteht für das Land des Anbieters ein Angemessenheitsbeschluss? Falls ja, genügt ein Auftragsverarbeitungsvertrag.
• Standardvertragsklauseln abschließen: Wenn kein Angemessenheitsbeschluss besteht.
• Data Privacy Framework für US-Anbieter: Ist das Unternehmen zertifiziert, genügt der Auftragsverarbeitungsvertrag. Ohne Zertifizierung sind zusätzlich Standardvertragsklauseln erforderlich.