Datenschutz bei der Nutzung von Cloud-Diensten

Cloud-Dienste bieten Startups zahlreiche Vorteile wie Flexibilität, Skalierbarkeit und Kosteneffizienz. Allerdings bringt die Nutzung von Cloud-Services auch erhebliche datenschutzrechtliche Herausforderungen mit sich. Dieser Beitrag beleuchtet die wichtigsten datenschutzrechtlichen Aspekte, die Startups bei der Nutzung von Cloud-Diensten beachten müssen.

Rechtlicher Rahmen

Der Datenschutz bei der Nutzung von Cloud-Diensten wird primär durch die Datenschutz-Grundverordnung (DSGVO) geregelt. Zentrale Aspekte sind:

1. Rechtmäßigkeit der Datenverarbeitung (Art. 6 DSGVO)
2. Auftragsverarbeitung (Art. 28 DSGVO)
3. Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
4. Internationale Datentransfers (Art. 44 ff. DSGVO)

Verantwortlichkeiten bei der Cloud-Nutzung

Bei der Nutzung von Cloud-Diensten ist das Startup in der Regel der Verantwortliche im Sinne der DSGVO, während der Cloud-Anbieter als Auftragsverarbeiter agiert. Dies hat wichtige Konsequenzen:

1. Das Startup bleibt für die Einhaltung der datenschutzrechtlichen Vorgaben verantwortlich.
2. Es muss ein Auftragsverarbeitungsvertrag (AVV) mit dem Cloud-Anbieter geschlossen werden.
3. Das Startup muss die Einhaltung der Datenschutzbestimmungen durch den Cloud-Anbieter überwachen.

Auftragsverarbeitungsvertrag (AVV)

Der AVV ist ein zentrales Element beim datenschutzkonformen Einsatz von Cloud-Diensten. Er muss gemäß Art. 28 Abs. 3 DSGVO folgende Punkte regeln:

1. Gegenstand und Dauer der Verarbeitung
2. Art und Zweck der Verarbeitung
3. Art der personenbezogenen Daten und Kategorien betroffener Personen
4. Pflichten und Rechte des Verantwortlichen
5. Weisungsgebundenheit des Auftragsverarbeiters
6. Verpflichtung zur Vertraulichkeit
7. Technische und organisatorische Maßnahmen
8. Regelungen zur Unterstützung des Verantwortlichen
9. Umgang mit Unterauftragsverarbeitern
10. Löschung oder Rückgabe der Daten nach Beendigung der Verarbeitung

Viele Cloud-Anbieter stellen standardisierte AVVs zur Verfügung. Diese sollten sorgfältig geprüft und gegebenenfalls angepasst werden.

Technische und organisatorische Maßnahmen

Startups müssen sicherstellen, dass der Cloud-Anbieter angemessene technische und organisatorische Maßnahmen (TOMs) implementiert hat, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Wichtige Aspekte sind:

1. Verschlüsselung: Sowohl bei der Übertragung als auch bei der Speicherung der Daten
2. Zugriffskontrolle: Strikte Regelungen und Verfahren für den Zugriff auf die Daten
3. Verfügbarkeitskontrolle: Maßnahmen zur Sicherstellung der Verfügbarkeit der Daten
4. Trennungskontrolle: Getrennte Verarbeitung von Daten verschiedener Auftraggeber
5. Pseudonymisierung: Wo möglich, sollten Daten pseudonymisiert werden

Startups sollten die TOMs des Cloud-Anbieters sorgfältig prüfen und dokumentieren.

Internationale Datentransfers

Viele Cloud-Anbieter speichern oder verarbeiten Daten außerhalb der EU. Dies ist datenschutzrechtlich besonders relevant:

1. Angemessenheitsbeschluss: Liegt für das Zielland ein Angemessenheitsbeschluss der EU-Kommission vor (z.B. für das Vereinigte Königreich), ist der Datentransfer grundsätzlich zulässig.
2. Standardvertragsklauseln: In vielen Fällen werden die von der EU-Kommission bereitgestellten Standardvertragsklauseln verwendet, um einen rechtskonformen Datentransfer zu ermöglichen.
3. Binding Corporate Rules: Für konzerninterne Übermittlungen können genehmigte verbindliche interne Datenschutzvorschriften eine Lösung sein.
4. Zusätzliche Maßnahmen: Nach dem Schrems II-Urteil des EuGH müssen oft zusätzliche Maßnahmen ergriffen werden, um ein angemessenes Schutzniveau sicherzustellen.

Startups sollten besonders vorsichtig sein bei der Nutzung von Cloud-Diensten, die Daten in Länder ohne angemessenes Datenschutzniveau übermitteln.

Besondere Herausforderungen für Startups

1. Ressourcenbeschränkungen: Viele Startups verfügen nicht über dedizierte Datenschutzexperten. Es ist wichtig, dennoch ausreichend Ressourcen für den Datenschutz bereitzustellen.
2. Schnelles Wachstum: Bei schnellem Unternehmenswachstum müssen Datenschutzmaßnahmen entsprechend skaliert werden.
3. Flexibilität vs. Compliance: Die Notwendigkeit, schnell und flexibel zu agieren, darf nicht zu Lasten der Datenschutz-Compliance gehen.
4. Internationale Expansion: Bei der Expansion in neue Märkte müssen lokale Datenschutzbestimmungen berücksichtigt werden.

Praxistipps für Startups

1. Due Diligence: Führen Sie eine sorgfältige Prüfung potenzieller Cloud-Anbieter durch, insbesondere hinsichtlich ihrer Datenschutzpraktiken und Zertifizierungen.
2. Datenschutz-Folgenabschätzung: Führen Sie bei risikoreichen Verarbeitungsvorgängen eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO durch.
3. Dokumentation: Dokumentieren Sie sorgfältig alle Entscheidungen und Maßnahmen im Zusammenhang mit der Nutzung von Cloud-Diensten.
4. Verschlüsselung: Nutzen Sie wo möglich Ende-zu-Ende-Verschlüsselung, um die Daten zusätzlich zu schützen.
5. Datensparsamkeit: Überlegen Sie kritisch, welche Daten tatsächlich in die Cloud ausgelagert werden müssen.
6. Notfallplan: Entwickeln Sie einen Plan für den Fall eines Datenschutzvorfalls oder einer Insolvenz des Cloud-Anbieters.
7. Regelmäßige Überprüfung: Überprüfen Sie regelmäßig die Einhaltung der Datenschutzbestimmungen und die Aktualität Ihrer Maßnahmen.
8. Schulungen: Schulen Sie Ihre Mitarbeiter regelmäßig in Datenschutzfragen, insbesondere im Umgang mit Cloud-Diensten.

Die Nutzung von Cloud-Diensten bietet Startups enorme Chancen, erfordert aber auch eine sorgfältige Berücksichtigung datenschutzrechtlicher Aspekte. Eine proaktive Herangehensweise an den Datenschutz kann nicht nur rechtliche Risiken minimieren, sondern auch das Vertrauen von Kunden und Partnern stärken. Durch die Implementierung robuster Datenschutzpraktiken können Startups die Vorteile von Cloud-Diensten nutzen, ohne dabei die Compliance zu vernachlässigen.

Angesichts der Komplexität des Themas und der potenziell schwerwiegenden Konsequenzen bei Verstößen ist es für Startups ratsam, bei der Implementierung von Cloud-Lösungen fachkundige rechtliche Unterstützung in Anspruch zu nehmen. Ein spezialisierter Datenschutzanwalt kann dabei helfen, maßgeschneiderte Lösungen zu entwickeln, die sowohl den geschäftlichen Anforderungen als auch den rechtlichen Vorgaben gerecht werden.

Author: Marian Härtel

Marian Härtel ist Rechtsanwalt und Fachanwalt für IT-Recht mit einer über 25-jährigen Erfahrung als Unternehmer und Berater in den Bereichen Games, E-Sport, Blockchain, SaaS und Künstliche Intelligenz. Seine Beratungsschwerpunkte umfassen neben dem IT-Recht insbesondere das Urheberrecht, Medienrecht sowie Wettbewerbsrecht. Er betreut schwerpunktmäßig Start-ups, Agenturen und Influencer, die er in strategischen Fragen, komplexen Vertragsangelegenheiten sowie bei Investitionsprojekten begleitet. Dabei zeichnet sich seine Beratung durch einen interdisziplinären Ansatz aus, der juristische Expertise und langjährige unternehmerische Erfahrung miteinander verbindet. Ziel seiner Tätigkeit ist stets, Mandanten praxisorientierte Lösungen anzubieten und rechtlich fundierte Unterstützung bei der Umsetzung innovativer Geschäftsmodelle zu gewährleisten.