Cloud Computing – Reglungen zur Auftragsdatenverarbeitung

Schon in meinem Artikel zum Thema Cloud Computing – Datenschutz und Datensicherheit, hatte ich darauf hingewiesen, dass Sie immer und überall für Ihre Daten verantwortlich bleiben, auch wenn diese auf einem fremden Server liegen.

Schon seit geraumer Zeit gibt es aber neben dem § 9 BDSG noch eine weitere Vorschrift, die insbesondere in diesem Zusammenhang beachtet werden muss. Das ist der § 11 BDSG, der die Auftragsdatenverarbeitung regelt.

Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich.

Oft habe ich in diesem Zusammenhang von Unternehmen gehört: Aber die einfache Speicherung ist doch da gar nicht mit vorgesehen! Wortwörtlich nicht, aber auch eine Speicherung ist eine Verarbeitung der Daten im Sinne des § 3 BDSG. Dieser besagt nämlich ausdrücklich:

Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten.

Nachdem nun also geklärt ist, dass auch die einfache Speicherung eigener Daten auf fremden Servern eine Auftragsdatenverarbeitung ist, sehen wir uns einmal an, was das konkret für Sie bedeutet.

Zum einen, so schreibt es § 11 II BDSG vor, müssen Sie den Auftragnehmer – das Unternehmen bei dem Sie Ihre Daten speichern wollen – sehr sorgfältig auswählen. Hier sind vor allem technische und organisatorische Gesichtspunkte ausschlaggebend.

Zum anderen sind Sie verpflichtet den Vertrag mit dem Auftragnehmer schriftlich zu schließen und dabei ganz explizit die folgenden Punkte zu regeln:

der Gegenstand und die Dauer des Auftrags, der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen, die Berichtigung, Löschung und Sperrung von Daten, die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen, die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,… » Vollständiger Artikel