Es wurde leider kein Ergebnis gefunden. Bitte versuchen Sie es erneut.

keine Ergebnisse
Affiliate-Marketing
Afterbuy
Amazon
Apotheken-Online-Shop
Apps (Datenschutzerklärung)
Argato
Avocadostore
Azoo
Booklooker
Branchbob
Brick Owl
BrickLink
Cardmarket
Cdiscount.com
Check24
Chrono24
Coaching
commerce:seo
Conrad
Consulting
CosmoShop
Decathlon
Delcampe
Dienstleistungen
Discogs
Dropshipping
Dropshipping-Marktplatz
eBay
ecwid
eGun
Einkaufsbedingungen (B2B)
ePages
Etsy
Etsy (digitale Inhalte)
Facebook
Facebook (Warenverkauf)
Fairmondo
Fernunterricht
For-vegans
Fotografie und Bildbearbeitung
Freizeitkurse
Galaxus
Galeria
Gambio
Gambio-Cloud
Gastro-Lieferservice (Restaurants)
German Market
Germanized for WooCommerce
GTC for Shopify
GTC-Kaufland.de
Handmade at Amazon
home24
Homepage
Hood
Hornbach
Hosting
Hosting B2B
Individuelle Kundenkommunikation (B2B)
Individuelle Kundenkommunikation (B2C)
Instagram
Instagram (Warenverkauf)
Jimdo
Joomla
JTL
Kasuwa
Kaufland
Kaufland - alle Sprachen
Kleinanzeigen.de
Kleinanzeigen.de (Vermietung)
Lightspeed
LinkedIn
Lizenzo
Magento
Manomano
Mediamarkt
MeinOnlineLager
metro.de
modified eCommerce-Shops
Online-Shop
Online-Shop (digitale Inhalte)
Online-Shop - B2B
OpenCart
Otto
Oxid-Shops
Palundu
Pinterest
plentymarkets
Praktiker
Prestashop
Printkataloge
Productswithlove
RAIDBOXES
Restposten
Restposten24
Ricardo.ch
Selbstbedienungsläden
Seminare
SHOMUGO
Shop - Online-Kurse (live oder on demand)
Shop - Verkauf von eigener Software
Shop - Verkauf von fremder Software
Shop - Vermietung von Waren
Shopify
Shopware
Shpock
Shöpping
Smartvie
Snapchat
Spandooly
Squarespace
Stationärer Handel
STRATO
Teilehaber.de
Threads
TikTok
Tumblr
Twitch
TYPO3
Verkauf von Veranstaltungstickets
Vermietung Ferienwohnungen
Vermietung von Shops (inkl. Hosting)
VersaCommerce
VirtueMart
voelkner
webador
Webdesign
Webflow
Webshop Factory
Werky
WhatsApp Business
WhatsApp Business (Warenverkauf)
Wix
WooCommerce
WordPress
Wordpress (Warenverkauf)
wpShopGermany
X (ehemals Twitter)
Xanario
XING
xt:Commerce
XXXLutz
YouTube
zalando
Zen-Cart
ZVAB

Teil 2: Datenschutzrechtliche Pflichten der Cloudhosting-Anbieter in Europa und den USA

13.11.2019, 14:31 Uhr | Lesezeit: 5 min
Teil 2: Datenschutzrechtliche Pflichten der Cloudhosting-Anbieter in Europa und den USA

Mit unterschiedlichen rechtlichen Datenschutzstandards in Europa und in den USA sehen sich Cloud-Hosting-Anbieter bei transatlantischen Bezügen auch mit inhaltlich stark divergierenden Datenschutz- und Datensicherheitspflichten konfrontiert. Gegenüber stehen sich die europäische Datenschutzgrundverordnung (DSGVO) und der amerikanische CLOUD Act. Lesen Sie nachfolgend, welche grundsätzlichen Pflichten Anbieter in Europa einerseits und in den USA andererseits zu erfüllen haben und welches Konfliktpotenzial dies mit sich bringt.

I.Rechtliche Pflichten von Cloudhosting-Anbietern in Europa

Speisen Nutzer von Cloudhosting-Diensten personenbezogene Daten in die Cloud ein, sind sie nach der DSGVO weiterhin originär für den Schutz dieser Daten verantwortlich und so grundsätzlich selbst gehalten, alle notwendigen Datenschutz- und Datensicherheitsmaßnahmen zu garantieren.

Cloudanbieter werden in Europa hinsichtlich der eingespeisten Daten nur als sogenannte Auftragsverarbeiter tätig, die bestimmte Datenverarbeitungen (etwa das Speichern, Kategorisieren und Bereithalten der Daten) weisungsgebunden für ihre Kunden übernehmen.

Weil Datenverantwortliche gemäß Art. 28 DSGVO nur mit solchen Auftragsverarbeitern zusammenarbeiten dürfen, welche geeignete technische und organisatorische Maßnahmen für die Datensicherheit bereithalten, sind Cloud-Anbieter stets verpflichtet, den typischen Risiken von cloudbasierten Datenverarbeitungen wirksam zu begegnen.

Dies erfordert die Einrichtung wirksamer Maßnahmen zur Verhinderung von

  • Datenverlust und Datenmanipulation
  • Identitätsdiebstählen
  • Unberechtigten Drittzugriffen
  • Schutzlücken wegen vorübergehender Nichtverfügbarkeit

Auf technischer Seite müssen Cloudanbieter dafür insbesondere hinreichende Verschlüsselungs- und Anonymisierungsoptionen sowie Back-Up-Lösungen anbieten.

Gleichzeitig müssen Cloudanbieter sicherstellen, dass Kunden Ihre Kontrollrechte als Datenverantwortliche wahrnehmen können. Da eine Vor-Ort-Kontrolle oftmals nicht möglich ist, sind hier einsehbare Protokolle zum Datenmonitoring vorzuhalten, über welche Kunden Zugriff auf ihre Datenbestände erhalten und diese gegebenenfalls verändern können.

Zusätzlich ist über technische Wege zu gewährleisten, dass Kunden auf Antrag von Datensubjekten (Betroffenen) deren Betroffenenrechte umsetzen können. Hierzu gehören vordefinierte Abläufe zur Erteilung notwendiger Datenauskünfte, zur Umsetzung von Datenlöschungen, zur Durchführung von Datenberichtigungen und schließlich auch zur Datenübertragung im Falle eines Anbieterwechsels.

Beachtet werden muss auch, dass es Cloudanbietern gemäß Art. 28 Abs. 2 DSGVO gesetzlich untersagt ist, ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung mit weiteren Sub-Dienstleistern zusammen zu arbeiten, die mit eingespeisten Daten in Berührung kommen könnten.

Schließlich müssen Kunden nach Beendigung des Vertrages mit dem Cloudanbieter die Möglichkeit erhalten, eingebrachte Datensätze unwiederbringlich entfernen zu lassen und insbesondere eine Weiterverfügbarkeit sowie Zugriffsmöglichkeiten des Anbieters zu verhindern. Hier sind dem Kunden technische Maßnahmen zur Verfügung zu stellen, mit denen alle von ihm eingespeisten Daten nach seiner Wahl entweder gelöscht oder ihm zurückgegeben werden und vorhandene Kopien unwiederbringlich vernichtet werden.

In rechtlicher Hinsicht sind all diese Umstände abschließend spätestens im Zeitpunkt der erstmaligen Beanspruchung des Cloudhostings in einem spezifischen „Vertrag über die Auftragsdatenverarbeitung“ zu regeln, der zwischen dem Cloud-Anbieter und jedem einzelnen Kunden verpflichtend abzuschließen ist.

Eine Besonderheit ist abschließend zu beachten, wenn Daten aus der Cloud außerhalb des Europäischen Wirtschaftsraums gespeichert oder dorthin vom Anbieter übermittelt werden. Dies ist nicht ohne Weiteres möglich, sondern bedarf einer ausdrücklichen Rechtsgrundlage für jedes Drittland. Für Datenübermittlungen in die USA ist etwa eine Zertifizierung des Anbieters im US-EU-Privacy Shield erforderlich, welche das Einhalten des europäischen Datenschutzniveaus in den USA gewährleistet.

Daneben bestehen für manche Drittländer sogenannte Angemessenheitsbeschlüsse der EU-Kommission. Schließlich können Datentransfers ins außereuropäische Ausland auch über die Unterzeichnung von Standardvertragsklauseln gerechtfertigt werden. Diese werden von der EU-Kommission bereitgestellt.

Kostenfreies Bewertungssystem SHOPVOTE

II. Konfliktpotenzial: Rechtliche Pflichten von Cloudhosting-Anbietern in den USA

In den USA existieren keine einheitlichen gesetzlichen Datenschutzstandards für Cloudanbieter. Vielmehr können Unternehmen im Bereich des Cloud-Hostings weitgehend selbst festlegen, inwieweit sie datenschutzrechtlichen Bedenken ihrer Kunden begegnen wollen (sog. Compliance). Dies hat vor allem Auswirkungen auf die Übermittlung von cloudbasierten Daten von Europa aus in die USA, weil hier gemäß der DSGVO zu gewährleisten ist, dass das europäische Datenschutzrecht mit all seinen Facetten (etwa der Abschluss eines Auftragsverarbeitungsvertrages mit dem amerikanischen Cloud-Anbieter) eingehalten wird.

Im März 2018 ist mit einem neuen US-amerikanischen Rechtsakt ein weiteres Problem für US-amerikanische Cloudanbieter hinzugekommen. Unter der Regierung von Donald Trump wurde der sog. „CLOUD Act“ erlassen, der unter anderem Cloud-Anbieter zur weitgehenden Offenlegung von Daten (personenbezogene Daten sowie Wirtschaftsinformationen und Telemetriedaten) gegenüber US-Behörden verpflichtet. Nach dem Gesetz sind US-Unternehmen, die Daten im Ausland verarbeiten, immer dem US-Recht unterworfen und infolgedessen dazu verpflichtet, die in ihrer Obhut befindlichen Daten den US-Behörden auf Anfrage offenzulegen. Die Notwendigkeit eines Gerichtsbeschlusses besteht hier nicht.

Diese Rechtspflicht von Cloudanbietern steht seitdem in einem unlösbaren Widerspruch zur DSGVO. Deren Art. 48 verbietet nämlich die Übermittlung von personenbezogenen Daten an Behörden eines Drittlandes, solange kein Rechtshilfeabkommen mit dem Drittland besteht. Ein solches ist mit den USA nie abgeschlossen worden und wird bislang auch nicht verhandelt.

US-Cloudanbieter, die auch Europäer zu ihren Kunden zählen, stehen damit vor einem Dilemma:
Entweder sie verstoßen mit den Nachkommen der Übermittlungsaufforderung einer US-Behörde gegen die DSGVO und setzen sich damit der Gefahr empfindlicher Bußgelder aus, oder Sie widersetzen sich der behördlichen Aufforderungen und akzeptieren die Konsequenzen nach US-Recht.

Um diesem Dilemma zu entgehen, wird zwar teilweise eine maximale Datenverschlüsselung von personenbezogenen Daten bei der Übermittlung an US-Behörden vorgeschlagen. US-Behörden sind allerdings nach dem CLOUD Act befugt, Datensätze auch in unverschlüsselter Form anzufordern oder diese selbst zu entschlüsseln.

III. Fazit

Die datenschutzrechtlichen Pflichten, die US- und EU-Anbietern von Cloudhosting-Lösungen im jeweiligen Land auferlegt werden, sind grundsätzlich nicht vergleichbar. Während EU-Anbieter umfangreiche Datensicherungsanforderungen, Weitergabeverbote, Mitwirkungsobliegenheiten und vertragliche Bindungspflichten umsetzen müssen, legen US-Anbieter ihre Datenschutzanforderungen in Form von Compliance-Richtlinien grundsätzlich selbst fest. Für unüberwindbare Probleme sorgt allerdings bei transatlantischen Bezügen der US-CLOUD Act, der US-Anbietern die Offenlegung von Daten gegenüber Behörden auferlegt. Das Folgeleisten derartiger Forderungen verstößt nämlich automatisch gegen die DSGVO, sofern hiervon EU-Kunden betroffen werden.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.


Link kopieren

Als PDF exportieren

Drucken

|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

0 Kommentare

weitere News

Neue Serie der IT-Recht Kanzlei: Vergleich der geltenden datenschutzrechtlichen Standards beim Cloud-Hosting in den USA und in Europa
(13.11.2019, 14:36 Uhr)
Neue Serie der IT-Recht Kanzlei: Vergleich der geltenden datenschutzrechtlichen Standards beim Cloud-Hosting in den USA und in Europa
Teil 3: Datenschutzrechte der Kunden von Cloudhosting-Anbietern in Europa und den USA
(13.11.2019, 14:33 Uhr)
Teil 3: Datenschutzrechte der Kunden von Cloudhosting-Anbietern in Europa und den USA
Teil 1: Ermittlung des anwendbaren Datenschutzrechts bei transatlantischen Cloud-Hosting-Diensten
(13.11.2019, 14:25 Uhr)
Teil 1: Ermittlung des anwendbaren Datenschutzrechts bei transatlantischen Cloud-Hosting-Diensten
Hosting: Rechtliche Fallstricke beim Anbieten von Hosting-Leistungen
(24.03.2016, 13:31 Uhr)
Hosting: Rechtliche Fallstricke beim Anbieten von Hosting-Leistungen
Hosting: IT-Recht Kanzlei bietet ab sofort professionelle AGB für Hosting-Leistungen an
(15.03.2016, 16:56 Uhr)
Hosting: IT-Recht Kanzlei bietet ab sofort professionelle AGB für Hosting-Leistungen an
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder
speichern

Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.
Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.
Ihre IT-Recht Kanzlei
Vielen Dank!
© 2004-2024 · IT-Recht Kanzlei