Heutzutage ist eine Auslagerung der Daten, wie z. B. bei einer Cloudnutzung in vielen Firmen und Organisationen mittlerweile Standard.<\/p>\n
Gerade die damit verbundene Flexibilit\u00e4t und Einsparungsm\u00f6glichkeiten bzgl. Anschaffungskosten und Wartungskosten sind f\u00fcr viele Unternehmen attraktiv.<\/p>\n
Was aber, wenn es nun bei einem entsprechenden Cloud-Anbieter<\/span><\/span><\/span>mal nicht alles wie geplant l\u00e4uft? Was, wenn beim Cloud-Anbieter <\/span><\/span><\/span>ein Datenschutzversto\u00df vorf\u00e4llt?<\/p>\n Unternehmen sind generell verpflichtet, die Aufsichtsbeh\u00f6rden und unter bestimmten Umst\u00e4nden auch die Betroffenen bei entsprechenden Datenschutzverst\u00f6\u00dfen zu informieren.<\/p>\n Um diesen Melde- und Benachrichtigungspflichten im Ernstfall gerecht zu werden, ist eine genaue Sachverhaltsaufkl\u00e4rung und z\u00fcgiges Handeln des Verantwortlichen gefragt.<\/p>\n Hier bestehen aber gerade h\u00e4ufig Verst\u00e4ndnisschwierigkeiten, sowohl beim Cloud-Anbieter<\/span><\/span><\/span>\u00a0als auch beim Verantwortlichen.<\/p>\n So werden h\u00e4ufig Meldungen gem. Art 33 DSGVO direkt vom Cloud-Anbieter <\/span><\/span><\/span>an eine Datenschutzbeh\u00f6rde durchgef\u00fchrt, oder der Auftraggeber sieht diese Verantwortlichkeit beim Cloud-Anbieter<\/span><\/span><\/span>, da die Datenschutzverletzung ja in \u201eseinem Bereich\u201c vorgefallen ist.<\/p>\n Aus der Sicht des Cloud-Anbieters <\/span><\/span><\/span>wiederum mag eine Meldung von ihm auch zun\u00e4chst sinnvoller erscheinen, da er logischerweise zun\u00e4chst mehr ben\u00f6tigte Informationen zu dem evtl. Datenschutzvorfall zur Verf\u00fcgung hat. Dieser ist ja bei ihm vorgefallen.<\/p>\n Generell ist hier aber zu beachten, dass zwischen dem Auftraggeber und dem Cloud-Anbieter <\/span><\/span><\/span>generell ein Verh\u00e4ltnis gem. Art 28 DSGVO vorliegt.<\/p>\n Der Auftraggeber ist und bleibt demnach gem. Art 4 Nr. 7 DSGVO Verantwortlicher f\u00fcr die personenbezogenen Daten im Sinne der DSGVO und der Cloud-Anbieter <\/span><\/span><\/span>ist Auftragnehmer gem. Art 4 Nr. 8 DSGVO.<\/p>\n Art 33 DSGVO ist allerdings bzgl. der Meldepflicht eindeutig.<\/p>\n Gem. Art 33 I DSGVO hat der Verantwortliche die Meldung bei der zul\u00e4ssigen Datenschutzbeh\u00f6rde zu veranlassen, weiterhin gibt der Art 33 II DSGVO vor, dass der Auftragsverarbeiter, sobald ihm eine Verletzung personenbezogener Daten bekannt ist, er diese dem Verantwortlichen unverz\u00fcglich meldet.<\/p>\n Nach dem Wortlaut des Gesetzes hat also die Meldung vom Verantwortlichen zu erfolgen.<\/p>\n Auch hat der Auftragsverarbeiter alle Informationen, die der Verantwortliche zu einer Beurteilung der Meldepflicht ben\u00f6tigt, unverz\u00fcglich zur Verf\u00fcgung zu stellen. Diese Pflicht ist unter anderem auch in Art 28 III f DSGVO verankert.<\/p>\n Zwar wird ein solcher formeller Fehler selten dazu f\u00fchren, dass die Beh\u00f6rden die vom Cloud-Anbieter<\/span><\/span><\/span>\/Auftragsverarbeiter durchgef\u00fchrte Meldung als ung\u00fcltig ansehen wird, jedoch entstehen hier erfahrungsgem\u00e4\u00df h\u00e4ufig auch andere Fehler in der Durchf\u00fchrung.<\/p>\n So gibt der Auftragsverarbeiter h\u00e4ufig die jeweilige Meldung gem. Art 33 DSGVO nur im eigenen Namen ab, ohne aufzuzeigen, dass man dies eigentlich f\u00fcr seinen Auftraggeber tut.<\/p>\n Dementsprechend ist also auch der Verantwortliche nicht bei der Beh\u00f6rde angegeben.<\/p>\n Weiterhin kann es sein, dass sich die zust\u00e4ndige Beh\u00f6rde des Auftragsverarbeiters von der des Verantwortlichen unterscheidet.<\/p>\n Die Zust\u00e4ndigkeit der Beh\u00f6rde richtet sich n\u00e4mlich gem. Art 55, 56 DSGVO vornehmlich nach dem Hauptsitz des Verantwortlichen.<\/p>\n Weiterhin bestehen h\u00e4ufig Missverst\u00e4ndnisse bzgl. einer Benachrichtigungspflicht gem. Art 34 DSGVO. So bewerten viele Auftragnehmer diese Vorschrift dahingehend, dass sie lediglich ihre eigenen Kunden informieren m\u00fcssen.<\/p>\n Diese sind aber logischerweise meistens nicht deckungsgleich mit den Kunden des Verantwortlichen. Bis dieses Missverst\u00e4ndnis dann aufgekl\u00e4rt wurde, ist dann die 72-Stundenfrist, die auch f\u00fcr Art. 34 DSGVO gilt, bereits h\u00e4ufig verstrichen.<\/p>\n Es macht daher bereits Sinn, bei Inanspruchnahme eines Cloud-Anbieter <\/span><\/span><\/span>ein derartiges Vorgehen bereits im Auftragsverarbeitungsvertrag zu kl\u00e4ren und festzuhalten. Erfahrungsgem\u00e4\u00df kann hier ein wenig Vorarbeit im Ernstfall viel \u00c4rger ersparen.<\/p>\n Sollten Sie diesbez\u00fcglich Hilfe ben\u00f6tigen, k\u00f6nnen Sie sich nat\u00fcrlich wie immer gerne an uns wenden.<\/p>\n","protected":false},"excerpt":{"rendered":" Heutzutage ist eine Auslagerung der Daten, wie z. B. bei einer Cloudnutzung in vielen Firmen und Organisationen mittlerweile Standard. Gerade die damit verbundene Flexibilit\u00e4t und Einsparungsm\u00f6glichkeiten bzgl. Anschaffungskosten und Wartungskosten sind f\u00fcr viele Unternehmen attraktiv. Was aber, wenn es nun bei einem entsprechenden Cloud-Anbietermal nicht alles wie geplant l\u00e4uft? Was, wenn beim Cloud-Anbieter ein Datenschutzversto\u00df … <\/p>\n