DSGVO-Evaluierung – Cloud-Dienste rechtssicher gestalten
© ©Adobe stock.com / kran
Praxistaugliche Vorgaben für Cloud-Dienstleister
-Evaluierung der DSGVO –
- EU-weit einheitliche Rechtsvorgaben
a. möglichst in den Erwägungsgründen der DSGVO
b. mindestens in praktikabler Form EU-weit abgestimmt durch die europäischen Datenschutzaufsichtsbehörden
→ kein Sonderweg einer Datenschutzaufsicht
c. EU-weit tätige Unternehmen benötigen hier eine einheitliche Vertragsgestaltung und Umsetzung - Implementierung einer Herstellerhaftung für große Cloud-Dienstleister
a. Cloud-Dienstleister müssen aufgrund ihrer Fachkompetenz die Sicherheitsmaßnahmen prüfen und bei Bedarf anpassen können.
b. Die DSGVO schreibt vor, dass der Kunde als Auftraggeber auch großen Cloud-Anbietern Weisungen zur technischen Ausgestaltung und dem Stand der Technik entsprechenden Fortentwicklung von komplexen Diensten und Systemen geben muss.
c. Dies ist nicht praxisgerecht. Ebenso wie beim Cyber Resilience Act sowie bei den Produkthaftungs- und Produktsicherheits-Richtlinien sollte hier in gleicher Weise eine Herstellerhaftung implementiert werden. - Datenschutzdokumentation mit Augenmaß und Praktikabilität
a. hinsichtlich der Detailtiefe; Kunde kann und muss die technische Funktionsweise nicht verstehen.
b. hinsichtlich stetiger Produktentwicklungen
c. hinsichtlich des Aufwandes, d. h. Möglichkeit der Verweisung auf Online-Dokumentationen des Cloud-Dienstleisters bzw. umgekehrt auf die Verfahrensdokumentation der Kunden zur Beschreibung von Geschäftsgegenstand, Arten und Kategorien von Daten - Sichere Rechtsgrundlagen für vom Vertrag ausgelöste Datenverarbeitung eines Cloud-Dienstleisters
Beispiele: Abrechnungen und Provisionsberechnungen, Verbesserung von Kernfunktionen, Bekämpfung von Cyberangriffen/Betrug, Financial Reporting
Es besteht die Brisanz und die Notwendigkeit einer schnellen und praxisnahen Anpassung der DSGVO.