Die DSGVO: Ein Game-Changer für Cloud-Verträge
Bis vor kurzem basierten die meisten IT-Verträge – selbst jene im großen Maßstab – auf einem simplen Kaufauftrag oder manchmal auf einer Leistungsbeschreibung. Die Allgemeine Datenschutz-Grundverordnung (DSGVO) hat in dieser Hinsicht jedoch vieles verändert.
Artikel 28(9) der DSGVO zu Auftragsverarbeitern legt fest: „Der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 [Verarbeitung durch einen Auftragsverarbeiter] und 4 [wenn ein Auftragsverarbeiter einen weiteren Auftragsverarbeiter beauftragt] ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.“ Artikel 26 der DSGVO zu gemeinsam Verantwortlichen ist weniger explizit, doch da er zumindest vorsieht, dass das wesentliche der Vereinbarung zwischen den gemeinsam Verantwortlichen der betroffenen Person zur Verfügung gestellt werden muss, bedeutet dies, dass auch hier ein schriftliches Dokument ad probationem (d.h. zum Nachweis der Vereinbarung) notwendig ist.
Dementsprechend sollte nunmehr bei den meisten IT-Vereinbarungen ein schriftlicher Vertrag systematisch aufgesetzt werden. Die Notwendigkeit der Schriftform geht auch Hand in Hand mit einer weiteren Vorgabe der DSGVO: Transparenz. (1)
Dies widerspricht natürlich einer gewissen Kultur der Intransparenz, die bei den ersten Cloud-Angeboten Mitte der 2000er Jahre üblich war. Im damals vorherrschenden Cloud-Modell (2) kauften Kunden einen Dienst mit einer vorgegebenen Leistungsfähigkeit, unabhängig von der technischen Architektur des verwendeten Dienstes: Nur das Resultat zählte. (3)
Artikel 12 der DSGVO signalisiert das Ende dieser Ära der Intransparenz, formalisiert er doch unverrückbar das Konzept der transparenten Information, die Kommunikation und die Modalitäten für die Ausübung der Rechte der betroffenen Personen. Darüber hinaus wird dem Artikel 12 der Artikel 28 zu den Auftragsverarbeitern beigestellt.
Artikel 28(3) sieht vor, dass das Verhältnis zwischen dem Auftragsverarbeiter und dem Datenverantwortlichen zum Zwecke der Datenverarbeitung mittels eines Vertrags zu regeln ist, der eine Reihe von spezifischen und wesentlichen Festlegungen beinhalten muss. Es handelt sich daher um einen Nominalvertrag. (4)
Für verschiedene Cloud-Vertrag (IaaS, PaaS, SaaS) können daher die obengenannten Verpflichtungen bezüglich Datenverarbeitung laut DSGVO daher folgende Elemente zwingend notwendig machen:
- Einen Abschnitt „Vorgaben“, der alle relevanten Informationen des Verantwortlichen für den Auftragsverarbeiter bezüglich des Zwecks der Verarbeitung der persönlichen Daten mit den durch den Cloud-Anbieter zur Verfügung gestellten Mitteln enthält;
- einen Abschnitt „Anweisungen“, der die Anweisungen des Kunden für den Cloud-Anbieter enthält sowie Informationen, wie diese vom Cloud-Anbieter anzuwenden sind;
- einen Abschnitt „Sicherheit“, der die vom Cloud-Anbieter angewendeten physischen und logischen Sicherheitsrichtlinien erläutert sowie die im Falle von nicht autorisiertem Zugriff anzuwendenden Maßnahmen (Vorgehen bei Datenpannen); dieser Abschnitt sollte als Anhang einen Sicherheitsplan beinhalten;
- einen Abschnitt, in dem der Auftragsverarbeiter seine Kooperation zusichert, wenn eine betroffene Person ihre Rechte ausüben möchte;
- einen Abschnitt, der festlegt, ob, wann und wie der Auftragsverarbeiter einen weiteren Auftragsverarbeiter beauftragen kann. Hier bedeuten die Anforderungen bezüglich Schriftlichkeit und Transparenz eine grundlegende Veränderung, da hintereinandergeschaltete Verträge untereinander konsistent sein müssen („back to back“);
- einen Abschnitt „Vertraulichkeit“, der Vertraulichkeit nicht nur in Bezug auf die Mitarbeiter des Cloud-Anbieters selbst, sondern auch in Bezug auf vom Cloud-Anbieter zur Erfüllung seiner Verpflichtungen beauftragte Subunternehmer oder Selbständige;
- Abschnitte betreffend die Informationspflichten des Anbieters (im Allgemeinen, nicht nur im Falle einer Datenpanne) und die Bedingungen für die Durchführung von Audits gemäß obengenanntem Artikel 28;
- Angaben zum Aufbewahrungsort der Daten innerhalb oder außerhalb der Europäischen Union; werden die Daten in ein Land außerhalb der EU übertragen, in dem ein adäquates Datenschutzniveau rechtlich nicht garantiert ist, muss auf Standardvertragsbedingungen zurückgegriffen werden (5) (werden Daten in die USA übertragen, gilt möglicherweise der sogenannte EU-US Privacy Shield) (6);
- Erläuterungen betreffend die Beendigung des Vertragsverhältnisses und der Löschung von Daten in der Cloud.
Diese verstärkten Anforderungen in Punkto Transparenz dienen dazu, das Vertrauen aller Beteiligten Parteien und damit die Rechtssicherheit zu erhöhen. In Bezug auf IT-Verträge richten sich die mit der DSGVO eingeführten Vorgaben gegen den zuletzt starken Trend in Richtung vorgefertigter Standardverträge (7). Die Adaptierung von Vertragsklauseln an die jeweiligen spezifischen Datenkategorien und durchgeführten Verarbeitungsaktivitäten impliziert Verhandlungen; rein kosmetische „Standardklauseln“ können schlimmstenfalls sogar Verletzungen der DSGVO darstellen.
Die DSGVO regelt jedoch nicht alles, und die mit jedem Vertragsausarbeitungsprozess verbundenen Schwierigkeiten bestehen weiter. Typische Beispiele hierfür sind Probleme im Hinblick auf die Intensität von Verpflichtungen und die Haftungsbegrenzung (8). Eine Überarbeitung der Vertragsbestimmungen zu persönlichen Daten erscheint oft als Möglichkeit, die Verhältnisse zwischen den Vertragsparteien neu zu ordnen. Trotz klarer Klauseln, die oftmals in langwierigen Verhandlungen vereinbart wurden, werden Dienstanbieter (Auftragsverarbeiter) versucht sein, dem Kunden (Datenverantwortlicher) mehr Verantwortung zuzuweisen, und umgekehrt versucht der Kunde natürlich die Haftung und Verantwortung des Anbieters zu erweitern.
In Bezug auf die Intensität von Verpflichtungen (mit anderen Worten: die Beweislast) bietet die DSGVO keine eindeutige Antwort: Dies bleibt eine Frage der vertraglichen Freiheit. (9)
Hinsichtlich der Zuweisung der Haftung ist Artikel 82(2) der DSGVO jedoch klar: „Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.“
Allerdings sind Vertragsparteien lediglich in Bezug auf die betroffenen Personen und die Datenschutzbehörden an die Regelung in Artikel 82(2) gebunden. Es steht den Vertragsparteien frei, die Risiken nach eigenem Ermessen untereinander aufzuteilen. Demgemäß besteht keine Notwendigkeit, eine bereits ausgehandelte Haftungsobergrenze aus Anlass der Unterzeichnung einer DSGVO-Ergänzung neu zu verhandeln.
Zusammenfassend kann festgestellt werden, dass das Aufsetzen oder Neuaufsetzen eines Cloud-Vertrages niemals volle Konformität mit den Vorgaben der DSGVO garantiert: Vielmehr ist eine globale Herangehensweise zum Thema Compliance vonnöten.
Autor: Eric Le Quellenec
Leiter der Abteilung IT-Beratung, Alain Bensoussan – Lexing (Frankreich)Mitglied der Pariser Anwaltskammer
- Selbst nach einer Datenschutz-Folgenabschätzung (DSFA) bleiben selbst so gebräuchliche Cloud-Dienste wie Microsoft Office 365 fragwürdig. Siehe die vom Niederländischen Justizministerium durchgeführte Analyse: https://www.rijksoverheid.nl/documenten/rapporten/2018/11/07/data-protection-impact-assessment-op-microsoft-office.
- Im Französischen mittlerweile offiziell übersetzt und definiert als „informatique en nuage“: Artikel 10 des Gesetzes Nr. 2018-133.
- Siehe Bericht „La réalité du cloud dans les grandes entreprises“, Cigref, 9. Oktober 2015, https://www.cigref.fr/rapport-cigref-la-realite-du-cloud-dans-les-grandes-entreprises .[In French]
- Artikel 1105 des französischen Code civil.
- Die Standardvertragsklauseln der Europäischen Kommission können zusammen mit dem entsprechenden Hinweis auf der CNIL-Webseite heruntergeladen werden: https://www.cnil.fr/fr/les-clauses-contractuelles-types-de-la-commision-europeenne.
- Datenübertragungsschema für grenzüberschreitende Datenflüsse mit selbstzertifizierten amerikanischen Unternehmen Adequacy Decision No. 2016/1250 vom 12. Juli 2016. Weitere Informationen unter: https://www.privacyshield.gov/welcome.
- „Contrat d’adhésion“ im Sinne des Artikels 1171 des französischen Code civil.
- Post Cloud contracts, GDPR and liability caps, Eric Le Quellenec, Mai 2018, verfügbar unter: https://eurocloud.org/news/article/cloud-contracts-gdpr-and-liability-caps/
- In jedem Fall bleiben Vertragsbildung, die Gründe für Nichtigkeit eines Vertrags und das generelle System des Vertragsrechts ausschließlich auf der Eben des Rechts der Mitgliedsstaaten.
Referenz: https://cloudprivacycheck.eu/latest-news/article/gdpr-a-game-changer-for-cloud-contracts/