Sichere Lieferkette

Datenschutz beim Sub-Cloud-Provider

20.06.2015
Von 
Dr. Flemming Moos ist Fachanwalt für IT-Recht bei der Wirtschaftskanzlei Osborne Clarke in Hamburg.

Schutzniveau beim Subunternehmer

Selbstverständlich ist, dass auch der Vertrag des Cloud-Providers mit seinem Unterauftragnehmer den Vorgaben des §11 BDSG genügen muss, der zehn Mindestinhalte für einen solchen Vertrag auflistet. Klar ist weiterhin, dass bei der Unterbeauftragung die Vorgaben des übergeordneten Vertrages mit dem Kunden - auch und vor allem des sog. Auftragsdatenverarbeitungsvertrages - berücksichtigt werden müssen. Das bedeutet allerdings nicht, dass die datenschutzrechtlichen Vorgaben 1:1 weiterzugeben sind. Damit läuft der Kunde in ein Risiko. Viele Cloud-Provider stützen sich an diesem Punkt darauf, dass ihre Unterauftragnehmer (nur) ein insgesamt adäquates Schutzniveau aufweisen, nicht aber einen vollständig identischen Schutz gewährleisten müssen. Cloud-Kunden brauchen in dieser Situation folgende Rechte:

  • Vereinbarung eines Einzelzustimmungsvorbehalts oder eines Ablehnungsrechts für die Einschaltung von Sub-Cloud-Providern;

  • Verpflichtung des Vertragspartners zur Vorlage der vollständigen Sub-Cloud-Verträge.

Eigene Kontrollrechte des Kunden

Das schlichte "Kopieren" der Vertragspflichten in die Vereinbarung mit dem Sub-Cloud-Provider reicht allerdings nicht aus. Bei einer gestuften Auftragsdatenverarbeitung, wie sie in der Regel bei Cloud-Lieferketten vorliegt, halten es die Datenschutz-Aufsichtsbehörden für erforderlich, dass sich der Kunde eigene Kontrollrechte bei dem Subunternehmer vorbehält. Das gelte nach Ansicht der Behörden auch unabhängig vom geografischen Ort der unterbeauftragten Datenverarbeitung.

Cloud-Kunden sollten gegenüber ihrem Provider auf folgende Vertragsregelungen dringen:

  • Verpflichtung des Cloud-Providers, seine Verträge mit seinen Unterauftragnehmern so zu gestalten, dass der Kunde beim Sub-Cloud-Provider unmittelbare, eigene Kontrollrechte besitzt;

  • Ausgestaltung als so genannten echten Vertrag zugunsten Dritter, aus dem der Kunde deshalb selbst eigene, direkte vertragliche Rechte gegenüber dem Unterauftragnehmer herleiten kann.

Zugegeben sind solche Regelungen in der Praxis nicht immer ganz leicht durchzusetzen. Schon die Effektivität der Kontrolle des Hauptauftragnehmers ist häufig fragwürdig; die Bereitschaft (und auch die faktische Möglichkeit), eigene Untersuchungen oder gar Vor-Ort-Kontrollen vorzunehmen, kaum gegeben.

Umso wichtiger ist es deshalb für den Kunden, überhaupt Kontrollinstrumente in der Hand zu haben. Eine denkbare Alternative wäre es auch, dem Kunden Prüfberichte von externen Stellen auch in Bezug auf die Unterauftragnehmer vorzulegen. Diese müssen natürlich auch aussagekräftig im Hinblick auf die Einhaltung datenschutz- und datensicherheitsrechtlicher Vorgaben sein (beispielsweise eine Zertifizierung nach dem neuen ISO-Standard 27018 für Datenschutz in der Cloud).

Sonderregeln für Nicht-EU-Datentransfers

Sofern Sub-Cloud-Provider außerhalb der EU beziehungsweise des Europäischen Wirtschaftsraums (EWR) eingesetzt werden, kommt eine weitere Komponente hinzu: Sofern der Anbieter nicht in einem anerkannten "sicheren Drittstaat" ansässig ist, braucht der Datenempfänger für ein angemessenes Schutzniveau zusätzlicher Vorkehrungen. Hierfür kommen entweder die so genannten EU-Standardvertragsklauseln zum Einsatz - bei US-Unternehmen sind das die Safe-Harbour-Grundsätze. Beide Regelungsinstrumentarien enthalten auch Vorgaben dazu, unter welchen Voraussetzungen Unterauftragnehmer in die Datenverarbeitung eingeschaltet werden dürfen.

Fazit

Geht es nach den EU-Standardvertragsklauseln, ist der Kunde selbst verpflichtet, ein jährliches, aktuelles Verzeichnis der mit "Unterauftragsverarbeitern" geschlossenen Vereinbarungen zu führen. Dazu braucht er die angesprochenen Unteraufträge vom Cloud Provider. Das Vertragsverhältnis zwischen Cloud- und Sub-Cloud-Provider muss mit den rechtlichen Gegebenheiten des Landes vereinbar sein, in dem der Kunde niedergelassen ist. Bei einer Gewährleistung des Datenschutzniveaus mithilfe des Safe-Harbour-Regimes ist besondere Vorsicht geboten: Das Safe Harbour-Framework gestattet die Weitergabe von Daten an andere Unternehmen als so genannte "onward transfers" unter vermeintlich einfach zu erfüllenden Anforderungen.

Gerade bei der "Lieferung" durch Sub-Cloud-Providern außerhalb der USA (und damit dem Geltungsbereich des Safe Harbour-Regimes) sind zusätzliche Absicherungen ratsam, etwa durch Verwendung der EU-Standardvertragsklauseln. Fest steht: Nicht alle aufgeführten Regelungen werden gegenüber den Cloud-Providern durchsetzbar sein. Die zunehmende Nutzung und Akzeptanz von Cloud-Services zeigt auch eine zunehmende Aufgeschlossenheit gegenüber dem Thema Datenschutz-Compliance in Cloud-Umgebungen. Vor allem müssen anwendende Unternehmen vorausschauend damit umgehen, wenn sie Datenschutz und Datensicherheit in ihrer Cloud-Lieferkette geregelt haben wollen. (sh)