20.04.2018 Ausgabe: DDIV DIGITAL 2018

Datensicherheit in der Cloud

Auch für diesen Bereich gelten mit der neuen EU-DSGVO neue Regelungen für den Schutz vor Datenverlusten und -pannen.

Immer mehr Immobilienverwalter nutzen Cloud-Dienste. Die Datenverwaltung findet nicht mehr auf dem eigenen Server des Verwalters statt, sondern in der „Wolke“ – auf Rechnern spezialisierter Dienstleister. Die Datenverarbeitung in die Cloud auszulagern, ist zumeist eine sinnvolle Maßnahme. Dienstleister, die die Daten zahlreicher Kunden verwalten, können und müssen in Datensicherheit investieren. Investitionen, die sich der einzelne Verwalter für den eigenen Server oft nicht leisten könnte. Bei seriösen Dienstleistern sind die Daten daher deutlich besser gegen Hackerangriffe und Datenlecks geschützt, als dies auf dem eigenen Rechner der Fall wäre. Dennoch stellt sich spätestens mit Inkrafttreten der europäischen Datenschutzgrundverordnung (DSGVO) am 25.5.2018 die Frage, wie sich die Daten in der Cloud vor Verlusten, Pannen und Datenlecks schützen lassen.

Strenge ­Dokumentationspflicht

Das neue europäische Datenschutzrecht sorgt für einen umfassenden Schutz personenbezogener Daten. Es gibt keine Schwellenwerte für Umsatz oder Mitarbeiterzahl, ab der die neuen Regeln gelten. Grundsätzlich sind sie von Amazon genauso zu beachten wie vom einzelnen Wohnungseigentümer, von einem DAX-Konzern genauso wie von einer Verwaltung mit drei Angestellten. Insbesondere die potenziell horrenden Bußgelder von bis zu 20 Mio. Euro, die die Behörden ab dem 25.5.2018 auch ausschöpfen möchten, sind dabei in aller Munde. Zu den wesentlichen Neuerungen gehört eine strenge Dokumentationspflicht, die jedes Unternehmen dazu zwingt, sich mit den Auswirkungen des neuen Datenschutzrechts zu befassen und die umfangreichen neuen Pflichten aktiv zu erfüllen.

Der Dienstleister ist „Auftragsverarbeiter“

Wenn die Daten von Wohnungseigentümern, Vermietern und Mietern nicht mehr auf dem eigenen Rechner gespeichert werden, sondern auf den Rechnern eines Dienstleisters, ändert dies nichts an der eigenen Verantwortlichkeit für den Datenschutz. Nach der DSGVO ist das Unternehmen für den Datenschutz verantwortlich, das „allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Die Entscheidungen über die Daten in der Cloud trifft der Verwalter, der den Cloud-Dienst nutzt. Daher bleibt der Verwalter auch für den Schutz dieser Daten und für die Einhaltung des Datenschutzrechts verantwortlich.
Der Cloud-Dienstleister ist datenschutzrechtlich „Auftragsverarbeiter“. Wer die Dienste eines solchen Auftragsverarbeiters nutzt, ist zu einer sorgfältigen Auswahl des Dienstleisters verpflichtet und muss sich vorab vergewissern, dass der Dienstleister über die notwendigen Mittel verfügt, einen gesetzeskonformen Schutz der Daten zu gewährleisten.

Inhalt eines „Auftragsverabeitungsvertrags“

Die DSGVO sieht zudem vor, dass ein „Auftragsverarbeitungsvertrag“ zu schließen ist. Für den Inhalt dieses Vertrages gelten rigide gesetzliche Vorgaben:

  • Der Dienstleister muss sich dazu verpflichten, personenbezogene Daten nur auf Weisung des Auftraggebers zu verarbeiten. Die Daten werden dadurch dem Zugriff des Dienstleisters entzogen.
  • Der Dienstleister muss seine Mitarbeiter zur Vertraulichkeit verpflichten.
  • Der Dienstleister muss technische und organisatorische Maßnahmen zur Datensicherheit ergreifen und diese im Vertrag präzise beschreiben.
  • Ohne Zustimmung des Auftraggebers darf der Dienstleister bei der Datenverarbeitung keine Subunternehmen einsetzen.
  • Der Dienstleister muss sich verpflichten, geeignete Maßnahmen zu ergreifen, um den Auftraggeber zu unterstützen, wenn Betroffene ihre gesetzlichen Rechte geltend machen, insbesondere wenn Mieter oder Eigentümer Auskunft darüber verlangen, welche Daten über die eigene Person in der Cloud gespeichert sind.
  • Der Dienstleister hat sich im Übrigen auch zu verpflichten, den Auftraggeber durch geeignete Maßnahmen bei der Erfüllung gesetzlicher Meldepflichten und anderer gesetzlicher Verpflichtungen zu unterstützen.
  • Der Auftraggeber hat das jederzeitige Recht, vom Dienstleister Nachweise zur Einhaltung aller Verpflichtungen zu fordern und sogar Überprüfungen („Inspektionen“) vor Ort beim Dienstleister vorzunehmen.
  • Endet der Vertrag mit dem Dienstleister, enden auch alle Befugnisse des Dienstleisters zur Datenspeicherung. Der Dienstleister muss sich verpflichten, alle personenbezogenen Daten nach Abschluss der Verarbeitungsleistungen nach den Vorgaben des Auftraggebers zurückzugeben oder zu löschen.
  • Der Dienstleister muss dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel dargelegten Pflichten zur Verfügung stellen und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem von ihm beauftragten Prüfer durchgeführt werden, ermöglichen und unterstützen.

Die Auftragsverarbeitung nach der DSGVO ist keine neue Erfindung. Nach altem Recht hieß sie „Auftragsdatenverarbeitung“, und auch in der Vergangenheit gab es die Pflicht, mit Dienstleistern Verträge zu schließen, die den Umgang mit personenbezogenen Daten präzise regeln. Wer daher jetzt bereits Cloud-Dienste nutzt, sollte sich vergewissern, dass es zumindest einen Vertrag über die „Auftragsdatenverarbeitung“ gibt. Alte Verträge müssen an das neue Recht angepasst werden. Wenn der Dienstleister nicht von sich aus eine Vertragsanpassung vorschlägt, sollte der Verwalter bei seinem Dienstleister die gesetzlich vorgeschriebene Anpassung einfordern.

Für den Cloud-Dienstleister sind die Daten tabu

Das neue europäische Datenschutzrecht sollte darüber hinaus auch Anlass genug sein, sich mit den Verträgen zu befassen, die mit Daten-Dienstleistern geschlossen worden sind. Bei seriösen Anbietern sind die Daten für den Dienstleister tabu. Vertragsklauseln, die dem Dienstleister Rechte an diesen Daten einräumen, sollte es nicht geben:

  • Nutzungsrechte: Auch in der Cloud sollten alle Nutzungsrechte beim Verwalter liegen. Klauseln, die dem Dienstleister das Recht einräumen, die Daten für eigene Zwecke zu nutzen – sei es auch nur „Statistik“ oder „Analyse“ – sind nicht akzeptabel.
  • Rückführung: Auf Anweisung oder Veranlassung des Verwalters muss eine jederzeitige Rückführung der Daten auf einen Rechner des Verwalters möglich sein. Klauseln, die eine solche Rückführung erschweren oder gar ausschließen, lassen an der Seriosität des Dienstleisters zweifeln.

Strenge Regeln bei ­Datenpannen

Kommt es zu einem Hackerangriff, einem Datenabfluss oder einer sonstigen Datenpanne, gilt ab dem 25.5.2018 eine strenge Meldepflicht. Der Cloud-Dienstleister ist gesetzlich verpflichtet, seine Auftraggeber unverzüglich über den Vorfall zu unterrichten. Bei gravierenden Datenpannen muss zudem die zuständige Aufsichtsbehörde innerhalb einer Frist von 72 Stunden verständigt werden. Unterbleibt eine solche Meldung, droht ein Bußgeld von bis zu 10 Mio. Euro. Grund genug, die ab dem 25.5.2018 neu eingeführten Meldepflichten nicht auf die leichte Schulter zu nehmen.

Foto: © arbuz / Shutterstock.com


Härting, Prof. Niko

Der Rechtsanwalt ist in der Berliner Kanzlei Härting Rechtsanwälte tätig und wird im Rahmen der 2. DDIV-Sommerakademie einen Vortrag zum Thema halten.
www.haerting.de