Cloud: Datenschutz gemäß DSGVO

Rechtssicher in der Cloud: Ihre Daten bei Dropbox, iCloud, Google Drive & Co

Fachlich geprüft von: Rechtsanwalt Sören Siebert Rechtsanwalt Sören Siebert
(60 Bewertungen, 3.65 von 5)

Das Wichtigste in Kürze

  • Haben Sie als Cloud-Kunde Ihren Wohnsitz in Deutschland und Ihr Cloud-Anbieter befindet sich innerhalb der EU, gilt das deutsche Datenschutzrecht.
  • Datenschutzrechtlich problematisch ist es, wenn Sie außereuropäische Cloud-Services nutzen wollen.
  • Prüfen Sie die Nutzungsbedingungen von Cloud-Anbietern, bevor Sie sich für eine Cloud-Lösung entscheiden.

Worum geht's?

Immer mehr Anbieter stellen Nutzern große Mengen an Datenspeicher online zur Verfügung. Neben den bekannten Cloud-Diensten Dropbox, iCloud, Microsoft OneDrive und Google Drive gibt es noch viele weitere Dienste, die Cloud-Services anbieten. Bereits seit einigen Jahren existiert nun die Datenschutzgrundverordnung und macht natürlich auch vor dem Cloud-Computing nicht Halt.

Was genau ist im Hinblick auf die Datensicherheit beim Cloud-Computing zu beachten? Welche Arten des Cloud-Computings gibt es? Wie können Sie beim Cloud-Computing Sicherheit und eine DSGVO-konforme Cloud feststellen? Wir zeigen Ihnen, was Sie aus rechtlicher Sicht über die Datenwolke wissen müssen.

 

1. Was ist Cloud-Computing?

Bei einer „Cloud“ handelt es sich aus dem Englischen übersetzt um eine „Wolke“. Beim Cloud-Computing werden vor allem Daten gespeichert. Dies ist aber nicht die einzige Funktion einer Cloud. Generell wird nämlich ein IT-Service über das Internet zur Verfügung gestellt. Folgende Punkte können das sein:

  • Online-Speicherplatz für Daten
  • Verschiedene Anwendungen (z. B. Online-Textprogramm, Online-Bildbearbeitung, Online-Tabellensoftware etc.)
  • Infrastruktur-Services (Server, die durch Dritte betrieben werden)

Der Zugriff auf die IT-Ressourcen erfolgt im Internet mittels remote access, also Fernzugriff. Nutzer können aus der Ferne von Servern oder Datenbanken auf Ihre Inhalte zugreifen. Werden Daten in die „Wolke“ geladen, handelt es sich dabei um eine Auftragsverarbeitung gemäß DSGVO.  Der Cloud-Anbieter verwaltet als externer Dienstleister die Daten seiner Kunden. Der Nutzer muss in diesem Fall allerdings sicherstellen, dass er die Regelungen des Datenschutzes eingehalten werden.

Technische und rechtliche Aspekte vom Cloud-Computing

Bei „Cloud-Verträgen“ handelt es sich rechtlich gesehen nicht um einen Vertrag, der sich einem konkreten Vertragstypus des BGB zuordnen lässt. Hier muss bei jedem Anbieter im Einzelfall geprüft werden, wie das konkrete Nutzungsverhältnis vertraglich ausgestaltet wurde. In aller Regel wird es sich um einen sogenannten gemischten Vertrag handeln, der - je nachdem, welche Leistungen vom Anbieter erbracht werden - schwerpunktmäßig als Mietvertrag, Werkvertrag oder Dienstvertrag behandelt wird.

WUSSTEN SIE'S?

Wird beispielsweise Cloud-Speicher zur Verfügung gestellt, der gegen ein kostenpflichtiges Upgrade auch noch erweitert werden kann (z.B. wie im Fall von Dropbox), so handelt es sich schwerpunktmäßig um einen Vertrag mit Mietcharakter nach den §§ 535ff. BGB. Je nachdem, wie der Nutzungsvertrag eingeordnet wird, unterscheiden sich dann die Rechte und Pflichten der Nutzers, etwa bei auftretenden Mängeln.

2. Die Arten des Cloud-Computings

Cloud-Anbieter stellen externen Speicherplatz im Internet zur Verfügung, um Inhalte auslagern zu können. Hierbei gilt es zwischen verschiedenen Arten zu unterscheiden:

  1. Infrastructure-as-a-Service (IaaS)
  2. Platform-as-a-Service (PaaS)
  3. Software-as-a-Service (SaaS)

Welche einzelnen Services die verschiedenen Arten umfassen, können Sie unserer folgenden Grafik entnehmen:

Cloud Arten im Überblick

3. Computing in einer Cloud: Datenschutz, Datensicherheit und DSGVO

Das deutsche und europäische Datenschutzrecht findet auf „Cloud-Dienste“ grundsätzlich dann Anwendung, wenn es sich bei den in der Cloud gespeicherten Inhalten um sogenannte „personenbezogene Daten“ gem. Art. 4 Nr. 1 DSGVO und § 3 Nr. 1 BDSG handelt. Dies sind gemäß Art. 4 DSGVO  alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen, also die Daten eines Menschen.

Gerade nicht vom Datenschutzrecht erfasst sind damit Daten über juristische Personen (wie GmbH, AG, etc.) sowie anonyme Daten. Je nachdem, ob Dateien in der Cloud Personenbezug aufweisen oder nicht, sind diese folglich vom Schutz des Datenschutzgesetzes erfasst oder nicht.

Sören Siebert
Sören SiebertRechtsanwalt

Zusätzlich zum BDSG trat im Mai 2018 die Datenschutzgrundverordnung (DSGVO) in Kraft und gilt damit EU-weit. Da sich die DSGVO zu großen Teilen mit dem BDSG deckt, bieten Cloud-Anbieter mit Servern in Deutschland und allgemein in der EU die größte Datenschutzsicherheit.

Bei der Frage, welches Datenschutzrecht Anwendung findet, ist ein genauerer Blick auf Anbieter und Nutzer des Cloud-Dienstes notwendig. Befindet sich der Cloud-Dienst innerhalb der EU und hat ein Cloud-Kunde seinen Wohnsitz in Deutschland, kann in der Regel davon ausgegangen werden, dass die Datenschutzgrundverordnung Anwendung findet.

Nach der DSGVO stellt eine grenzüberschreitende Datenverarbeitung innerhalb der EU kein rechtliches Hindernis dar. Das europäische Datenschutzrecht ist also immer anwendbar, wenn personenbezogene Daten einer Person mit Wohnsitz in einem EU-Land von Cloud-Diensten mit Niederlassung in einem EU-Land auf EU-Servern verarbeitet werden.

4. Datenschutzprobleme bei Cloud-Anbietern außerhalb Europas?

Im Juli 2020 wurde zudem das umstrittene EU-US Privacy Shield vom Europäischen Gerichtshof (EuGH) gekippt. Obwohl diese Entscheidung hauptsächlich den Datentransfer in die USA betrifft, muss gemäß Datenschutzgrundverordnung grundsätzlich das Datenschutzniveau von sogenannten „Drittländern“ außerhalb der EU gecheckt werden.

AUFGEPASST

Wichtig ist hierbei auch beim Cloud-Computing, dass die Anbieter, deren Server sich in Drittländern befinden, den entsprechenden Standardvertragsklauseln des europäischen Datenschutzes entsprechen. In der Regel befolgen US-amerikanische Cloud-Anbieter die amerikanischen Datenschutzbestimmungen. Dementsprechend ist ein Datenexport in eine US-Cloud mit großem Risiko verbunden und in der Regel nicht DSGVO-konform.

Will man dennoch einen außereuropäischen Anbieter für einen Cloud-Dienst nutzen, empfiehlt es sich, das Übermitteln von personenbezogenen Daten in die Wolke zu vermeiden und ausschließlich nicht-personenbezogene Inhalte zu verwenden. Was den praktischen Nutzen der Dienste dann aber stark einschränkt.

5. Wie kann ich selbst checken, ob die Cloud DSGVO-konform ist?

Klar ist, Cloud-Anbieter, die Ihren Serverstandort in der EU haben, müssen DSGVO-konform sein und können meistens bedenkenlos von Unternehmen auch für sensible Inhalte genutzt werden. Bevor Sie sich für einen Cloud-Dienst entscheiden, sollten Sie den Einsatzzweck und die Daten definieren, die gespeichert werden sollen. Denn auch hier gibt es Unterschiede.

Grundsätzlich sollten Sie auch auf die verschiedenen Sicherheitszertifikate und Verschlüsselungen achten. Folgende Kriterien sollten Sie unbedingt beachten:

  1. Cloud Computing Zertifikat

Hierzu gehört beispielsweise das „Trusted Cloud“ Zertifikat vom BMWi, die EuroCloud-SaaS-Zertifizierung oder das TÜV-Prüfzeichen. Nicht dazu zählt das Zertifikat nach der internationalen Norm ISO/IEC 27001, denn hiermit wird keine Aussage über die Datenschutzstandards  getroffen.

  1. Serverstandort des Cloud-Anbieters

Je nach Standort der Server gilt unterschiedliches Datenschutzrecht. Die Datenschutzgrundverordnung bietet die höchsten Sicherheitsstandards im Datenschutzrecht, sodass Serverstandorte innerhalb der EU in der Regel unbedenklich sind.

  1. Nutzungsbedingungen

Trotz eines EU-Serverstandorts kann jeder Cloud-Anbieter in den Nutzungsbedingungen – natürlich innerhalb des gesetzlichen Rahmens – sich bestimmte Zugriffs- und Nutzungsrechte der Inhalte einräumen. Hierbei ist Vorsicht geboten!

  1. Datenverschlüsselung

Über sogenannte Verschlüsselungssoftware lassen sich die Daten in der Cloud sicher verschlüsseln. Dies kann beispielsweise über eine Ende-zu-Ende-Verschlüsselung geschehen oder durch die Verschlüsselung der auf der Cloud gespeicherten Daten, sodass selbst der Cloudanbieter diese nicht entschlüsseln kann (z. B. mit Boxcryptor).

6. Datenverlust und Hackerangriffe: Wann haftet der Cloud-Anbieter?

Für Nutzer von Cloud-Speicher-Diensten stellt sich natürlich die Frage, ob der Anbieter haftet, wenn er einem Hackerangriff zum Opfer gefallen ist und die Inhalte des Nutzers betroffen sind.

Entscheidend für einen zivilrechtlichen Schadensersatzanspruch bei gehackten Cloud-Daten ist die Frage, ob dem Anbieter die Verletzung von Sorgfaltsanforderungen, also ein Verschulden (Vorsatz oder Fahrlässigkeit) nachgewiesen werden kann. Dies ist beispielsweise dann der Fall, wenn der Anbieter anerkannte Sicherheitsstandards nicht einhält und aufgrund dessen der Hacking-Angriff erst ermöglicht wurde.

Bisher ist jedoch kein Urteil eines Gerichts in der deutschen Rechtsprechung bekannt, dass einen solchen Schadensersatzanspruch gewährt hätte oder über einen solchen Fall zu entscheiden gehabt hätte.

Sören Siebert
Sören SiebertRechtsanwalt

7. Ein Blick in die Zukunft: Gaia-X als europäische Cloud

Bei Gaia-X handelt es sich um ein Projekt von verschiedenen Vertretern und Wirtschaft, Politik und Wissenschaft in Europa. Ziel ist eine vernetzte und sichere Dateninfrastruktur zu schaffen. Dazu soll eine europäische Cloud entstehen, die selbstverständlich den Datenschutz-Regelungen entspricht.

So soll es Unternehmern möglich sein, Inhalte zu sammeln, zu teilen und gleichzeitig darüber die Kontrolle zu behalten. Bis die Cloud-Infrastruktur an den Start geht, ist es aber noch ein langer Weg.

Zur Seite

MEHR ERFAHREN?

Weitere Informationen zu dem Thema erhalten Sie beim Bundeswirtschaftsministerium (BWMi).

Zur Seite

8. Das Kleingedruckte: Die Nutzungsbedingungen von Cloud-Computing im Vergleich

Entscheiden Sie sich dazu, Ihre Daten in die Cloud auszulagern, sollten Sie vor der Nutzung die Nutzungsbedingungen (AGB, terms and conditions) des jeweiligen Anbieters genau ansehen.

Nutzungsbedingungen von Dropbox

Im Fall von Dropbox bleibt der Cloud-Nutzer alleiniger Inhaber der Rechte an den Dateien. Trotzdem ist zu beachten, dass Dropbox den Datenschutz nicht so eng sieht. - Zumindest überträgt der Anbieter die für das Betreiben des Services notwendigen, eingeschränkten Rechte auf den Betreiber. Insbesondere sollen laut dem Betreiber des Cloud-Dienstes dadurch Backups auf rechtlicher Ebene abgedeckt werden. Auch wenn Dropbox selbst behauptet, DSGVO-konform zu sein, sollten Sie dies mit Vorsicht betrachten.

Nutzungsbedingungen von Dropbox

Nutzungsbedingungen von Google Drive

Im Fall von Google Drive ist zum Datenschutz zunächst zu erwähnen, dass sich Google in Deutschland weit weniger Rechte einräumen lässt als es dies im englischsprachigen Raum macht. So stellt Google zunächst klar, dass der Nutzer alle Urheberrechte und bestehenden gewerblichen Schutzrechte behält.

Allerdings wird durch die Einstellung von Inhalten in die Cloud Google ein unentgeltliches, nicht ausschließliches, aber weltweites und zeitlich unbegrenztes Recht eingeräumt, die Inhalte ausschließlich zum Zweck der Erbringung des Dienstes und in dem nötigen Umfang zu nutzen. So wird Google unter anderem das Recht eingeräumt, die Inhalte technisch zu vervielfältigen und die Daten öffentlich zugänglich zu machen, sofern eine öffentliche Zugänglichmachung durch den Nutzer beabsichtigt wird oder ausdrücklich eine solche Zugänglichmachung bestimmt wurde.

Nutzungsbedingungen von Google Drive

Nutzungsbedingungen Apple iCloud

Apple bietet einen eigenen Online-Speicher-Dienst mit Namen iCloud. Apple lässt sich hier an den hochgeladenen Inhalten ein weltweites einfaches Nutzungsrecht einräumen, allerdings nur, soweit dies nötig ist, um den Dienst zu betreiben. Da die Daten in der „Wolke“ nur teilweise verschlüsselt versendet und hinterlegt werden, nimmt es die iCloud mit Datenschutz nicht ganz so genau.

Nutzungsbedingungen Apple iCloud

Nutzungsbedingungen von Microsoft OneDrive (Früher: SkyDrive)

Wie regelt Microsoft OneDrive den Datenschutz? Genauso wie bei Dropbox erhebt auch Microsoft OneDrive keine Eigentumsansprüche an den in die Cloud eingestellten Daten. Allerdings erklärt man sich durch Nutzung von OneDrive ebenfalls damit einverstanden, dass Sie Microsoft die Cloud-Inhalte „beispielsweise zur Erstellung von Kopien, zur Speicherung, Übertragung, Umformatierung, Verteilung über Kommunikationsinstrumente und Anzeige Ihrer Inhalte in den Diensten“ zur Verfügung stellen.

Nicht alle Daten, die über Microsoft OneDrive oder Microsoft Office 365 in der Cloud verarbeitet werden, können auch auf europäische Rechenzentren ausgelagert werden. Dementsprechend ist auch OneDrive bezüglich DSGVO-Konformität mit Vorsicht zu genießen.

Nutzungsbedingungen von Microsoft OneDrive

9. Fazit zum Thema Cloud und Datenschutz

Bei allen Vorteilen aus technischer Sicht ist bei der Nutzung von Cloud-Computing Diensten aus rechtlicher Sicht Vorsicht geboten: durch die unbestimmten Formulierungen in den Nutzungsbedingungen wird den Cloud-Anbietern ein weiter Spielraum eingeräumt, die eigenen Daten zu nutzen. Aus datenschutzrechtlicher Sicht ist dabei vor allem Zurückhaltung geboten, wenn außereuropäische Cloud-Services genutzt werden sollen. Will der Nutzer daher auf Nummer sicher gehen, so sollte die Devise heißen: so viele Daten wie nötig, so wenig Daten wie möglich.

10. FAQ: Cloud Computing und Datenschutz

Was sind die Risiken einer Cloud für Unternehmen?

  • Datenverlust und -manipulation
  • Unbefugter Zugriff auf die Daten von Dritten oder dem Cloud-Anbieter
  • Identitätsdiebstahl/Missbrauch von Accounts
  • Abhängigkeit vom Cloud-Anbieter (vorrübergehend ggf. nicht verfügbar)
  • Teilweise unklare Datenschutzlage

Wichtig bei der Nutzung einer Cloud im Unternehmen ist natürlich auch, dass Sie interne Regelungen für den Zugriff auf die Daten aufstellen müssen, damit nicht jeder Mitarbeiter darauf zugreifen kann. Dabei spielt auch der richtige und sichere Umgang mit der Cloud eine entscheidende Rolle.

Sind die Daten in einer Cloud sicher?

Achten Sie auf unsere Kriterien für eine Datenschutz-konforme Cloud. Wichtig sind verschiedene Zertifikate zur Sicherheit und für den Datenschutz sowie Verschlüsselungsmöglichkeiten z. B. Zwei-Faktor-Authentifizierung oder Ende-zu-Ende-Verschlüsselung.

Welche Daten dürfen nicht in eine Cloud?

Erfüllt Ihre Cloud nicht die DSGVO-Standards und der Anbieter hat seine Server beispielsweise in den USA, sollten sie sensible personenbezogene Daten auf gar keinen Fall in der Cloud abspeichern. In diesem Fall ist die Gefahr einer unbefugten Nutzung durch Dritte hoch.

Muss die Cloud immer DSGVO-konform sein?

Nein, nicht unbedingt. Nutzen Sie die Cloud zu rein privaten Zwecken oder speichern Sie keine personenbezogenen Daten, muss die Cloud nicht Datenschutz-konform sein. H4: Server oder Cloud?

Eine Cloud bietet sich vor allem für Unternehmen an, die mit wenig Aufwand und geringen Kosten Ihre Daten von kleineren Projekten extern speichern wollen. Arbeiten Sie im Unternehmen eher an größeren Projekten, kann sich ein eigener Server aber durchaus anbieten.

 

eRecht24 Praxis Guide
Rechtssichere Webseiten:
Alles, was Sie wissen müssen
In unserem Guide erklären wir Ihnen in 12 Schritten, wie Sie eine Website rechtssicher erstellen - von der Wahl des Domainnamens über Impressum und Datenschutzerklärung bis hin zu E-Mail- und Newslettermarketing.
Guide jetzt kostenfrei herunterladen!

Name: Bitte Name angeben.

E-Mail-Adresse: Bitte korrekte E-Mail-Adresse angeben.

Ja, bitte senden Sie mir den kostenfreien Guide zu. Ich bin damit einverstanden, dass eRecht24 mir regelmäßig aktuelle Rechts-Updates, Praxistipps und Angebote aus den Bereichen Datenschutz und Internetrecht per E-Mail zusendet. Ich kann jederzeit form- und kostenlos widersprechen. Näheres entnehmen Sie unserer Datenschutzerklärung.
Vielen Dank!
Wir nehmen es mit dem Schutz Ihrer Daten genau und halten uns an die rechtlichen Vorgaben des Double-Opt-In. Bitte bestätigen Sie zuerst Ihre E-Mail-Adresse. Dann stellen wir Ihnen den Guide kostenfrei zur Verfügung.
Tipp: In unseren Premium-Paketen stehen Ihnen mehr als 10 praktische Guides mit Handlungsempfehlungen und passenden Generatoren und Tools zu verschiedenen Themen (Datenschutz, Urheberrecht, Marketing & Co.) kostenfrei zur Verfügung. Die Premium Praxis Guides werden sie regelmäßig aktualisiert, damit Sie stets auf dem neuesten Stand sind.
Caroline Schmidt
Caroline Schmidt, B.A.
Legal Writerin & SEO-Redakteurin

Caroline Schmidt hat Medienbildung studiert und ein einjähriges Volontariat in der Online-Redaktion eines Berliner Legal-Tech-Unternehmens absolviert. Sie ist seit über vier Jahren als Legal Writerin tätig und hat in verschiedenen Rechtsbereichen, darunter dem Arbeitsrecht, Schreiberfahrungen gesammelt. Seit 2022 ist sie als Legal Writerin und SEO-Redakteurin Teil des eRecht24-Redaktionsteams.

Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details