1. Der Ort der Verarbeitung
Prüfen Sie, wo der Cloud-Anbieter die Daten verarbeitet. Findet eine Verarbeitung außerhalb des EWR statt, muss das Unternehmen sicherstellen, dass Voraussetzungen vorliegen.
Das kann entweder ein Angemessenheitsbeschluss der EU-Kommission oder der Abschluss von Standardvertragsklauseln nach dem Muster der EU-Kommission sein. Für die wichtigsten Cloud-Standorte sieht es so aus:
a. USA
Zulässig, wenn das Unternehmen Privacy-Shield zertifiziert ist. Sie müssen darauf achten, dass die Zertifizierung bei Beschäftigtendaten auch die HR-Daten umfassen muss. Ist das Unternehmen nur NON-HR Daten zertifiziert, dürfen Beschäftigtendaten nicht an diesen Anbieter übertragen werden.
Das Ganze kann auf der Seite https://www.privacyshield.gov/list geprüft werden.
Ist das Unternehmen nicht Privacy Shield zertifiziert, muss zwingend eine EU-Standardvertragsklausel abgeschlossen werden. Dabei ist darauf zu achten, dass die richtigen Klauseln verwendet werden, nämlich die Controller-Processor-Klauseln. Ebenfalls muss der Anhang der Klauseln vollständig und richtig ausgefüllt sein.
b. Andere Länder
Die EU-Kommission hat einen Angemessenheitsbeschluss für die folgenden Länder veröffentlicht:
- Andorra,
- Argentinien,
- Kanada (beschränkt auf Unternehmen)
- Färöer
- Guernsey
- Israel
- Isle of Man
- Japan
- Jersey
- Neuseeland
- Schweiz
- Uruguay
2. Abschluss einer Auftragsverarbeitung oder eines Data Processing Addendums
Wenn Sie Cloud-Produkte einsetzen, wird das im Regelfall als Auftragsverarbeitung nach Art. 28 DSGVO erfolgen. Für Sie bedeutet das, dass sie zwar keine gesonderte Einwilligung zum Einsatz der Cloud-Anbieter in der Datenverarbeitung benötigen, aber die Einhaltung der Datenschutzpflichten sicherstellen müssen. Sie bleiben als Unternehmen verantwortlich für die ordentliche Verarbeitung beim Cloud-Provider. Art. 28 DGSVO fordert für diesen Fall daher einen Abschluss einer Auftragsverabeitungsvereinbarung.
Die meisten Cloud-Anbieter stellen dies als Data Processing Addendum zu ihrem Vertrag online. Teilweise sind diese bereits in den normalen Vertrag integriert, teilweise müssen diese aber extra abgeschlossen werden.
3. Schauen Sie sich an, was der Anbieter mit den Daten macht und wie er sie sichert
Da Sie als Unternehmer weiter verantwortlich bleiben, müssen Sie auch sicherstellen, dass der Cloud-Anbieter die notwendigen technischen und organisatorischen Maßnahmen zum Schutz der Daten getroffen hat. Die Liste dieser Maßnahmen muss der Anbieter Ihnen zur Verfügung stellen und Sie sollten diese zusammen mit der Auftragsverarbeitungsvereinbarung abspeichern.
Stellen sie außerdem sicher, dass der Anbieter die Daten ausschließlich zu Ihren Zwecken und nicht auch zu eigenen Zwecken verarbeitet.
4. Prüfen Sie das Preismodell
Die meisten Cloud-Anbieter stellen zwar kostenlose Angebote zur Verfügung, diese dann aber nur ohne Angebot der Auftragsverarbeitungsvereinbarung. Diese Modelle finanzieren sich häufig durch die Auswertung Ihrer Daten. Solche Systeme dürfen Sie nicht einsetzen, um personenbezogene Daten zu verarbeiten.
Gerade wenn Sie planen nur einen kurzen Engpass zu überbrücken sollten Sie sich die Mindestvertragslaufzeiten anschauen. Häufig sind die Modelle im Monats- oder im Jahrespaket erhältlich. Sie können das Jahrespaket dann in der Regel nicht einfach nach einigen Monaten kündigen.