Everything as a Service oder auch bekannt unter Anything as a Service, kurz XaaS, ist der Oberbegriff aller Cloud-Dienste, wodurch auch XaaS Datenschutz-Risiken hervorrufen kann. Welche Risiken und Gefahren XaaS verursachen kann und welche Maßnahmen „verantwortliche Stellen ergreifen sollten, erfahren Sie im Folgenden von Ihrem Datenschutzbeauftragten.
„XaaS Datenschutz“ – die Bedeutung hinter der Begriffskombination
Grundsätzlich liegt der Knackpunkt bei den Themen „XaaS Datenschutz“, unabhängig davon, ob es sich um Infrastructure as a Service, Software as a Service oder um Storage es a Service handelt, in der Datenübermittlung.
Nutzt eine „verantwortliche Stelle“ Cloud-Dienste, so übermittelt sie in den meisten Fällen Daten an den Cloud-Anbieter bzw. könnte der Anbieter von Cloud-Diensten sich Zugriff auf diese Daten verschaffen. Handelt es sich allerdings bei diesen Daten um personenbezogene Daten, so sind die Vorschriften des Datenschutzrechts zu beachten und geeignete Maßnahmen zu ergreifen.
Bei Anbietern von XaaS handelt es sich, unabhängig von der Form bzw. Abstraktionsebene, um Dienstleister, die die personenbezogenen Daten ausschließlich nach Weisung der Auftraggeber verarbeiten. Bei dieser Form der Datenverarbeitung handelt es sich, gemäß § 11 Bundesdatenschutzgesetz, um eine sogenannte Auftragsdatenverarbeitung. Das Bundesdatenschutzgesetz hat für Auftragsdatenverarbeitungen eine Ausnahmeregel vorgesehen, die eine Datenübermittlung an einen ADV-Dienstleister als „Nicht-Übermittlung“ einstuft, wodurch „verantwortlichen Stellen“ viele Risiken und ein hoher Aufwand erspart bleiben. Der Grund ist, dass normalerweise Datenübermittlungen nur erlaubt sind, wenn sie auf Rechtsgrundlagen oder auf informierten Einwilligungen basieren. Durch die Fiktion der „Nicht-Übermittlung“ bleiben diese Schritte erspart, allerdings sollte der Auftraggeber den Cloud-Anbieter vor der Auftragserteilung ausreichend prüfen bzw. durch einen Datenschutzbeauftragten prüfen lassen. Zudem ist das Abschließen eines ADV-Vertrages dringend anzuraten.
Achtung! Die beschriebenen Maßnahmen schützen allerdings nur die Datenübermittlung an XaaS-Anbieter innerhalb der Europäischen Union (EU)/ des europäischen Wirtschaftsraums (EWR). Das Thema „XaaS Datenschutz“ ist bei Dienstleistern in einem Drittland (außerhalb der EU/ EWR) um ein Vielfaches schwieriger und mit viel mehr Aufwand verbunden, da die Datenübermittlung per BDSG auch als solche eingestuft wird. XaaS-Nutzer („verantwortliche Stellen“) sollten aus diesem Grund prüfen, ob die Datenübermittlung auf einer Rechtsgrundlage basiert. Dies wird sich bei der Übermittlung an einen Cloud-Anbieter allerdings mit hoher Wahrscheinlichkeit nicht finden lassen, wodurch das Einholen von informierten Einwilligungen erforderlich ist. Abhängig von der Menge der ausgelagerten Daten kann dies zu einem erheblichen Mehraufwand für „verantwortliche Stellen“ führen. Des Weiteren wird per BDSG unterstellt, dass die meisten Drittländer kein „angemessenes Datenschutzniveau“ haben, was wiederum mittels EU-Standardvertragsklauseln, Binding Corporate Rules oder anderen vertraglichen Grundlagen hergestellt werden sollte.
Fazit
Grundsätzlich ist aus Datenschutz-Sicht von der Nutzung von XaaS-Lösungen abzuraten, da sie zu vielen Risiken führen können. Kann oder möchte Ihr Unternehmen nicht auf XaaS-Lösungen verzichten, so ist es dringend anzuraten, dass Sie XaaS-Anbieter innerhalb der EU/EWR wählen. Zudem sollten „verantwortliche Stellen“ ihre Mitarbeiter sensibilisieren und ausreichend schulen, um zu verhindern, dass Mitarbeiter auf XaaS-Dienste zurückgreifen, ohne das die IT-Abteilung, der Geschäftsführer oder der Datenschutzbeauftragte von der Verwendung erfahren.