Haftung bei Cloud-Software

9. Oktober 2018 | Wirtschaftsrecht
Geschätzte Lesezeit: 2 Minuten

Cloud-Computing gehört für Unternehmen mittlerweile zum Alltagsgeschäft. Um flexibler agieren und größere Datenmengen besser speichern zu können, greifen sie zu verschiedenen Cloud-Programmen wie Google Drive oder ERP-Systemen (nähere Informationen gibt es hier). Diese bieten den Vorteil, dass die Mitarbeiter von überall auf der Welt Zugriff auf Dokumente und Daten der Firma haben.

Doch unter anderem liegt genau darin das Problem vieler Kunden: Unternehmen verarbeiten ihre persönlichen Daten und speichern diese auf externen Servern. Es stellt sich daher die Frage: Wer haftet, wenn es zu Schwierigkeiten kommt? Der Anbieter der Cloud-Software oder das Unternehmen, welche ihre Datensammlung auslagern?

Die neue DSGVO gibt klare Grenzen vor

Nach einer zweijährigen Übergangsfrist trat die neue Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 in Kraft. Diese besagt, dass Unternehmen nun strengeren Auflagen unterliegen, sofern sie personenbezogene Daten ihrer Kunden oder Mitarbeiter speichern – vor allem wenn sie dies extern über einen Cloud-Anbieter tun. Firmen sind dazu verpflichtet, den Schutz der Rechte zu gewährleisten und einen Zugriff durch Unbefugte zu verhindern. Das bedeutet, dass sie sowohl technische als auch organisatorische Maßnahmen treffen müssen. Noch wichtiger wird dieser Punkt bei besonders schutzwürdigen personenbezogenen Daten wie Sexualität, Religion oder politische Einstellung.

Unternehmen, die sich für einen Cloud-Anbieter zur Datenspeicherung entscheiden, sollten sich daher im Vorfeld genau über den Firmenstandort informieren. Denn die neue DSGVO betrifft nur Länder der EU. Sobald sich der Anbieter außerhalb Europas befindet, müssen Betriebe gewährleisten, dass das dortige Datenschutzniveau dem hiesigen entspricht. Wer seine Daten auslagern will, sollte sich daher auch über Subunternehmen informieren.

Im Falle eines Falles: Wer muss haften?

Bisher waren Cloud-Anbieter immer auf der sicheren Seite, denn haftbar konnten nur die Auftraggeber gemacht werden. Das wären die Unternehmen, die einen externen Cloud-Server buchen. Dieser Punkt ändert sich ebenfalls durch die neue Datenschutzgrundverordnung:

  1. Nun können Betroffene sowohl den Auftraggeber als auch den Auftragsverarbeiter zur Rechenschaft ziehen – zumindest in der Theorie. In der Praxis sieht es dagegen etwas komplizierter aus. Beide Parteien sind zunächst dazu verpflichtet, entsprechende Sicherheitsmaßnahmen zu treffen, damit es nicht zu einem Datenleck kommen kann. Tritt zum Beispiel ein technischer Defekt ein, kann der Cloud-Anbieter haftbar gemacht werden. Zuerst trifft es aber immer den Auftraggeber, denn als Verantwortlicher wird die Institution angesehen, welche die Informationen zur Bearbeitung weitergibt.
  2. Doch was tun, wenn es sich bei dem Problem um einen Totausfall des Cloud-Servers handelt? Unternehmen haben dann das Recht, den Server-Inhaber zu verklagen – schließlich können sie in der Zeit nicht auf die Daten zugreifen. Zumal erst im Laufe der Zeit klar wird, ob die Informationen nicht sogar gänzlich verschwunden sind. Das verursacht auf Seiten einer Firma hohe Kosten.
  3. Eine weitere Änderung ist die Tatsache, dass nun auch Geschäftsführer und Datenschutzbeauftragte als natürliche Person haften können. Unternehmen können Schadensersatzansprüche also ganz bequem an ihre Führungsebene abgeben, sofern gegen das DSGVO verstoßen wird.

Doch nicht so einfach, wie es scheint

Im Grunde kann jede Person, die einen materiellen oder immateriellen Schaden erleidet, Schadenersatzansprüche stellen – sofern es sich um einen Verstoß gegen die Verordnung handelt. In welchem Fall allerdings der Cloud-Anbieter und wann die beauftragende Firme Schuld an dem Dilemma ist, muss individuell entschieden werden.

 
Weiterlesen auf der Rechtslupe

Weiterlesen auf der Rechtslupe:

Themenseiten zu diesem Artikel: , ,
Weitere Beiträge aus diesem Rechtsgebiet: Wirtschaftsrecht

 

Zum Seitenanfang