AssCompact suche
Home
Management & Wissen
16. März 2020
Daten in der Cloud – Rechtssicher und einfach?

Daten in der Cloud – Rechtssicher und einfach?

In Zeiten zunehmender Digitalisierung werden immer mehr Geschäftsvorfälle der Versicherungsvermittler ins Internet verlagert. Das geht mittlerweile meist schnell und bequem, reduziert den Aufwand für IT im eigenen Hause, ist aber rechtlich nicht ohne Fallstricke. Denn der rechtliche Umgang mit digitalen Daten ist nicht ohne. Ein kurzer Überblick von Hans-Ludger Sandkühler.

Daten im geltenden Recht

Mit der fortschreitenden Digitalisierung ist die ökonomische Bedeutung digitaler Daten signifikant gestiegen. Daten werden tagtäglich erhoben, übertragen, verarbeitet und gehandelt. Sie sind dadurch zum Wirtschaftsgut und Rechtsobjekt geworden. Die rechtliche Einordnung von digitalen Daten ist schwierig. Viele Datennutzer gehen wie selbstverständlich davon aus, dass die Daten ihnen „gehören“. Rechtlich sind aber nur das Eigentum am Speichermedium und – unter besonderen Voraussetzungen – der Informationsgehalt der Daten geschützt. Wenn die Daten aus der Hand – beispielsweise in eine Cloud – gegeben werden, liegen die Eigentumsrechte am Speicher beim Betreiber der Cloud. Der Schutz der Daten muss deshalb anderweitig gewährleistet werden. Dabei ist zu beachten, dass digitale Daten über zwei Ebenen verfügen: zum einen über die Zeichenebene mit ihrer syntaktischen Information als eine Menge binärer Codes (Zahlenreihungen aus Nullen und Einsen) und zum anderen über die inhaltliche Bedeutungsebene (semantische Information). Die Codes auf der Zeichenebene können auf der Bedeutungsebene je nach Fallgestaltung zum Beispiel personenbezogene oder nicht-personenbezogene Daten darstellen. Rechtsfragen ergeben sich auf beiden Ebenen. Auf der Zeichenebene stellt sich beispielsweise die Frage, wem die Codes gehören (Quasi-Eigentum). Und auf der inhaltlichen Ebene kommt etwa Datenschutzrecht zur Anwendung, soweit es sich um personenbezogene Daten handelt.

Cloudcomputing

Beim Cloudcomputing werden digitale Daten ausgelagert. Nutzer speichern Daten oder nutzen auch vom Cloud-Anbieter bereitgestellte Anwendungssoftware, indem sie webbasiert auf nicht eigene lokale, sondern fremde externe Speicher- und Rechenkapazitäten zugreifen. Die Serviceangebote der Cloud-Dienste am Markt sind vielfältig und lassen sich grob danach unterscheiden, ob reine Rechen- und Speicherressourcen (Infrastruktur as a Service) oder auch Anwendungssoftware (Software as a Service) zur Verfügung gestellt werden. Die vertraglichen Beziehungen zwischen Cloud-Anbietern und Nutzern unterscheiden sich je nach Service und lassen sich in der Regel nicht einem konkreten Vertragstypus des BGB zuordnen. Es ist deshalb unumgänglich, in jedem Einzelfall zu prüfen, wie das konkrete Nutzungsverhältnis vertraglich ausgestaltet ist. Meist wird es sich um einen gemischten Vertrag handeln, der Elemente aus Miet-, Werk- und/oder Dienstverträgen beinhalten kann.

Datenschutz

Soweit es sich bei den in die Cloud ausgelagerten Daten inhaltlich um personenbezogene Daten von Vermittlerkunden handelt, sind die Bestimmungen der Datenschutz-Grundverordnung (DSGVO) zu beachten. Dabei ist der jeweilige Vermittler der für den Umgang mit Kundendaten Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO. Der Vermittler ist also dafür verantwortlich, dass die personenbezogenen Daten seiner Kunden rechtmäßig, zweckgebunden, transparent und sicher verarbeitet werden (Art. 5, 32 DSGVO). Das gilt auch, wenn der Vermittler Daten in eine Cloud auslagert. Der Vermittler muss die Verarbeitung in der Cloud in sein Verzeichnis der Verarbeitungstätigkeiten aufnehmen und gegebenenfalls eine Datenschutzfolgeabschätzung vornehmen.

Darüber hinaus muss der Vermittler dafür sorgen, dass der Cloud-Anbieter bei der Verarbeitung der kundenbezogenen Daten in der Cloud die Anforderungen der DSGVO einhält. Dazu schließt der Vermittler mit dem Cloud-Anbieter eine Vereinbarung über Auftragsverarbeitung (Art. 28 DSGVO). Darin erteilt der Vermittler dem Cloud-Anbieter den Auftrag, die Kundendaten zu verarbeiten. Vor der Auftragsvergabe muss der Vermittler zunächst die Geeignetheit des Auftragsverarbeiters prüfen. Der Vermittler darf sich nämlich nur solcher Auftragsverarbeiter bedienen, die hinreichende Garantien dafür bieten, dass sie geeignete organisatorische Maßnahmen für einen ausreichenden Datenschutz anwenden, sodass die Verarbeitung im Einklang mit der DSGVO erfolgt und den Schutz der Rechte der betroffenen Personen gewährleistet. Zur Feststellung der Garantien können Vermittlern auch genehmigte Verhaltensregeln des Auftragsverarbeiters (Art. 40 DSGVO) oder Zertifizierungen (Art. 42 DSGVO) ausreichen.

Die Vereinbarung über Auftragsver­arbeitung verpflichtet den Auftragsverarbeiter zur weisungsgebundenen Verarbeitung und legt Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, Art der personenbezogenen Daten, Kategorien betroffener Personen sowie Pflichten und Rechte des Verantwortlichen fest. Im Übrigen muss die Vereinbarung die weiteren Vorgaben des Art. 28 Abs. 3 DSGVO berücksichtigen. So muss der Vertrag unter anderem eine Bestimmung nach näherer Maßgabe des Art. 32 DSGVO enthalten, nach der der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen treffen muss, um ein dem Risiko für die Rechte und Freiheiten der betroffenen Kunden angemessenes Schutzniveau zu gewährleisten. Da der Verantwortliche für die Rechtmäßigkeit der Verarbeitung der Kundendaten insgesamt verantwortlich ist und bleibt (Art. 24 DSGVO), empfehlen Datenschützer, in der Vereinbarung die mindestens erforderlichen technischen und organisatorischen Maßnahmen ausdrücklich festzulegen. Die Vereinbarung kann schriftlich oder elektronisch geschlossen werden.

Schutz der Daten gegen unberechtigten Zugriff

Auch wenn die meisten Vermittler glauben, dass die Kundendaten ihnen gehören, gibt es kein Eigentum an digitalen Daten, weil die Anwendung der sachenrechtlichen Vorschriften des BGB an körperliche Gegenstände (§ 90 BGB) gebunden ist. Die Erscheinungsformen digitaler Daten sind nach allgemeiner Meinung flüchtig und damit grundsätzlich nicht hinreichend verfestigt, um als körperlich im Sinne des § 90 BGB zu gelten. Ein absolutes Recht an Daten, das einen zivilrechtlichen, eigentumsähnlichen Schutz gegen jedermann gewährt, scheidet also aus. Sofern die Daten auf eigenen Speichermedien liegen, wirkt der Eigentumsschutz (z. B. Herausgabeanspruch) mittelbar auch im Hinblick auf die gespeicherten Daten. Das hilft bei Daten in der Cloud nicht weiter. Daten sind aber als immaterielle Wirtschafts­güter taugliche Gegenstände von Verträgen. Es ist deshalb wichtig, in der Nutzungsvereinbarung mit dem Cloudanbieter darauf zu achten, dass die rechtliche Zuordnung der Daten beim Vermittler bleibt und der Cloudanbieter zum Beispiel verpflichtet wird, bei Beendigung der Nutzungsvereinbarung die Datencodes herauszugeben. Ferner ist daran zu denken, welche Rechtsfolgen (z. B. Haftung) bei temporären Zugriffsstörungen oder bei Datenverlust durch technische Störungen oder Cyberangriffe gelten sollen.

Insolvenz

Wenn ein Anbieter eines Online-Kundenverwaltungsprogramms insolvent wird und mit dem Programm offline geht, bietet das Insolvenzrecht ausreichenden Schutz. Bei einer Insolvenz des Cloud-Anbieters kann sich der Nutzer auf ein Aussonderungsrecht gemäß § 47 InsO berufen, um so wieder an seine Daten zu gelangen.

Fazit

Die Auslagerung digitaler Daten in Clouds ist rechtlich nicht unproblematisch. Dreh- und Angelpunkt ist die Vereinbarung zwischen Nutzer und Cloud-Anbieter, bei der zumindest die hier angesprochenen Punkte kritisch zu prüfen sind.

Über den Autor

Hans-Ludger Sandkühler ist ausgewiesener Experte in Maklerfragen, gefragter Referent und Autor zahlreicher Veröffentlichungen. Außerdem ist er Mitinitiator des Arbeitskreises „Beratungsprozesse“ sowie Geschäftsführer des Instituts für Verbraucherfinanzen.

Den Artikel lesen Sie auch in AssCompact 03/2020, Seite 90, und in unserem ePaper.

Bild: © natali_mis – stock.adobe.com

 

Leserkommentare

Comments

Gespeichert von Jan Coenen am 16. März 2020 - 14:46

Es wäre vielleicht wichtig zu wissen, welche Cloud-Dienste überhaupt eine DSGVO-konforme ADV-Vereinbarung anbieten. Es wird auch im Business alles mögliche verwendet, allen voran die Google-Cloud via Android-Smartphone. Für einen kostenlosen Google-Account bekommt man jedoch keine ADV. Dafür muss man auf GSuite updaten (ab €5 mtl.). Hier eine große Liste mit Cloud-Services, für die man eine ADV bekommt. Alles andere kann man geschäftlich nicht mehr nutzen. https://www.blogmojo.de/av-vertraege/