Nr. 13 – Rechtsgrundlage für die Datenverarbeitung
(Art. 6 Abs. 1 UAbs. 1 lit. b. sowie lit. c i.V.m. Abs. 2 DSGVO)

Kriterium

Der Cloud-Anbieter verarbeitet personenbezogene Daten für die Erfüllung eines Vertrags zur Datenverarbeitung im Auftrag des Cloud-Nutzers oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage des Cloud-Nutzers erfolgen, zur Wahrung seiner berechtigten Interessen, solange die Datenverarbeitung zur Erfüllung des Vertrags mit dem Cloud-Nutzer erforderlich ist und nicht die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person gegen die Verarbeitung überwiegen oder zur Erfüllung einer rechtlichen Verpflichtung, der der Cloud-Anbieter unterliegt.

Erläuterung

AUDITOR betrachtet die Datenverarbeitungsvorgänge des Cloud-Anbieters in seiner Rolle als Verantwortlicher nur, soweit diese erforderlich sind, um den Auftrag mit dem Cloud-Nutzer über die Erbringung des Cloud-Dienstes zu erfüllen. Die Rechtsgrundlage der Verarbeitung von personenbezogenen Daten des Cloud-Nutzers bildet daher Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO. Die Norm erlaubt die Datenverarbeitung, soweit diese für die Erfüllung eines Vertrags oder für vorvertragliche Maßnahme mit der betroffenen Person erforderlich ist. Der Datenumgang für das Zustandekommen eines Vertrags, für Vertragsänderungen und -beendigungen gehört zur Vertragserfüllung. Auch Daten, die für die Ermöglichung der Inanspruchnahme des Cloud-Dienstes oder die Abrechnung der Nutzung des Cloud-Dienstes erforderlich sind, sind Teil der Vertragserfüllung und fallen somit unter Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO.
Verarbeitet der Cloud-Anbieter zur Erfüllung des Vertrags mit dem Cloud-Nutzer nicht nur Daten über diesen, sondern auch über andere betroffene Personen wie z.B. die Mitarbeiter des Cloud-Nutzers, so kann er sich bei dieser Datenverarbeitung auf Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO und seine berechtigten Interessen stützen, solange wie die Datenverarbeitung zur Erfüllung des Vertrags mit dem Cloud-Nutzer erforderlich ist und nicht die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person gegen die Verarbeitung überwiegen
Schließen Cloud-Anbieter und Cloud-Nutzer einen Vertrag über die Bereitstellung eines Cloud-Dienstes, wird der Cloud-Anbieter u.a. aufgrund handels- und steuerrechtlicher Aufbewahrungspflichten zur Verarbeitung personenbezogener Daten des Cloud-Nutzers verpflichtet. Art. 6 Abs. 1 UAbs. 1 lit. c DSGVO erlaubt die Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt. Die eigentlichen Rechtsgrundlagen für solche Verarbeitungen folgen aus nationalen oder europarechtlichen Vorschriften, da Art. 6 Abs. 2 DSGVO eine Öffnungsklausel zur Anwendung solcher Vorschriften enthält.

Umsetzungshinweis

Art. 13 Abs. 1 lit. c oder 14 Abs. 1 lit. c DSGVO (Nr. 15.1 oder Nr. 15.2) verpflichten den Cloud-Anbieter dazu, die betroffene Person über die Rechtsgrundlage einer Datenverarbeitung zu informieren. Daher sollte die Datenschutzerklärung des Cloud-Anbieters nicht nur die Zwecke der Datenverarbeitungen in eigener Verantwortlichkeit eindeutig und präzise bestimmen, sondern auch die konkreten Rechtsgrundlagen für die Datenverarbeitungen benennen.
Auf die Umsetzungshinweise der ISO/IEC 27701 Ziff. 6.15.1, 7.2.1 und 7.2.2 wird hingewiesen.

Nachweis

Der Cloud-Anbieter kann im Rahmen der Zertifizierung alle oder eine repräsentative Stichprobe von rechtsverbindlichen Vereinbarungen vorlegen, die er mit den Cloud-Nutzern über die Bereitstellung eines Cloud-Dienstes geschlossen hat. Der Cloud-Anbieter legt im Rahmen der Zertifizierung eine Übersicht vor, aus der hervorgeht, welchen rechtlichen Verpflichtungen er zur Datenverarbeitung unterliegt.