Lex Laux: EU-Datenschutz kann RZ-Betreiber viel kosten

IT-Anwalt Christian Laux ist unser neuer Kolumnist. Sein Thema: Was bedeutet die neue Datenschutz-Grundverordnung für Rechenzentrums-Betreiber in der Schweiz?
 
GDPR – ein Akronym geht um die Welt. Anwälten ist es bereits ins Unterbewusstsein eingegangen, und wahrscheinlich auch vielen Nicht-Juristen. "GDPR" steht für General Data Protection Regulation, auf Deutsch: "Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG" oder – besser verdaulich – "Datenschutz-Grundverordnung". So steht es auf der offiziellen Webseite "EUR-LEX.europa.eu", auf der die Gesetzgebung der EU verfügbar gemacht wird. Und im deutschen Sprachgebrauch hat man sich an das etwas sperrige Kürzel "EU-DSGVO" gewöhnen müssen.
 
Auf der EUR-LEX steht hinter dem Langtitel lapidar "Text mit Bedeutung für den EWR". Man müsste "sowie für die Schweiz (und viele andere Länder)" hinzufügen. Die EU-DSGVO wirkt sich auch ausserhalb der EU aus. Man spricht von "extraterritorialer Wirkung" oder davon, dass die EU-DSGVO einen "langen Arm" ins Ausland "streckt". Die Schweiz wird von der EU-DSGVO somit nicht einfach so verschont.
 
In diesem Beitrag gehe ich der Frage nach, wie Rechenzentrumsbetreiber mit Sitz in der Schweiz sich auf die Herausforderung "EU-DSGVO" einstellen sollten. Wir haben dazu in unserer Arbeit in der Kanzlei ein vierstufiges Modell entwickelt, das wir heranziehen, um schweizerische Anbieter zu beraten, wobei es besonders gut passt für schweizerische Cloud Services Anbieter. Wir führen an diese im Laufe der nachstehenden Ausführungen heran. Um sie erkennbar zu machen, verwenden wir für die vier Stufen umgangssprachlich jeweils einprägsame Bezeichnungen: "GDPR relevant", "GDPR ready", "GDPR mature" und "GDPR enabler".
 
Inhaltlich geht es um Folgendes:
 
Erstens – Schweizerische Rechenzentrumsanbieter unterstehen der EU-DSGVO grundsätzlich nicht, jedenfalls nicht aufgrund des Umstands, dass sie Kunden Infrastrukturleistungen oder ergänzende Dienstleistungen anbieten. Sie unterstehen dann auch nicht der Bussgewalt der EU-Behörden. – Wenn sie aber eine Webseite aufschalten, um ihre Leistungen zu bewerben, damit auch Kunden im EU-Markt ansprechen und Cookies einsetzen, die für den Betrieb der Seite nicht nötig wären, sondern der Beobachtung des Besucherverhaltens dienen (z.B. Tracking Cookies), kann die EU-DSGVO für sie direkt anwendbar sein. Dann sind sie Verantwortliche und unterstehen diesbezüglich sogar der Bussgewalt der EU-Behörden.
 
Zweitens – Wenn Kunden, die selber der EU-DSGVO unterstehen (d.h. EU-Kunden oder schweizerische Kunden, die vom langen Arm der EU-DSGVO erfasst sind), einen schweizerischen Rechenzentrumsbetreiber nutzen wollen, müssen sie die Anforderungen der EU-DSGVO an den Beizug eines Rechenzentrumsbetreibers einhalten. Aus Sicht des schweizerischen Rechenzentrumsanbieters resultiert, wie nachstehend gezeigt wird, ein Handlungsbedarf. Wir beschreiben dieses Szenario deswegen als "GDPR relevant".
 
Drittens – Kunden müssen für den Einsatz von Rechenzentrumsbetreibern Mindestbedingungen einhalten. Die Seite unter 'cloudprivacycheck.eu' gibt Auskunft darüber, um welche Kriterien es sich handelt, die ein solcher, der EU-DSGVO unterstehender Kunde einhalten muss: Es geht um einen angemessenen Servicevertrag, der den schweizerischen Rechenzentrumsbetreiber verpflichtet, (i) die notwendigen technischen und organisatorischen Massnahmen zur Sicherung eines angemessenen Datensicherheitsniveaus umzusetzen und dem Provider weiter Folgendes vorschreibt: (ii) Verarbeitung von personenbezogenen Daten nur im Einklang mit dokumentierter Weisung des Verantwortlichen und insbesondere keine Nutzung von Daten im Eigeninteresse; (iii) Beizug von weiteren "Unter-Auftragsbearbeitern" (für die Datenbearbeitung beigezogene Subunternehmen) nur, wenn der Cloud-Kunde dies mindestens im Servicevertrag genehmigt hat (Vorabgenehmigung ist ausreichend); (iv) Überbindung der Pflichten des Rechenzentrumsbetreibers auf beigezogene Unter-Auftragsbearbeiter; (v) Unterstützung des Verantwortlichen in verschiedenen Belangen (Datenlöschung nach Beendigung, etc.). Rechenzentrumsbetreiber, die bereits über Standardverträge verfügen, um dem Kunden diese Form der Instruktion und Kontrolle über die Abläufe beim Rechenzentrumsbetreiber zu ermöglichen, bezeichnen wir in unserer Terminologie als "GDPR ready".
 
Viertens – Kunden, die der EU-DSGVO unterstehen können für einen Rechenzentrumsanbieter gefährlich werden. Das wird heute noch zu selten erkannt. Die meisten Provider in der Schweiz schielen derzeit gleichsam "aus der Deckung heraus" auf den Verantwortlichen und warten ab, welche Anforderungen die Verantwortlichen an sie stellen werden. Dabei besteht ein nicht zu unterschätzender Handlungsbedarf. Der zuvor erwähnte Vertragszusatz für solche Kunden sollte sich unbedingt mit Haftungsfragen, Schadloshaltungen und finanziellen Entschädigungsobergrenzen auseinandersetzen. Art. 82 EU-DSGVO ist eine faszinierend unklare Bestimmung im Gesamtrahmen der EU-DSGVO:
"Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter."
 
Die Mithaftung des Auftragsverarbeiters (d.h. des Rechenzentrumsbetreibers) besteht zwar nur dann, wenn er eine ihn direkt treffende Pflicht verletzt hat. Ist dies jedoch der Fall und hat er auch nur eine einzelne Pflicht (aus dem ganzen Leistungskatalog) verletzt, haftet er für den gesamten Schaden, der entstanden ist (auch für jenen Schaden, den sein Kunde zur Hauptsache verschuldet hat) – eine sehr radikale Zwangslage, in welche der Auftragsbearbeiter hier gebracht wird. Er tut gut daran, sich richtig aufzustellen. Es wirkt der lange Arm aus der EU ...
 
Mit Blick darauf, dass mit Artikel 82 der EU-DSGVO nicht nur der Schaden der betroffenen Person, sondern auch der Schaden von anderen "Personen" (z.B. Unternehmen) abgesichert werden soll, ist die Bedrohungslage für den Rechenzentrumsbetreiber durchaus real. Unternehmen können Schäden erleiden, die in die Hunderttausende gehen: Im Rahmen eines sog. "Data Breaches" müssen die betroffenen Unternehmen einzelnen Datensätzen "nachrennen" – die Höhe der dadurch ausgelösten Kosten werden in Umfragen auf Beträge zwischen USD 30 und USD 150 pro Datensatz geschätzt. Je nach Grösse des Ereignisses kann das teuer werden. Nebenbei sei angemerkt, dass ein zwingender Gerichtsstand in der EU begründet wird (Artikel 82 Absatz 5 EU-DSGVO).
 
Kurz: Die Haftungsrisiken sind strenger geworden. Jeder Rechenzentrumsbetreiber sollte sich eine passende Vertragsklausel zurechtlegen. Darin ist unbedingt das Verhältnis zwischen Verantwortlichem und Auftragsbearbeiter zu regeln. Während es früher zum guten Ton gehörte, für Datenschutzverletzungen eine unbeschränkte Haftung einzugehen, dürfte sich dies mit Erlass der EU-DSGVO geändert haben: Wer als Anbieter eine unbeschränkte Haftungsregelung eingeht und sich nicht um Regressfragen kümmert, dürfte gefährlich leben. Für Regressfragen dürften auch Formfragen wichtig werden: Genügen Allgemeine Geschäftsbedingungen weiterhin, wie dies bisher der Fall war? Oder sollte nicht besser ein direkter Vertrag begründet werden, der Einzelfragen zwischen Rechenzentrumsbetreiber und Kunde adressiert?
 
Fünftens – Schweizerische Rechenzentrumsanbieter möchten sich trotzdem auf die EU-DSGVO einstellen. Nicht weil sie zwingend müssten, rein aufgrund der EU-DSGVO, sondern weil dies einfach empfehlenswert ist.
 
Zusammenfassend – Für schweizerische Rechenzentrumsanbieter führt die rechtliche Analyse dazu, dass sie die ersten zwei Fragen aus der vierstufigen Frageordnung durchlaufen müssen:
  • 1) GDPR Relevant: Habe ich Kunden, die potentiell in Griffweite des langen Europäischen Arms kommen? Diesen ist ein Vertragszusatz zu unterbreiten. Dieses Szenario kann für schweizerische Rechenzentrumsbetreiber relevant werden.
  • 2) GDPR Ready: Kann ich mich als "GDPR Ready" bezeichnen, das heisst: Habe ich ein Ver¬trags-werk zur Hand, das dem Kunden ermöglicht, seine nach Art. 28 EU-DSGVO bestehenden Nachweispflichten zu erfüllen? Dazu gehören technische und organisatorische Vorkehrungen, die den Anforderungen von Artikel 32 der EU-DSGVO genügen. Auch dieses Szenario kann für schweizerische Rechenzentrumsbetreiber relevant werden.
Für schweizerische Rechenzentrumsbetreiber dürften demgegenüber die weiteren "Eskalationsstufen" "GDPR mature" und "GDPR enablement" nicht relevant werden. Diese kommen erst zum Tragen, wenn die Rechenzentrumsbetreiber PaaS-Dienste anbieten oder sonstwie das Management von Systemen der Kunden mitbetreuen oder z.B. eine Internetanbindung ans Rechenzentrum über ein geshartes System ermöglichen. Wer sich nur als Facility-Provider aufstellt, sollte nach zwei Stufen haltmachen können.
 
Folgende Fragen muss ein schweizerischer Rechenzentrumsbetreiber somit wohl nicht beantworten:
  • 3) GDPR Mature: Habe ich als Rechenzentrumsbetreiber über Art. 32 EU-DSGVO hinaus auch solche Massnahmen getroffen, die mich auf dasselbe Maturitätsniveau heben, das auch die EU-DSGVO verlangt? Zu denken sind insbesondere auch an automatisierte Prozesse zur Beantwortung von Begehren betreffend Datenportabilität, etc.
  • 4) GDPR Enabler: Habe ich als Rechenzentrumsbetreiber weitergehende Möglichkeiten, so dass ich nicht nur meine eigenen Prozesse rechtssicher ausgestalten, sondern auch den Kunden dabei unterstützen kann, seine – nur ihn als Verantwortlichen treffenden – Pflichten unter der EU-DSGVO wahrzunehmen? Dies erfordert insbesondere automatisierte und technisch abgestützte Prozesse, um dem Kunden die automatisierte Beantwortung von Auskunftsbegehren, Löschbegehren und dergleichen zu ermöglichen.
Abwarten nicht angezeigt
Die vorgenannten vier Fragestellungen helfen dem Rechenzentrumsbetreiber zu bestimmen, inwiefern er sich auf die EU-DSGVO einstellen soll. Die gesamte Stufenfolge ist für schweizerische Rechenzentrumsanbieter grundsätzlich freiwillig und keine Pflicht.
 
Aber sie zeigt auch, dass Abwarten für einmal nicht angezeigt ist. Denn die EU-DSGVO hält einiges an Sprengstoff bereit. Und dennoch ist die Aufgabenstellung zu lösen, was sich aufgrund konkreter Projekterfahrung bereits zeigen lässt: Die Anforderungen lassen sich systematisch abprüfen und wenn man sich der Aufgabe stellt, hält man als Rechenzentrumsbetreiber die Risiken unter Kontrolle. (Christian Laux)
 
Zum Autor:
Dr. Christian Laux, LL.M. ist Anwalt und fokussiert auf IT-Rechtsangelegenheiten.
 
Zur Kolumne "Lex Laux"
Der Autor äussert sich an dieser Stelle regelmässig zu Rechtsfragen, welche die Schweizer IT-Branche in relevanter Weise betreffen.
 
Disclaimer:
Es sei an dieser Stelle die immer geltende Einschränkung in Erinnerung gerufen: Dieser Blog dient nur dem Zweck der Unterhaltung oder leichteren Bildung. Die Ausführungen können keine verlässliche Beratung ersetzen, wie sie notwendig sein wird, um Einzelfälle rechtssicher abzubilden.