Cloud Datenschutz: DSGVO-konforme Nutzung von Cloud-Diensten

Cloud-Speicher sind aus dem modernen Unternehmensalltag nicht mehr wegzudenken. Die dezentrale Speicherung erlaubt eine einfache und robuste Datensicherung sowie eine simple Verfügbarmachung von Daten innerhalb der Belegschaft.

Das Thema Datenschutz wird dabei jedoch häufig vernachlässigt. Dabei müssen sich Unternehmen neben technischen auch rechtlichen Herausforderungen stellen, insbesondere im Hinblick auf die Einhaltung der Datenschutzgrundverordnung (DSGVO).

Verstöße gegen diese können zu hohen Bußgeldern sowie zum Vertrauensverlust bei Kunden und Partnern führen.

Dieser Artikel erläutert, welche Anforderungen an eine DSGVO-konforme Cloud-Nutzung gestellt werden, welche Risiken bestehen und wie Unternehmen mit der richtigen Anbieterwahl, vertraglichen Absicherung und Sicherheitsmaßnahmen ihre Cloud-Daten effektiv schützen können.

Das Wichtigste in Kürze

• Wählen Sie Cloud-Anbieter mit Sitz in Deutschland oder der EU, um Drittlandübermittlungen zu minimieren und datenschutzrechtliche Risiken zu reduzieren.
• Schließen Sie mit Ihrem Cloud-Anbieter in jedem Fall einen Auftragsverarbeitungsvertrag (AVV) ab.
• Setzen Sie wichtige technische und organisatorische Maßnahmen (TOM) wie die Nutzung von Ende-zu-Ende-Verschlüsselung für sensible Daten, Multi-Faktor-Authentifizierung und das Management von Benutzerrollen und Zugriffsrechten um.
• Bei US-Anbietern wie Microsoft oder Google prüfen Sie, ob das EU-US Data Privacy Framework greift oder zusätzliche Maßnahmen und Standardvertragsklauseln erforderlich sind.
• Geschäftsführer können bei Datenschutzverstößen persönlich haften, insbesondere bei Organisationsverschulden oder mangelhafter Aufsicht. Auch IT-Verantwortliche können in Einzelfällen haftbar gemacht werden, wenn ihnen ein persönliches Fehlverhalten nachgewiesen wird.

Cloud-Computing und Datenschutz – Wichtige Grundlagen

Cloud Computing bezeichnet die Bereitstellung von Speicher, Rechenleistung und Anwendungen über das Internet. Statt eigene Server zu betreiben, greifen Unternehmen auf die IT-Infrastruktur großer Anbieter wie Microsoft Azure, Amazon Web Services (AWS), Google Cloud Platform oder die Telekom Open Telekom Cloud zu. Die Vorteile liegen auf der Hand: Skalierbarkeit, Kostentransparenz und Zugriff von überall.

Dabei werden Daten nicht mehr im eigenen Rechenzentrum gespeichert, sondern dezentral in verteilten Rechenzentren. Für Nutzer ist dabei oft nicht unmittelbar erkennbar, wo ihre Dateien physisch liegen.

Personenbezogene Daten, die in der Cloud gespeichert werden, unterliegen dabei den strengen Auflagen der DSGVO unabhängig davon, welchen Dienst Sie nutzen.

Beispiele von personenbezogenen Daten in der Cloud:

• Kundendaten aus CRM-Systemen
• Mitarbeiterdaten für Lohnabrechnung und HR
• E-Mail-Kommunikation und Support-Tickets
• Logdaten mit IP-Adressen

Arten von Cloud-Diensten (IaaS, PaaS, SaaS)

Die Cloud-Nutzung lässt sich in drei klassische Service-Modelle unterteilen:

Infrastructure as a Service (IaaS): Sie mieten virtuelle Server, Speicherplatz und Netzwerkressourcen. Beispiele sind AWS EC2, Hetzner Cloud oder IONOS Cloud. Sie verwalten Betriebssystem, Patches und Anwendungen selbst.

Platform as a Service (PaaS): Der Anbieter stellt eine Entwicklungsplattform bereit. Beispiele sind Heroku oder Google App Engine. Sie kümmern sich nur noch um Ihre Anwendung, nicht um die darunterliegende Infrastruktur.

Software as a Service (SaaS): Fertige Anwendungen werden über den Browser genutzt. Beispiele sind Microsoft 365, Salesforce, Dropbox oder Online-Office-Lösungen wie Google Workspace.

Wichtig: Die technische Verantwortung verteilt sich je nach Modell unterschiedlich zwischen Anbieter und Kunde. Die datenschutzrechtliche Verantwortung nach Art. 4 Nr. 7 DSGVO bleibt jedoch immer beim Unternehmen.

Diese Unterschiede werden bei der Auswahl und den technischen und organisatorischen Maßnahmen (TOM) relevant.

Datenschutzrechtliche Grundlagen für die Cloud (DSGVO & BDSG)

Die DSGVO gilt seit dem 25. Mai 2018 in der gesamten EU und wird in Deutschland durch das Bundesdatenschutzgesetz (BDSG) ergänzt. Beide Regelwerke bilden den rechtlichen Rahmen für den Datenschutz bei Cloud Computing.

Relevante DSGVO-Artikel für Cloud Datenschutz:

• Art. 5: Grundsätze der Verarbeitung – Zweckbindung, Datenminimierung, Integrität
• Art. 6: Rechtsgrundlagen – Legitimation jeder Datenverarbeitung
• Art. 28: Auftragsverarbeitung – AVV-Pflicht mit Cloud-Anbieter
• Art. 32: Sicherheit der Verarbeitung – Technische und organisatorische Maßnahmen
• Art. 44 ff.: Drittlandsübermittlung – Regeln für Datentransfer außerhalb EU

Cloud-Anbieter sind regelmäßig Auftragsverarbeiter (Processor). Das Unternehmen, das den Dienst nutzt, bleibt Verantwortlicher (Controller) mit allen Pflichten und Haftungsrisiken.

Personenbezogene und besondere Kategorien von Daten

Nach Art. 4 Nr. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen:

• Name
• E-Mail-Adresse
• Telefonnummer
• IP-Adressen und Standortdaten
• Kundennummern und Nutzer-IDs
• Fotos und biometrische Daten

Besondere Kategorien nach Art. 9 DSGVO unterliegen einem erhöhten Schutzniveau:

• Gesundheitsdaten (z. B. Patientenakten in Praxissoftware)
• Religionszugehörigkeit
• Gewerkschaftszugehörigkeit
• Genetische und biometrische Daten
• Daten zur sexuellen Orientierung

Unterschied Anonymisierung vs. Pseudonymisierung: Anonymisierte Daten fallen nicht mehr unter die DSGVO, da kein Personenbezug herstellbar ist, sofern eine Re-Identifizierung auch mit zusätzlichen Informationen praktisch ausgeschlossen ist. Pseudonymisierte Daten (z. B. mit verschlüsselter ID statt Name) bleiben personenbezogen und unterliegen weiterhin dem Datenschutz. Achtung: Die Abgrenzung kann im Einzelfall komplex sein.

DSGVO-Anforderungen bei der Nutzung von Cloud-Anbietern

Wer Cloud-Dienste nutzt, muss die Grundprinzipien der DSGVO einhalten. Diese Anforderungen gelten unabhängig davon, ob Sie Microsoft 365, AWS oder einen kleinen spezialisierten Anbieter nutzen.

Die DSGVO-Grundprinzipien (Art. 5):

1. Rechtmäßigkeit, Fairness, Transparenz: Verarbeitung nur auf legaler Basis, offen kommuniziert
2. Zweckbindung: Daten nur für festgelegte, legitime Zwecke nutzen
3. Datenminimierung: Nur erforderliche Daten erheben
4. Richtigkeit: Daten aktuell und korrekt halten
5. Speicherbegrenzung: Löschung, wenn nicht mehr benötigt
6. Integrität und Vertraulichkeit: Schutz vor unbefugtem Zugriff
7. Rechenschaftspflicht: Nachweisbarkeit der Einhaltung

Die Informationspflichten nach Art. 13/14 DSGVO verlangen zudem unter Umständen, dass Betroffene über die Cloud-Nutzung informiert werden.

Auftragsverarbeitung und AV-Vertrag

Bei der Nutzung von Cloud-Dienstleistern liegt in den meisten Fällen eine Auftragsverarbeitung vor. Das bedeutet: Ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO ist zwingend erforderlich.

Mindestinhalte eines AVV:

• Gegenstand und Dauer der Verarbeitung
• Art und Zweck der Verarbeitung
• Art der personenbezogenen Daten
• Kategorien betroffener Personen (Kunden, Mitarbeitende)
• Pflichten des Auftragsverarbeiters
• Regelungen zu Löschung und Rückgabe
• Unterstützung bei Betroffenenrechten
• Technisch-organisatorische Maßnahmen (TOM)
• Liste der Unterauftragsverarbeiter

Große Anbieter wie Microsoft, Google oder Amazon stellen vorformulierte AV-Verträge bereit. Diese müssen aktiv abgeschlossen oder in den Kontoeinstellungen bestätigt werden, ein bloßes Nutzen des Dienstes reicht nicht.

Ohne AVV ist der Einsatz rechtswidrig. Aufsichtsbehörden haben bereits Bußgelder für die unzulässige Nutzung von Cloud- und Tracking-Diensten verhängt.

Datenübermittlung in Drittländer (USA, UK, etc.)

Der Transfer von Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR), insbesondere in die USA, ist nur dann erlaubt, wenn die strengen Anforderungen der Artikel 44 ff. der DSGVO eingehalten werden.

Dabei gibt es verschiedene rechtliche Grundlagen, die eine solche Übermittlung legitimieren können.

Ein sogenannter Angemessenheitsbeschluss der Europäischen Kommission bescheinigt, dass ein Drittland ein vergleichbares Datenschutzniveau wie die EU bietet, sodass personenbezogene Daten aus der EU dorthin übermittelt werden dürfen. Beispiele für Länder, für die aktuell ein Angemessenheitsbeschluss gilt, sind unter anderem:

• Schweiz
• Kanada (für kommerzielle Organisationen)
• Japan
• Neuseeland
• Israel
• Argentinien
• Südkorea
• Großbritannien (nach dem Brexit)
• Uruguay

Diese Liste kann sich ändern, daher ist es wichtig, regelmäßig die offiziellen Informationen der EU-Kommission zu prüfen.

Seit Juli 2023 können Unternehmen zudem auf das EU-US Data Privacy Framework (DPF) zurückgreifen, das eine rechtssichere Übermittlung von personenbezogenen Daten in die USA ermöglicht. Voraussetzung ist, dass der jeweilige US-Anbieter aktiv nach dem EU-US Data Privacy Framework zertifiziert ist.

Dies vereinfacht insbesondere die Nutzung von großen amerikanischen Anbietern wie Google, Dropbox oder Amazon (AWS) erheblich. Allerdings besteht die Möglichkeit, dass der Angemessenheitsbeschluss für das DPF mittelfristig wieder entzogen werden könnte.

Liegt kein Angemessenheitsbeschluss vor, können Standardvertragsklauseln (SCC) genutzt werden, die einen DSGVO-konformen Datenschutz zusichern. Problematisch für Unternehmen ist jedoch, dass sie in der Verantwortung sind, sicherzustellen, dass dieses tatsächlich eingehalten wird. In der Praxis ist die Umsetzung der zusätzlichen Schutzmaßnahmen häufig komplex und mit erheblichem Prüfaufwand verbunden. Ein Restrisiko bleibt bestehen, insbesondere bei Zugriffsmöglichkeiten ausländischer Behörden.

Der beste Weg, um dieses Risiko zu reduzieren, ist die Nutzung von EU-, oder besser: in Deutschland basierten Anbietern wie IONOS, der Telekom oder Hetzner.

Neben diesen häufig genutzten rechtlichen Grundlagen gibt es noch einen Sonderfall für die konzerninterne Datenübermittlungen über die EU-Grenzen hinweg, wenn sogenannte Binding Corporate Rules (BCR) genutzt werden.

Datensicherheit in der Cloud: Technische und organisatorische Maßnahmen

Art. 32 DSGVO verpflichtet Unternehmen und Cloud-Anbieter, ein „angemessenes Schutzniveau” sicherzustellen. Was angemessen ist, hängt ab von:

• Risiko für die Rechte der Betroffenen
• Stand der Technik
• Implementierungskosten
• Art und Umfang der Daten

Im Folgenden fassen wir die wichtigsten technischen und organisatorischen Maßnahmen für die DSGVO-konforme Nutzung von Cloud-Anbietern in Kürze zusammen.

Technische Maßnahmen: Verschlüsselung, Zugriffskontrolle, Protokollierung

Verschlüsselung:

• Data at Rest: Verschlüsselung gespeicherter Daten in Rechenzentren (serverseitige Verschlüsselung)
• Data in Transit: TLS 1.2/1.3 für alle HTTPS-Verbindungen
• Ende-zu-Ende-Verschlüsselung: Bei besonders sensiblen Dokumenten Tools wie Boxcryptor, Tresorit oder Nextcloud E2E-Optionen nutzen

Zugriffskontrolle:

• Starke Passwörter mit Passwortmanager
• Multi-Faktor-Authentifizierung (MFA) für alle Konten bei Microsoft, Google, AWS
• Authenticator-Apps oder FIDO2-Sicherheitsschlüssel statt SMS

Protokollierung und Monitoring:

• Regelmäßige Prüfung von Zugriffen, Logins und Freigaben
• Security Center in Microsoft 365 nutzen
• AWS CloudTrail für Audit-Logs aktivieren
• Auffällige Aktivitäten automatisch melden lassen

Organisatorische Maßnahmen: Prozesse, Rollen, Schulungen

Rollen und Berechtigungskonzepte:

• Prinzip der minimalen Rechte (Least Privilege)
• Getrennte Rollen für Admin, HR, Vertrieb, IT
• Keine geteilten Konten, jeder Nutzer hat eigenen Zugang

Richtlinien für sichere Cloud-Nutzung:

• Verbot privater Dropbox-Accounts für Kundendaten
• Pflicht zur Nutzung des Unternehmens-OneDrive
• Klare Regeln für mobiles Arbeiten und Remote Access

Schulungen (mindestens jährlich):

• Phishing-Erkennung
• Sichere Passwörter und Passwortmanager
• Umgang mit vertraulichen Dokumenten
• Meldewege bei Verdacht auf Sicherheitsvorfälle

Incident-Response-Prozesse:

• Datenschutzverletzungen innerhalb von 72 Stunden an die Aufsichtsbehörde melden (Art. 33 DSGVO)
• Interner Meldeprozess mit klaren Zuständigkeiten
• Dokumentation aller Vorfälle

Auswahl eines DSGVO-konformen Cloud-Anbieters

Die Anbieterauswahl ist ein zentraler Schritt zur DSGVO-Compliance. Entscheidend sind vor allem Standort, Sicherheitsniveau und Vertragsgestaltung.

Seit dem EuGH-Urteil Schrems II (Juli 2020) und der Einführung des EU-US Data Privacy Framework mussten viele Unternehmen ihre Cloud-Verträge überprüfen. Die Auswahl eines DSGVO-konformen Anbieters spart langfristig Zeit und vermeidet rechtliche Risiken.

Standort von Anbieter und Rechenzentren

Relevant sind sowohl der Unternehmenssitz als auch der physische Speicherort der Daten. Ein deutscher Anbieter mit Hosting in US-Rechenzentren bietet weniger Schutz als ein EU-Hosting.

Auswahlkriterien:

• Serverstandort in der EU/EWR
• Kein Durchgriff von Drittstaaten-Behörden
• Transparenz über Subunternehmer und deren Standorte
• Vertraglich garantierte Datenlokalisierung

Labels und Initiativen:

• Trusted Cloud des BMWK als Orientierungshilfe
• GAIA-X als europäisches Cloud-Projekt
• Made in Germany als Qualitätsmerkmal

Zertifikate und Sicherheitsnachweise

Zertifikate signalisieren IT-Sicherheit und erleichtern die Anbieterprüfung:

Zertifikate und ihre Aussagekraft:

• ISO/IEC 27001: Etabliert ein Informationssicherheits-Managementsystem.
• ISO/IEC 27018: Schützt personenbezogene Daten in der Cloud.
• BSI C5: Erfüllt cloud-spezifische Sicherheitsanforderungen des BSI.
• SOC 2: US-Standard für Sicherheit, Verfügbarkeit und Vertraulichkeit.
• Trusted Cloud Datenschutz Profil (TCDP): Deutscher Datenschutz-Standard für Clouds.
• Cloud Computing Zertifikat: Nachweis spezifischer Cloud-Kompetenzen.

Wichtig: ISO 27001 ist ein starkes Signal für IT-Sicherheit, aber kein automatischer Nachweis für vollständige DSGVO-Konformität. Ergänzend sollten TOM-Beschreibungen und Datenschutzbestimmungen geprüft werden.

Achten Sie darauf, dass Zertifikate regelmäßig erneuert werden.

Nutzungsbedingungen, AGB und Datenschutzbestimmungen

AGB und Datenschutzrichtlinien regeln, welche Daten zu welchen Zwecken verarbeitet werden. Prüfen Sie kritisch:

Prüffragen für AGB und Datenschutzbestimmungen:

• Werden Daten für eigene Zwecke des Anbieters genutzt (Analyse, Marketing)?
• Welche Löschfristen gelten?
• Wer sind die Unterauftragsverarbeiter?
• Welche Rechte hat der Anbieter an den Inhalten?
• Sind die Datenschutzstandards mit den eigenen Bestimmungen vereinbar?

Empfehlungen:

• AVV muss integraler Vertragsbestandteil sein
• Widersprüchliche AGB-Klauseln vermeiden
• Vor Vertragsabschluss Rechtsanwalt oder Datenschutzbeauftragte einbeziehen
• Bei großen SaaS-Projekten (CRM, ERP, HR) besondere Sorgfalt walten lassen

Beispiele für EU-basierte Cloud-Anbieter

Die folgenden Anbieter haben ihren Unternehmensstandort sowie ihre Serverstandorte in der EU und können daher bei der Wahl eines geeigneten Dienstes gesondert berücksichtigt werden. Die reine Anbieterwahl ist dabei jedoch keine Garantie für eine DSGVO-konforme Nutzung, wenn nicht auch die anderen Aspekte wie technische und organisatorische Maßnahmen (TOM) beachtet werden.

Beispiele für europäische Anbieter:

• IONOS Cloud
• Telekom MagentaCLOUD
• Nextcloud-Hosting in deutschen Rechenzentren
• Hetzner Cloud

Haftung und Betroffenenrechte bei Datenschutzverstößen

Trotz Auslagern in die Cloud bleibt das Unternehmen Verantwortlicher und haftet bei Datenschutzverstößen. Ein offener S3-Bucket oder falsch konfigurierte Freigaben können bereits zu Strafen durch Aufsichtsbehörden führen.

Die Haftungsverteilung zwischen Verantwortlichem und Auftragsverarbeiter ist in der DSGVO geregelt. Vertragliche Haftungsbeschränkungen gegenüber Betroffenen wirken nur eingeschränkt.

Neben Bußgeldern drohen:

• Schadensersatzansprüche von Betroffenen (Art. 82 DSGVO)
• Reputationsschäden
• Abmahnungen und Unterlassungsklagen

Datenschutzverstöße in der Cloud: Meldepflichten und Reaktion

Eine meldepflichtige Datenschutzverletzung nach Art. 4 Nr. 12 DSGVO liegt vor bei:

• Unbefugtem Zugriff auf personenbezogene Daten
• Verlust oder Diebstahl von Daten
• Unbeabsichtigte Offenlegung (z. B. durch Fehlkonfiguration)
• Gehackte Cloud-Konten

Die 72-Stunden-Frist: Ab Kenntnis der Verletzung müssen Sie die zuständige Aufsichtsbehörde informieren.

Vereinbarungen mit dem Cloud-Anbieter:

• Klare Regelung zur Meldung von Sicherheitsvorfällen im AVV
• Security Incident Notification
• Zugang zu Statusseiten und Ticket-Systemen

Checkliste bei Cloud-Datenpanne:

1. Vorfall eingrenzen und dokumentieren
2. Betroffene Zugänge sperren
3. Protokolle und Logs prüfen
4. Risiko für Betroffene bewerten
5. Meldung an Aufsichtsbehörde vorbereiten
6. Ggf. Betroffene informieren

Haftungsfragen gegenüber Kunden, Mitarbeitenden und Behörden

Kernaussagen zur Haftung:

• Unternehmen haften gegenüber Kunden und Mitarbeitenden bei Verstößen
• Schadensersatz umfasst auch immateriellen Schaden 
• Haftungsbeschränkungen wirken regelmäßig nur im Innenverhältnis zwischen Auftraggeber und Auftragsverarbeiter, nicht jedoch gegenüber betroffenen Personen oder Aufsichtsbehörden
• Gegenüber Betroffenen und Behörden bleiben Sie voll verantwortlich
• Vorstände und Geschäftsführer können persönlich haften

Risikominimierung:

• Technische Maßnahmen konsequent umsetzen
• Gründliche Anbieterprüfung dokumentieren
• Cyber-Versicherung prüfen
• Regelmäßige Audits durchführen

Fazit: So gelingt Cloud Datenschutz in der Praxis

DSGVO-konforme Cloud-Nutzung ist möglich und für viele Unternehmen durch Remote Work und Homeoffice unverzichtbar geworden. Durch eine sorgfältige Anbieterauswahl, sichere Verträge, die richtige Konfiguration, technische und organisatorische Maßnahmen (TOM) und eine laufende Überprüfung der bestehenden Prozesse können Unternehmen ihre Risiken managen und die Vorteile von Cloud-Computing bestmöglich nutzen.

Kommt es hingegen zu Datenschutzverstößen, liegt die Verantwortung beim Unternehmen. Es drohen Bußgelder und Haftungsansprüche von Betroffenen. Nehmen Sie daher das Thema Datenschutz in der Cloud unbedingt ernst.

Lassen Sie sich im Zweifel professionell beraten. Wir unterstützen Sie dabei, Cloud-Anbieter und andere Dienstleister DSGVO-konform in Ihre Unternehmensprozesse einzubinden, potenzielle Schwächen und Haftungsrisiken zu minimieren und den Datenschutz in Ihrem Unternehmen insgesamt auf ein solides Fundament zu stellen.

FAQ zu Cloud Datenschutz (häufige Fragen)

Darf ich US-Cloud-Dienste wie Microsoft 365 oder Google Workspace nach DSGVO nutzen?

Ja, die Nutzung ist grundsätzlich möglich, wenn bestimmte Voraussetzungen erfüllt werden. Unternehmen müssen einen DSGVO-konformen AV-Vertrag abschließen, die Datenübermittlung in die USA nach Art. 44 ff. DSGVO absichern (derzeit über das EU-US Data Privacy Framework) und technische sowie organisatorische Schutzmaßnahmen implementieren. Zudem sollten die Aufsichtsbehörden-Empfehlungen beachtet und dokumentiert werden.

Brauche ich für jede Cloud-Anwendung einen Eintrag im Verzeichnis der Verarbeitungstätigkeiten?

Ja, sofern in der Cloud personenbezogene Daten verarbeitet werden, muss die jeweilige Verarbeitungstätigkeit nach Art. 30 DSGVO dokumentiert werden. In der Praxis wird häufig pro Geschäftsprozess (z. B. „E-Mail-Kommunikation mit Microsoft 365”, „Kundenverwaltung im CRM X”) ein Eintrag angelegt, in dem die Nutzung des jeweiligen Cloud-Dienstes einschließlich Anbieter, Speicherort und Rechtsgrundlage beschrieben ist.

Reicht es aus, wenn der Cloud-Anbieter in seiner Werbung mit „DSGVO-konform” wirbt?

Nein, ein bloßes Werbeversprechen genügt nicht. Unternehmen müssen selbst prüfen und dokumentieren, ob der Anbieter tatsächlich die Anforderungen erfüllt – etwa durch Einsicht in AV-Vertrag, TOM-Beschreibungen, Zertifikate (ISO 27001, BSI C5 etc.), Angaben zum Datenstandort sowie zum Umgang mit Unterauftragsverarbeitern. Die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO liegt beim Unternehmen.

Sind private Cloud-Nutzungen (z. B. Familienfotos in der iCloud) von der DSGVO betroffen?

Die rein persönliche oder familiäre Nutzung (Haushaltsausnahme nach Erwägungsgrund 18 DSGVO) fällt in der Regel nicht unter die DSGVO. Sobald jedoch personenbezogene Daten außerhalb des rein privaten Bereichs verarbeitet werden, etwa Kundendaten eines Kleinunternehmens in einem privaten Cloud-Konto, greift die DSGVO vollständig und es gelten die gleichen Anforderungen wie für größere Unternehmen.

Muss ich Betroffene informieren, wenn ich ihre Daten in einer Cloud speichere?

Ja, nach Art. 13 und 14 DSGVO müssen Betroffene informiert werden, welche personenbezogenen Daten zu welchen Zwecken verarbeitet werden, welche Empfänger und Auftragsverarbeiter eingebunden sind und ob eine Übermittlung in Drittländer stattfindet. In der Praxis wird dies über eine Datenschutzerklärung (z. B. auf der Website) und ergänzende Hinweise in Verträgen oder Formularen umgesetzt, in denen der Einsatz bestimmter Cloud-Dienste (z. B. Newsletter-Tool, Terminbuchungsplattform, CRM) transparent gemacht wird.

WhatsApp ist eine der am meisten genutzten Kommunikationsplattformen in Europa, daher ist das Interesse bei Unternehmen groß, diesen auch für die Kommunikation mit potenziellen Kunden zu verwenden.

Die speziell für Unternehmen entwickelte Lösung WhatsApp Business und die Schnittstelle WhatsApp Business Platform können dabei unter gewissen Voraussetzungen mit minimierten Datenschutzrisiken genutzt werden. Entscheidend dafür ist, dass:

• Sie einen Auftragsverarbeitungsvertrag (AVV) mit WhatsApp schließen.
• WhatsApp Business ausschließlich auf Endgeräten ohne gespeicherte Kontakte betreiben, auf die WhatsApp zugreifen kann.
• Das automatische Backup von Daten deaktivieren.
• Sie für das Anschreiben von Kontakten eine Rechtsgrundlage schaffen.
• Sie über die Datenschutzbedingungen informieren und eine Möglichkeit zum Opt-Out geben.

Vollständige Rechtssicherheit ist hier allerdings nicht zu gewährleisten. Und auch für die interne Kommunikation im Unternehmen ist WhatsApp nach aktuellem Stand datenschutzrechtlich ungeeignet.

Was ist bei WhatsApp und der DSGVO grundsätzlich zu beachten?

Positiv hervorzuheben ist bei WhatsApp die Ende-zu-Ende-Verschlüsselung von Nachrichten, die somit vom Zugriff durch das Unternehmen selbst oder Ermittlungsbehörden in den USA nach derzeitigem Stand sicher geschützt sind.

Aus datenschutzrechtlicher Sicht gibt es dennoch einige Faktoren, die den Umgang mit WhatsApp nach den Vorgaben der DSGVO erschweren. Dazu gehören insbesondere die folgenden 3 Faktoren:

1. WhatsApp lädt Adressbuchdaten unverschlüsselt an Server in die USA

Eine der größten potenziellen Herausforderungen beim DSGVO-konformen Umgang mit WhatsApp ist der automatische Abgleich von Adressbuch- bzw. Kontaktdaten. Hierzu werden Daten zu im Adressbuch gespeicherten Kontakten automatisch an WhatsApp-Server in die USA gesendet.

Dies ist aus technischer Sicht insofern nachvollziehbar, als dass WhatsApp wissen muss, mit welchen anderen Nutzern der Nutzer eines Mobiltelefons über WhatsApp kommunizieren kann.

Allerdings findet diese Datenübertragung unverschlüsselt statt, weshalb WhatsApp und theoretisch auch Ermittlungsbehörden in den USA auf diese Daten zugreifen können. Zumindest in der Grundversion von WhatsApp ist das auch deshalb ein Problem, weil WhatsApp diese Daten für eigene Zwecke innerhalb des Meta-Konzerns nutzt und dafür keine Rechtsgrundlage besteht.

Dieser datenschutzrechtliche Mangel lässt sich für Unternehmen etwa dadurch umgehen, dass WhatsApp ausschließlich auf dafür vorgesehenen Firmenhandys betrieben wird, die nur Kontaktdaten zu Nutzern enthalten, für die eine Rechtsgrundlage für die Übertragung der Daten besteht. Dies sicherzustellen, wird in der Praxis allerdings eine große Herausforderung darstellen.

Sie können zusätzlich auch den Abgleich der Daten unterbinden, indem Sie WhatsApp die Rechte zum Zugriff auf Ihre Kontaktdaten in den App-Einstellungen entziehen. Dies geht allerdings mit einem eingeschränkten Funktionsumfang einher und WhatsApp wird weiterhin auf rechtlich fragwürdiger Grundlage Metadaten der Kommunikation für eigene Zwecke verarbeiten. Etwas besser ist die Nutzung der WhatsApp Business Platform, da hier auf eine automatische Adressbuchsynchronisation vollständig verzichtet wird.

2. Weitere Metadaten werden automatisiert an WhatsApp übertragen

Neben den Kontakten aus dem Adressbuch des Telefons werden bei der Nutzung des Messengers noch weitere Metadaten ohne Ende-zu-Ende-Verschlüsselung an Server in den USA übertragen. Dazu gehören etwa der Standort, die IP-Adresse und Informationen zum verwendeten Gerät.

Damit dies einigermaßen DSGVO-konform geschehen kann, müssen Sie als Unternehmen einen Auftragsverarbeitungsvertrag (AVV) mit WhatsApp schließen, in dem die Rechte und Pflichten des Unternehmens im Bezug auf die Verarbeitung mit personenbezogenen Daten klar geregelt sind. Dies ist nur bei WhatsApp Business und der WhatsApp Business Platform möglich. An dieser Stelle sei darauf hingewiesen, dass rechtliche Risiken damit nicht vollständig eliminiert werden. Die verwendete AVV wurde vielfach, unter anderem von Aufsichtsbehörden, kritisiert.

3. Automatische Backups über Cloud-Dienste

WhatsApp bietet standardmäßig automatische Backups über Cloud-Dienste Google Drive oder Apple iCloud an, um im Falle des Verlusts eines Mobiltelefons Kontakte und Nachrichtenverläufe wiederherstellen zu können.

Hier gibt es gleich mehrere Probleme mit der DSGVO-Konformität. Es müssen etwa mit den Cloud-Anbietern weitere AVV-Verträge geschlossen werden, was sich je nach Anbieter als schwierig bis unmöglich gestalten kann.

Zudem können verschlüsselte Nachrichten zwar mittlerweile ebenfalls verschlüsselt gespeichert werden, doch die Funktion muss manuell aktiviert werden und es ist unklar, ob dies DSGVO-Anforderungen vollumfänglich genügt, da die Schlüsselverwaltung weiterhin unklar ist.

Der einzig sichere Weg ist daher, die automatische Backup-Funktion komplett zu deaktivieren.

Worin unterscheiden sich WhatsApp, WhatsApp Business und die WhatsApp Business Platform?

WhatsApp Business unterscheidet sich von der Anwendung für Privatnutzer vor allem in folgender Hinsicht:

• Es erlaubt, einen AVV mit dem Anbieter abzuschließen, was für eine DSGVO-konforme Nutzung in Unternehmen unverzichtbar ist.
• Es kann ein Unternehmensprofil angelegt werden, das seinerseits mit 5 bis 10 Geräten (je nach Tarif) verknüpft werden kann.
• Es können automatisierte Nachrichten bzw. automatische Antworten eingerichtet werden.

Aufgrund des Zuschnitts der Funktionen und der starken Einschränkung der verknüpfbaren Geräte ist WhatsApp Business auf den Kontakt mit potenziellen Kunden optimiert. Für die interne Nutzung ist es denkbar ungeeignet, hier würden sich außerdem weitere Datenschutzprobleme ergeben.

Die WhatsApp Business Platform ist keine eine eigene Anwendung, sondern eine Schnittstelle, über die Unternehmen WhatsApp Business über eine Drittanbieter-Plattform nutzen können. Diese Anbieter sind als sogenannte Business Solution Provider (BSP) allesamt bei WhatsApp zertifiziert.

Wird ein solcher Drittanbieter genutzt, muss auch mit diesem ein AVV abgeschlossen werden. Zudem sollte sichergestellt sein, dass dieser sich selbst an die Vorgaben der DSGVO hält. Ratsam sind daher Anbieter mit Server-Standort in Europa.

Kann ich WhatsApp Business DSGVO-konform nutzen?

WhatsApp Business ist nur auf den Einsatz im Kontakt zwischen Unternehmen und (potenziellen) Kunden zugeschnitten und sollte nicht für die unternehmensinterne Kommunikation genutzt werden. Hierfür gibt es Alternativen wie bspw. Slack, über das wir ebenfalls einen Artikel geschrieben haben.

Abschluss eines AVV

Die erste Voraussetzung für die möglichst rechtskonforme Nutzung von WhatsApp Business ist der Abschluss eines AVV mit dem Anbieter, was standardmäßig möglich ist.

Sollte das derzeit gültige EU-US Data Privacy Framework (DPF) scheitern, wofür zumindest einige Anzeichen sprechen, müssen weitere Maßnahmen ergriffen werden, um den Datentransfer in die USA abzusichern, also z. B. die Standardvertragsklauseln der EU abgeschlossen werden. Dieses Problem betrifft jedoch alle Dienste mit Anbietern in den USA. Ein Restrisiko bleibt daher immer.

Wird ein Drittanbieter als Schnittstellenanbindung an die WhatsApp Business Platform genutzt, muss auch mit diesem ein AVV abgeschlossen werden. Zudem sollte sichergestellt sein, dass dieser sich selbst an die Vorgaben der DSGVO hält. Ratsam sind daher Anbieter mit Standort in Europa.

Technische und organisatorische Maßnahmen

Die nächste Voraussetzung für die möglichst DSGVO-konforme Nutzung von WhatsApp Business ist die Umsetzung von technischen und organisatorischen Maßnahmen, um den Datenschutz bestmöglich zu wahren.

Konkret geht es hier vor allem um die Einstellungen auf den Geräten, auf denen WhatsApp Business installiert ist, sowie um die Einstellungen in WhatsApp selbst. Stellen Sie dabei folgende Dinge sicher:

• Deaktivieren Sie die automatische Kontaktsynchronisation, um sicherzustellen, dass keine personenbezogenen Daten von Nutzern übertragen werden, die den Nutzungsbedingungen von WhatsApp nicht zugestimmt haben. Alternativ können Sie auch sicherstellen, dass lediglich WhatsApp-Nutzer als Kontakte angelegt werden.
• Deaktivieren Sie die automatische Backup-Funktion.
• Legen Sie in Ihrem Unternehmensprofil ein Impressum an.
• Nehmen Sie WhatsApp Business in Ihre Datenschutzerklärung auf.
• Deaktivieren Sie die automatische Speicherung von Anhängen.
• Übertragen Sie keine besonders geschützten personenbezogenen Daten wie etwa Gesundheitsdaten über den Messenger.
• Bereiten Sie Mechanismen vor, um Nutzer zu entfernen, die der Datenverarbeitung per WhatsApp nachträglich widersprechen.

Schaffung einer Rechtsgrundlage

Damit Sie (potentielle) Kunden über WhatsApp kontaktieren dürfen, muss dafür zunächst eine passende Rechtsgrundlage identifiziert werden.

Wenn Endnutzer Sie als erstes über WhatsApp kontaktieren, ist dies meist unproblematisch. Hier können Sie sich auf das berechtigte Interesse an der Verarbeitung der Anfrage berufen.

Nutzen Sie umgekehrt WhatsApp Business, um Endnutzer anzuschreiben, müssen diese in den meisten Fällen zuvor eingewilligt haben. Das bloße Hinterlegen der Telefonnummer ist dafür nicht ausreichend, wenn nicht gleichzeitig explizit darauf hingewiesen wurde, dass diese für den Kontakt per WhatsApp genutzt wird. Regelmäßig ist die Bestätigung der Einwilligung per “Double Opt-in“ erforderlich.

In Ausnahmefällen, etwa bei Werbung gegenüber Bestandskunden, kann auch ein berechtigtes Interesse in Betracht kommen. Dies muss aber individuell geprüft werden.

Beachten Sie, dass Nutzer jederzeit die Möglichkeit haben müssen, ihre Einwilligung zu widerrufen, etwa indem sie im Chat das Wort „Stopp“ schreiben.

Lassen Sie sich im Zweifel professionell beraten

Die DSGVO-konforme Nutzung von Messenger-Diensten im Kontakt mit Endkunden kann gerade im Angesicht komplexer rechtlicher Umstände, wie etwa bei der Nutzung von US-basierten Anbietern, viel Unsicherheit schüren. Beachten Sie hierzu auch die Hinweise der Datenschutzkonferenz (DSK) und Empfehlungen Ihrer zuständigen Aufsichtsbehörde.

Tatsächlich gibt es zwischen den eingesetzten Diensten teilweise große Unterschiede, was die Umsetzung bestimmter technischer und organisatorischer Maßnahmen betrifft, um Compliance zu erreichen. Neben den datenschutzrechtlichen Herausforderungen werden weitere Themen zu lösen sein, wie z. B. ein effektives Berechtigungsmanagement oder Archivierungskonzept. Unserer Auffassung nach bieten andere Anbieter ähnlich gute Lösungen mit weniger rechtlichem Risiko.

Wenden Sie sich daher im Zweifel an einen professionellen Dienstleister. Als Experten für Datenschutz beraten wir Sie gerne bei der datenschutzkonformen Einbindung und Nutzung von Kommunikationsmitteln in Ihrem Unternehmen.