Im Jahr 2024 hat sich der Einsatz von Cloud- und Software-as-a-Service-Lösungen in Unternehmen weiter verstärkt. Parallel dazu rückten datenschutzrechtliche Fragen rund um Verantwortlichkeiten, Zugriffsmöglichkeiten und internationale Datenübermittlungen stärker in den Fokus.
Aufsichtsbehörden machten erneut deutlich, dass auch bei ausgelagerten IT-Diensten die datenschutzrechtliche Verantwortung grundsätzlich beim Unternehmen verbleibt. Insbesondere unklare Vertragskonstellationen und fehlende Transparenz über Datenverarbeitungen wurden kritisch bewertet.
Von besonderer Bedeutung ist in diesem Zusammenhang die Prüfung, ob und in welchem Umfang personenbezogene Daten außerhalb der Europäischen Union verarbeitet werden. Hierbei spielt die vertragliche Ausgestaltung ebenso eine Rolle wie die tatsächlichen technischen Abläufe.
Für Unternehmen empfiehlt es sich, eingesetzte Cloud- und SaaS-Dienste regelmäßig zu erfassen und die jeweiligen Verarbeitungszwecke sowie Datenkategorien zu dokumentieren. Auch vertragliche Regelungen zur Auftragsverarbeitung sollten dabei berücksichtigt werden.
Eine strukturierte Übersicht über genutzte IT-Dienste kann dazu beitragen, Transparenz zu schaffen und spätere Rückfragen von Betroffenen oder Aufsichtsbehörden sachlich zu beantworten.