Cloud Computing und Datenschutz
Datenschutzrechtliche Fragen spielen beim Cloud Computing vor allem in Public Clouds (Betrieb von IT-Services durch Vernetzung von Servern außerhalb unternehmensspezifischen Firewalls) eine hervorgehobene Rolle. Dabei geht es nicht ausschließlich „nur“ um eine datenschutzkonforme Umsetzung und Nutzung der Cloud-Angebote. Es dürften auch Zweifel hinsichtlich der Sicherheit und Geheimhaltung von sensiblen Unternehmensdaten in der Cloud sein, die manche Nutzer von der Inanspruchnahme von Cloud-Services abhalten.
Werden personenbezogene Daten in der Cloud verarbeitet, handelt es sich regelmäßig um eine Auftragsdatenverarbeitung (§ 11 Bundesdatenschutzgesetz), deren Zulässigkeit zahlreichen gesetzlichen Vorgaben unterliegt. Der Cloud-Nutzer kann seine Verantwortung hierbei nicht einfach auf den Cloud-Anbieter abwälzen. Vielmehr bleibt er dauerhaft datenschutzrechtlich „verantwortliche Stelle“ für die datenschutzkonforme Nutzung der Cloud. Das Bundesdatenschutzgesetz legt dem Cloud-Nutzer umfangreiche Pflichten auf. So muss er sich etwa schon vor Beginn der Datenverarbeitung in der Cloud beim Cloud-Anbieter überzeugen, dass dieser für die Datenverarbeitung geeignet ist, dies dann regelmäßig kontrollieren und die Ergebnisse darüber hinaus auch dokumentieren. Zudem ist ein schriftlicher Vertrag abzuschließen, der zahlreiche vom Gesetz vorgegebene Punkte enthalten muss (bspw. Gegenstand und Dauer des Auftrags sowie Umfang, Art und Zweck der vorgesehenen Datenverarbeitung, oder die laut Gesetz zu treffenden technischen und organisatorischen Maßnahmen, die erforderlich sind, um die datenschutzrechtlichen Vorgaben zu gewährleisten).
Ein besonderer Fokus ist darauf zu legen, wohin personenbezogene Daten vom Cloud-Anbieter übermittelt werden. Denn eine Übermittlung ist grundsätzlich nur in Mitgliedstaaten der Europäischen Union, den Europäischen Wirtschaftsraum oder in sog. sichere Drittstaaten (bspw. Argentinien, Schweiz) zulässig. Eine Übermittlung in andere Länder ist dagegen nur bei Vereinbarung der sog. EU-Standardvertragsklauseln, bzw. in den USA bei Anschluss an die Safe Harbour Principles, zulässig. Soweit sich ein Public-Cloud-Anbieter verschiedener und wechselnder Sub-Anbieter bedient (sog. Multi-Vendor-Managament), werden die datenschutzrechtlichen Vorgaben allerdings nur schwer einzuhalten sein.
Bei einer Auslagerung sensibler Daten in die Cloud sind Unternehmen zudem in besonderer Weise auf die Sicherheit und Geheimhaltung ihrer Betriebs- und Geschäftsgeheimnisse angewiesen. Inwieweit dies bei der Inanspruchnahme von Cloud-Diensten gewährleistet werden kann, ist also vorher kritisch zu prüfen. Einem staatlichen Zugriff seitens Behörden wird man sich in vielen Fällen jedenfalls nicht entziehen können. In diesem Zusammenhang kommt vor allem die Zugriffsmöglichkeit durch den US-Patriot-Act vermehrt in das Bewusstsein der Cloud-Nutzer. Dieses in Folge der Terroranschläge von 9/11 erlassene Gesetz ermöglicht US-Behörden grundsätzlich auch Zugang zu Daten, die in der Cloud gespeichert sind. Die Einschaltung eines Gerichts ist nicht erforderlich – die Behörden können eine Beschlagnahme direkt anordnen. Allerdings wird man einen solchen Zugriff wohl auch nicht durch die ausschließliche Benutzung von „EU-Clouds“ verhindern können, da es auch dann durchaus noch Zugriffsmöglichkeiten gibt. Daneben sollte sich der Cloud-Nutzer auch darüber bewusst sein, dass es in EU-Ländern ebenfalls weitgehende Möglichkeiten für Sicherheitsbehörden gibt, zur Terrorismusbekämpfung an Daten heranzukommen.
Haben Sie Fragen? Kontaktieren Sie uns hier unverbindlich.