single.php
< Beitrag von Matthias Rosa

Rechtliche Fragen des Cloud Computing – Gastbeitrag

Cloud-Anwendungen sind heutzutage für Unternehmen nicht mehr wegzudenken, bietet ihr Einsatz doch eine Vielzahl an Vorteilen für den eigenen Betrieb. Dies betrifft u. a. die Datenaktualität und deren Verfügbarkeit, eine verringerte Komplexität und damit aus Unternehmersicht ein nicht selten unerhebliches wirtschaftliches Einsparungspotenzial.

Letztlich geht es beim Cloud Computing vor allem um eine optimale Ressourcenausnutzung. Beim Einsatz von Cloud-Lösungen sollten Unternehmen jedoch auch rechtliche Fragen des Cloud Computing nicht außer Acht lassen. Betroffen sind beispielsweise Fragen der Vertragsgestaltung, des Urheberrechts und nicht zuletzt des Datenschutzrechts.

Immer dann, wenn der Cloud-Anbieter Zugang zu personenbezogenen Daten, d. h. Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person erhält, ist das Bundesdatenschutzgesetz (BDSG) zu beachten. Hierbei kann es genügen, wenn eine natürliche Person direkt oder indirekt mittels Zuordnung zu einer Kennnummer, oder etwa zu einer Online-Kennung bestimmt werden kann.

Die Auftragsdatenverarbeitung

Im Datenschutz gilt das Verbotsprinzip, d. h. die Verarbeitung personenbezogener Daten ist grundsätzlich verboten, es sei denn, es liegt ein gesetzlicher Erlaubnistatbestand oder die Einwilligung des Betroffenen vor. Um datenschutzrechtlich konform zu sein, müssen im Falle einer Verarbeitung personenbezogener Daten durch einen Cloud-Anbieter im Auftrag eines Unternehmens die Anforderungen einer Auftragsdatenverarbeitung (ADV) gemäß § 11 BDSG erfüllt werden. Eine solche Vereinbarung muss schriftlich festgehalten werden.

Hinzukommen die mit der ADV einhergehenden Kontrollpflichten, die gegenüber dem Anbieter wahrzunehmen sind, d. h. der Anwender hat dafür zu sorgen, dass der Cloud-Anbieter die vertraglichen Vorgaben auch umsetzt.

Die fehlende oder unvollständige schriftliche Vereinbarung ist eine Ordnungswidrigkeit, die mit einem Bußgeld u. a. bis zur Höhe des aus dem Verstoß resultierenden wirtschaftlichen Vorteils belegt werden kann.

Verantwortlich und haftbar ist immer der Cloud-Anwender und nicht der Dienstleister, der Daten mit Personenbezug verarbeitet.

Ab 2018 ist zudem die europäische Datenschutzgrundverordnung bindend. Bei entsprechenden Verstößen drohen dann weit höhere Geldbußen, als es aktuell der Fall ist.

Auch bei grenzüberschreitender Datenverarbeitung bleibt der Anwender verantwortliche Stelle und hat für die Einhaltung des Datenschutzrechts zu sorgen. Findet die Datenverarbeitung physisch innerhalb des Europäischen Wirtschaftsraums (EWR) statt, hat der Anwender ebenfalls für den Abschluss eines Vertrages über die Auftragsdatenverarbeitung und dessen Einhaltung zu sorgen.

Ein angemessenes Datenschutzniveau

Außerhalb des EWR gelten für den Datentransfer strenge Anforderungen. Der Anwender muss sicherstellen, dass ein angemessenes Datenschutzniveau im Drittland der Datenverarbeitung vorliegt. Handelt es sich nicht um personenbezogene Daten besonderer Art, wie etwa Gesundheitsdaten, kann hier eine vertragliche Vereinbarung verwendet werden, die dem Pflichtenkatalog von § 11 BDSG entspricht. Besteht kein anerkanntes Datenschutzniveau im Drittstaat, muss der Anwender sich ausreichende Garantien (z. B. aus EU-Standardvertragsklauseln) zum Schutz des allgemeinen Persönlichkeitsrechts und der Ausübung damit verbundener Rechte einräumen lassen.

Für manche Länder wird von der EU ein angemessenes Datenschutzniveau anerkannt. Die USA gehören nicht hierzu. Früher konnten sich US-Cloud-Anbieter freiwillig gegenüber dem US-Handelsministerium selbst als sogenannte Safe Harbour Principles zertifizieren. Dieses „Verfahren“ wurde jedoch immer wieder kritisiert und aufgrund des Urteils des Europäischen Gerichtshofs (C -362/14) vom 06.10.2015 durch den EU-US-Privacy-Shield abgelöst. Dabei soll es sich um verbindliche Garantien zur Wiederherstellung des Vertrauens in den transatlantischen Datenverkehr handeln.

Ab dem 01.08.2016 können sich Firmen aus den USA gemäß den entsprechenden Vorgaben verpflichten. Betroffene EU-Bürger sollen dadurch u. a. die verbindliche Zusage erhalten, dass alle aus der EU empfangenen personenbezogenen Daten entsprechend der Privacy-Shield-Grundsätze behandelt werden. Sie erhalten zudem das Recht, Zugang zu den sie betreffenden personenbezogenen Daten verlangen zu können. Weiterhin besteht eine Schlichtungsstelle.

Das EU-US-Privacy-Shield wird jedoch von verschiedenen Seiten kritisiert. So sind US-Geheimdienste (NSA, FBI, CIA etc.) nach wie vor ermächtigt (z. B. durch den Patriot Act), auf eine Datenverarbeitung in Europa zuzugreifen, wenn ein Cloud-Anbieter zumindest auch in den USA geschäftlich tätig ist. Kritik kommt dabei auch von der Artikel-29-Datenschutzgruppe (G29), dem unabhängigen Beratungsgremium der EU zu Fragen des Datenschutzes.

Für Nutzer von Cloud-Diensten stellt sich die aktuelle Situation als ein Spagat zwischen rechtlichen Anforderungen, vor allem den Vorgaben und Vorstellungen der Aufsichtsbehörden, und der Realität der angebotenen Cloud-Dienste dar.

Was können Cloud-Anwender tun?

Ein besonderes Augenmerk sollte man auf den jeweiligen Vertrag mit dem Cloud-Anbieter legen. Dabei sollte man u. a. darauf achten, wo sich die Standorte der Datenverarbeitung, einschließlich Backup, befinden bzw. ob diese im Vertrag überhaupt bekannt gegeben werden. Sofern möglich, sollte die Datenverarbeitung innerhalb der EU bzw. der EWR stattfinden. Die vertraglichen Vorgaben sollten dabei so transparent wie möglich sein, dies betrifft auch die Bekanntgabe aller Subunternehmer des Cloud-Anbieters.

Letztlich können auch Zertifizierungen für die Entscheidung herangezogen werden, um den richtigen Anbieter zu finden.

Zum Autor:
Matthias Rosa ist Fachanwalt für Informationstechnologierecht bei der Kanzlei RESMEDIA Mainz.

Folgen
X

Folgen

E-mail : *
Kategorie: Cloud | Schlagwörter: | Kommentare: 0

Beitrag kommentieren

CAPTCHA * Time limit is exhausted. Please reload CAPTCHA.