Cloud Computing-Lösungen werfen immer wieder datenschutzrechtliche Fragen auf. Vor allem die Frage, was mit den Daten im Ausland passiert, ist schwierig zu beantworten. 2012 wird es kein neues Cloud Computing-Gesetz geben, dafür soll die auch für Deutschland maßgebliche EU-Datenschutzrichtlinie neu gefasst werden. Im Arbeitnehmerdatenschutz wird sich ebenfalls einiges ändern.

Die Rahmenbedingungen der IT-Wirtschaft sind stark durch rechtliche Vorgaben geprägt. Auch im Jahre 2012 werden mit der Novelle zum Arbeitnehmerdatenschutz neue relevante Regelungen in Kraft treten. Zudem wird die rechtliche Behandlung von zentralen technischen Entwicklungen wie des Cloud Computing weiter erhellt.

Rechtliche Aspekte von Cloud Computing

Die intensive aktuelle Diskussion um das Cloud Computing (prominente Anwendungsbeispiele: Amazon Web Services, iCloud oder Facebook) ist zu einem guten Teil der anschaulichen Wolken-Metapher zu verdanken. In der Realität der Tagespraxis bestehen jedoch erhebliche technische Herausforderungen, insbesondere die Gewährleistung von Informationssicherheit, die nahtlose Migration der Daten sowie eben rechtliche Probleme. Selbst ohne vertiefte Rechtskenntnisse drängt sich die Überlegung auf, dass Datenschutz und Datensicherheit bei Cloud Computing in besonderem Maße Bedeutung erlangen. Gerade die Verwaltung von Personaldaten und Kundendaten (Stichwort: CRM – Customer Relationship Management) sind Hauptanwendungsfelder des Cloud Computing. Daher unterliegt die dortige Verarbeitung personenbezogener Daten auch den Regelungen des Bundesdatenschutzgesetzes.

Aufgrund der dezentralisierten Struktur des Cloud Computing ist es jedoch oft nicht einfach zu beantworten, wo die Daten verarbeitet und gespeichert werden. Selbst wenn ein deutscher Cloud Computing-Provider beauftragt ist: verarbeitet werden die Daten unter Umständen in Indien, Brasilien oder in den USA. Die EU-Datenschutzpraxis sieht jedoch nur in wenigen Staaten außerhalb der EU ein angemessenes Datenschutzniveau für gewährleistet an. Um dennoch, Cloud Services von dort aus anbieten zu können, müssen detaillierte vertragliche und technische Voraussetzungen erfüllt und gegebenenfalls auditiert sein. Bei speziellen Nutzungen des Cloud Computing, etwa im Bankenbereich (Regulierung des Outsourcing) oder bei der steuer- und handelsrechtlichen Archivierung, ergeben sich zusätzliche rechtliche und technische Anforderungen. Und auch lizenzrechtlich gilt nicht mehr der Software User, sondern ausschließlich der Cloud-Anbieter als der urheberrechtliche Nutzer der Software, denn sie wird lediglich »virtuell« genutzt. Gut sichtbar wird dieser Aspekt etwa bei den Email-Diensten von GMX oder Googlemail: Bloß für die Dauer des Zugangs zum Postfach bedient sich der User des Programms, anders als etwa bei einem Outlook-Client, ist das Programm gerade nicht lokal auf dem PC installiert.

1. 2012 wird kein Cloud-Computing-Gesetz kommen
2. 2012 wird kein Cloud-Computing-Gesetz kommen (Fortsetzung)
3. IT-relevante Neuregelungen zum Datenschutz