Rechtliche Aspekte der Cloud-Nutzung
In der Cloud auf festem Boden
Beim Einsatz von Diensten aus der Wolke sind noch immer viele rechtliche Fragen offen. Wer die wichtigsten kennt, kann jedoch heute schon von Cloud-Services profitieren und zugleich auf der sicheren Seite bleiben.
Cloud Computing wird als die moderne Antwort auf technische Kleinstaaterei, das Mittel gegen
parzellierte Hardwarelandschaften und die Lösung für ausufernde IT-Kosten gesehen. Mit dem Einsatz
dieser Technologie verschwimmen die Grenzen zwischen getrennten Rechenzentren. IT-Ressourcen sind
plötzlich flexibel und frei skalierbar. Dennoch reagieren viele Unternehmen bisher noch sehr
verhalten auf die Möglichkeit, Daten in die Cloud zu verlagern. Und das nicht ohne Grund, sie
vertrauen weder Technik noch Anbietern, wenn es um den Umgang mit sensiblen Daten geht.
Personenbezogene Daten
Tatsächlich stößt Cloud Computing an seine rechtlichen Grenzen, wenn es um personenbezogene
Daten (Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder
bestimmbaren natürlichen Person) geht. Der Auftraggeber sollte als erstes prüfen, ob und unter
welchen Voraussetzungen deren Speicherung in der Cloud erlaubt ist. Denn die Verarbeitung
personenbezogener Daten unterliegt strengen datenschutzrechtlichen Vorschriften. Grundsätzlich
sollte hierfür die Zustimmung des Betroffenen eingeholt werden. Dies ist in der Praxis aber häufig
schwer umsetzbar. Wie kann es beispielsweise einem Großkonzern gelingen, alle in der
Kundendatenbank gespeicherten Personen um deren Zustimmung zu bitten? Abgesehen vom logistischen
und administrativen Aufwand wird erfahrungsgemäß nur ein Teil der Betroffenen auf solche Anfragen
reagieren und ein noch kleinerer Teil seine Zustimmung erteilen.
Wenn diese Voraussetzung also nicht gegeben ist, hilft eventuell die in §?11 BDSG geregelte
Auftragsdatenverarbeitung weiter. Hierfür muss der Cloud-Service-Provider die personenbezogenen
Daten "im Auftrag", das heißt auf Weisung des beauftragenden Unternehmens, verarbeiten. Der
Auftraggeber bleibt in diesem Fall dafür verantwortlich, dass die datenschutzrechtlichen
Vorschriften bei der Datenverarbeitung in der Cloud eingehalten werden. Gehen beide
Geschäftspartner so vor, fungiert der Cloud-Service-Provider einfach als "verlängerte Werkbank"
seines Auftraggebers; er gilt nicht als Dritter im Sinne des Bundesdatenschutzgesetzes, sodass
rechtlich gesehen keine zustimmungspflichtige Übertragung der Daten erfolgt.
Wichtige Regeln für dieAuftragsdatenverarbeitung
Aber man sollte sich nicht zu früh freuen, denn dieses Privileg kann das beauftragende
Unternehmen nur dann für sich in Anspruch nehmen, wenn auch die in §?11 Abs. 2 BDSG genannten
Voraussetzungen erfüllt sind: Danach darf der Auftraggeber nur einen Cloud-Service-Provider
auswählen, der mit Blick auf die von ihm zu treffenden technischen und organisatorischen Maßnahmen
für den Auftrag geeignet ist. Zudem müssen die Parteien schriftlich die folgenden Punkte
festhalten: wie und in welchem Umfang die Datenverarbeitung in der Cloud erfolgen soll, welche
weiteren Pflichten den Cloud Service Provider treffen, welche Weisungs- und Kontrollrechte der
Auftraggeber hat und was mit den ausgelagerten Daten zum Ende der Auftragsdatenverarbeitung
geschehen soll. Darüber hinaus ist der Auftraggeber verpflichtet, zu kontrollieren, ob der Anbieter
die vertraglichen Vereinbarungen während der Vertragslaufzeit auch einhält.
In der Praxis scheitert Cloud Computing mit personenbezogenen Daten an den Vorgaben des
Datenschutzes, wenn sich die gespeicherten Daten auch außerhalb des Europäischen Wirtschaftraums
(EWR) befinden können. Für eine gesetzeskonforme Verarbeitung personenbezogener Daten außerhalb des
EWRs gelten besondere Anforderungen. Dementsprechend dürfen Daten grundsätzlich nur in Ländern mit
vergleichbarem Datenschutzniveau verarbeitet werden, und auch die übrigen oben aufgeführten
Voraussetzungen für das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten
müssen gegeben sein.
EU oder außerhalb
Sollen die Daten auch in Ländern verarbeitet werden, die aus Sicht der EU ein niedrigeres
Datenschutzniveau aufweisen (zum Beispiel in den USA oder in Indien), müssen weitere Maßnahmen zum
Schutz der Betroffenen ergriffen werden. Die Parteien können zum Beispiel die
Standardvertragsklauseln für die Weitergabe personenbezogener Daten an Auftragsverarbeiter in
Drittländern (Richtlinie 95/46/EG) verwenden. Mit diesen verpflichtet sich der Auftragnehmer
vertraglich, Maßnahmen zu ergreifen, mit denen ein aus EU-Sicht akzeptables Datenschutzniveau
hergestellt wird. Diese Klauseln hat die EU vor Kurzem um Regelungen über die Vergabe eines
Unterauftrages eines Datenverarbeiters mit Sitz in einem Drittland an einen weiteren
Datenverarbeiter mit Sitz in einem Drittland ergänzt. Die neue Vorschrift regelt damit zum Beispiel
die Fälle, in denen ein in Indien ansässiger Datenverarbeiter ein anderes indisches Unternehmen als
Subunternehmer für die Datenverarbeitung einschaltet. Wird ein solcher Unterauftrag vergeben, muss
das im EWR ansässige beauftragende Unternehmen dieser Unterbeauftragung vorher schriftlich
zustimmen. Die Einführung der Unterauftragsklauseln begründet die Kommission mit dem allgemeinen "
Globalisierungstrend in den Geschäftspraktiken und Gepflogenheiten bei der Datenverarbeitung".
Ob die Nutzung von Cloud Services in Anbetracht all dieser Pflichten in Frage kommt, müssen
Anwender von Fall zu Fall entscheiden. Es gibt momentan sicherlich noch Bereiche, in denen aufgrund
ihrer Unsicherheit und Praxisferne abzuraten ist. Allerdings lassen sich viele rechtliche Hürden
mit einer entsprechenden Vertragsgestaltung auch überwinden. Da die Entscheidung für Cloud
Computing Unternehmen technisch und rechtlich fordert, sollten sie sich dem Thema schrittweise
nähern, um Risiken bewusst zu begrenzen und dennoch von revolutionären Möglichkeiten zu
profitieren.
Weitere Informationen zu einzelnen Beschlüssen sind unter blog.dlapiper.com/de/technology
zu finden.
Lesen Sie mehr zum Thema
