Das Grundproblem hinsichtlich des Zugriffs auf die Daten ist also gelöst. Jedoch ist weiterhin die Weitergabe von personenbezogenen Daten Dritter in die Cloud am Bundesdatenschutzgesetz (BDSG) zu beurteilen. Ebenso bedürfen auch die Datenschutzbestimmungen der Cloud-Computing-Anbieter einer kurzen Beleuchtung.
Rechtlich problematisch sind vor allem zwei Punkte. Zum einen die Datensicherheit und zum anderen die Weitergabe von personenbezogenen Daten.
Zunächst zum Schutz der Daten in der Cloud. Ein inzwischen gelöstes Problem war anfänglich die Sicherheit des Zugriffs auf die Anwendungsdaten beim Transfer zwischen dem lokalen Client, also dem Anwender, und dem weit entfernten Server zu gewährleisten. Heute garantieren technische Verschlüsselungen wie etwa SSL/TLS die Absicherung des Zugriffs.
Auch der Verschlüsselung der Daten, welche in den Weiten der Cloud gespeichert werden, wurde bereits mit entsprechendem technischem Know-how begegnet und man hat auch hierfür Sicherheitssysteme entwickeln können.
Zugriff auf Daten durch Anbieter
Die derzeit letzte und mithin größte Aufgabe, die es im Bereich des Datenschutzes zu lösen gilt, ist, dass die Administratoren der Cloud-Anbieter und der Dienste Zugriff auf die Daten der Nutzer während der Verarbeitung haben. Wohl nicht ganz von der Hand zu weisen ist daher der Vorwurf einiger kritischer Stimmen, dass die Anbieter durch die Kontrolle der Dateien, die die User in die Cloud gegeben haben, immer mehr Einfluss bekommen würden. Technisch gibt es mittlerweile mehrere Ansätze, die versuchen, die Daten für den Diensteanbieter so weit wie möglich unlesbar zu machen. Die größte Schwierigkeit aller Ideen dürfte sein, dass eine große Menge an Daten in der Cloud stets verfügbar sein soll und dass mit diesen Daten jederzeit ein effizientes Arbeiten gewährleistet werden soll. Um diese Voraussetzungen zu erfüllen, ist noch keine „Patentlösung“ vorhanden.
Die zuvor genannten Sicherheitsprobleme sind der Grund dafür, dass das Cloud-Computing noch nicht in der Industrie angekommen ist, obwohl es viel Optimierungspotential gegenüber anderer Technologien bereithält. Dies kann auch darauf zurückzuführen sein, dass Firmen Ihre Geschäftsgeheimnisse nicht auf einer „Rechnerwolke“ gespeichert sehen möchten, sondern dem Server „im Keller“ den Vorzug geben, auch wenn damit keine Einsparungen hinsichtlich des Kostenfaktors Software und Hardware einhergehen.
Die Industrie ist jedoch nicht nur hinsichtlich der Sicherheitsprobleme dem Cloud-Computing gegenüber skeptisch. Hinzu kommt oftmals eine Rechtsunsicherheit im Bezug darauf, welches Landesrecht zur Anwendung gelangt, wenn es um die Frage des Datenschutzrechts geht. Nach dem Europäischen Gerichtshof dürfen Daten nur eingeschränkt in die Vereinigten Staaten gelangen, da diese regelmäßig dem dortigen Recht unterliegen. Nach dem Patriot Act müssen amerikanische Anbieter Daten an die dortigen Behörden ausliefern, die sich im fremden Hoheitsgebiet befinden. In Amerika befindet sich so gut wie die gesamte Infrastruktur. Die Server stehen auf der ganzen Welt in Rechenzentren. Eine genaue Lokalisierung ist nahezu unmöglich.
Schutz personenbezogener Daten als Hindernis
Probleme ergeben sich dann für deutsche Auftraggeber, die personenbezogene Daten in die Hände eines ausländischen Cloud-Anbieters geben. Hier gilt nach wie vor das Bundesdatenschutzgesetz (BDSG).
Nach § 9 BDSG haben Unternehmen, die Daten erheben, verarbeiten und/oder speichern technische und organisatorische Maßnahmen zu treffen, welche nach dem BDSG erforderlich sind. Diese Norm richtet sich auch an Cloud-Diensteanbieter. Im Einzelnen ist die Organisation der innerbetrieblichen Abläufe bei dem Dienstleister so zu wählen, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Hierzu gehört etwa das Einrichten von Zutritts-, Zugangs- und Zugriffskontrollen. Auch vor Verlust und Beschädigung von elektronischen Daten müssen hinreichende Schutzmaßnahmen getroffen werden. Grenzen der nötigen Vorkehrungen ergeben sich aus § 9 Absatz 2 BDSG, wonach nur erforderlich ist, was in einem angemessenen Aufwand zum angestrebten Schutzzweck steht. Aufgrund der unbestimmten Rechtsbegriffe ist stets eine Abwägung des Einzelfalls vorzunehmen.
Erlaubt ist eine Datenverarbeitung nach dem BDSG dann, wenn das Gesetz selbst es zulässt (§ 4 BDSG) oder aber der Betroffenen in die Verarbeitung seiner Daten einwilligt. § 4a BDSG bestimmt unter anderem, dass eine Einwilligung schriftlich zu erfolgen hat. In der Praxis ist die Einholung eines schriftlichen Einverständnisses unökonomisch und auch impraktikabel, so dass zwingend ein gesetzlicher Ausnahmetatbestand eingreifen muss.
Eine solche Ausnahmekönnte in § 11 BDSG zu finden sein. Die Norm befasst sich mit der Auftragsdatenverarbeitung. Liegt ein solches zwischen dem Diensteanbieter und dem Kunden vor, wird die Übermittlung der Daten vom Kunden an den Anbieter nicht als Datenverarbeitung oder Datenübermittlung im Sinne des Gesetzes angesehen. Der Dienstleister wird vielmehr als zum Kunden zugehörig angesehen, zumal er nötiger Weise streng weisungsgebunden im Sinne des Kunden handeln muss. Damit eine Auftragsdatenverarbeitung vorliegt, muss auch das vertragliche Regelwerk rechtlich sehr genau und lückenlos angepasst werden. Dies ist kaum möglich. Hinzu kommt, dass die Cloud-Server aufgrund eines erforderlichen vergleichbaren Schutzniveaus in einem EWR-Staat beheimatet sein müssen (§ 4b BDSG), da ansonsten von einem nicht ähnlichen Datenschutz wie in Deutschland auszugehen sein wird und somit schon deswegen ein Verstoß gegen das BDSG eintritt. Dies widerspricht aber – wie schon erwähnt – der Realität.
Ferner kann § 28 BDSG zur Anwendung gelangen. Hiernach sind die Datenverarbeitung und die Datennutzung als Mittel zur Erfüllung eigener Geschäftszwecke zulässig, soweit sie zur Wahrung berechtigter Interessen erforderlich sind und gleichzeitig das schutzwürdige Interesse des Betroffenen nicht überwiegt. Allein finanzielle Vorteile, die den Vertragspartnern entstehen, können die Interessen schutzwürdiger Dritter in der Regel nicht überwinden.
Festzuhalten ist also, dass keine datenschutzrechtliche Ausnahmevorschrift greift, die die Einholung der Einwilligung des betroffenen Dritten, ersetzen würde. Es bleibt nunmehr dabei, die Einwilligung einholen zu müssen. Das dürfte wohl das größte Problem im Hinblick auf die Datensicherheit beim Cloud-Computing sein.
Zusätzlich müssen sich deutsche Auftraggeber vor der Abgabe von personenbezogenen Daten in die Cloud sowie im Anschluss regelmäßig nachvollziehbar davon überzeugen, dass das BDSG eingehalten wird.
Die Nutzungsbedingungen der Anbieter und deren Datenschutzbestimmungen
Zur Einhaltung der Datenschutzbestimmungen wird bei allen Formen des Cloud-Computings wenig rechtlich Interessantes oder gar Überraschendes gesagt. Im Kern gibt jeder Anbieter an, sich an die geltenden Datenschutzrechte zu halten. Der Umfang der Verarbeitung und Verwaltung der Daten wird zumeist ausdrücklich auf das Nötigste beschränkt. Zur Speicherung der Daten wird in der Regel ein Einverständnis im Rahmen des Regelwerks unterstellt. Die Erfassung der personenbezogenen Daten rechtfertigen viele Anbieter von „Public Clouds“ nach den selbst formulierten Bedingungen derart, dass freiwillig gemachte Angaben wie insbesondere die im Zuge der Registrierung abgefragten, erfasst werden dürfen. Diese Praktiken dürften – zumindest nach den meisten europäischen gesetzlichen Regelungen – aufgrund des zuvor gesagten mehr als fraglich sein. Im Zweifel wird daher ein Einverständnis nicht wirksam fingiert werden können.
Einige „Public Cloud“-Anbieter verpflichten sich, die vorgehaltenen Daten durch umfassende betriebliche und technische Maßnahmen vor unbefugten Zugriff und Missbrauch zu schützen. Beim „Private Cloud-Computing“ und des „Hybrid Cloud-Computing“ ist es nicht unüblich, dass die Dienstleister gehostete Daten der Kunden nicht besonders sichern. Es wird lediglich ein Fern-Backup erbracht, welches den Kunden von der Erbringung der vollständigen Sicherung durch ihn selbst als alleinigen Administrator nicht befreit.
Jedenfalls einhellig bei jeder Form des Cloud-Computings ist das Versprechen der Anbieter, dass erhobene Daten nicht unbefugten Dritten ausgehändigt werden und diese vertraulich behandelt werden.
Mehr Beiträge aus unserer Serie zum Thema „Cloud“:
(Bild: © nirots – Fotolia.com)
[box type=“info“ size=“medium“] Dieser Beitrag wurde von Katharina Scharfenberg verfasst. Sie ist Rechtsanwältin für Urheber- und Medienrecht. Rechtsanwältin Katharina Scharfenberg studierte Rechtswissenschaften an der Freien Universität Berlin. Das Referendariat absolvierte sie in Berlin und Krakau. Nach dem 2. Staatsexamen arbeitete sie in der Rechtsabteilung eines großen Consulting Unternehmens und ist seit 2007 als Rechtsanwältin zugelassen. Frau Rechtsanwältin Scharfenberg ist ausschließlich auf dem Gebiet des Urheber- /Medienrechts und Wettbewerbsrecht tätig. Hierzu gehört ebenfalls die Beratung auf dem Gebiet des Foto- und Presserechts. [/box]