Cloud-Computing
Seit der Novelle des Bundesdatenschutzgesetzes zum September 2009 gelten strenge sicherheitsrelevante Anforderungen hinsichtlich der Auslagerung von Daten im Rahmen einer Auftragsdatenverarbeitung.
Doch wie sicher ist die Auslagerung wirklich? Was passiert, wenn mein Cloud-Anbieter seinen Hauptsitz zum Beispiel in den USA hat, wo die Rechtslage ganz anders ist?
Nachfolgend zeigen wir Ihnen die wichtigsten Fakten auf, um sich einen ersten Überblick über die aktuellen Regelungen zu verschaffen.
Datenschutz bei Cloud Computing
Sobald personenbezogene Daten im Sinne des § 3 Absatz 1 BDSG verarbeitet werden, sind die einschlägigen Datenschutzgesetze zu beachten.
Problematisch ist jedoch, dass beim Cloud Computing Daten theoretisch von überall auf der Welt verteilt und gespeichert werden können, so dass sich zunächst die Frage der rechtlichen Zulässigkeit von Datentransfers in weltweite Clouds stellt.
Auftragsdatenverarbeitung innerhalb des Europäischen Wirtsachftsraumes (EWR)
Grundsätzlich soll der Anwender bei Clouds selbst darüber bestimmen dürfen, was mit seinen Daten geschieht. Somit stellen technisch gesehen auf die EU beziehungsweise den EWR beschränkte Clouds eine klassische Auftragsdatenverarbeitung gemäß § 11 BDSG dar.
Der Anwender ist also für die übermittelten Daten verantwortlich (“Verantwortliche Stelle”). Hierzu hat der Gesetzgeber zum 1. Januar 2009 in § 11 Absatz 2 BDSG einen Maßnahmenkatalog zur Auftragsdatenverarbeitung vorgegeben, wonach ein Auftraggeber den jeweiligen Auftragnehmer (Cloud-Dienstleister) unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auswählen muss.
Darüber hinaus ist der Auftrag schriftlich zu erteilen und insbesondere sind festzulegen:
- Gegenstand und Dauer des Auftrags,
- Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
- die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,
- die Berichtigung, Löschung und Sperrung von Daten,
- die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
- die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
- die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
- mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
- der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
- die Rückgabe überlassener Datenträger und die Löschung der beim Auftragnehmer gespeicherten Daten nach Beendigung des Auftrags.
Überdies hat sich der Auftraggeber nach § 11 Absatz 2 S. 4, 5 BDSG vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen und das Ergebnis zu dokumentieren.
Datentransfers außerhalb des Europäischen Wirtschaftsraums (EWR)
Die Zulässigkeit von Datentransfers in Drittländer ist in zwei Stufen unterteilt. Auf der ersten Stufe ist zu prüfen, welcher Erlaubnistatbestand für die Übermittlung der Daten einschlägig ist. Dies richtet sich in Deutschland nach § 4 Absatz 1 BDSG. Demnach ist “die Erhebung, Verarbeitung und Nutzung personenbezogener Daten (…) nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.”
Sofern ein Erlaubnistatbestand einschlägig ist, muss auf der zweiten Stufe untersucht werden, ob beim Empfänger der übermittelten Daten gemäß § 4b BDSG ein angemessenes Datenschutzniveau gewährleistet ist.
Datenübermittlungen innerhalb der EU beziehungsweise des EWR (Europäischer Wirtschaftsraum) erweisen sich als insoweit unproblematisch, da in diesen Ländern aufgrund der EU-Datenschutzrichtlinie (EU-DSRL) vergleichbare Regelungen wie in Deutschland bestehen.
Bei Datentransfers in alle übrigen Staaten (sogenannte unsichere Drittstaaten) ist eine Datenübermittlung aufgrund des nicht vorhandenen angemessenen Datenschutzniveaus gemäß § 4b Absatz 2 Satz 2 BDSG grundsätzlich unzulässig. Jedoch bleibt die Möglichkeit, durch einen sog. EU-Standardvertrag ein angemessenes Datenschutzniveau gemäß Art. 26 Absatz 2 EU-DSRL herzustellen.
Oftmals fällt in diesem Zusammenhang auch der Begriff „Safe Harbor-Abkommen“, der von US-Unternehmen zur Herstellung eines angemessenen Datenschutzniveaus vorgebracht wird. Die Tatsache, dass Unternehmen dem Safe Harbor-Abkommen beigetreten sind, genügt nach Ansicht der Aufsichtsbehörden nicht zur Gewährleistung eines entsprechenden Datenschutzniveaus, da das Abkommen bisweilen undurchsichtig ist und viele Schwachstellen aufweist, zumal die Safe Harbor-Zertifizierung recht willkürlich und ohne flächendeckende Kontrolle abläuft.
In der Praxis stellt Safe Harbor, also der vermeintliche “sichere Hafen”, letztendlich eher einen “unsicheren Hafen” dar, der den EU-Standard nicht immer gewährleisten kann. Deshalb muss auch beim Datentransfer mit US-Unternehmen das erforderliche Datenschutzniveau mittels eines EU-Standardvertrages hergestellt werden.
Daneben lässt sich bei unsicheren Drittstaaten ein angemessenes Datenschutzniveau gemäß § 4c Absatz 2 BDSG auch durch sogenannte Binding Corporate Rules (BCR), die von der zuständigen Aufsichtsbehörde genehmigt werden, erreichen.
Zu beachten ist jedoch auch, dass bei internationalen Clouds eine Kontrolle der jeweiligen Subunternehmer nicht möglich ist. Ebenso wenig kann nachvollzogen werden, wann sich welche Daten wo befinden.
Aufgrund der oben geschilderten Problematik im Umgang mit Cloud Computing hat das Bundesamt für Sicherheit und Informationstechnik (BSI) Anfang Mai 2011 das finale Eckpunktepapier “Sicherheitsempfehlungen für Cloud Computing Anbieter (Mindestsicherheitsanforderungen in der Informationssicherheit)” veröffentlicht. Dieses stellt einen ersten Schritt zur Schaffung von Standards dar, auf deren Grundlage die Sicherheit von Cloud Diensten überprüft werden kann.
Fazit:
Vor Nutzung eines Cloud Systems ist genau zu prüfen, wie die jeweilige Cloud aufgebaut ist und in welchen Ländern sich die jeweiligen Server befinden – wo genau also die Daten verarbeitet werden.
Politik und Wirtschaft stehen bislang noch vor der Herausforderung, internationale Cloud-Standards zu entwickeln und festzulegen, damit ein angemessenes Datenschutzniveau gewährleistet und Risiken für alle Beteiligten minimiert werden können.
Cloud Computing kann aktuell mit entsprechendem technischem und juristischem Know-how mit den bestehenden gesetzlichen Vorgaben in vielen Fällen in Einklang gebracht werden. Bei der Auslagerung von sensiblen Informationen, insbesondere von personenbezogenen Daten in internationalen Public Clouds, ist Cloud Computing jedoch ohne entsprechende vertragliche Regelungen mit dem aktuellen deutschen Datenschutzrecht kaum in Einklang zu bringen.
Es kommt daher darauf an, dedizierte Regelungen mit dem Cloud-Anbieter zu treffen und ein umsetzbares Datenschutzkonzept zu vereinbaren. Die klare Empfehlung lautet deshalb, mit dem Cloud-Anbieter die Einhaltung der lokalen Datenschutzanforderungen zu vereinbaren.