Cloud Computing ist derzeit in Mode, insbesondere Begriffe wie “Software as a Service” oder “Infrastructure as a Service” sind weitverbreitet. Jedoch gibt es Konflikte mit dem deutschen Datenschutzrecht – einige Juristen sind sogar der Ansicht, dass Cloud Computing derzeit nach deutschen Recht generell unzulässig sei (ich nicht). Neben dem Datenschutzrecht dürfen beim Cloud Computing auch andere wichtige Vorschriften nicht übersehen werden, wie z.B. Aufbewahrungspflichten für Dokumente, Pflicht zur Wahrung von Betriebsgeheimnissen und ggf. die Regelungen des Verbraucherschutzrechts. Wichtig ist weiterhin die Frage des Zugriffs Dritter auf Daten in der Cloud. Dies betrifft nicht nur die Sicherheit gegen Hacker sondern insbesondere auch um legale Zugriffe, Z.B. durch Finanzbehörden oder Sicherheitsorganisationen (US-Amerikanische Behörden haben Zugriff auf alle Daten auf amerikanischen Servern!).
Bei Auslagerung von Daten in die Cloud liegt in aller Regel eine Verarbeitung personenbezogener Daten vor. Damit findet – auch bei privaten Clouds – § 9 BDSG mit seinen Anlagen Anwendung, was zu umfangreichen Anforderungen an die Datensicherheit führt. Bei Public Clouds ist zudem in der Regel eine Auftragsdatenverarbeitung im Sinne des § 11 BDSG anzunehmen, was zu weiteren rechtlichen Anforderungen führt, die ein Rechtsanwalt begleiten sollte. Insbesondere ist es aufgrund Vorgaben des Datenschutz nur schwer möglich, einen Anbieter mit Sitz außerhalb der EU zu wählen, was beim Cloud Computing offensichtlich zu erheblichen Problemen führt. Hier ist daher sicherzustellen, dass die Anbieter durch Selbstbindung und verbindliche Zusagen ein hohes Sicherheitsniveau gewährleisten.
Wenn die Voraussetzungen an die Auftragsdatenverarbeitung nicht vorliegen, muss eine Rechtfertigung nach § 28 BDSG vorliegen. Bei weltweiten-Clouds sind “Safe Harbor“-Regelungen oder EU-Standard-Vertragsklauseln zu prüfen, wofür nach deutschem Recht eine zweistufige Prüfung vorzunehmen hinsichtlich angemessenem Schutzniveau und Rechtfertigung. Zu empfehlen sind im Cloud Computing insbesondere lokale/deutsche Anbieter, die meist ein hohes Sicherheitsniveau bieten und mit denen die Einhaltung der Vorschriften zu Datenschutz und Datensicherheit meist gewährleistet ist.
Weiterführende Links zu Datenschutz und Datensicherheit bei Cloud Computing:
- EU-Kommission legt Strategie zur Förderung von Cloud Computing vor;
- „Fighting cybercrime and protecting privacy in the cloud“ – Studie der EU-Kommission;
- Meldung zur EU-Strategie Cloud Computing bei ZDNet;
- Stellungnahme der Europäischen Datenschutzbehörden (Art.29-Gruppe) zu Cloud Computing;
- „Patriot Act und Cloud Computing – lesenswertert Artikel bei Heise iX;
- Der Fachaufsatz in der NJW der Kollegen Ohrtmann und Schwiering führt kompakt und übersichtlich in das Thema ein.
Ein Trackback
[…] http://kanzlei-lachenmann.de/cloud-computing-datenschutz-und-datensicherheit/ […]