Cloud Computing mit Datenschutzproblemen?

Die UIMC stellt fest, dass Cloud Computing zurzeit von namhaften Herstellern als neue Form der vernetzten Kooperation der Informationsverarbeitung nach seinem Start auf dem privaten Gebiet auch für den Unternehmenssektor propagiert wird.

Nach Auffassung der UIMC ziehen mit dem Cloud Computing größere Wolken am Datenschutzhimmel auf: Je nachdem welche Form des Cloud Computing gewählt wird, sind Probleme im Zusammenhang mit § 11 BDSG „Auftragsdatenverarbeitung“ zu erwarten, die zurzeit weder von den Protagonisten des Cloud Computing noch von den potentiellen Nutzern hinreichend deutlich gesehen werden.

Vor allem bei der Public Cloud in der Form der Open Cloud zeichnen sich z. T. nicht lösbare Probleme ab, während die Privat Cloud eher unproblematisch ist. Die bisher vorliegenden Stellungnahmen zu datenschutzrechtlichen Frage zeigen das Problem zwar auf, bieten jedoch keine Lösung.

Theoretisch bietet das BDSG mit seinen Regelungen in § 11 in Verbindung mit der Anlage zum § 9 die Grundlagen für ein gesetzeskonformes Vorgehen. Da jedoch in vielen Fällen auch beim normalen Computing zurzeit noch in vielen Unternehmen ein Bedarf an Herstellung der Ordnungsmäßigkeit bei der Auftragsdatenverarbeitung und Datenübertragung gegeben ist, kann nicht angenommen werden, dass die wesentlich komplexeren Formen des Cloud Computing in den entsprechenden SLAs so geregelt sind, dass die Ordnungsmäßigkeits- bedingungen vom Start an erfüllt sind.

Die UIMC liefert mit ihrem Prüftool zur Auftragsdatenverarbeitung eine Grundlage für eine sachgemäße Gestaltung der vertraglichen Grundlagen sowie ihrer Prüfung bei bestehenden Systemen. Die UIMC weist jedoch deutlich darauf hin, dass insbesondere die Form des Public Cloud spezieller vertraglicher Regelungen bedarf, um ordnungsgemäß gestaltet werden zu können.

Wenn dann noch zusätzlich das Problem der Datenverarbeitung im Ausland mit den hiermit zusammenhängenden Problemen der Datenübermittlung zu lösen ist, weil sich der verarbeitende/speichernde Rechner in einem Nicht-EU-Land befindet, sind außer den genannten §§ 11 und 9 (Anlage zu § 9) noch die §§ 4d und 28 zu berücksichtigen. Dies bedarf einer sorgfältigen, im Zweifelsfall beratergestützten Vertragsgestaltung.

IAVCworld per E-Mail folgen