“Cloud Computing Anwendungen” gehören mittlerweile zum Alltag von Privatanwendern und werden inzwischen auch häufig betrieblich genutzt, um eine größere Flexibilität zu erhalten. Doch können “Cloud-Angebote” bedenkenlos eingesetzt werden? Welche Risiken sind zu bedenken?
Der Datenschutzexperte Roland Breda ist externer Datenschutzbeauftragter und hat die wichtigsten Fakten für Entscheider, die sich einen ersten Überblick über die zu berücksichtigenden Regelungen verschaffen wollen, zusammengestellt.
Wenn wir uns die Frage stellen, was unter “Cloud Computing” zu verstehen ist, müssen wir uns erst einmal darüber im Klaren sein, dass es vier “Clouds” gibt:
- Public Cloud: Dienstleister bieten der breiten Öffentlichkeit Zugang zu IT-Strukturen an
- Private Cloud: Zugang zu IT-Strukturen innerhalb der eigenen Organisation
- Communitiy Cloud: ein kleinerer Kreis von Organisationen teilt sich eine IT-Struktur
- Hybride Cloud: Kombination aus Public und Private Cloud
Hinsichtlich der Angebote an IT-Strukturen aus der Cloud unterscheidet man zwischen
- Iaas: Nutzungszugang zu virtualisierter Hardware
- PaaS: Nutzungszugang zu Programmierungs- und Laufzeitumgebungen
- SaaS: Nutzungszugang zu Softwaresammlungen und Anwendungsprogrammen
Da es nicht “den” Vertrag über Cloud-Services gibt, sondern der konkrete Leistungsgegenstand betrachtet werden muss, gelten folgende Rechtsvorschriften für die spezielle Vertragsgestaltung:
- Zivilrecht (Vertragstyp, Lizenzierung, Verfügbarkeit)
- Datenschutzrecht (BDSG, TKG, TMG,, Bankengeheimnis etc.)
- Aufsichts-, Steuer- und Handelsrecht (KWG, TKG (§§ 146 ff. AO, §§ 238, 257 HGB).
Das Zugriffsrecht von Sicherheitsbehörden richtet sich dabei nach dem Standort des/der genutzten Server. Ein Standort in den USA bedeutet z. B. durch den “Patriot Act” einen umfassenden Zugriff der US-Behörden auf die gespeicherten Daten. Die Zugriffsmöglichkeiten der Behörden in asiatischen Staaten kann man nicht generell beurteilen, allerdings sind diese i. d. R. weitergehender als in Deutschland bzw. der EU.
Nutzungsbeschränkungen des Cloud Computing ergeben sich im Bankenumfeld, durch das Steuer- und Handelsrecht, durch § 92 TKG und durch § 203 StGB (letzteres beispielsweise für die Versicherungswirtschaft).
In der weiteren Betrachtung des Themas beschäftigen wir uns mit den betroffenen personenbezogenen Daten, also dem datenschutzrechtlichen Aspekt.
Im Falle der Nutzung von Angeboten aus dem Bereich des Cloud Computings muss einerseits der Schutz des Betroffenen gewahrt bleiben, andererseits müssen die Regelungen der Auftragsdatenverarbeitung (durch einen Vertrag entsprechend § 11 BDSG) bzw. der Datenübermittlung (durch einen Standard-EU-Vertrag etc.) beachtet werden.
Wenn man sich zu einer Nutzung eines Cloud Computing-Angebotes entschlossen hat, ist der Auftragnehmer “unter Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen” gemäß “§ 11 Abs. 1 S. 2 BDSG. Zusätzlich gilt nach § 11 Abs. 2 S. 4 BDSG die Forderung “Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist
Weiterhin ist die Informationspflicht der Betroffenen/der Öffentlichkeit bei Datenpannen im Sinne des § 42a BDSG, 15a TMG, 93 Abs. 3 TKG zu beachten.
Im Falle eines grenzüberschreitenden Cloud-Service muss man die folgenden Fälle unterscheiden:
- EU-Cloud (innerhalb EU/EWR) - Durch die Grenzüberschreitung alleine ergeben sich keine Besonderheiten. Es besteht eine Zulässigkeit wie in Deutschland durch eine vertragliche Regelung zur Auftragsdatenverarbeitung.
- Drittstaaten-Cloud - Zweistufige Prüfung der Zulässigkeit einer Datenübermittlung in bzw. an einen Drittstaat. Mit den USA besteht hinsichtlich der “Safe-Harbor-Grundsätze” eine Sonderregelung.
Hinter den im Einzelnen aufgeführten Punkten verbergen sich jeweils komplexe Sachverhalte, die für jeden einzelnen Fall eine detaillierte Prüfung notwendig machen.