Anwendbares Datenschutzrecht

Zur Beantwortung der Frage, welche gesetzlichen Rege-lungen zum Schutz der verarbeiteten Daten bestehen und anwendbar sind, ist die Feststellung erforderlich, wo die entsprechenden Daten verarbeitet werden und ggf. aus welcher Rechtsordnung diese Daten stammen.

Dementsprechend lässt sich bei dieser Thematik keine generelle Aussage treffen: Bei einer Private-Cloud-Lösung, die aus Deutschland stammende Daten ausschließlich auf in Deutschland betriebenen Rechnern und Speichersys-temen enthält, ist lediglich deutsches Recht zu beachten.

Werden dem gegenüber in einer Public Cloud Daten aus unterschiedlichen Staaten auf Rechnern und Speicher-systemen in unterschiedlichen Ländern gehalten, sind in der Regel auch internationale bzw. verschiedene natio-nale Rechtsnormen zu beachten. Soweit die territoriale Verbreitung der Daten und Rechnersysteme sich auf die Staaten der europäischen Gemeinschaft beschränkt, sind neben dem nationalen Recht auch EU-Verordnungen und Richtlinien einschlägig. Dies führt zwangsläufig zu einer sehr differenzierten Betrachtung der Cloud-Computing-Lösungen unter datenschutzrechtlichen Aspekten.

Da dieser Leitfaden Anbieter und Nutzer von Cloud-Com-puting-Lösungen in Deutschland adressiert, betrachten die nachfolgenden Ausführungen die datenschutzrecht-lichen Anforderungen aus dem Blickwinkel des dem deutschen Recht unterworfenen Lesers.

3.2.1 Der Begriff Datenschutz

Die im Rahmen des Cloud Computing verarbeiteten Daten können vielfältig sein (vgl. Abbildung 20): Sie umfassen allgemeine Daten inklusive Wirtschaftsdaten wie Statistiken, Bilanzen, Konstruktions- und Produktions-daten oder Verkaufszahlen. Derartige Daten können für die rechtmäßigen Autoren der Daten, z.B. Industrieunter-nehmen, von sehr hoher Bedeutung sein. Sie sind daher als vertraulich und ggf. auch als geheim einzustufen.

Dementsprechend sind diese Daten von den Verantwortli-chen der jeweiligen Unternehmen vor fremdem Zugriff zu

schützen. Hier gelten die allgemeinen gesellschaftsrecht-lichen Regelungen des Aktien- und des GmbH-Gesetzes.

Danach haben Geschäftsführer bzw. Vorstandsmitglieder bei ihrer Geschäftsführung die Sorgfalt eines ordent-lichen gewissenhaften Geschäftsleiters anzuwenden (vgl. § 43 GmbHG und § 93 AktG). Im Vordergrund steht hierbei somit ein allgemeiner Datenschutz im Sinne von Datensicherheit.

Gleichermaßen haben die Verantwortlichen sicher-zustellen, dass die handels- und die steuerrechtlichen Bestimmungen eingehalten werden. Im Vordergrund stehen dabei die Pflicht zur Archivierung unveränderbarer Geschäftsdaten und deren gezielte Auffindbarkeit im Prüfungsfalle. Diese Pflichten ergeben sich zum Bei-spiel aus dem Handelsgesetzbuch (§ 257 HGB) oder der Abgabenordnung (§ 147 AO) sowie deren nachgelagerten Ausführungsbestimmungen wie die „Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU)“ des Bundesministeriums der Finanzen.

3.2.2 Datenschutz im engeren Sinne

Eine Untermenge der allgemeinen Daten sind die persön-lichen Daten, z.B. Telefongespräche oder E-Mails, die durch das Telekommunikationsgesetz (TKG), geschützt sind, und die personenbezogenen Daten. Letztere werden in § 3 Abs.

1 Bundesdatenschutzgesetz (BDSG) wie folgt definiert:

„Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).“

Diese Daten unterliegen nach deutschem Sprachgebrauch dem Datenschutz im engeren Sinne. Insbesondere diesen Daten widmen sich die nachfolgenden Ausführungen.

Abbildung 20: Kategorien von Daten und Datenschutz

Allgemeine Daten inkl. Wirtschaftsdaten

Statistiken

Konstruktionsdaten Produktionsdaten Verkaufsdaten Kostenaufstellungen Lagerbestandsdaten ...

Personenbezogene Daten

NameAnschrift Geburtsdatum Berufsbezeichnung Telefon - Nummer ...

einfacher Schutz verstärkter Schutz besonderer Schutz

Persönliche Daten

Telefongespräche E-Mail

...

Berufsgeheimnisse hinsichtlich strafbarer Handlungen

zu Bank- oder Kreditkartenkonten

Besondere Arten

personenbezogener Daten Gesundheit

Rasse Religion ...

3.2.3 Weitere Begriffsbestimmungen

Die Regelungen des BDSG zu personenbezogenen Daten sind subsidiär, sofern spezifische Rechtsnormen Bestim-mungen zum Datenschutz enthalten. Dies ist zum Bei-spiel der Fall, wenn derartige Daten zur Bereitstellung von Telemedien in einer Cloud eingestellt sind. Dementspre-chend ist der § 12 Telemediengesetz (TMG) anwendbar.

Als Normadressat muss die „verantwortliche Stelle“ die datenschutzrechtlichen Bestimmungen beachten. Dabei handelt es sich nach § 3 Abs. 7 BDSG um „jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt“. Auf Grund der vielfältigen Einzelaktivi-täten, die unter dem Begriff „Verarbeiten“ zu subsumie-ren sind und von speichern über verändern bis zu löschen reichen (vgl. Abbildung 21), bedarf es detaillierter Prüfun-gen der Maßnahmen in der Cloud, um festzustellen, ob die datenschutzrechtlichen Bestimmungen einschlägig sind. Das Gesetz knüpft teilweise unterschiedliche Rechts-folgen und Anforderungen an die jeweiligen Aktivitäten.

Abbildung 21: Definition der Datenverarbeitung nach § 3 BDSG

Verarbeiten Erheben

Sperren Löschen Verändern

Speichern

Erfassen Aufnehmen Aufbewahren

an Dritte weitergeben

zur Einsicht oder zum Abruf bereithalten Übermitteln

Nutzen

3.2.4 Einwilligung

Im deutschen Datenschutzrecht gilt der Grundsatz des

„Verbots mit Erlaubnisvorbehalt“. Die Erhebung, Ver-arbeitung und Nutzung personenbezogener Daten ist daher nach § 4 BDSG verboten, sofern nicht eine spezielle Erlaubnis durch Rechtsnorm oder die vorherige Einver-ständniserklärung des Betroffenen erteilt ist.

Die datenschutzrechtlichen Restriktionen können in der überwiegenden Mehrzahl der Anwendungsfälle mittels Einwilligung aufgehoben werden. Erforderlich ist jedoch, dass der Betroffene den detaillierten Sachverhalt der Datenverarbeitung kennt und die Einwilligung freiwillig, d.h. ohne sozialen oder wirtschaftlichen Druck, erteilt.

Ergänzend ist allerdings festzuhalten, dass eine einmal gegebene Einwilligung nicht bedeutet, dass mit den erhobenen personenbezogenen Daten nach Belieben verfahren werden kann. Selbstverständlich dürfen Daten nur im Rahmen der gegebenen Erklärungen und Hinweise (zweckgebunden) verarbeitet werden – auch in einer Cloud. Es kann jedoch je nach Cloud-Typ und Geschäfts-modell schwierig sein, diesen Rahmen im Voraus fest zu legen. Bei hinreichend definierten Private Clouds sind Umfang und Lokation der Verarbeitung begrenzbar. In Public Clouds kann weder vorhergesagt werden, wo und wann genau die Daten verarbeitet werden, noch wie viele Verarbeiter die Wolke letztlich bilden.

Schließlich ist darauf hinzuweisen, dass Einwilligungen widerruflich sind und in den Systemen diese Möglichkeit als Option berücksichtigt werden sollten.

„ 3.3 Datenschutzrechtliche Einordnung