Datenschutzrechtliche Einordnung der Private Cloud

Die eigene Private Cloud wirft zunächst keine besonderen Probleme auf – soweit die Einspeisung von personenbe-zogenen Daten in eine Cloud auf deutschem Territorium stattfindet und die sogenannte verantwortliche Stelle ihren Sitz bzw. ihre Niederlassung in Deutschland hat.

Dabei sind insbesondere die einschlägigen deutschen

Vorschriften zu beachten: Je nach Leistungsangebot auf den drei Service-Ebenen und den betroffenen Daten (vgl.

Abbildung 22) können diese von BDSG und TKG über SGB X und StGB (z.B. § 203: Verletzung von Privatgeheim-nissen) bis hin zu KWG und Abgabenordnung (AO) zur Anwendung kommen.

Das deutsche Datenschutzrecht sieht allerdings kein Konzernprivileg vor. Werden daher in der eigenen Private Cloud Service-Leistungen von verbundenen Unternehmen (z.B. Schwester- oder Tochtergesellschaften) einbezogen, sind mit diesen rechtlich selbstständigen Einheiten spezi-fische Regelungen zu treffen.

3.3.1 Corporate Binding Rules

Mit konzerninternen Vorgaben und Richtlinien können Unternehmen sicherstellen, dass in allen rechtlich selb-ständigen Einheiten des Konzerns das gleiche Daten-schutzniveau besteht. Dabei handelt es sich um freiwillige Selbstverpflichtungen der Unternehmen, die aber gegen-über den Mitarbeitern wie Dienstanweisungen durchge-setzt werden können. Derartige Binding Rules sind nicht nur in Deutschland einzusetzen, sondern auch in der EU, da auf Grund der EU-Datenschutzrichtlinie 95/46 aus dem Jahre 1995 von einem gleichartigen Schutzniveau in den EU-Mitgliedsstaaten und den zusätzlichen Staaten des Europäischen Wirtschaftsraums (EWR) auszugehen ist.

Dies gilt gleichermaßen für Staaten wie Kanada und die Schweiz, denen die EU-Kommission ebenfalls ein ange-messenes Schutzniveau attestiert.

3.3.2 Standardvertragsklauseln

Zur Übertragung von personenbezogenen Daten in Dritt-länder verlangt das BDSG auf Grundlage der EU-Daten-schutzrichtlinie, dass ein dem deutschen Datenschutz vergleichbares und angemessenes Datenschutzniveau bei der empfangenden Stelle gewährleistet ist. Außer-halb der EU und des europäischen Wirtschaftsraums geht der Gesetzgeber grundsätzlich nicht davon aus, dass in den Drittländern auf Grund ihrer innerstaatlichen

Rechtsvorschriften oder internationaler Verpflichtun-gen ein angemessenes Datenschutzniveau besteht. Zur Lösung dieses Problems erklärte die EU-Kommission die Nutzung von Standardvertragsklauseln als geeignetes Mittel, die sie 2001 verabschiedete und in den vergan-genen Jahren modifizierte. Dabei folgte die Europäische Kommission in ihrem Beschluss der internationalen Entwicklung und Gepflogenheit überregional tätiger Konzerne, ihre Geschäftsbeziehungen grenzunabhängig zu betreiben. Und genau hier ist auch ein wesentliches Geschäftsmodell der Clouds anzusiedeln.

Sind daher die Unternehmenstöchter eines international operierenden Konzerns z.B. alle durch EU-Standardver-träge verbunden, erübrigt sich auch bzgl. der meisten

per-sonenbezogenen Daten das Drittstaatenproblem, solange die Daten den Konzern im Drittstaat nicht verlassen.

Strittig ist jedoch, ob die Standardvertragsklauseln durch den Katalog von Schutzmaßnahmen des § 11 Abs. 2 BDSG zur Auftragsdatenverarbeitung ergänzt werden müssen, wenn die verantwortliche Stelle ihren Sitz in Deutschland hat.²⁵

In diesem Zusammenhang ist darauf hinzuweisen, dass auf Grund der föderalen Struktur Deutschlands mit 16 Landes- und einer Bundesaufsichtsbehörde durchaus unterschiedliche Auffassungen in der Auslegung der europäischen und deutschen Datenschutzbestimmungen bestehen.

25. Konferenz der Datenschutzbeauftragten des Bundes und der Länder: Ein modernes Datenschutzrecht für das 21. Jahrhundert. Eckpunkte vom 18. März 2010

Grad der Weisungs- und Direktionsmöglichkeiten

Konturiertheit und Kalkulierbarkeit der Datenschutzumgebung

Potential der Schutzmöglichkeiten Allokation der personenbezogenen Daten im Cloud-ServicePublic Hybrid Private Software as a ServiceSaaS

Platform as a ServicePaaS

Infrastructure as a ServiceIaaS

Datenschutzempfehlung: eher nicht bedingt empfehlenswert

Abbildung 22: Datenschutz-Dynamik in der Cloud

3.3.3 Safe Harbor

Im Jahr 2000 hat die EU-Kommission das Safe-Harbor-Abkommen mit der US-Regierung geschlossen. Safe Harbor ist somit die nordamerikanische Datenschutz-Speziallösung, die auf einem Eintrag des amerikani-schen Datenempfängers in die entsprechende Liste des US-Handelsministeriums beruht.²⁶ Damit einher geht die Anerkennung von bestimmten datenschutzrechtlichen Maßnahmen. Diese Selbstverpflichtung auf Einhaltung von europäischen Datenschutzstandards wird in regel-mäßigen Abständen, die in der Liste auch genannt sind, erneuert (Zertifizierung).

Nach dem Beschluss des Düsseldorfer Kreises vom 28.04.2010²⁷ muss die Einhaltung des Datenschutzniveaus in den Mindestkriterien allerdings aktiv überprüft werden.

Sollen also personenbezogene Daten in der Cloud eines in den USA gelegenen Unternehmens verarbeitet werden, so ist laut Düsseldorfer Kreis zu prüfen:

„ der schriftliche Nachweis über den Beitritt zum Abkommen

„ der Nachweis über die Einhaltung der Informations-pflichten des Unternehmens nach Safe Harbor gegen-über den von der Datenverarbeitung Betroffenen.

Die besonderen Informationspflichten der Unternehmen nach Safe Harbor sind darüber zu informieren,

„ zu welchem Zweck das Unternehmen die Daten erhebt und verwendet,

„ welche Kontaktmöglichkeiten es bei Nachfragen oder Beschwerden gibt,

„ an welche Kategorien von Dritten die Daten weiterge-geben werden,

„ welche Mittel und Wege zur Verfügung gestellt wer-den, die Weitergabe einzuschränken.

Diese Angaben sind unmissverständlich und deutlich bei der ersten Erhebung oder spätestens bei Zweckänderung zu machen.

Die Überprüfung kann durch Dritte bzw. beauftragte Unternehmen vor Ort vorgenommen werden. Die Schwierigkeiten und Unsicherheiten, die sich aus den Überprüfungen ergeben können, führen häufig dazu, dass US-Firmen Cloud-Lösungen anbieten, die ausschließlich mit Rechner- und Speichersystemen auf dem europäi-schen Kontinent betrieben werden.

Hier hat die verantwortliche Stelle es sprichwörtlich „in der Hand“, alle Datenschutzkomponenten einzurichten.

Das ist jedoch eher nicht die Regel und schon gar nicht der Trend. Outsourcing gerade im Bereich Storage und auch Personaldatenverarbeitung durch externe Anbieter werden immer stärker genutzt.

„ 3.4 Auftragsdatenverarbeitung

Wird eine Cloud-Lösung nicht ausschließlich von einem Unternehmen (verantwortliche Stelle) für eigene Geschäftszwecke betrieben, ist zu prüfen, ob eine Auftragsdatenverarbeitung vorliegt. Ist das der Fall, so kommen grundsätzlich die gleichen Regelungen wie bisher beim klassischen IT-Outsourcing zur Anwendung.

Insbesondere die Regeln des § 11 BDSG sind insbesondere seit der Änderung des BDSG am 01.09.2009 zu beach-ten. Wichtig sind dabei die vertragliche Fixierung des

„10-Punkte-Katalogs“, die nunmehr festgeschriebene Vorabprüfung nach § 11 Abs. 2 Satz 4 und die Dokumenta-tionspflicht nach § 11 Abs. 2 Satz 5 BDSG.

26. https://www.export.gov/safehrbr/list.aspx

27. so z.B. die Aufsichtsbehörde Unabhängiges Landeszentrum für Datenschutz und Informationsfreiheit Schleswig-Holstein, wobei deren Vorsitzender im übrigen davon ausgeht, dass die Verarbeitung von personenbezogenen Daten außerhalb der EU/EWR mangels fehlender Umsetzung von Datenschutz-möglichkeiten in den Drittstaaten grundsätzlich auch unzulässig sein kann - so auf dem IT-Rechtstag, Juni 2010 in Österreich , https://www.datenschutz-zentrum.de/cloud-computing/

Wie die Verarbeitung von personenbezogenen Daten außerhalb Deutschlands durchaus Raum gewinnt, zeigt eine von PricewaterhouseCoopers durchgeführte Befragung von Cloud-Anbietern.²⁸ Immerhin 39 Prozent der befragten Unternehmen lassen in Rechenzentren in den USA, weitere 24 Prozent in Ländern außerhalb der EU (exkl. USA) personenbezogene Daten verarbeiten (vgl.

Abbildung 23).

Abbildung 23: Lokation der Verarbeitung

Eine weitere Frage in der Studie zielte darauf, wie Rechenzentrumsbetreiber auf Kundennachfragen zu Maßnahmen nach § 11 BDSG (Auftragsdatenverarbeitung) reagieren bzw. aufgestellt sind. So waren 57 Prozent der befragten Unternehmen mit einem formalen Standard-verfahren gerüstet, 27 Prozent jedoch auf eine solche Kundenanfrage nicht vorbereitet (vgl. Abbildung 24).²⁹ In diesem Bereich sollten die Anbieter besser aufgestellt sein, denn wie die Vergangenheit gezeigt hat, können Datenlecks gerade in der Cloud massive Datenkompro-mittierung oder Datenverluste nach sich ziehen.

Abbildung 24: Kundennachfragen zum Datenschutz

3.4.1 Managed Private Cloud

Ende 2001 wurden spezielle EU-Modell-Standardvertrags-klauseln für Auftragsdatenverarbeiter in Drittländern verabschiedet, die mittlerweile ein eingeführter Stan-dard sind. Im Februar 2010 wurden sie in überarbeiteter Form veröffentlicht. Danach müssen sich die in den Cloud-Betrieb eingebundenen Partnerbetriebe (Subun-ternehmer) den Weisungen der verantwortlichen Stelle unterwerfen. Nur so ist die Sicherstellung der daten-schutzrechtlichen Vorgaben durchgängig möglich, die der Anbieter seinen Kunden gegenüber zu erbringen hat.

Dementsprechend ist auch die Managed Private Cloud meist als Auftragsdatenverarbeitung nach § 11 BDSG einzustufen.

Sollten darüber hinaus mehr als eine verantwortliche Stelle im Drittland bei der Verarbeitung von Daten in der Cloud mitwirken, wird durch eine Einbindung der Unter-auftragsverarbeiter / Cloud-Betreiber durch diese Modell-Standardvertragsklauseln der Schutz der betroffenen Kundendaten einklagbar gewährleistet.

28. Vgl.: Vehlow, Markus; Golkowsky, Cordula (2010): Cloud Computing, Navigation in der Wolke. PricewaterhouseCoopers AG Wirtschaftsprüfungsgesellschaft, S. 43.

ja nein

keine Angabe Kundenanfragen

bzgl. &11 BDSG Formalisiertes Standardverfahren außerhalb der EU (ohne USA) USA innerhalb der EU in Deutschland

Zudem ist garantiert, dass die Zweckbindung durchgängig erhalten bleibt, da auch diese in den neuen Standardver-trägen unabdingbar zum Vertragsinhalt zwischen Auftrag-geber in der EU und den Drittstaatenverarbeitern wird.

3.4.2 Abgrenzung

Auftragsdatenverarbeitung zu