Übermittlung, Verarbeitung oder Speicherung personenbezogener Daten unterliegt strengen datenschutzrechtlichen Vorschriften. Hierfür sollte stets die Zustimmung des Betroffenen eingeholt werden. In der Praxis ist das aber schwierig.
Einen Ausweg für IT-Dienstleister kann die Verarbeitung von personenbezogenen Daten „im Auftrag“ (die sogenannte Auftragsdatenverarbeitung gemäß Paragraf 11 BDSG) bieten. Bei der Auftragsdatenverarbeitung leitet der die Daten im Auftrag verarbeitende Dienstleister sein Recht hierzu von seinem Auftraggeber ab. Das bedeutet, dass Daten nur dann verarbeitet werden dürfen, wenn der Auftraggeber das Recht zur Erhebung, Verarbeitung oder Nutzung der personenbezogenen Daten hat.
Das setzt allerdings voraus, dass der Auftraggeber stets Herr der Daten ist. Dafür benötigt er entsprechende Kontrollrechte, die ebenfalls in Paragraf 11 BDSG geregelt sind. Wichtig ist, dass diese nicht nur auf dem Papier festgeschrieben, sondern auch tatsächlich ausgeübt werden müssen.
In der Unternehmenspraxis scheitert diese Kontrolle jedoch oft bereits am Wesen der Cloud selbst, weil sich die Daten überall befinden können. Zudem funktioniert das Modell der Auftragsdatenverarbeitung nur innerhalb des Europäischen Wirtschaftraums. Für eine gesetzeskonforme Verarbeitung personenbezogener Daten außerhalb des Europäischen Wirtschaftraums bedarf es zusätzlicher Maßnahmen.
Darüber hinaus legt das Bundesdatenschutzgesetz technische und organisatorische Anforderungen fest. Es besagt, wie die Kontrolle über Zutritt, Zugriff, Weitergabe und Eingabe erfolgen muss. Die Gewährleistung von Datensicherheit gehört aber auch zu den allgemeinen Organisations- und Compliance-Pflichten eines Unternehmers. Daher muss die IT eines Unternehmens so organisiert sein, dass alle gesetzlichen und vertraglichen Anforderungen erfüllt werden. Besondere Verpflichtungen ergeben sich zudem aus dem Handels- und Steuerrecht sowie aus sektorspezifischen Vorschriften – etwa in der Pharmabranche oder im Finanzwesen.
Neueste Kommentare
2 Kommentare zu Rechtliche Hürden für Cloud Computing
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Daten in der Cloud durch Vertragsgestaltung lösbar?
Ein den räumlichen Gegebenheiten angepasster, der Komplexität des Themas und der erheblichen Risiken, von denen hier nur einige wenige angerissen, geschweige denn ausführlich beschrieben worden sind, kaum gerecht werdender Artikel.
Tatsächlich kann das Risiko beim Cloud-Computing durch rechtliche Vereinbarung de facto gar nicht kontrolliert werden. Das ginge nur dann, wenn ausschließlich der Cloud-Anbieter mit ausschließlich eigenen Mitteln die Auftragsdatenverarbeitung durchführen würde. Das tut er aber gerade nicht. Alle vertraglichen Konstellationen sind nur so gut wie der schwächste Vertrag in der ganzen Kette. Völlig üblich ist es, dass Nachunternehmer, die der Anbieter einsetzt, nach ausländischem Recht arbeiten, keine Audit-Klauseln haben und – siehe Sidekick-Skandal – oft aus Kostengründen auf triviale Sicherheitsinfrastruktur verzichten.
Ich stimme dem Verfasser zu, dass man das Thema fallweise betrachten muss. Dabei muss man aber nicht nur rechtlich, sondern auch technisch tief in die Cloud blicken muss, um alle Risiken zu erkennen.
Derzeit sind sowohl die Anbieterkonstellationen, die datenschutzrechtlichen Sicherungsmaßnahmen und die generellen Schutzniveaus der Anbieter so unausgereift, dass man tendenziell eher ab- denn zuraten sollte.
Beste Grüße
Dr. Wolfgang Hackenberg
Rechtsanwalt
wenn man Juristen entscheiden lässt …
Fakt ist das das tatsächliche Schutzniveau bei den großen SaaS-Anbietern für Unternehmen (die Kosten dann auch was) wesentlich höher ist als das was die interne IT-Abteilung der meißten Unternehmen jemals leisten kann. Das kann auch gar nicht anders sein. Wenn man wie google und Salesforce hunderte Ingenieure hat, die nur mit der Datensicherheit beschäftigt sind und außerdem noch Millionen Kunden, so das Lecks sehr schnell entdeckt würden dann kann das gar nicht anders sein. Außerdem habe Angriffer nicht den Source-Code der Server, wie beim Einsatz von Open-Soruce Technologie.
Es gibt kaum einen Server der nicht gehackt werden kann, am einfachsten von Innen (Mitarbeiter der Firma) oder von IT-Dienstleistern. Aber auch von außen, da immer mehr interne Systeme natürlich auch von außen zugänglich sein müssen.
Und das Argument, dass man abhängig vom Anbieter ist: Ach, ist man das nicht, wenn man eine proprietäre Software kauft? Was macht man, wenn die nicht mehr weiterentwickelt wird, oder die Entwicklung in eine andere Richtung geht? Was macht man was das Unternehmen von Konkurrenten gekauft wird? Oder von einer chinesischen Firma? Natürlich ist man abhängig, das ist nichts neues.
Die Verfügbarkeitswerte die Beispielsweise google-Mail (auch Teil von google Apps) erreicht sind unübertroffen. Die Sicherheitsmechanismen (zum Beispiel wird der Nutzer anhand der IP automatisch gewarnt, wenn jemand anderes sich Zugriff verschafft haben könnte http://www.golem.de/1003/74079.html) sind absolut führend, der Virenfilter ist auch Top.
Also aus rein juristischen Gründen, wäre es natürlich viel besser deutlich unsichere Infrastruktur zu nutzen ;-)
Besonders für kmU, bei denen ein Admin für die Sicherheit zig verschiedener Systeme sorgen soll sind Cloud-basierte Dienste gerade was die Sicherheit angeht ideal.
Natürlich sollte man sich den Anbieter genau anschauen.