Rein rechtlich: Datenschutz in der Cloud

Rein rechtlich: Datenschutz in der Cloud

Bild vergrößern

Für jeden Unternehmer ist die Vorstellung ein Albtraum, dass bei der Auslagerung von personenbezogenen Daten in die Cloud ein Leck auftritt – und plötzlich geheime Informationen frei im Internet kursieren. Daher werden an den Datenschutz bei jeder Cloud-Lösung höchste Maßstäbe angesetzt. Aber wie bleibt das Unternehmen Herr über seine Daten, wenn diese vom Cloud-Anbieter an Subunternehmen oder gar ins Ausland übermittelt werden?

Typischerweise werden bei den meisten Cloud-Modellen Subunternehmer eingesetzt. Dies ist für sich genommen noch nichts Besonderes und auch aus dem traditionellen Outsourcing hinreichend bekannt. Problematisch wird es aber, wenn die Anzahl der eingeschalteten Subunternehmer ebenso wie der Ort und die Form der Datenverarbeitung unbekannt sind. Dann droht ein gefährlicher Kontrollverlust.

Probleme in der Praxis

Anzeige

Vor diesem Hintergrund hat der Düsseldorfer Kreis, in dem die obersten Datenschutzaufsichtsbehörden der Bundesrepublik organisiert sind, eine „Orientierungshilfe Cloud Computing“ erarbeitet. Sie gibt vor, dass IT-Services, die personenbezogene Daten enthalten, nur in die Cloud ausgelagert werden dürfen, wenn die Vorgaben zur Auftragsdatenverarbeitung (ADV) nach dem Bundesdatenschutzgesetz eingehalten werden. Schaltet der Cloud-Provider Dritte ein, ist er danach verpflichtet, die Regelungen der ADV an den Subunternehmer weiterzugeben. Nur wenn diese den Regelungen zustimmen, dürfen sie die Daten weiterverarbeiten. Damit soll sichergestellt werden, dass der Auftraggeber die Kontrolle über die Daten behält. Dennoch stellt sich in der Praxis immer wieder die Frage, wie dies bei einem Cloud-Modell umgesetzt werden soll, bei dem die Anzahl der Subunternehmer nicht bekannt ist.

Dr. Christiane Bierekoven

Die Autorin Dr. Christiane Bierekoven ist Fachanwältin für IT-Recht und leitet das IT-Kompetenzcenter bei Rödl & Partner.

Wann die Auslagerung zulässig ist

Auf EU-Ebene hat deswegen die sogenannte Artikel 29-Gruppe Anfang Juli 2012 ein neues Working Paper zu den Anforderungen an datenschutzkonformes Cloud Computing veröffentlicht. Die Gruppe besteht aus Vertretern der EU-Mitgliedsstaaten, der EU-Institutionen und einem Vertreter der EU-Kommission. Sie bestimmt Auslegungsregeln zu Datenschutzfragen auf europäischer Ebene und wird über die Datenschutzrichtlinie 95/46/EG legitimiert. Nach diesem Working Paper müssen alle Subunternehmer eines Cloud-Anbieters mit Sitz bekannt sein. Eine Auslagerung an nicht bekannte Vertragspartner ist nicht zulässig.

Weitere Artikel

Die Beauftragung darf zudem nur mit Zustimmung des Auftraggebers erfolgen. Um praktische Schwierigkeiten zur flexiblen Einschaltung von Subunternehmern zu begegnen, ist eine Generalzustimmung zwar zulässig, die eine grundsätzliche Erlaubnis zur Einschaltung von Dritten beinhaltet. Sie ist jedoch nur möglich, wenn die Subunternehmer dem Auftraggeber vor der Datenauslagerung bekannt gegeben werden und der Auftraggeber noch die Möglichkeit hat, ihrem Einsatz vor Beginn der Datenverarbeitung zu widersprechen. Entsprechendes gilt für Kettenauslagerungen. Damit wird vertraglich sichergestellt, dass der Auftraggeber die Kontrolle über die Auslagerungskette behält.

Werden Cloud-Provider außerhalb des Europäischen Wirtschaftsraumes sowie der sogenannten sicheren Drittstaaten eingeschaltet, müssen die EU-Standardklauseln vereinbart werden. Etwas anderes gilt allerdings, wenn der Cloud-Anbieter in den USA seinen Sitz hat und Safe Harbor zertifiziert ist. Diese Safe-Harbor-Grundsätze bestimmen die Anforderungen an die Verarbeitung personenbezogener Daten in den USA, um ein angemessenes Datenschutzniveau sicherzustellen. Der Auftraggeber muss zwar prüfen, ob der US-Cloud-Anbieter die Safe Harbor Grundsätze einhält. In diesem Fall ist jedoch eine Auslagerung zulässig.

Unternehmern steht also eine breite Palette an Möglichkeiten zur Verfügung, personenbezogene Daten national und international datenschutzrechtlich abzusichern, wenn sie in die Cloud ausgelagert werden. Ein Kontrollverlust kann damit vermieden werden.

Anzeige
Immobilien-Wertfinder:Was Mieten und Kaufen in Ihrer Region kostet
Immobilien-Wertefinder

Mit unserem interaktiven Tool finden Sie Interessierte Mieten und Kaufpreise in ihrem Viertel und ihrer Straße. Mehr...

Deutsche Unternehmerbörse - www.dub.de
DAS PORTAL FÜR FIRMENVERKÄUFE
– Provisionsfrei, unabhängig, neutral –
Angebote Gesuche




.

Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%