Typischerweise werden bei den meisten Cloud-Modellen Subunternehmer eingesetzt. Dies ist für sich genommen noch nichts Besonderes und auch aus dem traditionellen Outsourcing hinreichend bekannt. Problematisch wird es aber, wenn die Anzahl der eingeschalteten Subunternehmer ebenso wie der Ort und die Form der Datenverarbeitung unbekannt sind. Dann droht ein gefährlicher Kontrollverlust.
Probleme in der Praxis
Vor diesem Hintergrund hat der Düsseldorfer Kreis, in dem die obersten Datenschutzaufsichtsbehörden der Bundesrepublik organisiert sind, eine „Orientierungshilfe Cloud Computing“ erarbeitet. Sie gibt vor, dass IT-Services, die personenbezogene Daten enthalten, nur in die Cloud ausgelagert werden dürfen, wenn die Vorgaben zur Auftragsdatenverarbeitung (ADV) nach dem Bundesdatenschutzgesetz eingehalten werden. Schaltet der Cloud-Provider Dritte ein, ist er danach verpflichtet, die Regelungen der ADV an den Subunternehmer weiterzugeben. Nur wenn diese den Regelungen zustimmen, dürfen sie die Daten weiterverarbeiten. Damit soll sichergestellt werden, dass der Auftraggeber die Kontrolle über die Daten behält. Dennoch stellt sich in der Praxis immer wieder die Frage, wie dies bei einem Cloud-Modell umgesetzt werden soll, bei dem die Anzahl der Subunternehmer nicht bekannt ist.
Wann die Auslagerung zulässig ist
Auf EU-Ebene hat deswegen die sogenannte Artikel 29-Gruppe Anfang Juli 2012 ein neues Working Paper zu den Anforderungen an datenschutzkonformes Cloud Computing veröffentlicht. Die Gruppe besteht aus Vertretern der EU-Mitgliedsstaaten, der EU-Institutionen und einem Vertreter der EU-Kommission. Sie bestimmt Auslegungsregeln zu Datenschutzfragen auf europäischer Ebene und wird über die Datenschutzrichtlinie 95/46/EG legitimiert. Nach diesem Working Paper müssen alle Subunternehmer eines Cloud-Anbieters mit Sitz bekannt sein. Eine Auslagerung an nicht bekannte Vertragspartner ist nicht zulässig.
Die Beauftragung darf zudem nur mit Zustimmung des Auftraggebers erfolgen. Um praktische Schwierigkeiten zur flexiblen Einschaltung von Subunternehmern zu begegnen, ist eine Generalzustimmung zwar zulässig, die eine grundsätzliche Erlaubnis zur Einschaltung von Dritten beinhaltet. Sie ist jedoch nur möglich, wenn die Subunternehmer dem Auftraggeber vor der Datenauslagerung bekannt gegeben werden und der Auftraggeber noch die Möglichkeit hat, ihrem Einsatz vor Beginn der Datenverarbeitung zu widersprechen. Entsprechendes gilt für Kettenauslagerungen. Damit wird vertraglich sichergestellt, dass der Auftraggeber die Kontrolle über die Auslagerungskette behält.
Werden Cloud-Provider außerhalb des Europäischen Wirtschaftsraumes sowie der sogenannten sicheren Drittstaaten eingeschaltet, müssen die EU-Standardklauseln vereinbart werden. Etwas anderes gilt allerdings, wenn der Cloud-Anbieter in den USA seinen Sitz hat und Safe Harbor zertifiziert ist. Diese Safe-Harbor-Grundsätze bestimmen die Anforderungen an die Verarbeitung personenbezogener Daten in den USA, um ein angemessenes Datenschutzniveau sicherzustellen. Der Auftraggeber muss zwar prüfen, ob der US-Cloud-Anbieter die Safe Harbor Grundsätze einhält. In diesem Fall ist jedoch eine Auslagerung zulässig.
Unternehmern steht also eine breite Palette an Möglichkeiten zur Verfügung, personenbezogene Daten national und international datenschutzrechtlich abzusichern, wenn sie in die Cloud ausgelagert werden. Ein Kontrollverlust kann damit vermieden werden.
