Building cloud solutions / Made with ❤ in Ulm

Cloud Computing ist in aller Munde. Ein Erfolg, den das Grid Computing als Vorgänger nicht annähernd erzielen konnte. Die Datenwolke ist die Erfüllung des Traums vom allgegenwärtigen Zugang zu Informationen, die damit so einfach zur Verfügung stehen wie der Strom aus der Steckdose.[1] Jedoch ist dieser Begriff in Anbetracht der Vielzahl von unterschiedlichsten Cloud-Dienstleistungen mittlerweile zum reinen Marketingbegriff[2] geworden. Im ersten Teil dieses Beitrags werden die bestehenden Definitionsansätze ausgewertet, um hiernach ausgewählte Bereiche aus dem Datenschutzrecht im Hinblick auf das neu definierte Cloud Computing im Überblick zu behandeln.

 

Wolkig mit Aussicht auf Informationsregen

 

Cloud Computing oder auch „Datenverarbeitung in der Wolke“[3] beschreibt metaphorisch das Internet als weltweites, komplexes Datennetz[4]. Gemäß der Auffassung in der Literatur handelt es sich hierbei statt eines neuen Trends, um die Kombination bereits bestehender Technologien, Konzepten und Modellen.[5]

Ein weiterer Ansatz liefert das Bundesamt für Sicherheit in der Informationstechnik (abgekürzt „BSI“). Auf der Amtswebsite findet sich unter der Überschrift „Begriffsdefinition“ folgende Annäherung: „Cloud Computing bezeichnet das dynamisch an den Bedarf angepasste Anbieten, Nutzen und Abrechnen von IT-Dienstleistungen über ein Netz. Angebot und Nutzung dieser Dienstleistungen erfolgen dabei ausschließlich über definierte technische Schnittstellen und Protokolle. Die Spannbreite der im Rahmen von Cloud Computing angebotenen Dienstleistungen umfasst das komplette Spektrum der Informationstechnik und beinhaltet unter anderem Infrastruktur (z.B. Rechenleistung, Speicherplatz), Plattformen und Software.“[6]
Bereits die Definition des BSI lässt erahnen, dass es nicht „das“ Cloud Computing gibt. So trennen führende Stimmen zwischen „echtem Cloud Computing“, das von einem weltweit verteilten Server-Netz erbracht wird, und „unechtem Cloud Computing“, das durch physische IT-Ressourcen auf bestimmte Server oder Rechenzentren eingrenzbar ist.[7] Bereits diese Trennung macht deutlich, dass eine Orientierung an unterschiedliche Dienstleistungsmodelle eine zutreffendere Annäherung an den Begriff Cloud Computing ermöglicht. Die Einteilung in „X-as-a-Service“-Dienste und das Drei-Ebenen-Modell sind hierbei anerkannt.[8] Insbesondere das letztgenannte Modell macht das Zusammenspiel bereits bestehender Dienstleistungen deutlich. So machen „Infrastructure-as-a-Service“ (abgekürzt „Iaas“)[9] das Bereitstellen von Rechenleistungen, Netzwerkinfrastruktur und Systemmanagement auf unterster Ebene, über die mittlere Ebene „Platform-as-a-Service“ (abgekürzt „PaaS“)[10] mit der Entwicklung und Integration von IT-Dienstleistungen bis zur obersten Ebene „Software-as-a-Service“ (abgekürzt „SaaS“)[11] mit zur Verfügung gestellten Anwendungen und Software die Vielschichtigkeit des Cloud Computings erstmalig bewusst. Ferner findet sich häufig in Literatur und Praxis die Unterteilung „Private Cloud“ und „Public Cloud“, die jedoch auf eine weitergehende Differenzierung nach Umfang, Art und Nutzung des IT-Outsourcing genauer eingehen und daher für eine Begriffsannäherung in diesem Rahmen unberücksichtigt bleiben.

 

Grundlegendes für das datenschutzrechtkonforme Cloud Computing

 

Grenzenlose Datenvielfalt

 

Daten sind im Sinne von § 202a StGB („Ausspähen von Daten“) „nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert oder übermittelt werden“ oder im Sinne des Datenschutzrechts Einzelangaben oder Einzelinformationen, jedoch unabhängig von der Definition kaum greifbar oder gar körperlich sind.

 

Daten können personenbezogen, d.h. eindeutig einer bestimmten natürlichen Personen zugeordnet, oder personenbeziehbar sein, d.h. eine Zuordnung ist zumindest mittelbar möglich. Verlassen personenbezogene Daten den EU/EWR-Raum auf dem Wege der Übermittlung, ist dies zulässig, sofern im Empfängerstaat ein angemessenes Schutzniveau besteht.[12] In jedem anderen Fall muss die Datenübermittlung unterbleiben.[13] Ausnahmen sind gesetzlich[14] geregelt. Die Datenübermittlung in die USA ist derzeit ein höchstbrisantes Thema und wird daher später näher betrachtet.

 

Ein angemessenes Datenschutzniveau kann durch EU-Standardvertragsklauseln[15] und verbindliche Unternehmensregeln („Binding Corporate Rules“, abgekürzt „BCRs“)[16] herbeigeführt werden. EU-Standardvertragsklauseln sind Vertragsklauseln der EU-Kommission, bei deren Verwendung durch ein Unternehmen das Schutzniveau als angemessen gilt[17], woran sich zunächst auch im Rahmen der noch näher zu beleuchtenden Safe-Harbor-Entscheidung des EuGH nichts geändert hat[18]. Die weitere Entwicklung bleibt abzuwarten. Nach der Grundkonstruktion der BCRs ist eine Überprüfung des geforderten Schutzniveaus bei Verwendung der Klauseln nicht mehr erforderlich.[19]

 

Inhaltlich handelt es sich bei den BCRs als Alternative zu EU-Standardvertragsklauseln[20] um freiwillige Selbstverpflichtungen, die gerade innerhalb von internationalen Konzernstrukturen ein angemessenes Datenschutzniveau sicherstellen sollen.[21] Einmal durch die Aufsichtsbehörde genehmigt, sichern BCRs grenzüberschreitende Datentransfers innerhalb von Konzernunternehmen.

 

Es war einmal ein sicherer Hafen…

 

Die USA als Drittstaat ohne angemessenes Schutzniveau[22] konnte trotz bestehender stetiger Kritik der Aufsichtsbehörden an der Safe-Harbor-Vereinbarung[23] aus dem Jahr 2000 ihrer großen wirtschaftlichen Bedeutung im Zusammenhang mit personenbezogenen Datentransfers gerecht werden, soweit sich ein Unternehmen den Grundsätzen der Vereinbarung unterworfen hat. Inhaltlich werden sieben Grundprinzipien zum Datenschutz[24] definiert, die mit einer verbindlichen Liste häufig gestellter Fragen[25] ergänzt werden. Hierdurch wurde die Verpflichtung abgesichert, ein mit den EU-Standards vergleichbares Datenschutzniveau einzuhalten[26].

 

Das bisher gesicherte Vorgehen erhielt jedoch eine Absage. Mit der Entscheidung vom 06.10.2015 des Europäischen Gerichtshofs (EuGH)[27] wurde festgestellt, dass auf der Grundlage der Safe-Harbor-Vereinbarung kein Transfer von personenbezogen Daten in die USA erfolgen darf. Bereits in den Schlussanträgen des Generalanwalts, Yves Bot, am EuGH wurden die später tragenden Entscheidungsgründe deutlich: Die USA erlaube Datensammlungen von EU-Bürger „in großem Umfang […], ohne dass sie über einen wirksamen gerichtlichen Rechtsschutz verfügen“ und die Überwachung durch amerikanische Geheimdienste sei massiv und nicht zielgerichtet.[28] Der EuGH stellte darüber hinaus in den Entscheidungsgründen noch klar, dass „die Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses und der Durchführung von Gesetzen der Vereinigten Staaten Vorrang vor der Safe-Harbor-Regelung“ haben, „so dass die amerikanischen Unternehmen ohne jede Einschränkung verpflichtet sind, die in dieser Regelung vorgesehenen Schutzregeln unangewandt zu lassen, wenn sie in Widerstreit zu solchen Erfordernissen stehen. Die amerikanische Safe-Harbor-Regelung ermöglicht daher Eingriffe der amerikanischen Behörden in die Grundrechte der Personen, wobei in der Entscheidung der Kommission weder festgestellt wird, dass es in den Vereinigten Staaten Regeln gibt, die dazu dienen, etwaige Eingriffe zu begrenzen, noch, dass es einen wirksamen gerichtlichen Rechtsschutz gegen solche Eingriffe gibt“.[29]

 

In der daran anknüpfenden Zeit der Unsicherheit schienen als ausschließliche sichere Varianten die Einholung der Einwilligung jeder einzelnen betroffenen Person oder der Weg über BCRs. Die Zeit drängte. Am 02.02.2016 teilte die Europäische Kommission mit, dass mit der amerikanischen Regierung eine Nachfolgeregelung ausgehandelt wurde,[30] die den Namen „EU-US Privacy Shield“ trage[31]. Die Reihenfolge der Nennung der beteiligten Institutionen verdient besondere Beachtung. In Beantwortung der Hauptkritikpunkte aus der EuGH-Entscheidung enthält das Regelungspaket neben Grundsätzen zum Datenschutz und einem Bestätigungsbeschluss über das angemessene Datenschutzniveau, auch „Garantien und Beschränkungen für den Datenzugriff durch Behörden“.[32] So beruhigend diese Korrektur im Regelungskonstrukt auch wirkte, grundlegendes Vertrauen wurde nicht gefasst. Der Weg über die vertragliche Anerkennung und Zusicherung der Verteidigung von Datenschutzbelangen war und ist von Rechtsbeiständen weiterhin der präferierte, sichere Weg.[33] Dem Vertrauen in die Regelung ist weiterhin nicht zuträglich, dass bereits Gerüchte kursieren, wonach der neue amerikanische Präsident Donald Trump „womöglich“ mit dem Gedanken spielt, sämtlichen Datenschutz für Nicht-US-Bürger zu beseitigen.[34] Von offizieller Seite fehlen hierzu jedoch verlässliche Angaben.

 

Der Ausgangspunkt ist das Ziel.

 

Grenzüberschreitende Datentransfer sind im Zeitalter von Cloud Computing wohl der Normalfall als die Ausnahme. Entscheidend für die weitere rechtliche Auseinandersetzung ist, welche Grenzen hierbei überquert werden. Ein Transfer innerhalb der EU und des Europäischen Wirtschaftsraums orientiert sich unter Berücksichtigung des Sitzprinzips am Recht des Ortes, an dem die verantwortliche Stelle ihren Sitz hat.[35] Werden beispielsweise spanische, personenbezogene Daten von einem deutschen Cloud-Anbieter verarbeitet, so ist deutsches Recht anwendbar.

 

Gesetzlich ist hiervon jedoch in § 1 Abs. 5 S. 1, 2. Halbsatz BDSG eine Ausnahme für den Fall geregelt, dass ein Cloud-Anbieter als eine aus einem EU-Staat tätige Stelle eine Niederlassung im Inland hat oder von dieser Niederlassung aus tätig ist. In diesem Fall gilt nach dem Territorialprinzip im oben angeführten Beispiel spanisches Datenschutzrecht.[36]

 

1 Abs. 5 S. 2 BDSG regelt, dass das Gesetz Anwendung findet, sofern eine verantwortliche Stelle, die nicht in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum belegen ist, personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt. Dies gilt jedoch gemäß § 1 Abs. 5 S. 4 BDSG dann nicht, wenn personenbezogene Daten „nur zum Zweck des Transits durch das Inland eingesetzt werden“. In der Praxis bedeutet dieses gesetzlich verankerte Sitzlandprinzip, dass im Falle eines Cloud-Anbieters mit Sitz den USA, der seine Dienste in Deutschland anbietet, deutsches Datenschutzrecht zur Anwendung kommt.

 

Weitere Regelungen stellen u.a. Landesdatenschutzgesetze zur Verfügung, die einschlägig sind, sofern als Auftraggeber eine öffentliche Landesstelle auftritt. Mögliche Beispiele sind Archivierung und Management in Cloud-System durch Landesbehörden oder kommunalen Hoheitsträgern. In diesem Zusammenhang sind dann auch ferner von Bundesrecht abweichende Landesregelungen in Einklang zu bringen.

 

Zusammenfassung

 

Cloud Computing ist eine praxisrelevante Neuerung, auf die mit für einen Laien nur schwer beherrschbaren Masse an mehr oder weniger einschlägigen Regelungen geantwortet wird. Das Datenschutzrecht ist aufgrund der ständig wachsenden Anforderungen an einen sicheren Datentransfer in einem stetigen Erneuerungs- und Nachbesserungsfluss, der im Auge behalten werden muss. Nach alldem ist für alle Cloud-Anbieter dringend anzuraten, rechtzeitig ihre Dienste abzusichern und die richtigen Wege zu wählen, um nach Wahl der einschlägigen Rechtsgrundlage deren Anforderungen zu erfüllen.

 


Zur Verfasserin:

Jessica Wagner, LL.M., ECM ist in Ulm tätig als Rechtsanwältin, Wirtschaftsmediatorin IHK und EBC*L Certified Managerin. Sie hat sich auf die umfassende rechtliche Beratung von Sachverhalten aus dem Wirtschafts-, Internet- und IT-Recht spezialisiert. Weitere Informationen sind abrufbar auf der Website der Kanzlei.

 

Fußnoten:

[1]
Heckmann, in. Hill/Schliesky, Innovationen im und durch Recht, 2010, S. 97; Heckmann, in:

[2]
Schwenk, in Borges/Schwenk, Daten- und Identitätsschutz in Cloud Computing, E-Government und E-Commerce, 2012, S. 3.

[3]
Weichert, DuD 2010, 679, 679.

[4]
Vgl. Mather/Kumaraswamy/Latif, Cloud Security and Privacy, 2009, S. 22.

[5]
Vgl. Mather/Kumaraswamy/Latif, Cloud Security and Privacy, 2009, S. 23, sowie Maisch/Seidl, VBlBW 2012, 7.

[6]
https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/CloudComputing/Grundlagen/Grundlagen_node.html;jsessionid=2FFEBFB82D3F1C9AD5278DD217AB7238.2_cid091, zuletzt abgerufen am 31.01.2017, 12:33 Uhr.

[7]
Zur Abgrenzung und weiteren Auseinandersetzung: Heckmann, in: Hill/Schließky, Innovationen im und durch Recht, 2010, S. 97 f.

[8]
Vgl. Mather/Kumaraswamy/Latif, Cloud Security and Privacy, 2009, S. 18 f.; Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM), Cloud Computing Leitfaden, 2010, S. 22; vgl. a. Nägele/Jacobs, ZUM 2010, 281, 282; Weichert, DuD 2010, 679, 679; Heckmann, in: Heckmann, Praxiskommentar Internetrecht, 2014, 1175, Rn. 606 m.w.N.

[9]
Vgl. BITKOM e.V., Cloud Computing Leitfaden, 2010, S. 22; Nägele/Jacobs, ZUM 2010, 281, 282; Heckmann, in: Heckmann, Praxiskommentar Internetrecht, 2014, 1175, Rn. 607 m.w.N.

[10]
Vgl. BITKOM e.V., Cloud Computing Leitfaden, 2010, S. 25 ff.; Heckmann, in: Heckmann, Praxiskommentar Internetrecht, 2014, 1175, Rn. 608 m.w.N.

[11]
Vgl. BITKOM e.V., Cloud Computing Leitfaden, 2010, S. 23; 27f; Heckmann, in: Heckmann, Praxiskommentar Internetrecht, 2014, 1175, Rn. 609 m.w.N.

[12]
Z.B. Kanada, Schweiz und Argentinien.

[13]
Vgl. § 4b Abs. 2 S. 2 BDSG.

[14]
§ 4c BDSG.

[15]
Lensdorf, CR 2010, 735 ff. Moos, CR 2010, 281 ff.

[16]
Grapentin, in: Taeger/Wiebe, Inside the Cloud, 2009, S. 457 ff.

[17]
Spindler, in: Spindler/Schuster, Recht der elektronischen Medien, 2015, § 4c BDG, Rn. 20; Maisch/Seidl, VBlBW 2012, 7; Hennrich/Maisch, AnwZert ITR 15/2011, Anm. 2.

[18]
http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2015/20151016_wp29_statement_on_schrems_judgement.pdf, zuletzt abgerufen am 31.01.2017, 17:37 Uhr.

[19]
Weitergehend hierzu Gola/Schomerus, BDSG, 2012, § 4c Rn. 14.

[20]
Die Safe-Harbor-Vereinbarung ist wohl als „sicherer Hafen“ untergegangen. Für die genannte Alternative, vgl. Hennrich/Maisch, AnwZert ITR 15/2011, Anm. 2.

[21]
Simitis, in: Simitis, BDSG, 2011, § 4c Rn. 59.

[22]
Heckmann, in: Heckmann, Praxiskommentar Internetrecht, 2014, 1175, Rn. 630.

[23]
Safe-Harbor-Datenschutzvereinbarung zwischen der Europäischen Union und den Vereinigten Staaten von Amerika (USA); vgl. Rath/Rothe, K&R 2013, 623; Ritchie, PinG 2014, 45 ff.

[24]
http://2016.export.gov/safeharbor/eu/eg_main_018476.asp, zuletzt abgerufen am 03.02.2017, 11:01 Uhr.

[25]
Vgl. Simitis, in: Simitis, BDSG, 2011, § 4b Rn. 70; Marnau/Schlehahn, DuD 2011, 311 f.

[26]
Vgl. Hennrich/Maisch, AnwZert ITR 15/2011, Anm. 2.

[27]
http://curia.europa.eu/juris/document/document.jsf?text=&docid=169195&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=116872, zuletzt abgerufen am 03.02.2017, 11:07 Uhr.

[28]
http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-09/cp150106de.pdf, zuletzt abgerufen am 0302.2017, 11:13 Uhr.

[29]
http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117de.pdf, zuletzt abgerufen am 03.02.2017, 11:25 Uhr.

[30]
http://europa.eu/rapid/press-release_IP-16-216_en.htm, zuletzt abgerufen am 03.02.2017, 11:32 Uhr.

[31]
https://www.heise.de/newsticker/meldung/Einigung-zwischen-EU-und-USA-Safe-Harbor-heisst-jetzt-EU-US-Privacy-Shield-3091607.html, zuletzt abgerufen am 03.02.2017, 11:35 Uhr Uhr.

[32]
http://europa.eu/rapid/press-release_IP-16-433_de.htm, zuletzt abgerufen am 03.02.2017, 11:36 Uhr.

[33]
Vgl. http://www.lexology.com/library/detail.aspx?g=0f24b492-7695-417e-b3e5-ef7becf7a35b, zuletzt abgerufen am 03.02.2017, 12:03 Uhr.

[34]
http://www.pcgames.de/Politik-Thema-237122/News/Trump-hebt-Datenschutz-Save-Harbor-Privacy-Shield-auf-1219307/, abgerufen am 03.02.2017, 12:07 Uhr.

[35]
Gola/Schomerus, BDSG, 2012, § 1 Rn. 27.

[36]
Vgl. Maisch/Seidl, VBlBW 2012,7.