Datenschutz in der Cloud

Die Cloud ist in aller Munde. Immer mehr Anbieter und Nutzer tummeln sich im Netz. Es lohnt sich also, einmal genauer darauf zu schauen, was eigentlich hinter dem Begriff Cloud steckt.

Auf den Punkt gebracht stellt ein Anbieter eines Cloud-Dienstes einem Nutzer Speicherplatz, Rechenkapazität und eventuell Software zur Datenverarbeitung zur Verfügung, die der Nutzer bei Bedarf jederzeit über das Internet abrufen kann.

Der Nachteil für den Nutzer ist, dass er nicht genau lokalisieren kann, wo die Dienstleistung erbracht wird. Dies bringt, abgesehen von dem Problem, wie der Nutzer sicherstellen kann, dass seine Daten vor fremdem Zugriff geschützt sind, auch einige Datenschutzanforderungen mit sich. Sofern personenbezogene Daten betroffen sind (denn nur für solche gelten die Datenschutzgesetze), stellt die Benutzung eines Cloud-Dienstes nämlich rechtlich eine sogenannte Auftragsdatenverarbeitung nach §11 Bundesdatenschutzgesetz (BDSG) dar, da die Daten zur Verarbeitung an Dritte übermittelt werden. Der Begriff der Verarbeitung ist in §3 BDSG definiert. Darunter fallen demnach nicht nur die eigentliche Verarbeitung, sondern auch die reine Speicherung sowie die Weiterübermittlung, Veröffentlichung und sogar das Löschen von Daten.

Die gesamte Verantwortlichkeit für die Einhaltung des Datenschutzes legt das BDSG in die Hände des Auftraggebers (also des Cloud-Nutzers). Er ist somit für alle Datenschutzverstöße des Auftragnehmers (im vorliegenden Fall ist dies der Cloud-Dienstleister) haftbar. Dies betrifft auch die privatrechtlichen Ansprüche von Personen, deren Daten von einem Verstoß betroffen waren.
Erschwerend kommt bei den meisten Cloud-Dienstleistern noch hinzu, dass sich der Standort der Server außerhalb Deutschlands oder sogar außerhalb der EU befindet. Das BDSG verbietet jedoch die Übermittlung personenbezogener Daten in andere Staaten, wenn in diesen der Datenschutz gesetzlich nicht auf angemessenem Niveau geregelt ist. Ein angemessenes Niveau wird aktuell z.B. den anderen Mitgliedsstaaten der EU bescheinigt, da diese verpflichtet sind, die EU-Datenschutzrichtlinien in ihren nationalen Gesetzen umzusetzen. Eine Liste weiterer Staaten findet man auf den Webseiten der EU [2].
 

Stolpersteine gibt es für Firmen …

Für eine Firma sind die Möglichkeiten, welche die Cloud bietet, erst einmal von Vorteil – insbesondere dann, wenn temporär große Kapazitäten an Rechenleistung oder Speicherplatz benötigt werden. Die dafür erforderliche Hardware müsste im klassischen Anwendungsfall angeschafft und dauerhaft bereitgehalten werden, obwohl sie nur selten ausgenutzt wird. Es ist in solch einem Fall günstiger, die benötigten Betriebsmittel genau zum richtigen Zeitpunkt und nur für die benötigte Dauer zu mieten.

Die Vor- und Nachteile einer Cloud-Lösung müssen aber nicht nur nach betriebswirtschaftlichen, sondern auch unter Datenschutzgesichtspunkten betrachtet werden.

Zuerst einmal ist die Auswahl des Anbieters wichtig. Solange der Cloud-Dienstleister ausschließlich Server innerhalb von Deutschland oder in der EU zur Verfügung stellt, ist die Beauftragung datenschutzrechtlich unbedenklich. Die EU erkennt auch das Schutzniveau einiger anderer Länder, wie z.B. Kanada, USA oder Argentinien, unter bestimmten Bedingungen an. So ist die Beauftragung von Firmen in den USA ohne weiteres möglich, sofern sie sich auf die „Safe Harbour“-Grundsätze verpflichtet haben, die garantieren, dass Kundendaten vertraulich behandelt werden. (Was jedoch eine solche Selbstverpflichtung der Firmen wert ist, wenn vermeintlich staatliche Interessen auf dem Spiel stehen, haben gerade die jüngsten Ereignisse in den USA gezeigt.)
Ist all dies nicht gegeben, kann ein Dienstleister nur beauftragt werden, wenn die Verarbeitung im Ausland unumgänglich ist (was in der Praxis nur sehr schwer zu begründen ist).

Sind die Bedingungen erfüllt, muss die Beauftragung des Dienstleisters schriftlich erfolgen.
Im Rahmen der schriftlichen Beauftragung müssen (wie bei jeder Auftragsdatenverarbeitung) nach §11 BDSG folgende Punkte eindeutig geklärt werden:

  • Gegenstand und Dauer des Auftrags,
  • Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, sowie Art der Daten und der Kreis der Betroffenen,
  • zu treffende technische und organisatorische Maßnahmen,
  • Berichtigung, Löschung und Sperrung von Daten,
  • bestehende Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
  • etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
  • Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
  • mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
  • Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
  • Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Für alle Punkte, die der Cloud-Anbieter nicht bereits in seinen Geschäftsbedingungen eindeutig oder zur Zufriedenheit regelt, muss eine gesonderte Vereinbarung (Policy) im Rahmen der Beauftragung getroffen werden. Außerdem sollten auch alle Fragen der Haftung bei Verstößen des Cloud-Anbieters gegen den Datenschutz in den Verträgen festgelegt werden und sichergestellt sein, dass alle Maßnahmen auch wirklich rechtlich durchsetzbar sind.

Zum Schluss ist noch zu beachten, dass bei einer Auftragsdatenverarbeitung eine Meldepflicht besteht. Dies gilt vor allem, wenn die Daten nicht für eigene Zwecke verarbeitet werden. Nur wenn weniger als neun Personen an der Verarbeitung beteiligt sind, die Firma einen Datenschutzbeauftragten bestellt hat oder die Betroffenen ihre Zustimmung gegeben haben, kann auf die Meldepflicht verzichtet werden.
Überhaupt empfiehlt es sich immer, die Zustimmung der Betroffenen einzuholen, wenn eine Auftragsdatenverarbeitung geplant ist. Viele datenschutzrechtliche Prüfungen und Voraussetzungen können dann entfallen.
 

… aber auch für private Anwender

Auch private Anwender nutzen die Cloud intensiv – zum Teil ohne darüber nachzudenken oder sich dessen bewusst zu sein, dass dabei Belange des Datenschutzes betroffen sind.
Bei der Benutzung von Online-Backupdiensten, Smartphones oder Tablets und der Synchronisation mehrerer Geräte untereinander werden die Daten wie selbstverständlich auf den Servern des Anbieters zwischengespeichert.
Dabei sind durchaus auch Daten im Spiel, die eigentlich unter das Datenschutzgesetz fallen. Dazu gehören z.B. Adressen aus dem Adressbuch oder auch Fotos von anderen Personen. Allein schon die Erstellung eines Serienbriefes mit einem Textverarbeitungsdienst (wie z.B. Office 360°) in der Cloud beinhaltet personenbezogene Daten.
Eigentlich“ deshalb, weil normalerweise die Datenschutzgesetze die Speicherung und Übermittlung für rein private Zwecke nicht betreffen („die Erhebung, Verarbeitung oder Nutzung der Daten erfolgt ausschließlich für persönliche oder familiäre Tätigkeiten“).

Der Fallstrick sind hier die Nutzungsbedingungen der Dienstanbieter. Viele Anbieter, wie z.B. Apple oder Google, behalten sich nämlich vor, die Daten der Nutzer für alle möglichen Zwecke weiter zu verarbeiten oder sogar an andere Partner weiterzugeben. Durch diesen Passus sind die Daten daher nicht mehr ausschließlich für private Zwecke bestimmt. Weil der Anbieter in den meisten Fällen international auftritt, ist auch der Standort der genutzten Datenverarbeitungsanlage (also der Standort des Servers) nicht genau definiert. Befindet sich dieser möglicherweise außerhalb der Europäischen Gemeinschaft oder nicht in einem Land, das als „sicheres Drittland“ eingestuft wird, ist nach der aktuellen Gesetzeslage sogar schon die Übermittlung untersagt.
Bei der Benutzung eines Cloud-Services sollte man daher die Nutzungsbedingungen auf keinen Fall unbeachtet lassen, sondern durchaus eingehend studieren.

Mittlerweile haben schon einige Anbieter auf Hinweis der deutschen und anderer europäischer Behörden ihre Nutzungsbedingungen angepasst, sodass die bloße Benutzung ihres Dienstes keinen Rechtsverstoß mehr darstellt. (So garantiert z.B. Apple in der aktuellen, überarbeiteten Version der Nutzungsbedingungen für die Apple Cloud allen Kunden, die in der Europäischen Gemeinschaft wohnhaft sind, dass ihre Daten ausschließlich auf Servern in Irland gespeichert werden.)
Der Vorbehalt der weiteren Nutzung oder Weitergabe der Daten bleibt aber in den meisten Fällen bestehen. Dadurch ergibt sich für den Nutzer immer ein nicht unerhebliches rechtliches Risiko, denn wenn der Cloud-Anbieter personenbezogene Daten aus den Nutzerdaten ohne die Zustimmung der Betroffenen nutzt oder weitergibt, ist der Nutzer selbst in der rechtlichen Verantwortung. Dabei ist es unerheblich, ob der Verstoß absichtlich oder fahrlässig begangen wurde. Dessen sollte man sich vor der Nutzung eines Cloud-Services bewusst sein.

Rechtlich sicher sein könnte man übrigens, wenn man wie ein gewerblicher Anbieter auch von jeder Person, die eventuell in den Daten auftaucht, eine Einwilligung für die Speicherung und Weitergabe von personenbezogenen Daten einholt oder eine separate Vereinbarung mit dem Cloud-Anbieter über die Verarbeitung der Daten abschließt. Der Aufwand, der dadurch entsteht, wird aber für eine Privatperson wahrscheinlich nicht zu stemmen sein.
 

Links:

[1] Datenschutzgesetze: www.datenschutz.de/recht/gesetze/
[2] Sichere Drittstaaten: http://ec.europa.eu/justice/data-protection/document/international-transfers/adequacy/index_en.htm

Dieser Blog-Beitrag ist ein Erfahrungsbericht des Autors und nicht rechtsberatend zu verstehen.