Teil 1 – Vertragliche Aspekte des Cloud Computing

Teil 2 – Datenschutzrechtliche Aspekte

Teil 3 – Vortrag und Video:

Rechtsfragen zum Cloud Computing und deren Lösung

Selbstverständlich im Rahmen eines solchen vorgenannten Vertrages zu regeln, dennoch aufgrund derer Besonderheit herausgestellt zu behandeln sind im Rahmen des Cloud Computing datenschutzrechtliche Aspekte.

Wie im „klassischen“ IT-Outsourcing auch, werden einem anderen Unternehmen regelmäßig personenbezogene, teilweise auch hochsensible Daten von Betroffenen zugänglich gemacht, das diese Daten verarbeitet. Dies ist insoweit rechtlich unproblematisch, als der Auftragnehmer als Auftragsdatenverarbeiter im Sinne des § 11 BDSG tätig wird und sich entsprechend der Novellierung des Datenschutzrechtes zum 1. September 2009 dezidiert zu verpflichten hat. Für ein Unternehmen ist es allerdings bedeutsam, in welcher Hinsicht der Dienstleister die zum kommerziell sinnvollen Betrieb erforderliche Skalierung auf welchen Systemen wie und wo vornimmt, beispielsweise ob er eine eigene Cloud Infrastruktur innerhalb eines Unternehmens oder eine geteilte Infrastruktur mit mehreren Unternehmen nutzen möchte und wie dort der Zugriff geregelt ist.

Soweit der Auftragnehmer – oder „schlimmer“ noch dessen Subunternehmer – die Daten außerhalb Deutschlands verarbeiten möchte, kommt es zunächst in territorialer Hinsicht darauf an, ob dies innerhalb der Europäischen Union bzw. dem EWR erfolgt oder außerhalb.

Bei einer Datenverarbeitung innerhalb Europas und des durch die Vertragsstaaten garantierten Datenschutzniveaus ist von einer datenschutzrechtlich zulässigen Auftragsdatenverarbeitung auszugehen, wobei hier noch nicht abschließend ausdiskutiert wurde, inwieweit das neben der Weisungsbefugnis vertraglich vorzusehende Kontrollrecht in der Praxis auch durchsetzbar sein muss. Hier stellt sich beispielsweise die Frage, ob ein Unternehmen über Reporting- und Monitoringfunktionen hinaus gehalten ist, auch eine Vorortkontrolle durchzuführen.

Soll eine Verlagerung der Daten durch den Auftragsdatenverarbeiter in eine außereuropäische Cloud erfolgen, so richtet sich die Zulässigkeit danach, ob dies in ein sogenanntes sicheres Drittland geschieht, wie beispielsweise die Schweiz oder Kanada, oder es sich um unsichere Drittländer handelt, wie insbesondere Indien oder die Vereinigten Staaten von Amerika.

Bei einer außereuropäischen Verlagerung behelfen sich Unternehmen damit, dass die sogenannten EU-Standardvertragsklauseln für die Auftragsdatenverarbeitung verwendet werden. Diese beinhalten insbesondere Regelungen zur Sicherstellung des Datenschutzes sowie der dafür erforderlichen Kontrolle.

Soweit es sich um eine Verlagerung von Daten in das EU-Ausland, aber innerhalb eines Konzerns handelt, kann dies über Konzernregelungen („Binding Corporate Rules“) erfolgen.

Von besonderer Bedeutung ist allerdings aufgrund der großen in den Vereinigten Staaten ansässigen IT-Unternehmen die Verlagerung von Daten in die USA. Da die Vereinigten Staaten als unsicheres Drittland gelten, konnte man sich bisher dadurch behelfen, dass eine Auftragsdatenverarbeitung durch solche Unternehmen zulässig ist, die sich den Safe Habor Principles unterworfen haben. Hierbei handelt es sich um Regelungen, die einen angemessenen Datenschutz gewährleisten sollen und zu deren Einhaltung sich der Empfänger von Daten in den USA gegenüber der zuständigen US-Behörde verpflichten kann.

Der Düsseldorfer Kreis, ein Zusammenschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich, hat indes nicht zuletzt aufgrund einer Studie aus dem Jahre 2008 massive Bedenken an der Einhaltung der Safe Habor Principles durch die diese akzeptierenden Unternehmen angemeldet. Die vorgenannte Studie hatte hier erhebliche Defizite festgestellt, z.B. wurden teilweise nicht einmal die Mindestanforderungen eingehalten. Daher dürfte es zukünftig nicht mehr genügen, dass das Unternehmen diese Principles anerkannt hat. Vielmehr ist durch vertragliche Regelungen sicherzustellen und zu kontrollieren, dass das Unternehmen die Safe Habor Principles auch tatsächlich wie vertraglich geschuldet umsetzt.

Zusammenfassung

Das durch Wartungsvereinfachung und letztlich durch kommerzielle Aspekte attraktive Cloud Computing lässt sich auch für Unternehmen beherrschen. Wichtige Voraussetzung hierfür ist, dass nicht alleine auf die Leistungsfähigkeit des Auftragnehmers vertraut wird, sondern der Leistungsinhalt durch dezidierte vertragliche Regelungen festgeschrieben und dessen Nichteinhaltung unter Sanktionen gestellt wird.

Nicht nur aufgrund der gewachsenen datenschutzrechtlichen Sensibilität, vielmehr wegen der erheblichen Bußgelder bis zu € 300.000,- empfiehlt es sich, dass Unternehmen, die beispielsweise auch noch Potential für die Umsetzung der gesetzlichen Novellierung des Datenschutzrechtes haben, die aktuell erforderlichen Anforderungen in diesem Zuge gleich mitberücksichtigen. Entscheidend bleibt im Rahmen des Risikomanagements, den Betrieb auch in unterschiedlichen Fallkonstellationen vertraglich so sicherzustellen, dass Risiken mit Blick auf die Eintrittswahrscheinlichkeit und Schadenshöhe angemessen beherrscht werden.