Publikation | Februar 2016
Der Begriff Cloud Computing ist seit einigen Jahren in aller Munde und gilt als eine der Schlüsseltechnologien für die nächste Stufe der industriellen Evolution. Doch vor allem bezüglich Datenschutz und Datensicherheit stellt diese Technologie Unternehmer vor diverse Herausforderungen. Unsicherheit herrscht insbesondere seit dem Urteil des Europäischen Gerichtshofs (EuGH) vom 6. Oktober 2015, das die US Safe Harbor-Entscheidung der EU-Kommission mit sofortiger Wirkung für unwirksam erklärte.
Cloud Computing ist ein Sammelbegriff für unterschiedliche Services. Im Unterschied zu „klassischer“ Datenverarbeitung werden Hard- und Software als Service angeboten: Statt ITSysteme selbst zu erwerben, wird nur deren Nutzung erworben. Die Systeme werden dezentral betrieben und mit anderen Kunden geteilt. Dies schafft mehr Flexibilität und Skalierbarkeit bei gleichzeitig niedrigeren Kosten. Aufgrund der Ubiquität der Daten und Informationen besteht allerdings tendenziell weniger Kontrolle über Datenverarbeitungs- und Sicherheitssysteme. Das bedeutet auch, es gibt potentiell weniger Möglichkeiten zu bestimmen, wo und von wem die Daten gespeichert und verarbeitet werden.
Die rechtlichen Anforderungen im Hinblick auf den Datenschutz stehen auf den ersten Blick konträr zu den Eigenschaften des Cloud Computing.
Die rechtlichen Anforderungen, insbesondere im Hinblick auf den Datenschutz, stehen somit auf den ersten Blick konträr zu den Eigenschaften des Cloud Computing. Laut Bundesdatenschutzgesetz sind die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, wenn der Betroffene eingewilligt hat oder eine gesetzliche Vorschrift dies ausdrücklich erlaubt. Daneben gilt der so genannte Zweckbindungsgrundsatz, das heißt eine Datenverwendung erfolgt grundsätzlich zweckgebunden und eine Verwendung für andere Zwecke bedarf einer eigenständigen Erlaubnis. Des Weiteren begründet das so genannte Transparenzgebot Unterrichtungs-, Hinweis- und Aufklärungspflichten seitens der datenverarbeitenden Stelle.
In Verträgen mit Cloud-Anbietern muss unterschieden werden, ob Daten nur innerhalb des Europäischen Wirtschaftsraums (EWR) übermittelt werden oder auch eine Übermittlung in „unsichere“ Drittstaaten, zu denen auch die USA zählen, erfolgt.
Innerhalb des EWR ist eine so genannte Auftragsdatenverarbeitung (ADV) möglich und empfehlenswert. Hiernach muss der Kunde mit dem Cloud-Provider eine formelle Vereinbarung schließen, nach der der Kunde Weisungsund Kontrollrechte hat. Ferner muss vereinbart werden, wo genau die Daten des Kunden gespeichert werden, und dass diese in einem Standardformat am Ende der Laufzeit wieder herausgegeben werden. Im Rahmen der Auftragsdatenverarbeitung bleibt der Kunde als Auftraggeber für die Datenverwendung verantwortlich. Der Cloud-Anbieter als Auftragnehmer verwendet die Daten nur für Zwecke des Kunden nach dessen Weisung.
Im Hinblick auf Drittländer ist die Lage deutlich schwieriger, da immer eine „Übermittlung“ von Daten vorliegt, die besonders gerechtfertigt werden muss. Bei einem Datentransfer in Drittstaaten erfolgt eine so genannte Zwei-Stufen-Prüfung: Auf der ersten Stufe ist die Rechtfertigung des Datentransfers an den Cloud-Anbieter darzustellen und auf der zweiten Stufe die Rechtfertigung des Exports der Daten aus dem EWR hinaus.
Auf der ersten Stufe existiert keine Privilegierung der Auftragsdatenverarbeitung durch Auftragnehmer wie innerhalb des EWR – es bedarf also einer Rechtsgrundlage für die.
Weitergabe der Daten an den Provider, die ein Unternehmen innerhalb des EWR bei einer Auftragsdatenverarbeitung nicht braucht. Häufig können sich Unternehmen auf ein berechtigtes Interesse berufen. Das Bundesdatenschutzgesetz lässt in diesem Zusammengang allerdings keine Übermittlung sensibler Daten (so genannter besonderer Kategorien personenbezogener Daten) zu, wie beispielsweise Angaben über Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.
Früher stand auch die Safe Harbor- Selbstzertifizierung des Anbieters zur Verfügung.
Auf der zweiten Stufe erfordert der Export personenbezogener Daten aus dem EWR hinaus die Sicherstellung eines angemessenen Datenschutzniveaus. Hierbei ist zu unterscheiden zwischen so genannten White List Countries (Andorra, Argentinien, Australien, Färöer-Inseln, Guernsey, Isle of Man, Israel, Jersey, Kanada, Neuseeland, Schweiz, Uruguay) und sonstigen Drittstaaten. Bei diesen Drittstaaten, also auch den USA, muss ein angemessenes Datenschutzniveau durch zusätzliche Maßnahmen sichergestellt werden. Dafür kommen EU-Standardvertragsklauseln, Binding Corporate Rules oder eine Einwilligung des Betroffenen in Betracht. Früher stand hier auch die Safe Harbor-Selbstzertifizierung des Anbieters in den USA zur Verfügung. Diese Option ist seit der Entscheidung des EuGH jedoch entfallen.
Nachdem der EuGH diese Grundlage in seinem Urteil nun für unwirksam erklärt hat, kann eine Safe Harbor- Selbstzertifizierung einen Datenexport in die USA nicht mehr rechtfertigen. Als Hintergrund dafür nennen die Richter unter anderem die in den USA geltenden Regeln und Gesetze, die es US-Behörden gestatten, nach eigenem Ermessen auf die Daten von dort beheimateten Cloud-Anbietern zuzugreifen. Dieses Umfeld stellt aus EU-Sicht keinen „Safe Harbor“ für personenbezogene Daten dar.
Das Urteil kann unmittelbar alle Unternehmen berühren, die selbst personenbezogene Daten aus Europa in die USA übermitteln, etwa wenn ein deutsches Unternehmen seiner US-Konzernmutter Arbeitnehmerdaten auf Grundlage von Safe Harbor zugänglich macht. Mittelbar kann es insbesondere für Unternehmen von Relevanz sein, die im Rahmen ihrer Leistungserbringung auf eine Datenübermittlung durch ihre Kunden in die USA angewiesen sind, wie etwa Cloud- und andere IT-Dienstleister, die ihre Leistungen aus den USA an Unternehmen in Europa erbringen.
Cloud Computing ist nicht für alle Arten von Daten gleichermaßen geeignet.
Als Alternativen stehen – neben einer im Regelfall unpraktikablen Einwilligung – grundsätzlich noch die EUStandardvertragsklauseln sowie Binding Corporate Rules zur Verfügung. Allerdings sind die Standardvertragsklauseln seit dem Urteil ebenfalls in die Kritik geraten und es wurde seitens der Aufsichtsbehörden angekündigt, vorläufig keine Binding Corporate Rules mehr zu genehmigen. Insgesamt bleibt daher abzuwarten, ob sich die USA und Europa politisch auf bessere Datenschutzstandards verständigen können. Derzeit kann man Kunden in Europa nur raten, vorläufig durch EUStandardvertragsklauseln die Datenübermittlung an Cloud- Anbieter in den USA abzusichern, und die Situation weiter im Blick zu behalten.
Im Ergebnis lässt sich festhalten, dass Cloud Computing nicht überall und nicht für alle Arten von Daten gleichermaßen geeignet ist. Sensible Daten und Geschäftsgeheimnisse sind in der Cloud nur mit besonderen Sicherheitsmaßnahmen zu speichern, wie der vorherigen Verschlüsselung auf dem Desktop. Sollen Anbieter außerhalb Europas genutzt werden, sollte sich der Kunde die besonderen rechtlichen Rahmenbedingungen genau ansehen.
Publikation
ESG is high on the regulatory agenda. Businesses, governments, regulators, financial services firms and individuals all have a part to play in tackling climate change and this view is increasingly shared across society.
Subscribe and stay up to date with the latest legal news, information and events . . .
© Norton Rose Fulbright LLP 2023
