Das Thema Datenschutz und Sicherheit sind wohl derzeit die meist diskutierten Themen beim Cloud Computing. Da diese Themen meist sehr unanschaulich sind, sorgt dies auch für erhebliche Verunsicherung.

Die Besonderheiten des Cloud Computings:

1. Prinzip: Ortsunabhängigkeit (territoriale Virtualisierung)

D.h. die Hardware, auf der letztlich die Daten verarbeitet und gespeichert werden, kann sich überall auf der Welt befinden. Einige Bestimmungen des Datenschutzes knüpfen an den Ort der Datenverarbeitung an.

Im Gegensatz hierzu steht der Grundsatz, dass gesetzliche Bestimmungen (z.B. das Bundesdatenschutzgesetz) eines Landes grundsätzlich nur auf dessen Hoheitsgebiet Geltung haben. 

Territorialitätsprinzip: Gesetzliche Bestimmungen gelten nur für das Staatsgebiet. Das bedeutet nichts anderes, als dass der in Deutschland tätige Unternehmer sich an die deutschen Gesetze halten muss.

Der Schutz einer ausländischen Rechtsordnung gilt oft nur für deren Staatsangehörige.

Hieraus ergeben sich beim Cloud Computing folgende wesentliche Problemstellungen:

-> Unkenntnis, wo sich die Daten konkret befinden

-> mangelhafter gesetzlicher Schutz der Daten

2. Prinzip: Arbeitsteilung /Outsourcing

An der Leistungserbringung sind meist viele verschiedene Dienstleister beteiligt. Bestimmungen des Datenschutzes fordern, dass Subunternehmer vom Auftraggeber in bestimmter Weise vertraglich verpflichtet und kontrolliert werden (Regelungen zur Auftragsdatenverarbeitung)

Hieraus ergibt sich das Problem:

->mangelnde Transparenz

Die Vertragsgestaltung für Cloud Computing – Cloud Contracting – muss diese Problempunkte abfangen und eine praktikable Lösung bereitstellen.

Datenschutz und Sicherheit

Bezogen auf die für den Datenschutz relevanten Regelungen muss sich der Unternehmer, der Cloud Computing umsetzen möchte, über die Unterschiede zwischen Datenschutz und der Datensicherheit klar werden.

Datenschutz:betrifft im Wesentlichen die gesetzlichen Regelungen zum Schutz personenbezogener Daten;

Datensicherheit:Betrifft im Wesentlichen technische und organisatorische Maßnahmen zum Schutz von Daten vor

- Zerstörung, d.h. Gewährleistung der Verfügbarkeit,

- Verfälschung, d.h. Gewährleistung der Integrität,

- unzulässiger Weitergabe, d.h. Gewährleistung der Vertraulichkeit,

Datenschutz und Datensicherheit haben beide eine juristische und eine technische Dimension.

Konkretes Vorgehen für den Unternehmer:

Um überhaupt festzustellen, welche Regelungen für die Umsetzung des Cloud Computings notwendig sind, müssen folgende Fragen beantwortet werden:

1. Schritt: Welche Daten sollen in die Cloud?

Die datenschutzgerechte und sichere Umsetzung von Cloud Computing kann mit erheblichem vertraglichem und technischem Aufwand verbunden sein. Möglichweise sind bestimmte Lösungen überhaupt nicht rechtssicher umzusetzen. Es ist daher empfehlenswert,die Daten zu identifizieren, die in die Cloud „kommen“ sollen und diese Daten nach ihrer Bedeutung und datenschutzrechtlichen Einordnung zu bewerten (Differenzieren nach der Kritikalität der Daten).

Folgende Daten-Kategorien bieten sich an, da hieran bestimmte gesetzliche Anforderungen bestehen:

•          öffentliche Daten (Public Data)

•          Geschäftsgeheimnisse

•          personenbezogene Daten

•          qualifizierte personenbezogene Daten

Anmerkungen:

Öffentliche (npbD) Daten sind für Jedermann bestimmt. Bei diesen Daten spielt der Datenschutz keine und die Datensicherheit nur hinsichtlich des Datenverlustes eine untergeordnete Rolle.

Für Geschäftsgeheimnisse ist die technische Datensicherheit von wesentlicher Bedeutung.

Sind personenbezogene Daten  vom Cloud Computing betroffen, stellen sich die Fragen des Datenschutzes. Umfangreiche gesetzliche Regelungen sind zu beachten.

2. Schritt: welche gesetzlichen Anforderungen sind umzusetzen?

Auslandsbezug und Auftragsdatenverarbeitung:

Wird in der Cloud mit personenbezogenen Daten umgegangen, so sind die Bestimmungen zur Übermittlung ins Ausland zu beachten (§ 4 b BDSG). Inwieweit die „Safe Harbour“ Grundsätze noch anzuwenden sind, ist zu klären.

-> Übermittlung ins Ausland § 4 b BDSG / Safe Harbour

Die Einschaltung eines Subunternehmers zur Datenverarbeitung stellt eine Auftragsdatenverarbeitung dar und die datenschutzrechtlichen Bestimmungen hierzu, insbesondere (§ 11 BDSG), sind einzuhalten.

Auftragsdatenverarbeitung ->Schriftlicher Auftrag (§ 11 Abs. 2 S.2 BDSG) ist notwendig

[Verstoß hiergegen stellt einen bußgeldbewehrten Verstoß des Auftraggebers dar (§ 43 Abs. 1 Nr. 2 b BDSG)]

Inhalte des schriftlichen Auftrages:

1. der Gegenstand und die Dauer des Auftrags,

2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,

3. die nach § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen,

4. die Berichtigung, Löschung und Sperrung von Daten,

5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,

6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,

7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,

8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,

9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,

10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Regelmäßige Kontrollen

Bei der Auftragsdatenverarbeitung sind umfangreiche Kontrollen durchzuführen:

Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von

der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren.

Aufgrund des Gesetzes notwendige technische und organisatorische Maßnahmen (Anlage zu § 9 Satz 1 BDSG):

1. Zutrittskontrolle

Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, verwehren,

2. Zugangskontrolle

verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können, (mit Verschlüsselungsverfahren nach dem Stand der Technik)

3. Zugriffskontrolle

gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, (mit Verschlüsselungsverfahren nach dem Stand der Technik)

4. Weitergabekontrolle

gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist, (mit Verschlüsselungsverfahren nach dem Stand der Technik)

5. Eingabekontrolle /Revisionssicherheit

gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind,

6. Auftragskontrolle

gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können,

7. Verfügbarkeit: Schutz vor Verlust

8.Trennbarkeit

gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

3. Schritt: Vertragliche Umsetzung (Datenschutz-Komponente des Vertrages)