Bei der personenbezogenen Datenverarbeitung im Rahmen des Cloud Computing treten teilweise rechtliche und technische Fragen auf, die bisher nur unzureichend aufgearbeitet sind. Da sich diese Form der Datenverarbeitung immer größerer Beliebtheit erfreut, ist es nötig, die Rahmenbedingungen des Datenschutzes abzuleiten und zu benennen.

Das zentrale Problem des Cloud Computing besteht darin, die Integrität und Vertraulichkeit der Datenverarbeitung in der Cloud zu gewährleisten. Es geht im Kern darum, den Zugriff durch Dritte zu verhindern.

Anwendbarkeit des Datenschutzrechtes

Aus Datenschutzsicht relevant ist Cloud Computing nur, wenn personenbezogene Daten gemäß § 3 Abs. 1 BDSG verarbeitet werden, also wenn die Einzelangaben einer bestimmten oder bestimmbaren natürlichen Person, also einem Menschen zugeordnet werden können. Betroffene können zum einen Mitarbeiter der verantwortlichen Stelle sein, die bei der Cloud-Nutzung beschäftigt sind und deren Daten in diesem Zusammenhang verarbeitet werden. In Hinblick auf die Nutzungsdaten ist das Arbeitnehmerdatenschutzrecht anwendbar.

Keine Anwendbarkeit des Datenschutzrechtes ist gegeben bei einer ausreichenden Anonymisierung (vgl. § 3 Abs. 6 BDSG).

Nach der Europäischen Datenschutzrichtlinie soll aber innerhalb des europäischen Binnenmarktes der Umstand einer grenzüberschreitenden Datenverarbeitung kein rechtliches Hindernis mehr darstellen.

Beim grenzüberschreitenden Cloud-Computing außerhalb der EU ist nicht gewährleistet, dass in den von der konkreten Anwendung betroffenen Staaten überhaupt Regelungen zum Datenschutz bestehen. Hierbei ist eine ganze Menge an weiteren Voraussetzungen zu beachten. Diese haben wir für Sie in einem separaten Artikel zum internationalen Datenschutz zusammengefasst.

Auftragsdatenverarbeitung

Cloud Computing ist aus technischer Sicht eine Auftragsdatenverarbeitung gemäß § 11 BDSG. Der Cloud-Nutzer (Auftraggeber), soll vollständig über die Art und Weise der Datenverarbeitung bestimmen. Der Auftraggeber bleibt für die Sicherstellung der Vertraulichkeit und Integrität der Daten verantwortlich. Der Auftragnehmer, der Cloud-Anbieter, ist ihm gegenüber weisungsgebunden.

Bei einer klassischen Auftragsdatenverarbeitung muss sich der Auftraggeber umfassend darüber vergewissern, dass die technisch-organisatorischen Maßnahmen gemäß § 9 Anlage 1 BDSG beachtet werden.

Mindestanforderung

Die Anforderungen an eine Auftragsdatenverarbeitung wurden mit Wirkung vom 01.01.2009 in § 11 Abs. 2 BDSG konkretisiert. In einem schriftlichen Auftrag, also einem zivilrechtlichen Vertrag, sind präzise festzulegen:

  1. Gegenstand und Dauer des Auftrags,
  2. Umfang, Art und Zweck der Verarbeitung, Art der Daten und Kreis der Betroffenen,
  3. die Datensicherungsmaßnahmen nach § 9 BDSG,
  4. Berichtigung, Löschung und Sperrung der Daten,
  5. die (Kontroll-)Pflichten der Auftragnehmer (AN),
  6. Unterauftragsverhältnisse,
  7. Kontrollrechte der Auftraggeber,
  8. Mitteilungspflichten der Arbeitnehmer bei Verstößen,
  9. Weisungsgebundenheit und
  10. Datenlöschung bei Arbeitnehmern.
  11. Nach § 11 Abs. 2 S. 4, 5 BDSG muss sich der Auftraggeber regelmäßig über die Beachtung der Datensicherungsmaßnahmen überzeugen, was zu dokumentieren ist.

Gemäß § 11 Abs. 2 S. 1 ist der Auftragnehmer unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen.

Besteht eine Erlaubnis zur Beauftragung von Unter-Anbietern, so müssen im Rahmen der Unterbeauftragung die Vorgaben des Vertrags zwischen Cloud-Anwender und Cloud-Anbieter berücksichtigt werden. Der Cloud-Anbieter muss in diesem Fall vor Beginn der Datenverarbeitung im Rahmen der Unterbeauftragung eine Kontrolle nach § 11 Abs. 2 Satz 4 BDSG vornehmen. Weiterhin sollte der Cloud-Anbieter gegenüber dem Cloud-Anwender vertraglich verpflichtet sein, auf Verlangen vorhandene Nachweise zu Zertifizierungen oder Datenschutz-Gütesiegeln der Unter-Anbieter vorzulegen.

Technisch-organisatorische Lösungen

Die technischen und organisatorischen Maßnahmen der Datensicherung nach § 9 BDSG  müssen dem Nutzer offengelegt werden und sind gemäß § 11 Abs. 2 S. 2 Nr. 3 BDSG ausdrücklich im Vertrag zu benennen.

Cloud Computing bedeutet, dass mehrere Nutzende auf den gleichen Rechnern und Plattformen arbeiten. Dadurch entstehen Risiken, sie sich aus einer nicht hinreichenden Trennung (Trennungsgebot) der gespeicherten Daten ergeben. Der Cloud-Auftrag muss zur Absicherung die Methoden zur Trennung der Daten unterschiedlicher Auftraggeber genau benennen. Erfolgt dies durch Verschlüsselung, so muss geprüft werden, ob die genutzten Systeme eine hinreichende Sicherheit bieten und nicht durch andere Nutzende oder durch die Anbieter selbst einfach umgangen werden können.

Es bedarf beim Cloud-Anbieter und im Cloud-Verbund eines dokumentierten Datenschutzmanagements, zu dem ein IT-Sicherheitsmanagement gehört.

Betroffenenrechte

Der Cloud-Anwender bleibt als Auftraggeber nach § 11 Abs. 1 BDSG zur Einhaltung der datenschutzrechtlichen Bestimmungen verpflichtet, wobei ihm auch die Verpflichtung obliegt, personenbezogene Daten nach den §§ 34, 35 BDSG zu berichtigen, zu löschen, zu sperren und auf Verlangen des Betroffenen Auskünfte vor allem zu den zu seiner Person gespeicherten Daten und zur Herkunft der Daten zu erteilen.

 

Artikelbild: (c) Conanil

0 Kommentare

Ihr Kommentar

Sie wollen sich an der Diskussion beteiligen oder haben eine Rückfrage zum Artikel? Dann hinterlassen Sie bitte hier einen Kommentar!
Nettiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.