Verarbeitet ein Cloud-Dienst Daten außerhalb der EU und des Europäischen-Wirtschaftsraums (EWR), so gelten die besonderen Anforderungen der §§ 4b, 4c BDSG für den Drittstaatentransfer. Zu den Drittstaaten in diesem Sinne zählen beispielsweise die USA.
Falls in dem Drittstaat kein angemessenes Datenschutzniveau besteht, müssen daher durch den Cloud-Anwender als verantwortliche Stelle ausreichende Garantien zum Schutz des allgemeinen Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte vorgewiesen werden. Die Garantien können sich aus Standardvertragsklauseln oder u. U. aus Binding Corporate Rules ergeben. In jedem Fall ist auch ein besonderes Augenmerk auf die Festlegung eines technischen und organisatorischen Datenschutzes iRd § 9 BDSG zu legen.
Im Prinzip möchte der Gestzgeber damit ein einheitliches Datenschutzniveau erreichen. Personenbezogene Daten, z.B. aus Deutschland, sollen unabhängig davon, wo diese gelagert werden, ob Inland, EU oder EU-Ausland, immer annäherend gleich behandelt werden, so dass auch das Datenschutzniveau überall auf dem gleichen Stand ist. Unternehmen haben dabei verschiedene Möglichkeiten, dies zu realisieren:
Sicherstellung eines “angemessenen Datenschutzniveaus”
Wenn ein Unternehmen mit Sitz in Deutschland oder einem anderen EU-Mitgliedsland Kunden-, Mitarbeiter- oder andere personenbezogene Daten von einem Unternehmen außerhalb der EU speichern, nutzen oder verarbeiten lässt, muss es ein “angemessenes Datenschutzniveau” sicherstellen. Dies gilt auch, wenn es sich z.B. um ein Tochterunternehmen in der EU und Mutterunternehmen in den USA handelt, der Datentransfer also innerhalb des gleichen Unternehmens erfolgt.
Die Sicherstellung eines “angemessenen Datenschutzniveaus” ist in § 4b Absatz 2 Satz 2 (BDSG) geregelt, der den Artikel 25 Abs. 1 der EU-Datenschutzrichtlinie 95/46/EG umsetzt. Ohne “angemessenes Datenschutzniveau” dürfen personenbezogene Daten nicht übermittelt bzw. kein Zugriff darauf gewährt werden. Verstöße können mit bis zu € 300.000 Geldbuße geahndet werden.
Gibt der im Drittstaat ansässige Cloud-Anbieter Daten an einen Unter-Anbieter, der ebenfalls seinen Sitz im außereuropäischen Raum hat, so wird Ersterer als Übermittler mitverantwortlich für die Rechtmäßigkeit der Datenübermittlung und -verarbeitung. Gleichwohl verbleibt eine Verantwortlichkeit des Cloud-Anwenders. Der Cloud-Anwender bleibt in jedem Fall haftungsrechtlich für sämtliche Schäden verantwortlich, die der Cloud-Anbieter oder Unter-Anbieter den Betroffenen zufügen.
Standardvertragsklauseln
Im Rahmen der durch eine Entscheidung der EU-Kommission erlassenen Standardvertragsklauseln, die vom Cloud-Anwender und Cloud-Anbieter unverändert übernommen werden müssen, wurden allerdings die spezifischen Regelungen der Auftragsdatenverarbeitung ( § 11 BDSG) nicht vollständig abgebildet, obwohl die vertraglichen und faktischen Beziehungen zwischen Datenexporteur und Datenimporteur einer solchen Verarbeitung ähnlich sind. Aus diesem Grunde muss der Cloud-Anwender über die Vereinbarung von Standardvertragsklauseln hinaus die Anforderungen nach § 11 Abs. 2 BDSG erfüllen und entsprechend vertraglich abbilden. Dies kann durch Regelungen in den Anlagen zum Standardvertrag und/oder ergänzende geschäftsbezogene Klauseln oder durch separate vertragliche Regelungen erfolgen.
Ist das EU-Unternehmen verantwortliche Stelle und der Datenimporteur im Drittland Auftragsdatenverarbeiter, so sind die “Standardvertragsklauseln” der EU zu verwenden.
Hierbei ist für Neuverträge ab dem 15. Mai 2010 zwingend auf die neue Fassung der Klauseln zurückzugreifen; die bisher gültigen Klauseln können grundsätzlich nicht mehr verwendet werden. Für Altverträge existieren Übergangsregelungen.
Rechtsgrundlage
Es wird darüber hinaus eine Rechtsgrundlage benötigt für das Cloud-Computing anbieten. Hier kann § 28 Abs. 1 Satz 1 Nr. 2 BDSG in Betracht kommen. Soweit besondere Arten personenbezogener Daten betroffen sind (z.B. Daten über rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit, Sexualleben), scheidet das Cloud-Computing regelmäßig aus.
Safe Harbor
Erfolgt eine Verarbeitung personenbezogener Daten durch einen Cloud-Anbieter oder Unter-Anbieter mit Sitz in den USA, so können die EU-Standardvertragsklauseln ebenso wie Binding Corporate Rules entbehrlich sein, wenn sich der Cloud-Anbieter zur Einhaltung der Safe-Habor-Grundsätze verpflichtet hat. Soweit EU-Personaldaten verarbeitet werden sollen, muss der Cloud-Anwender ferner prüfen, ob der Cloud-Anbieter sich gemäß des Safe-Harbor-Abkommens zur Zusammenarbeit mit den EU-Datenschutzaufsichtsbehörden verpflichtet hat. Der Cloud-Anwender muss sich darüber hinaus auch davon überzeugen, ob das Zertifikat des Cloud-Anbieters noch gültig ist und sich auf die betreffenden Daten bezieht. Die Liste für die Safe Harbor beigetretenen Unternehmen kann hier abgerufen werden. Eine Rechtsgrundlage muss aber auch in diesem Fall vorliegen.
Binding Corporate Rules
Beim Drittstaatentransfer können bei konzernangehörigen Auftragnehmern die erforderlichen ausreichenden Garantien zum Schutz der Persönlichkeitsrechte durch Binding Corporate Rules geschaffen werden. Wenn Cloud-Anwender und Cloud-Anbieter derselben Unternehmensgruppe angehören, sind Binding Corporate Rules selbstverständlich ohne weiteres möglich. Auch hier wäre zu beachten, dass Binding Corporate Rules den Cloud-Anwender nicht von dem Erfordernis befreien, eine schriftliche Vereinbarungen entsprechend § 11 Abs. 2 BDSG zu treffen. Es besteht ebenfalls das Erfordernis einer Rechtsgrundlage für die Übermittlung.