Papier: 2.3.3 Cloud Computing
Originalversion
| 1 | Beschreibung |
| 2 | Angesichts stetig steigender Datenvolumina und einer |
| 3 | wachsenden mobilen Nutzung von Daten stellt sich dem Nutzer |
| 4 | – sei es Privatperson oder Unternehmer – zunehmend die Frage |
| 5 | „Wohin mit den Daten, die anfallen?“ und „Wie kann ich |
| 6 | Datenverarbeitungsprozesse effizienter und kostengünstiger |
| 7 | machen?“. Als Lösung wird zunehmend das so genannte Cloud |
| 8 | Computing angeführt, übersetzt „Datenverarbeitung in der |
| 9 | Wolke“. |
| 10 | |
| 11 | Von Cloud Computing wird dann gesprochen, wenn eine oder |
| 12 | mehrere der IT-Dienstleistungen, wie Infrastruktur |
| 13 | (Rechenleistung, Hintergrundspeicher, etc.), Plattform oder |
| 14 | Anwendungssoftware aufeinander abgestimmt und nach |
| 15 | tatsächlicher Nutzung abrechenbar über ein Netz durch Dritte |
| 16 | bereitgestellt werden. Obwohl die Online-Speicherung von |
| 17 | Daten, Online-Adressbüchern oder Online-Kalendern oder etwa |
| 18 | die webbasierte Nutzung von E-Mail-Diensten bereits als |
| 19 | alltägliche Cloud-Anwendungen von vielen genutzt werden, |
| 20 | kann zum gegenwärtigen Zeitpunkt noch nicht davon |
| 21 | ausgegangen werden, dass der Begriff und die dahinter |
| 22 | liegende Technik des Cloud Computing geläufig sind. Es ist |
| 23 | davon auszugehen, dass sich das Cloud Computing in den |
| 24 | nächsten Jah-ren vor allem im Bereich der |
| 25 | Geschäftsanwendungen und der Serverkapazitäten immer weiter |
| 26 | etablieren wird. |
| 27 | |
| 28 | Angebotene Dienstleistungen im Cloud Computing können u. a. |
| 29 | bereitgestellter Speicher oder Rechenzeit sein, aber auch z. |
| 30 | B. komplette Datenverarbeitungsverfahren. Beim Cloud |
| 31 | Computing wird zum einen unterschieden nach der Art der |
| 32 | angebotenen Dienstleistung in der Cloud, und zwar zwischen |
| 33 | Software-as-a-Service (SaaS), Platform-as-a-Service (PaaS) |
| 34 | und Infrastructure-as-a-Service (Iaas). Zum anderen wird |
| 35 | nach der Beschaffenheit der Cloud zwischen Privaten und |
| 36 | Public Clouds unterschieden. Private Clouds sind vernetzte |
| 37 | Rechner, die alle unter der rechtlichen Verantwortung einer |
| 38 | einzigen Daten verarbeitenden Stelle stehen. Als Private |
| 39 | Clouds werden aber auch Rechnernetze von rechtlich |
| 40 | zueinander in einem engen Verhältnis stehenden Stellen |
| 41 | bezeichnet, z. B. Stellen der öffentlichen Verwaltung oder |
| 42 | eines Konzerns. |
| 43 | |
| 44 | Eine Public Cloud ist eine öffentliche Cloud, welche von |
| 45 | einer Vielzahl von Personen und Firmen genutzt werden kann. |
| 46 | Die Public Cloud ist nicht auf eine bestimmte Institution, |
| 47 | ein bestimmtes Unternehmen oder einen bestimmten |
| 48 | Personen-/Nutzerkreis beschränkt. Wesentliches Merkmal ist, |
| 49 | dass sie jedermann zugänglich ist und dass der Anwender |
| 50 | nicht mitbestimmen kann, mit welchen Anwendern er sich die |
| 51 | Nutzung einer Hardware teilt, also mit welchen anderen |
| 52 | virtuellen Maschinen seine virtuelle Maschine auf derselben |
| 53 | physischen Hardware läuft. Dabei wird die Rechenleistung |
| 54 | von „Dritten“ i. S. d. Datenschutzrechts (§ 3 Abs. 8, S. 2 |
| 55 | BDSG) angeboten. Zu den Anbietern solcher Public Clouds |
| 56 | gehören IT-Unternehmen, wie z. B. Google, Amazon, IBM, SAP |
| 57 | oder die Deutsche Telekom. Neben diesen beiden Formen |
| 58 | existiert auch eine Mischform von Public und Private Cloud, |
| 59 | die Hybrid Cloud, bei der eine Nutzung von eigenen und |
| 60 | fremden Ressourcen statt-findet. |
| 61 | |
| 62 | Eine der Besonderheiten des Cloud Computing liegt, je nach |
| 63 | Angebot, in der zumeist flexiblen und grenzüberschreitenden |
| 64 | Bereitstellung von Cloud Ressourcen durch eine Vielzahl von |
| 65 | Beteiligten. |
| 66 | |
| 67 | Offene Fragen im Bereich des Datenschutzes und der |
| 68 | Datensicherheit im Cloud Computing |
| 69 | |
| 70 | Die Auslagerung von Daten und Datenverarbeitung in die Cloud |
| 71 | wirft datenschutz- und datensicherheitsrelevante |
| 72 | Fragestellungen auf. Wenn Unternehmen ihre IT-Strukturen in |
| 73 | eine Cloud auslagern, wird der Umfang der Datensicherheit |
| 74 | und des Datenschutzes vom Anbieter der Cloud bestimmt. |
| 75 | |
| 76 | a) Datensicherheit |
| 77 | Das zentrale Problem hinsichtlich der Datensicherheit |
| 78 | besteht darin, die Integrität (Datenveränderungen können |
| 79 | erkannt werden) und Vertraulichkeit (nur Befugte können auf |
| 80 | Daten zugreifen) der Datenverarbeitung und die Verfügbarkeit |
| 81 | (Daten stehen in einem angemessenen Zeitraum zur Verfügung) |
| 82 | zu gewährleisten. Wie aktuell die Datensicherheit auf |
| 83 | Netzwerk- und Datenebene in der Cloud gewährleistet wird, |
| 84 | welche möglichen Probleme es gibt und inwieweit sich daraus |
| 85 | politischer Handlungsbedarf ergibt, sollte auf Grund des |
| 86 | Sachzusammenhangs von der Projektgruppe „Zugang, Struktur |
| 87 | und Sicherheit im Netz“ geprüft werden. |
| 88 | |
| 89 | b) Datenschutz |
| 90 | Bei manchen Formen des Cloud Computing stellen sich |
| 91 | besondere Herausforderungen, weil Rechtsgrundlagen wie |
| 92 | Auftragsdatenverarbeitung oder Übermittlung das Cloud |
| 93 | Computing nicht vollständig erfassen. Zudem werden damit |
| 94 | typische, bereits bekannte Probleme des Outsourcings nicht |
| 95 | nur potenziert, sondern sie gewinnen auch eine neue |
| 96 | Qualität. Im Hinblick auf Rechenprozesse kann nicht mehr mit |
| 97 | Bestimmtheit gesagt werden, auf welchen der oftmals weltweit |
| 98 | verbundenen Server und damit bei welchen Beteiligten konkret |
| 99 | welche Datenverarbeitungsprozesse vollzogen werden. |
| 100 | |
| 101 | Dies führt zu rechtlichen Unsicherheiten bei der Nutzung und |
| 102 | dem Betreiben entsprechender Angebote. |
| 103 | |
| 104 | Gerade im Fall eines grenzüberschreitend angelegten Cloud |
| 105 | Com-puting ergeben sich Fragen nach der Verantwortlichkeit |
| 106 | sowie den Zugriffsmöglichkeiten Dritter. Um die |
| 107 | Datenverarbeitung innerhalb der EU zu harmonisieren, wurde |
| 108 | die Europäische Datenschutz- Richtlinie (DSRL) geschaffen. |
| 109 | Da der Umstand einer grenzüberschreitenden Datenverarbeitung |
| 110 | innerhalb des europäischen Binnenmarktes kein rechtliches |
| 111 | Hindernis darstellen soll, dürfen gemäß Art. 1 Abs. 2 DSRL |
| 112 | personenbeziehbare Daten im gesamten Europäischen |
| 113 | Wirtschaftsraum (EWR) verarbeitet werden. Für eine |
| 114 | Anwendbarkeit nationalen Rechts kommt es gemäß Art. 4 Abs. |
| 115 | 1 a, b DSRL deshalb darauf an, in welchem Mitgliedstaat die |
| 116 | Daten verarbeitende Niederlassung ihren Sitz hat. Damit |
| 117 | auch Unternehmen, welche keine Niederlassung im Europäischen |
| 118 | Wirtschaftsraum haben, personenbezogene Daten verarbeiten |
| 119 | können, wurde in § 1 Abs. 5 S. 3 BDSG bestimmt, dass diese |
| 120 | Unternehmen einen Datenschutzbeauftragten innerhalb der EU |
| 121 | benennen, welcher dann für die Einhaltung der Richtlinien |
| 122 | verantwortlich ist. |
| 123 | |
| 124 | Hinsichtlich der Verantwortlichkeit legt die DSRL in Art. 2 |
| 125 | c fest, dass derjenige für den Datenschutz verantwortlich |
| 126 | ist, der die Verarbeitung angeordnet hat. Dies ist |
| 127 | grundsätzlich der Cloud-Nutzer und nicht der Anbieter. |
| 128 | |
| 129 | Insgesamt sind alle Datensätze, die nicht als |
| 130 | personenbeziehbar gelten (§ 3 Abs. 1 BDSG) zur Verarbeitung |
| 131 | in Clouds vollkommen unproblematisch. Datenschutzrelevant |
| 132 | ist die Form der Nutzung des Cloud Computing nach deutschem |
| 133 | Recht nur dann, wenn per-sonenbezogene Daten verarbeitet |
| 134 | werden (§ 3 BDSG). Da im Rah-men der Nutzung Cloud-basierter |
| 135 | Dienstleistungen oft personenbezogene Daten auf dem System |
| 136 | des Cloud-Anbieters gespeichert und auch verarbeitet werden |
| 137 | und bei grenzüberschreitenden Systemen auch auf |
| 138 | Speichermedien, die europa- bzw. sogar weltweit verteilt |
| 139 | sind, stellt sich die Frage nach der Behandlung dieser |
| 140 | Verlagerung der Daten in die Cloud. Aus rechtlicher Sicht |
| 141 | kann es sich um eine Auftragsdatenverarbeitung i. S. d. § |
| 142 | 11 BDSG handeln. Diese erfährt datenschutzrechtlich die |
| 143 | Grenzen ihrer Zulässigkeit zum einen dort, wo dem |
| 144 | Verantwortlichen (dem Nutzer der Cloud) durch den |
| 145 | Dienstleister keine Angaben über Art und Ort der |
| 146 | Verarbeitung und den Sicherungsmaßnahmen gemacht werden. Zum |
| 147 | anderen ist dies der Fall, wenn die datenverarbeitende |
| 148 | Stelle außerhalb Deutschlands, eines Mitgliedstaates der EU |
| 149 | oder des EWR liegt, in dem kein vergleichbares |
| 150 | Datenschutzniveau existiert. In diesem Fall handelt es sich |
| 151 | um eine Weitergabe an Dritte, wobei der Gesetzgeber |
| 152 | unterstellt, dass bei derartigen |
| 153 | Übermittlungskonstellationen besondere |
| 154 | persönlichkeitsrechtliche Risiken entstehen, weil von der |
| 155 | verant-wortlichen Stelle, vom Betroffenen oder von den |
| 156 | staatlichen Auf-sichtsbehörden keine hinreichende Kontrolle |
| 157 | der Datenverarbei-tung möglich ist. |
| 158 | |
| 159 | Hinzu kommt, dass die in § 11 Abs. 2 BDSG geforderte |
| 160 | „sorgfältige“ Auswahl des Auftragnehmers „unter besonderer |
| 161 | Berücksichtigung der Eignung der von ihm getroffenen |
| 162 | technischen und organisatorischen Maßnahmen“ in der Praxis |
| 163 | nur schwer einzuhalten ist, da u. a. der Auftragnehmer dem |
| 164 | Auftraggeber in der Regel nicht derart tiefgehende Einblicke |
| 165 | in seine IT-Struktur gewährt. |
| 166 | |
| 167 | Je nach verwendetem Angebot (beispielsweise Verteilung der |
| 168 | Daten auf mehrere weltweit verteilte Server) kann die |
| 169 | Verlagerung der Daten in die Cloud zu einer Erhöhung der |
| 170 | Gefahr von Zugriffsmöglichkeiten durch Dritte führen. |
| 171 | Wichtig ist daher, dass der früher selbst Datenverarbeitende |
| 172 | die Herrschaft über die Daten bewahrt und Kenntnis und |
| 173 | Einfluss über die ergriffenen Sicherungsmaßnahmen hat. |
| 174 | |
| 175 | Folgeproblem der Verlagerung und der Verteilung der Daten |
| 176 | auf europa- und weltweite Server ist eine erschwerte |
| 177 | Datenschutzkontrolle. Eine Datenschutzkontrolle durch die |
| 178 | Aufsichtsbehörden ist auf das jeweilige Landesterritorium |
| 179 | bzw. auf das Bundesterritorium begrenzt. Europaweit kann |
| 180 | gegenseitig eine Amtshilfe der Aufsichtsbehörden erfolgen. |
| 181 | Über das europäische Territorium hinaus sind koordinierte |
| 182 | oder gemeinsame Kontrollen in Clouds mit Drittauslandsbezug |
| 183 | praktisch nicht möglich. Dies eröffnet datenschutzrechtlich |
| 184 | verantwortlichen Stellen die Möglichkeit, sich |
| 185 | Da-tenschutzkontrollen zu entziehen, in dem gezielt Clouds |
| 186 | mit Drittlandsbezug genutzt werden. Daneben ist besonders |
| 187 | problematisch, wenn die Datenverarbeitung in Staaten |
| 188 | erfolgt, die nicht nur keinen ausreichenden Datenschutz |
| 189 | gewährleisten, sondern auch bewusst und gezielt gegen |
| 190 | Menschenrechte verstoßen und den Zugriff auf Daten in der |
| 191 | Cloud zu politischer Überwachung und Verfolgung benutzen. |
| 192 | |
| 193 | Der Ort, wo die Daten gespeichert und verarbeitet werden, |
| 194 | spielt also eine zentrale Rolle. Dies zeigt sich auch für |
| 195 | Daten, welche für Steuerzwecke benötigt werden. Diese dürfen |
| 196 | gem. § 146 Abs. 2 S. 1 Abgabenordnung (AO) nur im Inland |
| 197 | gespeichert werden. Auch hier stellt sich das Problem bei |
| 198 | länderübergreifenden Netzen und der Information, in welchem |
| 199 | Land die Daten gelagert und verarbeitet werden. Nach § 146 |
| 200 | Abs. 2 a AO kann die zuständige Finanzbehörde bewilligen, |
| 201 | dass die Finanzdokumente auch außerhalb der EU oder des EWR |
| 202 | archiviert werden. Auch hier könnten die |
| 203 | Steuerermittlungsbehörden vor Probleme gestellt werden, weil |
| 204 | nicht ohne weiteres ein Zugriff auf die Daten erfolgen |
| 205 | kann. |
| 206 | |
| 207 | Im Ergebnis ist festzuhalten, dass es noch offene |
| 208 | datenschutzrechtliche Fragen gibt, wenn personenbezogene |
| 209 | Daten in die Cloud verlagert werden. Dies kann die Nutzung, |
| 210 | aber auch die sich bietenden Möglichkeiten und Innovationen |
| 211 | des Cloud Computing einschränken. Bisher können |
| 212 | datenschutzrechtliche Erfordernisse nur durch besonders |
| 213 | umfangreiche und detaillierte Vertragsvereinbarungen |
| 214 | gewährleistet werden. Für die Ermittlung von Straftaten und |
| 215 | Ord-nungswidrigkeiten stellt die Speicherung von Daten in |
| 216 | der Cloud dann ein Problem dar, wenn durch die Art und den |
| 217 | Ort der Datenverarbeitung ein Zugriff für die |
| 218 | Ermittlungsbehörden nicht möglich ist. Im Inland stehen |
| 219 | Staatsanwaltschaften und auf Anordnung auch ihren |
| 220 | Ermittlungspersonen gemäß § 110 Abs. 3 StPO seit dem Jahr |
| 221 | 2008 entsprechende Befugnisse auf Durchsicht von |
| 222 | Speichermedien zu. |
Der Text verglichen mit der Originalversion
| 1 | Beschreibung |
| 2 | Angesichts stetig steigender Datenvolumina und einer |
| 3 | wachsenden mobilen Nutzung von Daten stellt sich dem Nutzer |
| 4 | – sei es Privatperson oder Unternehmer – zunehmend die Frage |
| 5 | „Wohin mit den Daten, die anfallen?“ und „Wie kann ich |
| 6 | Datenverarbeitungsprozesse effizienter und kostengünstiger |
| 7 | machen?“. Als Lösung wird zunehmend das so genannte Cloud |
| 8 | Computing angeführt, übersetzt „Datenverarbeitung in der |
| 9 | Wolke“. |
| 10 | |
| 11 | Von Cloud Computing wird dann gesprochen, wenn eine oder |
| 12 | mehrere der IT-Dienstleistungen, wie Infrastruktur |
| 13 | (Rechenleistung, Hintergrundspeicher, etc.), Plattform oder |
| 14 | Anwendungssoftware aufeinander abgestimmt und nach |
| 15 | tatsächlicher Nutzung abrechenbar über ein Netz durch Dritte |
| 16 | bereitgestellt werden. Obwohl die Online-Speicherung von |
| 17 | Daten, Online-Adressbüchern oder Online-Kalendern oder etwa |
| 18 | die webbasierte Nutzung von E-Mail-Diensten bereits als |
| 19 | alltägliche Cloud-Anwendungen von vielen genutzt werden, |
| 20 | kann zum gegenwärtigen Zeitpunkt noch nicht davon |
| 21 | ausgegangen werden, dass der Begriff und die dahinter |
| 22 | liegende Technik des Cloud Computing geläufig sind. Es ist |
| 23 | davon auszugehen, dass sich das Cloud Computing in den |
| 24 | nächsten Jah-ren vor allem im Bereich der |
| 25 | Geschäftsanwendungen und der Serverkapazitäten immer weiter |
| 26 | etablieren wird. |
| 27 | |
| 28 | Angebotene Dienstleistungen im Cloud Computing können u. a. |
| 29 | bereitgestellter Speicher oder Rechenzeit sein, aber auch z. |
| 30 | B. komplette Datenverarbeitungsverfahren. Beim Cloud |
| 31 | Computing wird zum einen unterschieden nach der Art der |
| 32 | angebotenen Dienstleistung in der Cloud, und zwar zwischen |
| 33 | Software-as-a-Service (SaaS), Platform-as-a-Service (PaaS) |
| 34 | und Infrastructure-as-a-Service (Iaas). Zum anderen wird |
| 35 | nach der Beschaffenheit der Cloud zwischen Privaten und |
| 36 | Public Clouds unterschieden. Private Clouds sind vernetzte |
| 37 | Rechner, die alle unter der rechtlichen Verantwortung einer |
| 38 | einzigen Daten verarbeitenden Stelle stehen. Als Private |
| 39 | Clouds werden aber auch Rechnernetze von rechtlich |
| 40 | zueinander in einem engen Verhältnis stehenden Stellen |
| 41 | bezeichnet, z. B. Stellen der öffentlichen Verwaltung oder |
| 42 | eines Konzerns. |
| 43 | |
| 44 | Eine Public Cloud ist eine öffentliche Cloud, welche von |
| 45 | einer Vielzahl von Personen und Firmen genutzt werden kann. |
| 46 | Die Public Cloud ist nicht auf eine bestimmte Institution, |
| 47 | ein bestimmtes Unternehmen oder einen bestimmten |
| 48 | Personen-/Nutzerkreis beschränkt. Wesentliches Merkmal ist, |
| 49 | dass sie jedermann zugänglich ist und dass der Anwender |
| 50 | nicht mitbestimmen kann, mit welchen Anwendern er sich die |
| 51 | Nutzung einer Hardware teilt, also mit welchen anderen |
| 52 | virtuellen Maschinen seine virtuelle Maschine auf derselben |
| 53 | physischen Hardware läuft. Dabei wird die Rechenleistung |
| 54 | von „Dritten“ i. S. d. Datenschutzrechts (§ 3 Abs. 8, S. 2 |
| 55 | BDSG) angeboten. Zu den Anbietern solcher Public Clouds |
| 56 | gehören IT-Unternehmen, wie z. B. Google, Amazon, IBM, SAP |
| 57 | oder die Deutsche Telekom. Neben diesen beiden Formen |
| 58 | existiert auch eine Mischform von Public und Private Cloud, |
| 59 | die Hybrid Cloud, bei der eine Nutzung von eigenen und |
| 60 | fremden Ressourcen statt-findet. |
| 61 | |
| 62 | Eine der Besonderheiten des Cloud Computing liegt, je nach |
| 63 | Angebot, in der zumeist flexiblen und grenzüberschreitenden |
| 64 | Bereitstellung von Cloud Ressourcen durch eine Vielzahl von |
| 65 | Beteiligten. |
| 66 | |
| 67 | Offene Fragen im Bereich des Datenschutzes und der |
| 68 | Datensicherheit im Cloud Computing |
| 69 | |
| 70 | Die Auslagerung von Daten und Datenverarbeitung in die Cloud |
| 71 | wirft datenschutz- und datensicherheitsrelevante |
| 72 | Fragestellungen auf. Wenn Unternehmen ihre IT-Strukturen in |
| 73 | eine Cloud auslagern, wird der Umfang der Datensicherheit |
| 74 | und des Datenschutzes vom Anbieter der Cloud bestimmt. |
| 75 | |
| 76 | a) Datensicherheit |
| 77 | Das zentrale Problem hinsichtlich der Datensicherheit |
| 78 | besteht darin, die Integrität (Datenveränderungen können |
| 79 | erkannt werden) und Vertraulichkeit (nur Befugte können auf |
| 80 | Daten zugreifen) der Datenverarbeitung und die Verfügbarkeit |
| 81 | (Daten stehen in einem angemessenen Zeitraum zur Verfügung) |
| 82 | zu gewährleisten. Wie aktuell die Datensicherheit auf |
| 83 | Netzwerk- und Datenebene in der Cloud gewährleistet wird, |
| 84 | welche möglichen Probleme es gibt und inwieweit sich daraus |
| 85 | politischer Handlungsbedarf ergibt, sollte auf Grund des |
| 86 | Sachzusammenhangs von der Projektgruppe „Zugang, Struktur |
| 87 | und Sicherheit im Netz“ geprüft werden. |
| 88 | |
| 89 | b) Datenschutz |
| 90 | Bei manchen Formen des Cloud Computing stellen sich |
| 91 | besondere Herausforderungen, weil Rechtsgrundlagen wie |
| 92 | Auftragsdatenverarbeitung oder Übermittlung das Cloud |
| 93 | Computing nicht vollständig erfassen. Zudem werden damit |
| 94 | typische, bereits bekannte Probleme des Outsourcings nicht |
| 95 | nur potenziert, sondern sie gewinnen auch eine neue |
| 96 | Qualität. Im Hinblick auf Rechenprozesse kann nicht mehr mit |
| 97 | Bestimmtheit gesagt werden, auf welchen der oftmals weltweit |
| 98 | verbundenen Server und damit bei welchen Beteiligten konkret |
| 99 | welche Datenverarbeitungsprozesse vollzogen werden. |
| 100 | |
| 101 | Dies führt zu rechtlichen Unsicherheiten bei der Nutzung und |
| 102 | dem Betreiben entsprechender Angebote. |
| 103 | |
| 104 | Gerade im Fall eines grenzüberschreitend angelegten Cloud |
| 105 | Com-puting ergeben sich Fragen nach der Verantwortlichkeit |
| 106 | sowie den Zugriffsmöglichkeiten Dritter. Um die |
| 107 | Datenverarbeitung innerhalb der EU zu harmonisieren, wurde |
| 108 | die Europäische Datenschutz- Richtlinie (DSRL) geschaffen. |
| 109 | Da der Umstand einer grenzüberschreitenden Datenverarbeitung |
| 110 | innerhalb des europäischen Binnenmarktes kein rechtliches |
| 111 | Hindernis darstellen soll, dürfen gemäß Art. 1 Abs. 2 DSRL |
| 112 | personenbeziehbare Daten im gesamten Europäischen |
| 113 | Wirtschaftsraum (EWR) verarbeitet werden. Für eine |
| 114 | Anwendbarkeit nationalen Rechts kommt es gemäß Art. 4 Abs. |
| 115 | 1 a, b DSRL deshalb darauf an, in welchem Mitgliedstaat die |
| 116 | Daten verarbeitende Niederlassung ihren Sitz hat. Damit |
| 117 | auch Unternehmen, welche keine Niederlassung im Europäischen |
| 118 | Wirtschaftsraum haben, personenbezogene Daten verarbeiten |
| 119 | können, wurde in § 1 Abs. 5 S. 3 BDSG bestimmt, dass diese |
| 120 | Unternehmen einen Datenschutzbeauftragten innerhalb der EU |
| 121 | benennen, welcher dann für die Einhaltung der Richtlinien |
| 122 | verantwortlich ist. |
| 123 | |
| 124 | Hinsichtlich der Verantwortlichkeit legt die DSRL in Art. 2 |
| 125 | c fest, dass derjenige für den Datenschutz verantwortlich |
| 126 | ist, der die Verarbeitung angeordnet hat. Dies ist |
| 127 | grundsätzlich der Cloud-Nutzer und nicht der Anbieter. |
| 128 | |
| 129 | Insgesamt sind alle Datensätze, die nicht als |
| 130 | personenbeziehbar gelten (§ 3 Abs. 1 BDSG) zur Verarbeitung |
| 131 | in Clouds vollkommen unproblematisch. Datenschutzrelevant |
| 132 | ist die Form der Nutzung des Cloud Computing nach deutschem |
| 133 | Recht nur dann, wenn per-sonenbezogene Daten verarbeitet |
| 134 | werden (§ 3 BDSG). Da im Rah-men der Nutzung Cloud-basierter |
| 135 | Dienstleistungen oft personenbezogene Daten auf dem System |
| 136 | des Cloud-Anbieters gespeichert und auch verarbeitet werden |
| 137 | und bei grenzüberschreitenden Systemen auch auf |
| 138 | Speichermedien, die europa- bzw. sogar weltweit verteilt |
| 139 | sind, stellt sich die Frage nach der Behandlung dieser |
| 140 | Verlagerung der Daten in die Cloud. Aus rechtlicher Sicht |
| 141 | kann es sich um eine Auftragsdatenverarbeitung i. S. d. § |
| 142 | 11 BDSG handeln. Diese erfährt datenschutzrechtlich die |
| 143 | Grenzen ihrer Zulässigkeit zum einen dort, wo dem |
| 144 | Verantwortlichen (dem Nutzer der Cloud) durch den |
| 145 | Dienstleister keine Angaben über Art und Ort der |
| 146 | Verarbeitung und den Sicherungsmaßnahmen gemacht werden. Zum |
| 147 | anderen ist dies der Fall, wenn die datenverarbeitende |
| 148 | Stelle außerhalb Deutschlands, eines Mitgliedstaates der EU |
| 149 | oder des EWR liegt, in dem kein vergleichbares |
| 150 | Datenschutzniveau existiert. In diesem Fall handelt es sich |
| 151 | um eine Weitergabe an Dritte, wobei der Gesetzgeber |
| 152 | unterstellt, dass bei derartigen |
| 153 | Übermittlungskonstellationen besondere |
| 154 | persönlichkeitsrechtliche Risiken entstehen, weil von der |
| 155 | verant-wortlichen Stelle, vom Betroffenen oder von den |
| 156 | staatlichen Auf-sichtsbehörden keine hinreichende Kontrolle |
| 157 | der Datenverarbei-tung möglich ist. |
| 158 | |
| 159 | Hinzu kommt, dass die in § 11 Abs. 2 BDSG geforderte |
| 160 | „sorgfältige“ Auswahl des Auftragnehmers „unter besonderer |
| 161 | Berücksichtigung der Eignung der von ihm getroffenen |
| 162 | technischen und organisatorischen Maßnahmen“ in der Praxis |
| 163 | nur schwer einzuhalten ist, da u. a. der Auftragnehmer dem |
| 164 | Auftraggeber in der Regel nicht derart tiefgehende Einblicke |
| 165 | in seine IT-Struktur gewährt. |
| 166 | |
| 167 | Je nach verwendetem Angebot (beispielsweise Verteilung der |
| 168 | Daten auf mehrere weltweit verteilte Server) kann die |
| 169 | Verlagerung der Daten in die Cloud zu einer Erhöhung der |
| 170 | Gefahr von Zugriffsmöglichkeiten durch Dritte führen. |
| 171 | Wichtig ist daher, dass der früher selbst Datenverarbeitende |
| 172 | die Herrschaft über die Daten bewahrt und Kenntnis und |
| 173 | Einfluss über die ergriffenen Sicherungsmaßnahmen hat. |
| 174 | |
| 175 | Folgeproblem der Verlagerung und der Verteilung der Daten |
| 176 | auf europa- und weltweite Server ist eine erschwerte |
| 177 | Datenschutzkontrolle. Eine Datenschutzkontrolle durch die |
| 178 | Aufsichtsbehörden ist auf das jeweilige Landesterritorium |
| 179 | bzw. auf das Bundesterritorium begrenzt. Europaweit kann |
| 180 | gegenseitig eine Amtshilfe der Aufsichtsbehörden erfolgen. |
| 181 | Über das europäische Territorium hinaus sind koordinierte |
| 182 | oder gemeinsame Kontrollen in Clouds mit Drittauslandsbezug |
| 183 | praktisch nicht möglich. Dies eröffnet datenschutzrechtlich |
| 184 | verantwortlichen Stellen die Möglichkeit, sich |
| 185 | Da-tenschutzkontrollen zu entziehen, in dem gezielt Clouds |
| 186 | mit Drittlandsbezug genutzt werden. Daneben ist besonders |
| 187 | problematisch, wenn die Datenverarbeitung in Staaten |
| 188 | erfolgt, die nicht nur keinen ausreichenden Datenschutz |
| 189 | gewährleisten, sondern auch bewusst und gezielt gegen |
| 190 | Menschenrechte verstoßen und den Zugriff auf Daten in der |
| 191 | Cloud zu politischer Überwachung und Verfolgung benutzen. |
| 192 | |
| 193 | Der Ort, wo die Daten gespeichert und verarbeitet werden, |
| 194 | spielt also eine zentrale Rolle. Dies zeigt sich auch für |
| 195 | Daten, welche für Steuerzwecke benötigt werden. Diese dürfen |
| 196 | gem. § 146 Abs. 2 S. 1 Abgabenordnung (AO) nur im Inland |
| 197 | gespeichert werden. Auch hier stellt sich das Problem bei |
| 198 | länderübergreifenden Netzen und der Information, in welchem |
| 199 | Land die Daten gelagert und verarbeitet werden. Nach § 146 |
| 200 | Abs. 2 a AO kann die zuständige Finanzbehörde bewilligen, |
| 201 | dass die Finanzdokumente auch außerhalb der EU oder des EWR |
| 202 | archiviert werden. Auch hier könnten die |
| 203 | Steuerermittlungsbehörden vor Probleme gestellt werden, weil |
| 204 | nicht ohne weiteres ein Zugriff auf die Daten erfolgen |
| 205 | kann. |
| 206 | |
| 207 | Im Ergebnis ist festzuhalten, dass es noch offene |
| 208 | datenschutzrechtliche Fragen gibt, wenn personenbezogene |
| 209 | Daten in die Cloud verlagert werden. Dies kann die Nutzung, |
| 210 | aber auch die sich bietenden Möglichkeiten und Innovationen |
| 211 | des Cloud Computing einschränken. Bisher können |
| 212 | datenschutzrechtliche Erfordernisse nur durch besonders |
| 213 | umfangreiche und detaillierte Vertragsvereinbarungen |
| 214 | gewährleistet werden. Für die Ermittlung von Straftaten und |
| 215 | Ord-nungswidrigkeiten stellt die Speicherung von Daten in |
| 216 | der Cloud dann ein Problem dar, wenn durch die Art und den |
| 217 | Ort der Datenverarbeitung ein Zugriff für die |
| 218 | Ermittlungsbehörden nicht möglich ist. Im Inland stehen |
| 219 | Staatsanwaltschaften und auf Anordnung auch ihren |
| 220 | Ermittlungspersonen gemäß § 110 Abs. 3 StPO seit dem Jahr |
| 221 | 2008 entsprechende Befugnisse auf Durchsicht von |
| 222 | Speichermedien zu. |
-
Bewerten Sie die Original- und die eingebrachten Versionen eines Papiers, indem Sie über die Pfeile Ihre Zustimmung (hoch) oder Ablehnung (runter) ausdrücken. Sie können dabei auch mehreren Versionen zustimmen oder diese ablehnen.
-
Wählen Sie, ob Änderungen im Vergleich zur Originalversion hervorgehoben werden sollen.
-
Sie können hier auch eine neue Version des Papiers einbringen.
Vorschlag