Papier: 2.3.3 Cloud Computing

Originalversion

1 Beschreibung
2 Angesichts stetig steigender Datenvolumina und einer
3 wachsenden mobilen Nutzung von Daten stellt sich dem Nutzer
4 – sei es Privatperson oder Unternehmer – zunehmend die Frage
5 „Wohin mit den Daten, die anfallen?“ und „Wie kann ich
6 Datenverarbeitungsprozesse effizienter und kostengünstiger
7 machen?“. Als Lösung wird zunehmend das so genannte Cloud
8 Computing angeführt, übersetzt „Datenverarbeitung in der
9 Wolke“.
10
11 Von Cloud Computing wird dann gesprochen, wenn eine oder
12 mehrere der IT-Dienstleistungen, wie Infrastruktur
13 (Rechenleistung, Hintergrundspeicher, etc.), Plattform oder
14 Anwendungssoftware aufeinander abgestimmt und nach
15 tatsächlicher Nutzung abrechenbar über ein Netz durch Dritte
16 bereitgestellt werden. Obwohl die Online-Speicherung von
17 Daten, Online-Adressbüchern oder Online-Kalendern oder etwa
18 die webbasierte Nutzung von E-Mail-Diensten bereits als
19 alltägliche Cloud-Anwendungen von vielen genutzt werden,
20 kann zum gegenwärtigen Zeitpunkt noch nicht davon
21 ausgegangen werden, dass der Begriff und die dahinter
22 liegende Technik des Cloud Computing geläufig sind. Es ist
23 davon auszugehen, dass sich das Cloud Computing in den
24 nächsten Jah-ren vor allem im Bereich der
25 Geschäftsanwendungen und der Serverkapazitäten immer weiter
26 etablieren wird.
27
28 Angebotene Dienstleistungen im Cloud Computing können u. a.
29 bereitgestellter Speicher oder Rechenzeit sein, aber auch z.
30 B. komplette Datenverarbeitungsverfahren. Beim Cloud
31 Computing wird zum einen unterschieden nach der Art der
32 angebotenen Dienstleistung in der Cloud, und zwar zwischen
33 Software-as-a-Service (SaaS), Platform-as-a-Service (PaaS)
34 und Infrastructure-as-a-Service (Iaas). Zum anderen wird
35 nach der Beschaffenheit der Cloud zwischen Privaten und
36 Public Clouds unterschieden. Private Clouds sind vernetzte
37 Rechner, die alle unter der rechtlichen Verantwortung einer
38 einzigen Daten verarbeitenden Stelle stehen. Als Private
39 Clouds werden aber auch Rechnernetze von rechtlich
40 zueinander in einem engen Verhältnis stehenden Stellen
41 bezeichnet, z. B. Stellen der öffentlichen Verwaltung oder
42 eines Konzerns.
43
44 Eine Public Cloud ist eine öffentliche Cloud, welche von
45 einer Vielzahl von Personen und Firmen genutzt werden kann.
46 Die Public Cloud ist nicht auf eine bestimmte Institution,
47 ein bestimmtes Unternehmen oder einen bestimmten
48 Personen-/Nutzerkreis beschränkt. Wesentliches Merkmal ist,
49 dass sie jedermann zugänglich ist und dass der Anwender
50 nicht mitbestimmen kann, mit welchen Anwendern er sich die
51 Nutzung einer Hardware teilt, also mit welchen anderen
52 virtuellen Maschinen seine virtuelle Maschine auf derselben
53 physischen Hardware läuft. Dabei wird die Rechenleistung
54 von „Dritten“ i. S. d. Datenschutzrechts (§ 3 Abs. 8, S. 2
55 BDSG) angeboten. Zu den Anbietern solcher Public Clouds
56 gehören IT-Unternehmen, wie z. B. Google, Amazon, IBM, SAP
57 oder die Deutsche Telekom. Neben diesen beiden Formen
58 existiert auch eine Mischform von Public und Private Cloud,
59 die Hybrid Cloud, bei der eine Nutzung von eigenen und
60 fremden Ressourcen statt-findet.
61
62 Eine der Besonderheiten des Cloud Computing liegt, je nach
63 Angebot, in der zumeist flexiblen und grenzüberschreitenden
64 Bereitstellung von Cloud Ressourcen durch eine Vielzahl von
65 Beteiligten.
66
67 Offene Fragen im Bereich des Datenschutzes und der
68 Datensicherheit im Cloud Computing
69
70 Die Auslagerung von Daten und Datenverarbeitung in die Cloud
71 wirft datenschutz- und datensicherheitsrelevante
72 Fragestellungen auf. Wenn Unternehmen ihre IT-Strukturen in
73 eine Cloud auslagern, wird der Umfang der Datensicherheit
74 und des Datenschutzes vom Anbieter der Cloud bestimmt.
75
76 a) Datensicherheit
77 Das zentrale Problem hinsichtlich der Datensicherheit
78 besteht darin, die Integrität (Datenveränderungen können
79 erkannt werden) und Vertraulichkeit (nur Befugte können auf
80 Daten zugreifen) der Datenverarbeitung und die Verfügbarkeit
81 (Daten stehen in einem angemessenen Zeitraum zur Verfügung)
82 zu gewährleisten. Wie aktuell die Datensicherheit auf
83 Netzwerk- und Datenebene in der Cloud gewährleistet wird,
84 welche möglichen Probleme es gibt und inwieweit sich daraus
85 politischer Handlungsbedarf ergibt, sollte auf Grund des
86 Sachzusammenhangs von der Projektgruppe „Zugang, Struktur
87 und Sicherheit im Netz“ geprüft werden.
88
89 b) Datenschutz
90 Bei manchen Formen des Cloud Computing stellen sich
91 besondere Herausforderungen, weil Rechtsgrundlagen wie
92 Auftragsdatenverarbeitung oder Übermittlung das Cloud
93 Computing nicht vollständig erfassen. Zudem werden damit
94 typische, bereits bekannte Probleme des Outsourcings nicht
95 nur potenziert, sondern sie gewinnen auch eine neue
96 Qualität. Im Hinblick auf Rechenprozesse kann nicht mehr mit
97 Bestimmtheit gesagt werden, auf welchen der oftmals weltweit
98 verbundenen Server und damit bei welchen Beteiligten konkret
99 welche Datenverarbeitungsprozesse vollzogen werden.
100
101 Dies führt zu rechtlichen Unsicherheiten bei der Nutzung und
102 dem Betreiben entsprechender Angebote.
103
104 Gerade im Fall eines grenzüberschreitend angelegten Cloud
105 Com-puting ergeben sich Fragen nach der Verantwortlichkeit
106 sowie den Zugriffsmöglichkeiten Dritter. Um die
107 Datenverarbeitung innerhalb der EU zu harmonisieren, wurde
108 die Europäische Datenschutz- Richtlinie (DSRL) geschaffen.
109 Da der Umstand einer grenzüberschreitenden Datenverarbeitung
110 innerhalb des europäischen Binnenmarktes kein rechtliches
111 Hindernis darstellen soll, dürfen gemäß Art. 1 Abs. 2 DSRL
112 personenbeziehbare Daten im gesamten Europäischen
113 Wirtschaftsraum (EWR) verarbeitet werden. Für eine
114 Anwendbarkeit nationalen Rechts kommt es gemäß Art. 4 Abs.
115 1 a, b DSRL deshalb darauf an, in welchem Mitgliedstaat die
116 Daten verarbeitende Niederlassung ihren Sitz hat. Damit
117 auch Unternehmen, welche keine Niederlassung im Europäischen
118 Wirtschaftsraum haben, personenbezogene Daten verarbeiten
119 können, wurde in § 1 Abs. 5 S. 3 BDSG bestimmt, dass diese
120 Unternehmen einen Datenschutzbeauftragten innerhalb der EU
121 benennen, welcher dann für die Einhaltung der Richtlinien
122 verantwortlich ist.
123
124 Hinsichtlich der Verantwortlichkeit legt die DSRL in Art. 2
125 c fest, dass derjenige für den Datenschutz verantwortlich
126 ist, der die Verarbeitung angeordnet hat. Dies ist
127 grundsätzlich der Cloud-Nutzer und nicht der Anbieter.
128
129 Insgesamt sind alle Datensätze, die nicht als
130 personenbeziehbar gelten (§ 3 Abs. 1 BDSG) zur Verarbeitung
131 in Clouds vollkommen unproblematisch. Datenschutzrelevant
132 ist die Form der Nutzung des Cloud Computing nach deutschem
133 Recht nur dann, wenn per-sonenbezogene Daten verarbeitet
134 werden (§ 3 BDSG). Da im Rah-men der Nutzung Cloud-basierter
135 Dienstleistungen oft personenbezogene Daten auf dem System
136 des Cloud-Anbieters gespeichert und auch verarbeitet werden
137 und bei grenzüberschreitenden Systemen auch auf
138 Speichermedien, die europa- bzw. sogar weltweit verteilt
139 sind, stellt sich die Frage nach der Behandlung dieser
140 Verlagerung der Daten in die Cloud. Aus rechtlicher Sicht
141 kann es sich um eine Auftragsdatenverarbeitung i. S. d. §
142 11 BDSG handeln. Diese erfährt datenschutzrechtlich die
143 Grenzen ihrer Zulässigkeit zum einen dort, wo dem
144 Verantwortlichen (dem Nutzer der Cloud) durch den
145 Dienstleister keine Angaben über Art und Ort der
146 Verarbeitung und den Sicherungsmaßnahmen gemacht werden. Zum
147 anderen ist dies der Fall, wenn die datenverarbeitende
148 Stelle außerhalb Deutschlands, eines Mitgliedstaates der EU
149 oder des EWR liegt, in dem kein vergleichbares
150 Datenschutzniveau existiert. In diesem Fall handelt es sich
151 um eine Weitergabe an Dritte, wobei der Gesetzgeber
152 unterstellt, dass bei derartigen
153 Übermittlungskonstellationen besondere
154 persönlichkeitsrechtliche Risiken entstehen, weil von der
155 verant-wortlichen Stelle, vom Betroffenen oder von den
156 staatlichen Auf-sichtsbehörden keine hinreichende Kontrolle
157 der Datenverarbei-tung möglich ist.
158
159 Hinzu kommt, dass die in § 11 Abs. 2 BDSG geforderte
160 „sorgfältige“ Auswahl des Auftragnehmers „unter besonderer
161 Berücksichtigung der Eignung der von ihm getroffenen
162 technischen und organisatorischen Maßnahmen“ in der Praxis
163 nur schwer einzuhalten ist, da u. a. der Auftragnehmer dem
164 Auftraggeber in der Regel nicht derart tiefgehende Einblicke
165 in seine IT-Struktur gewährt.
166
167 Je nach verwendetem Angebot (beispielsweise Verteilung der
168 Daten auf mehrere weltweit verteilte Server) kann die
169 Verlagerung der Daten in die Cloud zu einer Erhöhung der
170 Gefahr von Zugriffsmöglichkeiten durch Dritte führen.
171 Wichtig ist daher, dass der früher selbst Datenverarbeitende
172 die Herrschaft über die Daten bewahrt und Kenntnis und
173 Einfluss über die ergriffenen Sicherungsmaßnahmen hat.
174
175 Folgeproblem der Verlagerung und der Verteilung der Daten
176 auf europa- und weltweite Server ist eine erschwerte
177 Datenschutzkontrolle. Eine Datenschutzkontrolle durch die
178 Aufsichtsbehörden ist auf das jeweilige Landesterritorium
179 bzw. auf das Bundesterritorium begrenzt. Europaweit kann
180 gegenseitig eine Amtshilfe der Aufsichtsbehörden erfolgen.
181 Über das europäische Territorium hinaus sind koordinierte
182 oder gemeinsame Kontrollen in Clouds mit Drittauslandsbezug
183 praktisch nicht möglich. Dies eröffnet datenschutzrechtlich
184 verantwortlichen Stellen die Möglichkeit, sich
185 Da-tenschutzkontrollen zu entziehen, in dem gezielt Clouds
186 mit Drittlandsbezug genutzt werden. Daneben ist besonders
187 problematisch, wenn die Datenverarbeitung in Staaten
188 erfolgt, die nicht nur keinen ausreichenden Datenschutz
189 gewährleisten, sondern auch bewusst und gezielt gegen
190 Menschenrechte verstoßen und den Zugriff auf Daten in der
191 Cloud zu politischer Überwachung und Verfolgung benutzen.
192
193 Der Ort, wo die Daten gespeichert und verarbeitet werden,
194 spielt also eine zentrale Rolle. Dies zeigt sich auch für
195 Daten, welche für Steuerzwecke benötigt werden. Diese dürfen
196 gem. § 146 Abs. 2 S. 1 Abgabenordnung (AO) nur im Inland
197 gespeichert werden. Auch hier stellt sich das Problem bei
198 länderübergreifenden Netzen und der Information, in welchem
199 Land die Daten gelagert und verarbeitet werden. Nach § 146
200 Abs. 2 a AO kann die zuständige Finanzbehörde bewilligen,
201 dass die Finanzdokumente auch außerhalb der EU oder des EWR
202 archiviert werden. Auch hier könnten die
203 Steuerermittlungsbehörden vor Probleme gestellt werden, weil
204 nicht ohne weiteres ein Zugriff auf die Daten erfolgen
205 kann.
206
207 Im Ergebnis ist festzuhalten, dass es noch offene
208 datenschutzrechtliche Fragen gibt, wenn personenbezogene
209 Daten in die Cloud verlagert werden. Dies kann die Nutzung,
210 aber auch die sich bietenden Möglichkeiten und Innovationen
211 des Cloud Computing einschränken. Bisher können
212 datenschutzrechtliche Erfordernisse nur durch besonders
213 umfangreiche und detaillierte Vertragsvereinbarungen
214 gewährleistet werden. Für die Ermittlung von Straftaten und
215 Ord-nungswidrigkeiten stellt die Speicherung von Daten in
216 der Cloud dann ein Problem dar, wenn durch die Art und den
217 Ort der Datenverarbeitung ein Zugriff für die
218 Ermittlungsbehörden nicht möglich ist. Im Inland stehen
219 Staatsanwaltschaften und auf Anordnung auch ihren
220 Ermittlungspersonen gemäß § 110 Abs. 3 StPO seit dem Jahr
221 2008 entsprechende Befugnisse auf Durchsicht von
222 Speichermedien zu.

Der Text verglichen mit der Originalversion

1 Beschreibung
2 Angesichts stetig steigender Datenvolumina und einer
3 wachsenden mobilen Nutzung von Daten stellt sich dem Nutzer
4 – sei es Privatperson oder Unternehmer – zunehmend die Frage
5 „Wohin mit den Daten, die anfallen?“ und „Wie kann ich
6 Datenverarbeitungsprozesse effizienter und kostengünstiger
7 machen?“. Als Lösung wird zunehmend das so genannte Cloud
8 Computing angeführt, übersetzt „Datenverarbeitung in der
9 Wolke“.
10
11 Von Cloud Computing wird dann gesprochen, wenn eine oder
12 mehrere der IT-Dienstleistungen, wie Infrastruktur
13 (Rechenleistung, Hintergrundspeicher, etc.), Plattform oder
14 Anwendungssoftware aufeinander abgestimmt und nach
15 tatsächlicher Nutzung abrechenbar über ein Netz durch Dritte
16 bereitgestellt werden. Obwohl die Online-Speicherung von
17 Daten, Online-Adressbüchern oder Online-Kalendern oder etwa
18 die webbasierte Nutzung von E-Mail-Diensten bereits als
19 alltägliche Cloud-Anwendungen von vielen genutzt werden,
20 kann zum gegenwärtigen Zeitpunkt noch nicht davon
21 ausgegangen werden, dass der Begriff und die dahinter
22 liegende Technik des Cloud Computing geläufig sind. Es ist
23 davon auszugehen, dass sich das Cloud Computing in den
24 nächsten Jah-ren vor allem im Bereich der
25 Geschäftsanwendungen und der Serverkapazitäten immer weiter
26 etablieren wird.
27
28 Angebotene Dienstleistungen im Cloud Computing können u. a.
29 bereitgestellter Speicher oder Rechenzeit sein, aber auch z.
30 B. komplette Datenverarbeitungsverfahren. Beim Cloud
31 Computing wird zum einen unterschieden nach der Art der
32 angebotenen Dienstleistung in der Cloud, und zwar zwischen
33 Software-as-a-Service (SaaS), Platform-as-a-Service (PaaS)
34 und Infrastructure-as-a-Service (Iaas). Zum anderen wird
35 nach der Beschaffenheit der Cloud zwischen Privaten und
36 Public Clouds unterschieden. Private Clouds sind vernetzte
37 Rechner, die alle unter der rechtlichen Verantwortung einer
38 einzigen Daten verarbeitenden Stelle stehen. Als Private
39 Clouds werden aber auch Rechnernetze von rechtlich
40 zueinander in einem engen Verhältnis stehenden Stellen
41 bezeichnet, z. B. Stellen der öffentlichen Verwaltung oder
42 eines Konzerns.
43
44 Eine Public Cloud ist eine öffentliche Cloud, welche von
45 einer Vielzahl von Personen und Firmen genutzt werden kann.
46 Die Public Cloud ist nicht auf eine bestimmte Institution,
47 ein bestimmtes Unternehmen oder einen bestimmten
48 Personen-/Nutzerkreis beschränkt. Wesentliches Merkmal ist,
49 dass sie jedermann zugänglich ist und dass der Anwender
50 nicht mitbestimmen kann, mit welchen Anwendern er sich die
51 Nutzung einer Hardware teilt, also mit welchen anderen
52 virtuellen Maschinen seine virtuelle Maschine auf derselben
53 physischen Hardware läuft. Dabei wird die Rechenleistung
54 von „Dritten“ i. S. d. Datenschutzrechts (§ 3 Abs. 8, S. 2
55 BDSG) angeboten. Zu den Anbietern solcher Public Clouds
56 gehören IT-Unternehmen, wie z. B. Google, Amazon, IBM, SAP
57 oder die Deutsche Telekom. Neben diesen beiden Formen
58 existiert auch eine Mischform von Public und Private Cloud,
59 die Hybrid Cloud, bei der eine Nutzung von eigenen und
60 fremden Ressourcen statt-findet.
61
62 Eine der Besonderheiten des Cloud Computing liegt, je nach
63 Angebot, in der zumeist flexiblen und grenzüberschreitenden
64 Bereitstellung von Cloud Ressourcen durch eine Vielzahl von
65 Beteiligten.
66
67 Offene Fragen im Bereich des Datenschutzes und der
68 Datensicherheit im Cloud Computing
69
70 Die Auslagerung von Daten und Datenverarbeitung in die Cloud
71 wirft datenschutz- und datensicherheitsrelevante
72 Fragestellungen auf. Wenn Unternehmen ihre IT-Strukturen in
73 eine Cloud auslagern, wird der Umfang der Datensicherheit
74 und des Datenschutzes vom Anbieter der Cloud bestimmt.
75
76 a) Datensicherheit
77 Das zentrale Problem hinsichtlich der Datensicherheit
78 besteht darin, die Integrität (Datenveränderungen können
79 erkannt werden) und Vertraulichkeit (nur Befugte können auf
80 Daten zugreifen) der Datenverarbeitung und die Verfügbarkeit
81 (Daten stehen in einem angemessenen Zeitraum zur Verfügung)
82 zu gewährleisten. Wie aktuell die Datensicherheit auf
83 Netzwerk- und Datenebene in der Cloud gewährleistet wird,
84 welche möglichen Probleme es gibt und inwieweit sich daraus
85 politischer Handlungsbedarf ergibt, sollte auf Grund des
86 Sachzusammenhangs von der Projektgruppe „Zugang, Struktur
87 und Sicherheit im Netz“ geprüft werden.
88
89 b) Datenschutz
90 Bei manchen Formen des Cloud Computing stellen sich
91 besondere Herausforderungen, weil Rechtsgrundlagen wie
92 Auftragsdatenverarbeitung oder Übermittlung das Cloud
93 Computing nicht vollständig erfassen. Zudem werden damit
94 typische, bereits bekannte Probleme des Outsourcings nicht
95 nur potenziert, sondern sie gewinnen auch eine neue
96 Qualität. Im Hinblick auf Rechenprozesse kann nicht mehr mit
97 Bestimmtheit gesagt werden, auf welchen der oftmals weltweit
98 verbundenen Server und damit bei welchen Beteiligten konkret
99 welche Datenverarbeitungsprozesse vollzogen werden.
100
101 Dies führt zu rechtlichen Unsicherheiten bei der Nutzung und
102 dem Betreiben entsprechender Angebote.
103
104 Gerade im Fall eines grenzüberschreitend angelegten Cloud
105 Com-puting ergeben sich Fragen nach der Verantwortlichkeit
106 sowie den Zugriffsmöglichkeiten Dritter. Um die
107 Datenverarbeitung innerhalb der EU zu harmonisieren, wurde
108 die Europäische Datenschutz- Richtlinie (DSRL) geschaffen.
109 Da der Umstand einer grenzüberschreitenden Datenverarbeitung
110 innerhalb des europäischen Binnenmarktes kein rechtliches
111 Hindernis darstellen soll, dürfen gemäß Art. 1 Abs. 2 DSRL
112 personenbeziehbare Daten im gesamten Europäischen
113 Wirtschaftsraum (EWR) verarbeitet werden. Für eine
114 Anwendbarkeit nationalen Rechts kommt es gemäß Art. 4 Abs.
115 1 a, b DSRL deshalb darauf an, in welchem Mitgliedstaat die
116 Daten verarbeitende Niederlassung ihren Sitz hat. Damit
117 auch Unternehmen, welche keine Niederlassung im Europäischen
118 Wirtschaftsraum haben, personenbezogene Daten verarbeiten
119 können, wurde in § 1 Abs. 5 S. 3 BDSG bestimmt, dass diese
120 Unternehmen einen Datenschutzbeauftragten innerhalb der EU
121 benennen, welcher dann für die Einhaltung der Richtlinien
122 verantwortlich ist.
123
124 Hinsichtlich der Verantwortlichkeit legt die DSRL in Art. 2
125 c fest, dass derjenige für den Datenschutz verantwortlich
126 ist, der die Verarbeitung angeordnet hat. Dies ist
127 grundsätzlich der Cloud-Nutzer und nicht der Anbieter.
128
129 Insgesamt sind alle Datensätze, die nicht als
130 personenbeziehbar gelten (§ 3 Abs. 1 BDSG) zur Verarbeitung
131 in Clouds vollkommen unproblematisch. Datenschutzrelevant
132 ist die Form der Nutzung des Cloud Computing nach deutschem
133 Recht nur dann, wenn per-sonenbezogene Daten verarbeitet
134 werden (§ 3 BDSG). Da im Rah-men der Nutzung Cloud-basierter
135 Dienstleistungen oft personenbezogene Daten auf dem System
136 des Cloud-Anbieters gespeichert und auch verarbeitet werden
137 und bei grenzüberschreitenden Systemen auch auf
138 Speichermedien, die europa- bzw. sogar weltweit verteilt
139 sind, stellt sich die Frage nach der Behandlung dieser
140 Verlagerung der Daten in die Cloud. Aus rechtlicher Sicht
141 kann es sich um eine Auftragsdatenverarbeitung i. S. d. §
142 11 BDSG handeln. Diese erfährt datenschutzrechtlich die
143 Grenzen ihrer Zulässigkeit zum einen dort, wo dem
144 Verantwortlichen (dem Nutzer der Cloud) durch den
145 Dienstleister keine Angaben über Art und Ort der
146 Verarbeitung und den Sicherungsmaßnahmen gemacht werden. Zum
147 anderen ist dies der Fall, wenn die datenverarbeitende
148 Stelle außerhalb Deutschlands, eines Mitgliedstaates der EU
149 oder des EWR liegt, in dem kein vergleichbares
150 Datenschutzniveau existiert. In diesem Fall handelt es sich
151 um eine Weitergabe an Dritte, wobei der Gesetzgeber
152 unterstellt, dass bei derartigen
153 Übermittlungskonstellationen besondere
154 persönlichkeitsrechtliche Risiken entstehen, weil von der
155 verant-wortlichen Stelle, vom Betroffenen oder von den
156 staatlichen Auf-sichtsbehörden keine hinreichende Kontrolle
157 der Datenverarbei-tung möglich ist.
158
159 Hinzu kommt, dass die in § 11 Abs. 2 BDSG geforderte
160 „sorgfältige“ Auswahl des Auftragnehmers „unter besonderer
161 Berücksichtigung der Eignung der von ihm getroffenen
162 technischen und organisatorischen Maßnahmen“ in der Praxis
163 nur schwer einzuhalten ist, da u. a. der Auftragnehmer dem
164 Auftraggeber in der Regel nicht derart tiefgehende Einblicke
165 in seine IT-Struktur gewährt.
166
167 Je nach verwendetem Angebot (beispielsweise Verteilung der
168 Daten auf mehrere weltweit verteilte Server) kann die
169 Verlagerung der Daten in die Cloud zu einer Erhöhung der
170 Gefahr von Zugriffsmöglichkeiten durch Dritte führen.
171 Wichtig ist daher, dass der früher selbst Datenverarbeitende
172 die Herrschaft über die Daten bewahrt und Kenntnis und
173 Einfluss über die ergriffenen Sicherungsmaßnahmen hat.
174
175 Folgeproblem der Verlagerung und der Verteilung der Daten
176 auf europa- und weltweite Server ist eine erschwerte
177 Datenschutzkontrolle. Eine Datenschutzkontrolle durch die
178 Aufsichtsbehörden ist auf das jeweilige Landesterritorium
179 bzw. auf das Bundesterritorium begrenzt. Europaweit kann
180 gegenseitig eine Amtshilfe der Aufsichtsbehörden erfolgen.
181 Über das europäische Territorium hinaus sind koordinierte
182 oder gemeinsame Kontrollen in Clouds mit Drittauslandsbezug
183 praktisch nicht möglich. Dies eröffnet datenschutzrechtlich
184 verantwortlichen Stellen die Möglichkeit, sich
185 Da-tenschutzkontrollen zu entziehen, in dem gezielt Clouds
186 mit Drittlandsbezug genutzt werden. Daneben ist besonders
187 problematisch, wenn die Datenverarbeitung in Staaten
188 erfolgt, die nicht nur keinen ausreichenden Datenschutz
189 gewährleisten, sondern auch bewusst und gezielt gegen
190 Menschenrechte verstoßen und den Zugriff auf Daten in der
191 Cloud zu politischer Überwachung und Verfolgung benutzen.
192
193 Der Ort, wo die Daten gespeichert und verarbeitet werden,
194 spielt also eine zentrale Rolle. Dies zeigt sich auch für
195 Daten, welche für Steuerzwecke benötigt werden. Diese dürfen
196 gem. § 146 Abs. 2 S. 1 Abgabenordnung (AO) nur im Inland
197 gespeichert werden. Auch hier stellt sich das Problem bei
198 länderübergreifenden Netzen und der Information, in welchem
199 Land die Daten gelagert und verarbeitet werden. Nach § 146
200 Abs. 2 a AO kann die zuständige Finanzbehörde bewilligen,
201 dass die Finanzdokumente auch außerhalb der EU oder des EWR
202 archiviert werden. Auch hier könnten die
203 Steuerermittlungsbehörden vor Probleme gestellt werden, weil
204 nicht ohne weiteres ein Zugriff auf die Daten erfolgen
205 kann.
206
207 Im Ergebnis ist festzuhalten, dass es noch offene
208 datenschutzrechtliche Fragen gibt, wenn personenbezogene
209 Daten in die Cloud verlagert werden. Dies kann die Nutzung,
210 aber auch die sich bietenden Möglichkeiten und Innovationen
211 des Cloud Computing einschränken. Bisher können
212 datenschutzrechtliche Erfordernisse nur durch besonders
213 umfangreiche und detaillierte Vertragsvereinbarungen
214 gewährleistet werden. Für die Ermittlung von Straftaten und
215 Ord-nungswidrigkeiten stellt die Speicherung von Daten in
216 der Cloud dann ein Problem dar, wenn durch die Art und den
217 Ort der Datenverarbeitung ein Zugriff für die
218 Ermittlungsbehörden nicht möglich ist. Im Inland stehen
219 Staatsanwaltschaften und auf Anordnung auch ihren
220 Ermittlungspersonen gemäß § 110 Abs. 3 StPO seit dem Jahr
221 2008 entsprechende Befugnisse auf Durchsicht von
222 Speichermedien zu.

Vorschlag

  1. Bewerten Sie die Original- und die eingebrachten Versionen eines Papiers, indem Sie über die Pfeile Ihre Zustimmung (hoch) oder Ablehnung (runter) ausdrücken. Sie können dabei auch mehreren Versionen zustimmen oder diese ablehnen.

  2. Wählen Sie, ob Änderungen im Vergleich zur Originalversion hervorgehoben werden sollen.

  3. Sie können hier auch eine neue Version des Papiers einbringen.