| 1 | Beschreibung |
| 2 | Angesichts stetig steigender Datenvolumina und einer |
| 3 | wachsenden mobilen Nutzung von Daten stellt sich dem Nutzer |
| 4 | – sei es Privatperson oder Unternehmer – zunehmend die |
| 5 | Frage „Wohin mit den Daten, die anfallen?“ und „Wie kann |
| 6 | ich Datenverarbeitungsprozesse effizienter und |
| 7 | kostengünstiger machen?“. Als Lösung wird zunehmend das so |
| 8 | genannte Cloud Computing angeführt, übersetzt |
| 9 | „Datenverarbeitung in der Wolke“. |
| 10 | |
| 11 | Von Cloud Computing wird dann gesprochen, wenn eine oder |
| 12 | mehrere der IT-Dienstleistungen, wie Infrastruktur |
| 13 | (Rechenleistung, Hintergrundspeicher, etc.), Plattform oder |
| 14 | Anwendungssoftware aufeinander abgestimmt und nach |
| 15 | tatsächlicher Nutzung abrechenbar über ein Netz durch |
| 16 | Dritte bereitgestellt werden. Obwohl die |
| 17 | Online-Speicherung von Daten, Online-Adressbüchern oder |
| 18 | Online-Kalendern oder etwa die webbasierte Nutzung von |
| 19 | E-Mail-Diensten bereits als alltägliche Cloud-Anwendungen |
| 20 | von vielen genutzt werden, kann zum gegenwärtigen Zeitpunkt |
| 21 | noch nicht davon ausgegangen werden, dass der Begriff und |
| 22 | die dahinter liegende Technik des Cloud Computing geläufig |
| 23 | sind. Es ist davon auszugehen, dass sich das Cloud |
| 24 | Computing in den nächsten Jah-ren vor allem im Bereich der |
| 25 | Geschäftsanwendungen und der Serverkapazitäten immer weiter |
| 26 | etablieren wird. |
| 27 | |
| 28 | Angebotene Dienstleistungen im Cloud Computing können u. a. |
| 29 | bereitgestellter Speicher oder Rechenzeit sein, aber auch |
| 30 | z. B. komplette Datenverarbeitungsverfahren. Beim Cloud |
| 31 | Computing wird zum einen unterschieden nach der Art der |
| 32 | angebotenen Dienstleistung in der Cloud, und zwar zwischen |
| 33 | Software-as-a-Service (SaaS), Platform-as-a-Service (PaaS) |
| 34 | und Infrastructure-as-a-Service (Iaas). Zum anderen wird |
| 35 | nach der Beschaffenheit der Cloud zwischen Privaten und |
| 36 | Public Clouds unterschieden. Private Clouds sind vernetzte |
| 37 | Rechner, die alle unter der rechtlichen Verantwortung einer |
| 38 | einzigen Daten verarbeitenden Stelle stehen. Als Private |
| 39 | Clouds werden aber auch Rechnernetze von rechtlich |
| 40 | zueinander in einem engen Verhältnis stehenden Stellen |
| 41 | bezeichnet, z. B. Stellen der öffentlichen Verwaltung oder |
| 42 | eines Konzerns. |
| 43 | |
| 44 | Eine Public Cloud ist eine öffentliche Cloud, welche von |
| 45 | einer Vielzahl von Personen und Firmen genutzt werden kann. |
| 46 | Die Public Cloud ist nicht auf eine bestimmte Institution, |
| 47 | ein bestimmtes Unternehmen oder einen bestimmten |
| 48 | Personen-/Nutzerkreis beschränkt. Wesentliches Merkmal ist, |
| 49 | dass sie jedermann zugänglich ist und dass der Anwender |
| 50 | nicht mitbestimmen kann, mit welchen Anwendern er sich die |
| 51 | Nutzung einer Hardware teilt, also mit welchen anderen |
| 52 | virtuellen Maschinen seine virtuelle Maschine auf derselben |
| 53 | physischen Hardware läuft. Dabei wird die Rechenleistung |
| 54 | von „Dritten“ i. S. d. Datenschutzrechts (§ 3 Abs. 8, S. 2 |
| 55 | BDSG) angeboten. Zu den Anbietern solcher Public Clouds |
| 56 | gehören IT-Unternehmen, wie z. B. Google, Amazon, IBM, SAP |
| 57 | oder die Deutsche Telekom. Neben diesen beiden Formen |
| 58 | existiert auch eine Mischform von Public und Private Cloud, |
| 59 | die Hybrid Cloud, bei der eine Nutzung von eigenen und |
| 60 | fremden Ressourcen statt-findet. |
| 61 | |
| 62 | Eine der Besonderheiten des Cloud Computing liegt, je nach |
| 63 | Angebot, in der zumeist flexiblen und grenzüberschreitenden |
| 64 | Bereitstellung von Cloud Ressourcen durch eine Vielzahl von |
| 65 | Beteiligten. |
| 66 | |
| 67 | Offene Fragen im Bereich des Datenschutzes und der |
| 68 | Datensicherheit im Cloud Computing |
| 69 | |
| 70 | Die Auslagerung von Daten und Datenverarbeitung in die |
| 71 | Cloud wirft datenschutz- und datensicherheitsrelevante |
| 72 | Fragestellungen auf. Wenn Unternehmen ihre IT-Strukturen in |
| 73 | eine Cloud auslagern, wird der Umfang der Datensicherheit |
| 74 | und des Datenschutzes vom Anbieter der Cloud bestimmt. |
| 75 | |
| 76 | a) Datensicherheit |
| 77 | Das zentrale Problem hinsichtlich der Datensicherheit |
| 78 | besteht darin, die Integrität (Datenveränderungen können |
| 79 | erkannt werden) und Vertraulichkeit (nur Befugte können auf |
| 80 | Daten zugreifen) der Datenverarbeitung und die |
| 81 | Verfügbarkeit (Daten stehen in einem angemessenen Zeitraum |
| 82 | zur Verfügung) zu gewährleisten. Wie aktuell die |
| 83 | Datensicherheit auf Netzwerk- und Datenebene in der Cloud |
| 84 | gewährleistet wird, welche möglichen Probleme es gibt und |
| 85 | inwieweit sich daraus politischer Handlungsbedarf ergibt, |
| 86 | sollte auf Grund des Sachzusammenhangs von der |
| 87 | Projektgruppe „Zugang, Struktur und Sicherheit im Netz“ |
| 88 | geprüft werden. |
| 89 | |
| 90 | b) Datenschutz |
| 91 | Bei manchen Formen des Cloud Computing stellen sich |
| 92 | besondere Herausforderungen, weil Rechtsgrundlagen wie |
| 93 | Auftragsdatenverarbeitung oder Übermittlung das Cloud |
| 94 | Computing nicht vollständig erfassen. Zudem werden damit |
| 95 | typische, bereits bekannte Probleme des Outsourcings nicht |
| 96 | nur potenziert, sondern sie gewinnen auch eine neue |
| 97 | Qualität. Im Hinblick auf Rechenprozesse kann nicht mehr |
| 98 | mit Bestimmtheit gesagt werden, auf welchen der oftmals |
| 99 | weltweit verbundenen Server und damit bei welchen |
| 100 | Beteiligten konkret welche Datenverarbeitungsprozesse |
| 101 | vollzogen werden. |
| 102 | |
| 103 | Dies führt zu rechtlichen Unsicherheiten bei der Nutzung |
| 104 | und dem Betreiben entsprechender Angebote. |
| 105 | |
| 106 | Gerade im Fall eines grenzüberschreitend angelegten Cloud |
| 107 | Com-puting ergeben sich Fragen nach der Verantwortlichkeit |
| 108 | sowie den Zugriffsmöglichkeiten Dritter. Um die |
| 109 | Datenverarbeitung innerhalb der EU zu harmonisieren, wurde |
| 110 | die Europäische Datenschutz- Richtlinie (DSRL) geschaffen. |
| 111 | Da der Umstand einer grenzüberschreitenden |
| 112 | Datenverarbeitung innerhalb des europäischen Binnenmarktes |
| 113 | kein rechtliches Hindernis darstellen soll, dürfen gemäß |
| 114 | Art. 1 Abs. 2 DSRL personenbeziehbare Daten im gesamten |
| 115 | Europäischen Wirtschaftsraum (EWR) verarbeitet werden. |
| 116 | Für eine Anwendbarkeit nationalen Rechts kommt es gemäß |
| 117 | Art. 4 Abs. 1 a, b DSRL deshalb darauf an, in welchem |
| 118 | Mitgliedstaat die Daten verarbeitende Niederlassung ihren |
| 119 | Sitz hat. Damit auch Unternehmen, welche keine |
| 120 | Niederlassung im Europäischen Wirtschaftsraum haben, |
| 121 | personenbezogene Daten verarbeiten können, wurde in § 1 |
| 122 | Abs. 5 S. 3 BDSG bestimmt, dass diese Unternehmen einen |
| 123 | Datenschutzbeauftragten innerhalb der EU benennen, welcher |
| 124 | dann für die Einhaltung der Richtlinien verantwortlich ist. |
| 125 | |
| 126 | Hinsichtlich der Verantwortlichkeit legt die DSRL in Art. 2 |
| 127 | c fest, dass derjenige für den Datenschutz verantwortlich |
| 128 | ist, der die Verarbeitung angeordnet hat. Dies ist |
| 129 | grundsätzlich der Cloud-Nutzer und nicht der Anbieter. |
| 130 | |
| 131 | Insgesamt sind alle Datensätze, die nicht als |
| 132 | personenbeziehbar gelten (§ 3 Abs. 1 BDSG) zur Verarbeitung |
| 133 | in Clouds vollkommen unproblematisch. Datenschutzrelevant |
| 134 | ist die Form der Nutzung des Cloud Computing nach deutschem |
| 135 | Recht nur dann, wenn per-sonenbezogene Daten verarbeitet |
| 136 | werden (§ 3 BDSG). Da im Rah-men der Nutzung |
| 137 | Cloud-basierter Dienstleistungen oft personenbezogene Daten |
| 138 | auf dem System des Cloud-Anbieters gespeichert und auch |
| 139 | verarbeitet werden und bei grenzüberschreitenden Systemen |
| 140 | auch auf Speichermedien, die europa- bzw. sogar weltweit |
| 141 | verteilt sind, stellt sich die Frage nach der Behandlung |
| 142 | dieser Verlagerung der Daten in die Cloud. Aus rechtlicher |
| 143 | Sicht kann es sich um eine Auftragsdatenverarbeitung i. S. |
| 144 | d. § 11 BDSG handeln. Diese erfährt datenschutzrechtlich |
| 145 | die Grenzen ihrer Zulässigkeit zum einen dort, wo dem |
| 146 | Verantwortlichen (dem Nutzer der Cloud) durch den |
| 147 | Dienstleister keine Angaben über Art und Ort der |
| 148 | Verarbeitung und den Sicherungsmaßnahmen gemacht werden. |
| 149 | Zum anderen ist dies der Fall, wenn die datenverarbeitende |
| 150 | Stelle außerhalb Deutschlands, eines Mitgliedstaates der EU |
| 151 | oder des EWR liegt, in dem kein vergleichbares |
| 152 | Datenschutzniveau existiert. In diesem Fall handelt es sich |
| 153 | um eine Weitergabe an Dritte, wobei der Gesetzgeber |
| 154 | unterstellt, dass bei derartigen |
| 155 | Übermittlungskonstellationen besondere |
| 156 | persönlichkeitsrechtliche Risiken entstehen, weil von der |
| 157 | verant-wortlichen Stelle, vom Betroffenen oder von den |
| 158 | staatlichen Auf-sichtsbehörden keine hinreichende Kontrolle |
| 159 | der Datenverarbei-tung möglich ist. |
| 160 | |
| 161 | Hinzu kommt, dass die in § 11 Abs. 2 BDSG geforderte |
| 162 | „sorgfältige“ Auswahl des Auftragnehmers „unter besonderer |
| 163 | Berücksichtigung der Eignung der von ihm getroffenen |
| 164 | technischen und organisatorischen Maßnahmen“ in der Praxis |
| 165 | nur schwer einzuhalten ist, da u. a. der Auftragnehmer dem |
| 166 | Auftraggeber in der Regel nicht derart tiefgehende |
| 167 | Einblicke in seine IT-Struktur gewährt. |
| 168 | |
| 169 | Je nach verwendetem Angebot (beispielsweise Verteilung der |
| 170 | Daten auf mehrere weltweit verteilte Server) kann die |
| 171 | Verlagerung der Daten in die Cloud zu einer Erhöhung der |
| 172 | Gefahr von Zugriffsmöglichkeiten durch Dritte führen. |
| 173 | Wichtig ist daher, dass der früher selbst |
| 174 | Datenverarbeitende die Herrschaft über die Daten bewahrt |
| 175 | und Kenntnis und Einfluss über die ergriffenen |
| 176 | Sicherungsmaßnahmen hat. |
| 177 | |
| 178 | Folgeproblem der Verlagerung und der Verteilung der Daten |
| 179 | auf europa- und weltweite Server ist eine erschwerte |
| 180 | Datenschutzkontrolle. Eine Datenschutzkontrolle durch die |
| 181 | Aufsichtsbehörden ist auf das jeweilige Landesterritorium |
| 182 | bzw. auf das Bundesterritorium begrenzt. Europaweit kann |
| 183 | gegenseitig eine Amtshilfe der Aufsichtsbehörden erfolgen. |
| 184 | Über das europäische Territorium hinaus sind koordinierte |
| 185 | oder gemeinsame Kontrollen in Clouds mit Drittauslandsbezug |
| 186 | praktisch nicht möglich. Dies eröffnet |
| 187 | datenschutzrechtlich verantwortlichen Stellen die |
| 188 | Möglichkeit, sich Da-tenschutzkontrollen zu entziehen, in |
| 189 | dem gezielt Clouds mit Drittlandsbezug genutzt werden. |
| 190 | Daneben ist besonders problematisch, wenn die |
| 191 | Datenverarbeitung in Staaten erfolgt, die nicht nur keinen |
| 192 | ausreichenden Datenschutz gewährleisten, sondern auch |
| 193 | bewusst und gezielt gegen Menschenrechte verstoßen und den |
| 194 | Zugriff auf Daten in der Cloud zu politischer Überwachung |
| 195 | und Verfolgung benutzen. |
| 196 | |
| 197 | Der Ort, wo die Daten gespeichert und verarbeitet werden, |
| 198 | spielt also eine zentrale Rolle. Dies zeigt sich auch für |
| 199 | Daten, welche für Steuerzwecke benötigt werden. Diese |
| 200 | dürfen gem. § 146 Abs. 2 S. 1 Abgabenordnung (AO) nur im |
| 201 | Inland gespeichert werden. Auch hier stellt sich das |
| 202 | Problem bei länderübergreifenden Netzen und der |
| 203 | Information, in welchem Land die Daten gelagert und |
| 204 | verarbeitet werden. Nach § 146 Abs. 2 a AO kann die |
| 205 | zuständige Finanzbehörde bewilligen, dass die |
| 206 | Finanzdokumente auch außerhalb der EU oder des EWR |
| 207 | archiviert werden. Auch hier könnten die |
| 208 | Steuerermittlungsbehörden vor Probleme gestellt werden, |
| 209 | weil nicht ohne weiteres ein Zugriff auf die Daten |
| 210 | erfolgen kann. |
| 211 | |
| 212 | Im Ergebnis ist festzuhalten, dass es noch offene |
| 213 | datenschutzrechtliche Fragen gibt, wenn personenbezogene |
| 214 | Daten in die Cloud verlagert werden. Dies kann die Nutzung, |
| 215 | aber auch die sich bietenden Möglichkeiten und Innovationen |
| 216 | des Cloud Computing einschränken. Bisher können |
| 217 | datenschutzrechtliche Erfordernisse nur durch besonders |
| 218 | umfangreiche und detaillierte Vertragsvereinbarungen |
| 219 | gewährleistet werden. Für die Ermittlung von Straftaten und |
| 220 | Ord-nungswidrigkeiten stellt die Speicherung von Daten in |
| 221 | der Cloud dann ein Problem dar, wenn durch die Art und den |
| 222 | Ort der Datenverarbeitung ein Zugriff für die |
| 223 | Ermittlungsbehörden nicht möglich ist. Im Inland stehen |
| 224 | Staatsanwaltschaften und auf Anordnung auch ihren |
| 225 | Ermittlungspersonen gemäß § 110 Abs. 3 StPO seit dem Jahr |
| 226 | 2008 entsprechende Befugnisse auf Durchsicht von |
| 227 | Speichermedien zu. |
| 228 |
1-2 von 2
-
2.3.3 Cloud Computing (Originalversion)
von EnqueteBuero, angelegt -
2.3.3 Cloud Computing (Originalversion)
von EnqueteBuero, angelegt1 Text wird von der Projektgruppe noch bearbeitet!