Wir haben uns bereits kürzlich mal die Frage etwas näher angesehen, wer denn bei Datenverlust in der Cloud haftet (hier geht’s zum Artikel).
Jetzt soll das Thema Datenschutz & Datensicherheit in der Cloud beleuchtet werden. Nun, wir wissen ja zumindest seit kurzem, dass es Datensicherheit im eigentlichen Sinne gar nicht gibt, da irgendein Geheimdienst immer alles mitlesen kann. Unabhängig davon aber ist das Thema – gerade für Firmen – nicht zu unterschätzen.
Das Bundesdatenschutzgesetz (BDSG) gibt vor, wie mit personenbezogenen Daten zu verfahren ist. Personenbezug hat dabei jedes Datum, das sich irgendwie – und sei es auch nur unter großen Schwierigkeiten – auf eine natürliche Person zurückführen lässt. Selbst dynamisch vergebene IP-Adressen sollen nach der herrschenden Meinung unter den Juristen solche personenbezogene Daten sein.
Sollen solche personenbezogene Daten in der Cloud gespeichert werden, gibt es ein Problem: Es wird sich dabei nämlich um eine Auftragsdatenverarbeitung handeln. In § 3 Absatz 4 BDSG steht: „Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten“. Da in der Cloud also die Daten gespeichert werden, ist es nicht von der Hand zu weisen, dass ein Dritter, also der Cloudanbieter, diese personenbezogen Daten im Auftrag seines Kunden, also demjenigen, der die Daten hochlädt, verarbeitet.
Dann gilt aber § 11 BDSG, der in solchen Fällen vom „Herrn der Daten“, das ist der Nutzer der Cloud, verlangt, einen schriftlichen Vertrag zu schließen, der zwingend einen vorgegebenen Katalog an bestimmten Pflichten, bis hin zu Weisungsbefugnissen und – man lese und staune – Kontrollen vor Ort vor Vertragsschluss und sodann regelmäßig während des Vertrages, enthalten muss. Von den umfangreichen Kontrollpflichten hinsichtlich der Umsetzung weitreichender Maßnahmen zur Datensicherheit (vgl. § 9 BDSG und die Anlage zu § 9 BDSG) ganz zu schweigen.
Jeder, der mit seinem Cloudanbieter einen solchen Vertrag geschlossen und sich vorab vor Ort bei diesem umgesehen (und das dokumentiert) hat, muss jetzt nicht weiter lesen. Für alle anderen gilt: Sie haben ein Problem. Sie haben damit nämlich eine Ordnungswidrigkeit begangen, die Sie eine Geldbuße von bis zu 50.000 € kosten kann (§ 43 Absatz 1 Nr. 2b) BDSG). Und auch die Gefahr einer Abmahnung ist nicht unerheblich, nachdem die Datenschutzregelungen teilweise auch als abmahnfähig angesehen werden.
Dazu kommt, dass die Daten in der Regel auf irgendeinem US-Amerikanischen Server liegen und dort bei weitem nicht das deutsche Datenschutzniveau herrscht. Ganz im Gegenteil kann durch den Patriot Act zum Beispiel eine staatliche Behörde in den USA relativ simpel alle Daten einsehen. Mit Datenschutz, wie wir ihn verstehen, hat das alles natürlich wenig bis gar nichts zu tun.
Fazit
Die Speicherung personenbezogener Daten in der Cloud ist nur dann eine gute Idee, wenn mit dem Anbieter zuvor ein Vertrag zur Auftragsdatenverarbeitung nach § 11 BDSG geschlossen wurde, er zumindest durch handfeste Nachweise bewiesen hat, dass er dem deutschen Datenschutzniveau nachkommt und diese Nachweise regelmäßig wiederholt. Am Besten sollte ein deutscher Cloudanbieter oder zumindest einer aus dem EU-Raum gewählt werden, der die Daten auch nur in Deutschland bzw. der EU speichert und dem deutschen bzw. europäischen Datenschutzrecht unterliegt.
Timo Schutt
Rechtsanwalt
Fachanwalt für IT-Recht
Jetzt soll das Thema Datenschutz & Datensicherheit in der Cloud beleuchtet werden. Nun, wir wissen ja zumindest seit kurzem, dass es Datensicherheit im eigentlichen Sinne gar nicht gibt, da irgendein Geheimdienst immer alles mitlesen kann. Unabhängig davon aber ist das Thema – gerade für Firmen – nicht zu unterschätzen.
Das Bundesdatenschutzgesetz (BDSG) gibt vor, wie mit personenbezogenen Daten zu verfahren ist. Personenbezug hat dabei jedes Datum, das sich irgendwie – und sei es auch nur unter großen Schwierigkeiten – auf eine natürliche Person zurückführen lässt. Selbst dynamisch vergebene IP-Adressen sollen nach der herrschenden Meinung unter den Juristen solche personenbezogene Daten sein.
Sollen solche personenbezogene Daten in der Cloud gespeichert werden, gibt es ein Problem: Es wird sich dabei nämlich um eine Auftragsdatenverarbeitung handeln. In § 3 Absatz 4 BDSG steht: „Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten“. Da in der Cloud also die Daten gespeichert werden, ist es nicht von der Hand zu weisen, dass ein Dritter, also der Cloudanbieter, diese personenbezogen Daten im Auftrag seines Kunden, also demjenigen, der die Daten hochlädt, verarbeitet.
Dann gilt aber § 11 BDSG, der in solchen Fällen vom „Herrn der Daten“, das ist der Nutzer der Cloud, verlangt, einen schriftlichen Vertrag zu schließen, der zwingend einen vorgegebenen Katalog an bestimmten Pflichten, bis hin zu Weisungsbefugnissen und – man lese und staune – Kontrollen vor Ort vor Vertragsschluss und sodann regelmäßig während des Vertrages, enthalten muss. Von den umfangreichen Kontrollpflichten hinsichtlich der Umsetzung weitreichender Maßnahmen zur Datensicherheit (vgl. § 9 BDSG und die Anlage zu § 9 BDSG) ganz zu schweigen.
Jeder, der mit seinem Cloudanbieter einen solchen Vertrag geschlossen und sich vorab vor Ort bei diesem umgesehen (und das dokumentiert) hat, muss jetzt nicht weiter lesen. Für alle anderen gilt: Sie haben ein Problem. Sie haben damit nämlich eine Ordnungswidrigkeit begangen, die Sie eine Geldbuße von bis zu 50.000 € kosten kann (§ 43 Absatz 1 Nr. 2b) BDSG). Und auch die Gefahr einer Abmahnung ist nicht unerheblich, nachdem die Datenschutzregelungen teilweise auch als abmahnfähig angesehen werden.
Dazu kommt, dass die Daten in der Regel auf irgendeinem US-Amerikanischen Server liegen und dort bei weitem nicht das deutsche Datenschutzniveau herrscht. Ganz im Gegenteil kann durch den Patriot Act zum Beispiel eine staatliche Behörde in den USA relativ simpel alle Daten einsehen. Mit Datenschutz, wie wir ihn verstehen, hat das alles natürlich wenig bis gar nichts zu tun.
Fazit
Die Speicherung personenbezogener Daten in der Cloud ist nur dann eine gute Idee, wenn mit dem Anbieter zuvor ein Vertrag zur Auftragsdatenverarbeitung nach § 11 BDSG geschlossen wurde, er zumindest durch handfeste Nachweise bewiesen hat, dass er dem deutschen Datenschutzniveau nachkommt und diese Nachweise regelmäßig wiederholt. Am Besten sollte ein deutscher Cloudanbieter oder zumindest einer aus dem EU-Raum gewählt werden, der die Daten auch nur in Deutschland bzw. der EU speichert und dem deutschen bzw. europäischen Datenschutzrecht unterliegt.
Timo Schutt
Rechtsanwalt
Fachanwalt für IT-Recht
