Cloud Computing: Herausforderungen für Datenschutz und Datensicherheit

Rechtliche Hintergründe und Praxistipps hinsichtlich der Umsetzung

Von unserem Gastautor Dr. Sami Bdeiwi

[datensicherheit.de, 20.11.2013] Nach wie vor wird in der Praxis verkannt, dass es sich bei Cloud Computing i.d.R. um eine spezielle Ausprägung der Auftragsdatenverarbeitung nach § 11 BDSG handelt. Dies führt dazu, dass die datenschutzrechtliche Verantwortung beim Auftraggeber, also bei dem Anbieter solcher Leistungen liegt und der Auftragnehmer unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen ist. Neben diesen datenschutzrechtlichen Anforderungen unterliegt das Cloud Computing auch Bedenken in Bezug auf die Datensicherheit. Vorgegriffen seien insbesondere die fehlenden Zugriffsmöglichkeiten auf die Daten oder unzureichende Kontrollmechanismen. Der folgende Gastbeitrag von Rechtsanwalt Dr. Sami Bdeiwi soll die rechtlichen Hintergründe von Cloud Computing darstellen sowie die Risiken betreffend Datenschutz und Datensicherheit aufzeigen, flankiert mit Praxistipps hinsichtlich der (vertragsrechtlichen) Umsetzung von Cloud Computing.

I. Rechtliche Hintergründe sowie Vor- und Nachteile
Bekanntlich ist das Cloud Computing keine bestimmte Technik, sondern ein Konzept, welches dem Anwender einer Software erlaubt, die Software und die dazu benötigte Hardware nicht selbst zu betreiben, sondern über Anbieter zu nutzen, sei es als Infrastructure as a Service (IaaS), Platform as a Service (PaaS) oder Software as a Service (SaaS). Die Bezahlung dafür richtet sich i.d.R. nach Art und Dauer der Nutzung, wobei die Kosten u.a. deswegen gering gehalten werden können, weil der Anbieter die gestellte Hard- und teilweise auch Software nicht selbst betreibt sowie diese einer Menge von Nutzern zur Verfügung stellt.
Hinsichtlich des rechtlichen Vertragskonstituts zwischen dem Anwender und dem Anbieter dürfte ein typengemischter Vertrag vorliegen, wobei je nach Leistungsschuld und auch Mangel in der jeweiligen Leistung Dienstleistungs-, Miet- oder Werksvertragsrecht Anwendung finden dürfte. Hinsichtlich des Vertrags zwischen dem Anbieter als Auftraggeber und dem Provider als Auftragnehmer handelt es sich um eine spezielle Ausprägung der Auftragsdatenverwaltung gemäß § 11 BDSG.
Die (rechtlichen) Vorteile eines Cloud Computings sind insbesondere die weltweite Verfügbarkeit in großer Kapazität sowie die niedrigen Kosten für Nutzer, da i.d.R. eine gemeinsame Nutzung von Ressourcen durch viele Nutzer ermöglicht wird. Dem stehen gegenüber Nachteile, die insbesondere mehr Fragen aufwerfen als Antworten geben. Zum einen hinsichtlich des Datenschutzes, wer wann welche Daten hat und welches Datenschutzrecht anwendbar ist. Zum anderen hinsichtlich der IT-Sicherheit und zwar wer die Datensicherheit gewährleistet. Eine andere wichtige Frage ist z.B. was bei einer Insolvenz des Auftragnehmers passiert oder was dann passiert, wenn das Unternehmen verkauft wird und die Hard- und Software „übergeht“.

II. Cloud Computing und Datenschutz
Wie bereits bemerkt ist das sog. Cloud Computing eine spezielle Ausprägung von Auftragsdatenverarbeitung gemäß § 11 BDSG. In der tatsächlichen Konsequenz heißt das, dass die Erhebung, Verarbeitung und Nutzung personenbezogener Daten – nach der Legaldefinition des § 3 Abs. 1 BDSG sind personenbezogene Daten „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“ – durch einen Dienstleister im Auftrag der verantwortlichen Stelle erfolgt. Rechtlich gesehen beschreibt § 11 BDSG welche Rechte, Pflichten und Maßnahmen durch den Vertrag zwischen Auftraggeber und Auftragnehmer zu treffen sind. Besonders praxisrelevant ist, dass der Auftraggeber die verantwortlichen Stelle i.S.d. Datenschutzrechts ist (§ 3 Abs. 7 BDSG) und damit auch den Ansprüchen jeweils Betroffener (u.a. Auskunft und Datenkorrektur) ausgesetzt ist.

Praxistipp: Da der Auftragnehmer vom Auftraggeber unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen ist (§ 11 Abs. 2 S. 1 BDSG) und der Auftrag / Vertrag schriftlich vorliegen muss, ist insbesondere Augenmerk auf die Vertragsgestaltung zu legen.

Die Weitergabe der zu verarbeitenden Daten an den Auftragnehmer ist demzufolge keine Datenübermittlung (i.S.d. § 28 BDSG) für die es eine Rechtsgrundlage geben müsste. Etwas anderes gilt aber, wenn der Auftragnehmer die Daten nicht innerhalb der EU / dem europäischen Wirtschaftsraum verarbeitet, denn der Auftragnehmer ist dann Dritter nach § 3 Abs. 8 S. 3 BDSG und die Bereitstellung der personenbezogenen Daten zum Zwecke der Auftragsdatenverarbeitung eine Übermittelung. Die Rechtsfolge ist, dass sich deren Zulässigkeit an den §§ 4b und 4c BDSG messen lassen muss, wobei die Vorgaben der §§ 4b und 4c BDSG in der Praxis die Ortsunabhängigkeit des Cloud Computings beschränken.

Praxistipp: Dies ist nicht nur ein theoretisches Praxisproblem, denn rund 90% der Infrastruktur von Cloud Computing befindet sich in den USA. Damit geht die grds. Anwendbarkeit des US-Rechts (Territorialprinzip anstelle Sitzlandprinzip) bzw. sogar des Patriot Acts einher, mit der Folge, dass sämtliche Daten an US-Behörden übergeben werden können. Benutzt man allerdings die Standardvertragsklauseln der EU-Kommission für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern (Beschluss vom 5. Februar 2010, EU-ABl. Vom 12. Februar 2010, L 39/5 ff.), ist ein angemessenes Datenschutzniveau gewährleistet und die Übermittlung zulässig.

III. Cloud Computing und Datensicherheit
Über § 11 Abs. 2 S. 2 BDSG (i.V.m. § 9 BDSG und Anlage) ist der Auftragnehmer unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen auszuwählen. Dieser Auftrag ist schriftlich zu erteilen, wobei insbesondere im einzelnen festzulegen sind:

• der Gegenstand und die Dauer des Auftrags,
• der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
• die nach § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen,
• die Berichtigung, Löschung und Sperrung von Daten,
• die nach Abs. 4 des § 11 BDSG bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
• die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
• die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
• mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
• der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
• die Rückgabe überlassener Datenträger und die Löschung bei dem Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Als Sicherheitsrisiken kommen insbesondere in Betracht, dass keine Kontrollmechanismen des Auftraggebers hinsichtlich der Daten mehr vorliegen, da die Kontrolle zwangsläufig bei dem Auftragnehmer liegt.

Praxistipp: Gem. § 11 Abs. 2 S. 4 BDSG hat sich der Auftraggeber vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Lediglich die Vorlage von Zertifikaten wird dabei jedoch nicht als ausreichend erachtet.

Darüber hinaus ist dem Cloud Computing wesensimanent, dass mehrere Nutzer in der gleichen Umgebung arbeiten. Die sich aufwerfende Frage ist also, ob eine Datenteilung gewährleistet werden kann.
Weiterhin ist bei dem Cloud Computing erschwert, die Entdeckung bspw. illegaler Aktivitäten.

Praxistipp: Insofern empfiehlt es sich, die Verpflichtung des Auftragnehmers die Durchführung von Überprüfungen vertraglich festzulegen, ggf. flankiert mit einer Vertragsstraferegelung. Ein weiterer Punkt ist die Insolvenz oder die Unternehmensübergabe des Auftragnehmers. Die Verfügbarkeit und Übertragbarkeit der Daten sollte auch für diesen Fall vertraglich geregelt werden.

IV. Exkurs: Rechtsfolgen von Datenschutzverstößen
Neben Imageschäden (negative Presse / shitstorm) sowie Ansprüchen einzelner betroffener Personen (Auskunft und Datenkorrektur, namentlich Berichtigung, Löschung, Sperrung und Gegendarstellung, sowie Schadensersatz) drohen insbesondere auch Bußgelder bis zu 300.000,00 EUR sowie ggf. auch die Einleitung eines Strafverfahrens, ferner droht auch eine Eigenhaftung der Unternehmensleistung.

Praxistipp: Aus anwaltlicher Sicht bleibt daher schlichtweg zu empfehlen, die betreffenden Mitarbeiter entsprechend zu schulen und zu sensibilisieren. Zauberwort ist insofern Compliance. Da das Oberlandesgericht in Hamburg mit Urteil vom 27. Juni 2013 (Az.: 3 U 26/12) entschieden hat, dass Datenschutzverstöße auch wettbewerbswidrig sein können, droht insofern dem Auftraggeber auch ein wettbewerbswidriges Handeln mit der Folge zusätzlich auf Unterlassung, Auskunft und Schadensersatz in Anspruch genommen zu werden.

V. Checkliste und Fazit
Nach alledem bietet sich an, folgende Punkte – vgl. auch die Orientierungshilfe zum Thema Cloud Computing des Arbeitskreises Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 26. September 2011 (abrufbar unter http://www.datenschutz-bayern.de/technik/orient/oh_cloud.pdf) – im Vorfeld einer Auftragsvergabe zwingend zu bedenken und ggf. umzusetzen:
Bei der Auswahl des Cloudanbieters sollte es einer Schutzbedarfsanalyse hinsichtlich der Vertraulichkeit, Integrität, Verfügbarkeit und Revisionssicherheit geben. Eine solche Analyse sollte dokumentiert werden und geprüft werden, ob die Sicherheitsanforderungen von dem jeweiligen Auftraggeber erfüllt werden können. Ein ggf. vorliegendes Restrisiko sollte festgelegt und bewertet werden. Ebenfalls sollte ein Nachweis einer sicheren und ständig verfügbaren Netzwerkkommunikation sowie eines IT-Sicherheitskonzeptes und ggf. Sicherheitszertifikat über das Sicherheitskonzept erbracht werden.
Bezüglich der vertraglichen Regelung sollte der Auftragnehmer alle Unteranbieter benennen sowie sämtliche mögliche Verarbeitungsorte (innerhalb und außerhalb der EU) unter den jeweiligen Inhalten nach Abs. 2 Nr. 6 des § 11 BDSG benennen. Die Verantwortlichkeiten und Ansprechpartner des Cloudanbieters sollten zwingend geregelt werden, insofern empfiehlt es sich auch, die Regelung eines vertragsstrafebewehrten Weisungsrechts zur Realisierung der Betroffenenrechte zu reglementieren. Auch bedarf es der Festlegung der Vertragssprache und des Gerichtstandes sowie letztendlich der Festlegung regelmäßiger Sicherheitsprüfungen durch Cloudanbieter oder externe Dienstleister über die Realisierung der technischen und organisatorischen Datensicherungsmaßnahmen nach § 9 BDSG, insbesondere Zugriffskontrolle, Verschlüsselung und Löschung.
Beim Cloud Computing steht im Widerstreit insbesondere die Senkung von Investitions-, Betriebs- und Personalkosten des Anbieters und die Nutzerfreundlichkeit des Anwenders zu dem Datenschutz und der Datensicherheit. Hierbei gilt insbesondere zu bedenken, dass die datenschutzrechtliche Verantwortung bei dem jeweiligen Auftraggeber liegt, insofern bei Verletzung des Verbots mit Erlaubnisvorbehalts – Erheben, Verarbeiten und Nutzen personenbezogener Daten (keine Anonymisierung oder Pseudonymisierung), kein gesetzlicher Erlaubnistatbestand und keine Einwilligung – die Inanspruchnahme des Auftraggebers, ggf. Unternehmensleitung, durch den Betroffenen (unter anderem Schadensersatz) sowie Bußgelder oder ein Strafverfahren oder gar eine Wettbewerbswidrigkeit droht.

Foto: Kanzlei volke2.0., Lünen

Rechtsanwalt Dr. Sami Bdeiwi

Der Autor:

Dr. Sami Bdeiwi ist in der Kanzlei volke2.0 in Lünen tätig. Er betreut Unternehmen in Fragen des IT-Rechts (u.a. EDV-Recht, Softwarerecht), des Datenschutzrechts und des Rechts der Sozialen Medien.

Weitere Informationen zum Thema:

volke2.0®