Zusammenfassung
Die Betrachtung „Datenschutz im Cloud Computing aus Anbietersicht“ basiert auf dem gleichnamigen Vortrag im Rahmen des a-i3/BSI Symposium 2011 „Identitäts- und Datenschutz zwischen Sicherheitsanforderungen und Sicherheitslücken“ am 12./13.4.2011 in Bochum. Der Beitrag beleuchtet die Thematik Datenschutz beim „Cloud Computing“ unter Berücksichtigung des Titels
This is a preview of subscription content, log in via an institution.
Buying options
Tax calculation will be finalised at checkout
Purchases are for personal use only
Learn about institutional subscriptionsNotes
- 1.
In der Zwischenzeit hat allerdings auch eine Veränderung dessen stattgefunden, was als „Cloud Computing“ angeboten wird. Das Leistungsangebot hat sich damit wohl auch auf die rechtlichen Anforderungen „zu bewegt“.
- 2.
Vgl. Weichert, DuD 2010, S. 679, 681.
- 3.
Eckhardt, IM 2010, S. 55, 57; hierzu ausführlich: Weichert, DuD 2010, S. 679, 681 f. Datenschutzrecht kommt neben den in der „Cloud“ verarbeiteten personenbezogenen Daten natürlich auch in Bezug auf solche Daten zum Tragen, welche bei der Nutzung von Cloud Services entstehen (z. B. Zeitpunkt und Dauer der Nutzung eines Cloud Services durch einen Mitarbeiter etc.). Dieser Aspekt wird in diesem Beitrag nicht näher betrachtet.
- 4.
Eckhardt, Cloud Computing, BME Praxisleitfaden, S. 53.
- 5.
- 6.
- 7.
- 8.
- 9.
Hierzu unten Abschn. 5.2.1.2 und 5.2.3.
- 10.
Hierzu unten Abschn. 5.2.4; vertiefend zu ADV im Ausland: Bergmann et al., Stand 2012, § 11, Rn. 14–15c.
- 11.
Eckhardt, IM 2010, S. 55, 57.
- 12.
Hierzu vor Abschn. 5.1 in diesem Beitrag.
- 13.
Im Ergebnis ebenso: „Orientierungshilfe – Cloud Computing“, Stand: 26.9.2011, Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder (im Folgenden: „DSK-Orientierungshilfe – Cloud Computing“), die in der Entschließung der 82. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 28./29.11.2009 „zustimmend zur Kenntnis“ genommen wurde.
- 14.
Beispiele aus DSK-Orientierungshilfe – Cloud Computing (Fn. 13) für Forderungen, die über das „Cloud Computing“ hinaus zu beachten wären:
-
Forderung nach dezidierter Benennung der „Verarbeitungsorte“ (S. 10),
-
die zusätzliche Anwendung der § 11 Abs. 2 BDSG bei der Verwendung des EU-Standardvertrags zur Auftragsdatenverarbeitung (S. 11),
-
die Forderung nach genereller Beachtung des § 11 Abs. 2 BDSG (analog) bei einem Drittstaatentransfer (S. 12).
-
- 15.
- 16.
Übermitteln ist nach der Legaldefinition in § 3 Abs. 4 Nr. 3 BDSG das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass a) die Daten an den Dritten weitergegeben werden oder b) der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft.
- 17.
- 18.
- 19.
Ebenso DSK-Orientierungshilfe – Cloud Computing (Fn. 13), S. 11. In der DSK-Orientierungshilfe – Cloud Computing, S. 11, wird darauf hingewiesen, dass § 28 Abs. 1 S. 1 Nr. 2 BDSG nicht anwendbar ist, wenn es um die Verarbeitung sog. besonderer personenbezogener Daten (§ 3 Abs. 9 BDSG) geht; dies ist nach § 28 Abs. 6–9 BDSG zu beurteilen.
- 20.
Ebenso DSK-Orientierungshilfe – Cloud Computing (Fn. 13), S. 11; a. A. scheinbar Weichert, DuD 2010, S. 679, 683, zu der Erforderlichkeit der Übertragung außerhalb der EU/des EWR: „Es ist wohl nicht begründbar, dass die Nutzung einer Cloud mit Verarbeitern außerhalb des EWR zwingend ist. Es ist kaum zu widerlegen, dass es auch adäquate Cloud-Angebote innerhalb Europas gibt.“.
- 21.
Eckhardt, BVD-News Ausg. 2/2011, S. 11 f.; DSK-Orientierungshilfe – Cloud Computing (Fn. 13), S. 11.
- 22.
- 23.
Vgl. DSK-Orientierungshilfe – Cloud Computing (Fn. 13), S. 11.
- 24.
DSK-Orientierungshilfe – Cloud Computing (Fn. 13), S. 8. Allerdings ist die Ausgestaltung als Auftragsdatenverarbeitung entgegen dem Eindruck der Ausführungen dieser Orientierungshilfe gesetzlich nicht zwingend. Das BDSG lässt die Alternative der Ausgestaltung nach § 28 Abs. 1 S. 1 Nr. 2 BDSG (hierzu Fn. 17).
- 25.
Im Ergebnis ebenso: DSK-Orientierungshilfe – Cloud Computing (Fn. 13), S. 11; a. A. scheinbar Weichert, DuD 2010, S. 679, 683, zu der Erforderlichkeit der Übertragung außerhalb der EU/des EWR: „Es ist wohl nicht begründbar, dass die Nutzung einer Cloud mit Verarbeitern außerhalb des EWR zwingend ist. Es ist kaum zu widerlegen, dass es auch adäquate Cloud-Angebote innerhalb Europas gibt.“
- 26.
Ausführlich hierzu: Scholz und Lutz, CR 2011, S. 424, 427 f.; hierzu auch Enquete-Kommission Internet und Digitale Gesellschaft, Datenschutz, Persönlichkeitsrechte – Zwischenbericht (Stand: 10. Oktober 2011), S. 67.
- 27.
Weichert, DuD 2010, S. 679, 682.
- 28.
Hennrich, CR 2011, S. 546, 552: „Insoweit zeichnet sich ein Zielkonflikt ab, der in Übereinstimmung mit der Empfehlung des EuroCloud Deutschland_eco wohl auch nur dahingehend aufzulösen ist, dass Anbieter Compliance Anforderungen in ihren Verträgen berücksichtigen und bestimmte Standardverfahren anbieten.“
- 29.
Weichert, DuD 2010, S. 679, 685.
- 30.
Eckhardt, IM 2010, S. 55, 59; vgl. zu solchen Maßnahmen: Bundesamt für Sicherheit in der Informationstechnologie, Entwurf BSI – Mindestanforderungen an Cloud Computing, Stand: 27.9.2010; Art. 29 Data Protection Working Party, WP 196, Opinion 05/2012 on Cloud Computing, July 1st, 2012.
- 31.
DSK-Orientierungshilfe – Cloud Computing (Fn. 13), S. 9.
- 32.
Doubrava und Münch, ISIS, Cloud & SaaS Report, Edition 2–2011, S. 38 f.
- 33.
DSK-Orientierungshilfe – Cloud Computing (Fn. 13), S. 9: „[…] Die Lösung kann darin bestehen, dass der Cloud-Anbieter sich einem Zertifizierungs- bzw. Gütesiegelverfahren zu Fragen des Datenschutzes und der Datensicherheit bei einer unabhängigen und kompetenten Prüfstelle unterwirft. […]“. Hierzu auch: Gola und Schomerus, 10. Aufl., 2010, § 11, Rn. 21; Giebichenstein und Weiss, DuD 2011, S. 338 ff.
- 34.
DSK-Orientierungshilfe – Cloud Computing (Fn. 13), S. 9.
- 35.
Leitfaden Cloud Computing Recht, Datenschutz & Compliance, 2010, S. 12.
- 36.
§ 11 Abs. 2 S. 2 BDSG: „(2) […] Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind:
-
1.
der Gegenstand und die Dauer des Auftrags,
-
2.
der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
-
3.
die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,
-
4.
die Berichtigung, Löschung und Sperrung von Daten,
-
5.
die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
-
6.
die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
-
7.
die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
-
8.
mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
-
9.
der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
-
10.
die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags. […]“ (§ 11 Abs. 2 Satz 2 BDSG als Auszug aus § 11 Abs. 2 BDSG).
-
1.
- 37.
Orientierungshilfe – Cloud Computing der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Version 1.0, Stand 26.9.2011.
- 38.
Vertiefend: Weichert, DuD 2010, S. 679, 685.
- 39.
DSK-Orientierungshilfe – Cloud Computing (Fn. 13), S. 10.
- 40.
DSK-Orientierungshilfe – Cloud Computing (Fn. 13), S. 8.
- 41.
Eckhardt, IM 2010, S. 55, 60.
- 42.
Eckhardt, IM 2010, S. 55, 60.
- 43.
- 44.
- 45.
Eckhardt, Cloud Computing, BME Praxisleitfaden, S. 55.
- 46.
- 47.
DSK-Orientierungshilfe – Cloud Computing (Fn. 13), S. 10: „Für Clouds im innereuropäischen Raum, bei denen die Datenverarbeitung ausschließlich innerhalb des Europäischen Wirtschaftsraums (EWR) stattfindet, ergeben sich dabei keine Besonderheiten. […] Durch vertragliche Vereinbarungen zwischen dem Cloud-Anwender und dem Cloud-Anbieter muss der Ort der technischen Verarbeitung personenbezogener Daten vereinbart werden. Cloud-Anbieter sowie Unter-Anbieter können so verpflichtet werden, nur technische Infrastrukturen zu verwenden, die sich physikalisch auf dem Gebiet des EWR befinden. […]“
- 48.
Eckhardt, Cloud Computing, BME Praxisleitfaden, S. 55.
- 49.
Siehe hierzu: Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich am 28./29. April 2010 „Prüfung der Selbst-Zertifizierung des Datenimporteurs nach dem Safe Harbor-Abkommen durch das Daten exportierende Unternehmen“.
- 50.
DSK-Orientierungshilfe – Cloud Computing (Fn. 13), S. 12.
- 51.
DSK-Orientierungshilfe – Cloud Computing (Fn. 13), S. 12. Eine rechtsdogmatische Begründung hierfür gibt die DSK-Orientierungshilfe – Cloud Computing bedauerlicherweise nicht. Rechtsdogmatisch ist diese Forderung auch nicht ohne Weiteres nachvollziehbar. Denn bei einer Übermittlung in einen Drittstaat muss eine Auftragsdatenverarbeitung nach § 11 BDSG nicht zwingend abgeschlossen werden, da ihr gemäß § 3 Abs. 8 S. 3 BDSG ohnehin keine privilegierende Wirkung zukommen kann und die Rechtsgrundlage stattdessen § 28 Abs. 1 S. 1 Nr. 2 BDSG ist. Zu denken ist allerdings an eine Verpflichtung zur Beachtung des § 11 Abs. 2 BDSG aufgrund § 11 Abs. 5 BDSG.
- 52.
DSK-Orientierungshilfe – Cloud Computing (Fn. 13), S. 11: „[…] Aus diesem Grunde muss der Cloud-Anwender über die Vereinbarung von Standardvertragsklauseln hinaus die Anforderungen nach § 11 Abs. 2 BDSG erfüllen und entsprechend vertraglich abbilden. Dies kann durch Regelungen in den Anlagen zum Standardvertrag und/oder ergänzende geschäftsbezogene Klauseln oder durch separate vertragliche Regelungen erfolgen, die nicht inhaltlich von den Standardvertragsklauseln abweichen.“
Die Begründung hierfür („Im Rahmen der durch eine Entscheidung der EU-Kommission erlassenen Standardvertragsklauseln, die vom Cloud-Anwender und Cloud-Anbieter unverändert übernommen werden müssen, wurden allerdings die spezifischen Regelungen der Auftragsdatenverarbeitung nicht vollständig abgebildet, obwohl die vertraglichen und faktischen Beziehungen zwischen Datenexporteur und Datenimporteur einer solchen Verarbeitung ähnlich sind.“) vermag auf den ersten Blick jedoch nicht zu überzeugen. Denn auch der EU-Standardvertrag zuzüglich der Regelungen des § 11 Abs. 2 BDSG führt nach Ansicht der Autoren dieser Orientierungshilfe dennoch nicht zu der privilegierenden Wirkung der Auftragsdatenverarbeitung und als Rechtsgrundlage muss weiterhin § 28 Abs. 1 S. 1 Nr. 2 BDSG herangezogen werden (a. a. O., S. 11). Wenn also ohnehin eine „echte“ ADV mit Privilegierungswirkung nicht in Betracht kommt, sondern § 28 BDSG die Rechtsgrundlage ist, besteht auch kein rechtsdogmatischer Grund, die Vorgaben des § 11 Abs. 2 BDSG zusätzlich umzusetzen. Zu denken ist allerdings an eine Verpflichtung zur Beachtung des § 11 Abs. 2 BDSG aufgrund § 11 Abs. 5 BDSG. Hierzu auch: Scholz und Lutz, CR 2011, S. 424, 427 f., die zu dem Ergebnis gelangen, dass § 11 BDSG auf Stellen, die personenbezogene Daten außerhalb des EWR im Auftrag erheben, verarbeiten und nutzen, keine Anwendung findet, und dass überzeugende Argumente gegen das Verlangen von Aufsichtsbehörden sprechen, zusätzlich zu den Standardvertragsklauseln den Anforderungen des § 11 BDSG genügen zu müssen.
Literatur
Bergmann L, Möhrle R, Herb A (2012) Datenschutzrecht. Stuttgart u. a., 41. EL
Bierekoven C (2010) Lizenzierung in der Cloud. ITRB 42–44
Doubrava C, Münch I (2011) Cloud Computing Security – Nachweis der Sicherheit beim Anbieter durch Zertifizierung, ISIS Cloud & SaaS Report, Edition 2, 38–39
Eckhardt J (2011) Cloud Computing und Datenschutz – (k)ein Konflikt?. BVD-News Ausgabe 2:11–12
Eckhardt Jens (2010) Cloud computing – ein rechtlicher Überblick. IM 55–60
Eckhardt J (2011) Cloud Computing – Datenschutz als lösbare Herausforderung, BME Praxisleitfaden Cloud Computing in Koorperation mit EuroCloud Deutschland_eco e. V., 53–61
Giebichenstein R, Weiss A (2011) Zertifizierte Cloud durch das EuroCloud Star Audit SaaS, Ein Best Practice-Ansatz zur Auswahl eines vertrauenswürdigen Cloud-Anbieters. DuD 338–342
Gola P, Schomerus R (2010) Bundesdatenschutzgesetz, 10. Aufl. Beck, München
Hennrich T (2011) Compliance in Clouds, Datenschutz und Datensicherheit in Datenwolken. CR 546–552
Münch I, Doubrava C, Essoh AD (2011) Eine Gefährdungsanalyse von Private Clouds, Sichere Virtualisierung als Grundlage für sichere private Clouds. DuD 322–328
Niemann F, Paul J-A (2009) Bewölkt oder wolkenlos – rechtliche Herausforderungen des Cloud Computings. K&R 444–452
Pohle J, Ammann T (2009) Über den Wolken… – Chancen und Risiken des Cloud Computing. CR 273–278
Scholz M, Lutz H (2011) Standardvertragsklauseln für Auftragsverarbeiter und § 11 BDSG, Ein Plädoyer für die Unanwendbarkeit der §§ 11 Abs. 2, 43 Abs. 1 Nr. 2b) BDSG auf die Auftragsdatenverarbeitung außerhalb der EWR. CR 424–428
Weichert T (2010) Cloud computing und Datenschutz. DuD 679–687
Author information
Authors and Affiliations
Corresponding author
Editor information
Editors and Affiliations
Rights and permissions
Copyright information
© 2012 Springer-Verlag Berlin Heidelberg
About this chapter
Cite this chapter
Eckhardt, J. (2012). Datenschutz im „Cloud Computing“ aus Anbietersicht. In: Borges, G., Schwenk, J. (eds) Daten- und Identitätsschutz in Cloud Computing, E-Government und E-Commerce. Springer, Berlin, Heidelberg. https://doi.org/10.1007/978-3-642-30102-5_5
Download citation
DOI: https://doi.org/10.1007/978-3-642-30102-5_5
Published:
Publisher Name: Springer, Berlin, Heidelberg
Print ISBN: 978-3-642-30101-8
Online ISBN: 978-3-642-30102-5
eBook Packages: Humanities, Social Science (German Language)