Skip to main content
SpringerLink
Log in
Book cover

Daten- und Identitätsschutz in Cloud Computing, E-Government und E-Commerce pp 97–114Cite as

Datenschutz im „Cloud Computing“ aus Anbietersicht

  • Chapter
  • First Online:

Zusammenfassung

Die Betrachtung „Datenschutz im Cloud Computing aus Anbietersicht“ basiert auf dem gleichnamigen Vortrag im Rahmen des a-i3/BSI Symposium 2011 „Identitäts- und Datenschutz zwischen Sicherheitsanforderungen und Sicherheitslücken“ am 12./13.4.2011 in Bochum. Der Beitrag beleuchtet die Thematik Datenschutz beim „Cloud Computing“ unter Berücksichtigung des Titels

This is a preview of subscription content, log in via an institution.

Chapter
USD   29.95
Price excludes VAT (USA)
  • Available as PDF
  • Read on any device
  • Instant download
  • Own it forever
eBook
USD   49.99
Price excludes VAT (USA)
  • Available as EPUB and PDF
  • Read on any device
  • Instant download
  • Own it forever
Hardcover Book
USD   49.99
Price excludes VAT (USA)
  • Durable hardcover edition
  • Dispatched in 3 to 5 business days
  • Free shipping worldwide - see info

Tax calculation will be finalised at checkout

Purchases are for personal use only

Learn about institutional subscriptions

Notes

  1. 1.

    In der Zwischenzeit hat allerdings auch eine Veränderung dessen stattgefunden, was als „Cloud Computing“ angeboten wird. Das Leistungsangebot hat sich damit wohl auch auf die rechtlichen Anforderungen „zu bewegt“.

  2. 2.

    Vgl. Weichert, DuD 2010, S. 679, 681.

  3. 3.

    Eckhardt, IM 2010, S. 55, 57; hierzu ausführlich: Weichert, DuD 2010, S. 679, 681 f. Datenschutzrecht kommt neben den in der „Cloud“ verarbeiteten personenbezogenen Daten natürlich auch in Bezug auf solche Daten zum Tragen, welche bei der Nutzung von Cloud Services entstehen (z. B. Zeitpunkt und Dauer der Nutzung eines Cloud Services durch einen Mitarbeiter etc.). Dieser Aspekt wird in diesem Beitrag nicht näher betrachtet.

  4. 4.

    Eckhardt, Cloud Computing, BME Praxisleitfaden, S. 53.

  5. 5.

    Eckhardt, IM 2010, S. 55, 56 m.w.N.; Niemann und Paul, K&R 2009, S. 444, 445 ff.

  6. 6.

    Eckhardt, IM 2010, S. 55, 57; vgl. Weichert, DuD 2010, S. 679, 681; Niemann und Paul, K&R 2009, S. 444, 445; Bierekoven, ITRB 2010, S. 42 f.; zu weiteren Differenzierungen (Public Cloud, Private Cloud, Hybrid Clouds): Hennrich, CR 2011, S. 546, 547.

  7. 7.

    Vgl. Leitfaden Cloud Computing – Recht, Datenschutz & Compliance, S. 29 f.; vgl. Niemann und Paul, K&R 2009, S. 444, 450; Weichert, DuD 2010, S. 679, 679 f.; Pohle und Ammann, CR 2009, S. 273, 274. In technischer Hinsicht hierzu auch: Münch et al., DuD 2011, S. 322 ff.

  8. 8.

    Niemann und Paul, K&R 2009, S. 444, 446 f.; Eckhardt, IM 2010, S. 55, 56 f.

  9. 9.

    Hierzu unten Abschn. 5.2.1.2 und 5.2.3.

  10. 10.

    Hierzu unten Abschn. 5.2.4; vertiefend zu ADV im Ausland: Bergmann et al., Stand 2012, § 11, Rn. 14–15c.

  11. 11.

    Eckhardt, IM 2010, S. 55, 57.

  12. 12.

    Hierzu vor Abschn. 5.1 in diesem Beitrag.

  13. 13.

    Im Ergebnis ebenso: „Orientierungshilfe – Cloud Computing“, Stand: 26.9.2011, Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder (im Folgenden: „DSK-Orientierungshilfe – Cloud Computing“), die in der Entschließung der 82. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 28./29.11.2009 „zustimmend zur Kenntnis“ genommen wurde.

  14. 14.

    Beispiele aus DSK-Orientierungshilfe – Cloud Computing (Fn. 13) für Forderungen, die über das „Cloud Computing“ hinaus zu beachten wären:

    • Forderung nach dezidierter Benennung der „Verarbeitungsorte“ (S. 10),

    • die zusätzliche Anwendung der § 11 Abs. 2 BDSG bei der Verwendung des EU-Standardvertrags zur Auftragsdatenverarbeitung (S. 11),

    • die Forderung nach genereller Beachtung des § 11 Abs. 2 BDSG (analog) bei einem Drittstaatentransfer (S. 12).

  15. 15.

    Eckhardt, IM 2010, S. 55, 58; vgl. Weichert, DuD 2010, S. 679, 683.

  16. 16.

    Übermitteln ist nach der Legaldefinition in § 3 Abs. 4 Nr. 3 BDSG das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass a) die Daten an den Dritten weitergegeben werden oder b) der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft.

  17. 17.

    Eckhardt, IM 2010, S. 55, 58; vgl. DSK-Orientierungshilfe – Cloud Computing (Fn. 13), S. 11; vgl. Niemann und Paul, K&R 2009, S. 444, 449.

  18. 18.

    Weichert, DuD 2010, S. 679, 683; vgl. Eckhardt, IM 2010, S. 55, 58.

  19. 19.

    Ebenso DSK-Orientierungshilfe – Cloud Computing (Fn. 13), S. 11. In der DSK-Orientierungshilfe – Cloud Computing, S. 11, wird darauf hingewiesen, dass § 28 Abs. 1 S. 1 Nr. 2 BDSG nicht anwendbar ist, wenn es um die Verarbeitung sog. besonderer personenbezogener Daten (§ 3 Abs. 9 BDSG) geht; dies ist nach § 28 Abs. 6–9 BDSG zu beurteilen.

  20. 20.

    Ebenso DSK-Orientierungshilfe – Cloud Computing (Fn. 13), S. 11; a. A. scheinbar Weichert, DuD 2010, S. 679, 683, zu der Erforderlichkeit der Übertragung außerhalb der EU/des EWR: „Es ist wohl nicht begründbar, dass die Nutzung einer Cloud mit Verarbeitern außerhalb des EWR zwingend ist. Es ist kaum zu widerlegen, dass es auch adäquate Cloud-Angebote innerhalb Europas gibt.“.

  21. 21.

    Eckhardt, BVD-News Ausg. 2/2011, S. 11 f.; DSK-Orientierungshilfe – Cloud Computing (Fn. 13), S. 11.

  22. 22.

    DSK-Orientierungshilfe – Cloud Computing (Fn. 13), S. 11; Weichert, DuD 2010, S. 679, 683; vgl. Scholz\Lutz, CR 2011, S. 424.

  23. 23.

    Vgl. DSK-Orientierungshilfe – Cloud Computing (Fn. 13), S. 11.

  24. 24.

    DSK-Orientierungshilfe – Cloud Computing (Fn. 13), S. 8. Allerdings ist die Ausgestaltung als Auftragsdatenverarbeitung entgegen dem Eindruck der Ausführungen dieser Orientierungshilfe gesetzlich nicht zwingend. Das BDSG lässt die Alternative der Ausgestaltung nach § 28 Abs. 1 S. 1 Nr. 2 BDSG (hierzu Fn. 17).

  25. 25.

    Im Ergebnis ebenso: DSK-Orientierungshilfe – Cloud Computing (Fn. 13), S. 11; a. A. scheinbar Weichert, DuD 2010, S. 679, 683, zu der Erforderlichkeit der Übertragung außerhalb der EU/des EWR: „Es ist wohl nicht begründbar, dass die Nutzung einer Cloud mit Verarbeitern außerhalb des EWR zwingend ist. Es ist kaum zu widerlegen, dass es auch adäquate Cloud-Angebote innerhalb Europas gibt.“

  26. 26.

    Ausführlich hierzu: Scholz und Lutz, CR 2011, S. 424, 427 f.; hierzu auch Enquete-Kommission Internet und Digitale Gesellschaft, Datenschutz, Persönlichkeitsrechte – Zwischenbericht (Stand: 10. Oktober 2011), S. 67.

  27. 27.

    Weichert, DuD 2010, S. 679, 682.

  28. 28.

    Hennrich, CR 2011, S. 546, 552: „Insoweit zeichnet sich ein Zielkonflikt ab, der in Übereinstimmung mit der Empfehlung des EuroCloud Deutschland_eco wohl auch nur dahingehend aufzulösen ist, dass Anbieter Compliance Anforderungen in ihren Verträgen berücksichtigen und bestimmte Standardverfahren anbieten.“

  29. 29.

    Weichert, DuD 2010, S. 679, 685.

  30. 30.

    Eckhardt, IM 2010, S. 55, 59; vgl. zu solchen Maßnahmen: Bundesamt für Sicherheit in der Informationstechnologie, Entwurf BSI – Mindestanforderungen an Cloud Computing, Stand: 27.9.2010; Art. 29 Data Protection Working Party, WP 196, Opinion 05/2012 on Cloud Computing, July 1st, 2012.

  31. 31.

    DSK-Orientierungshilfe – Cloud Computing (Fn. 13), S. 9.

  32. 32.

    Doubrava und Münch, ISIS, Cloud & SaaS Report, Edition 2–2011, S. 38 f.

  33. 33.

    DSK-Orientierungshilfe – Cloud Computing (Fn. 13), S. 9: „[…] Die Lösung kann darin bestehen, dass der Cloud-Anbieter sich einem Zertifizierungs- bzw. Gütesiegelverfahren zu Fragen des Datenschutzes und der Datensicherheit bei einer unabhängigen und kompetenten Prüfstelle unterwirft. […]“. Hierzu auch: Gola und Schomerus, 10. Aufl., 2010, § 11, Rn. 21; Giebichenstein und Weiss, DuD 2011, S. 338 ff.

  34. 34.

    DSK-Orientierungshilfe – Cloud Computing (Fn. 13), S. 9.

  35. 35.

    Leitfaden Cloud Computing Recht, Datenschutz & Compliance, 2010, S. 12.

  36. 36.

    § 11 Abs. 2 S. 2 BDSG: „(2) […] Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind:

    1. 1.

      der Gegenstand und die Dauer des Auftrags,

    2. 2.

      der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,

    3. 3.

      die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,

    4. 4.

      die Berichtigung, Löschung und Sperrung von Daten,

    5. 5.

      die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,

    6. 6.

      die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,

    7. 7.

      die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,

    8. 8.

      mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,

    9. 9.

      der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,

    10. 10.

      die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags. […]“ (§ 11 Abs. 2 Satz 2 BDSG als Auszug aus § 11 Abs. 2 BDSG).

  37. 37.

    Orientierungshilfe – Cloud Computing der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Version 1.0, Stand 26.9.2011.

  38. 38.

    Vertiefend: Weichert, DuD 2010, S. 679, 685.

  39. 39.

    DSK-Orientierungshilfe – Cloud Computing (Fn. 13), S. 10.

  40. 40.

    DSK-Orientierungshilfe – Cloud Computing (Fn. 13), S. 8.

  41. 41.

    Eckhardt, IM 2010, S. 55, 60.

  42. 42.

    Eckhardt, IM 2010, S. 55, 60.

  43. 43.

    Weichert, DuD 2010, S. 679, 685; Eckhardt, IM 2010, S. 55, 60.

  44. 44.

    Eckhardt, IM 2010, S. 55, 58; vgl. Weichert, DuD 2010, S. 679, 682; vgl. Niemann und Paul, K&R 2009, S. 444, 446.

  45. 45.

    Eckhardt, Cloud Computing, BME Praxisleitfaden, S. 55.

  46. 46.

    Eckhardt, IM 2010, S. 55, 58; Weichert, DuD 2010, S. 679, 686.

  47. 47.

    DSK-Orientierungshilfe – Cloud Computing (Fn. 13), S. 10: „Für Clouds im innereuropäischen Raum, bei denen die Datenverarbeitung ausschließlich innerhalb des Europäischen Wirtschaftsraums (EWR) stattfindet, ergeben sich dabei keine Besonderheiten. […] Durch vertragliche Vereinbarungen zwischen dem Cloud-Anwender und dem Cloud-Anbieter muss der Ort der technischen Verarbeitung personenbezogener Daten vereinbart werden. Cloud-Anbieter sowie Unter-Anbieter können so verpflichtet werden, nur technische Infrastrukturen zu verwenden, die sich physikalisch auf dem Gebiet des EWR befinden. […]“

  48. 48.

    Eckhardt, Cloud Computing, BME Praxisleitfaden, S. 55.

  49. 49.

    Siehe hierzu: Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich am 28./29. April 2010 „Prüfung der Selbst-Zertifizierung des Datenimporteurs nach dem Safe Harbor-Abkommen durch das Daten exportierende Unternehmen“.

  50. 50.

    DSK-Orientierungshilfe – Cloud Computing (Fn. 13), S. 12.

  51. 51.

    DSK-Orientierungshilfe – Cloud Computing (Fn. 13), S. 12. Eine rechtsdogmatische Begründung hierfür gibt die DSK-Orientierungshilfe – Cloud Computing bedauerlicherweise nicht. Rechtsdogmatisch ist diese Forderung auch nicht ohne Weiteres nachvollziehbar. Denn bei einer Übermittlung in einen Drittstaat muss eine Auftragsdatenverarbeitung nach § 11 BDSG nicht zwingend abgeschlossen werden, da ihr gemäß § 3 Abs. 8 S. 3 BDSG ohnehin keine privilegierende Wirkung zukommen kann und die Rechtsgrundlage stattdessen § 28 Abs. 1 S. 1 Nr. 2 BDSG ist. Zu denken ist allerdings an eine Verpflichtung zur Beachtung des § 11 Abs. 2 BDSG aufgrund § 11 Abs. 5 BDSG.

  52. 52.

    DSK-Orientierungshilfe – Cloud Computing (Fn. 13), S. 11: „[…] Aus diesem Grunde muss der Cloud-Anwender über die Vereinbarung von Standardvertragsklauseln hinaus die Anforderungen nach § 11 Abs. 2 BDSG erfüllen und entsprechend vertraglich abbilden. Dies kann durch Regelungen in den Anlagen zum Standardvertrag und/oder ergänzende geschäftsbezogene Klauseln oder durch separate vertragliche Regelungen erfolgen, die nicht inhaltlich von den Standardvertragsklauseln abweichen.“

    Die Begründung hierfür („Im Rahmen der durch eine Entscheidung der EU-Kommission erlassenen Standardvertragsklauseln, die vom Cloud-Anwender und Cloud-Anbieter unverändert übernommen werden müssen, wurden allerdings die spezifischen Regelungen der Auftragsdatenverarbeitung nicht vollständig abgebildet, obwohl die vertraglichen und faktischen Beziehungen zwischen Datenexporteur und Datenimporteur einer solchen Verarbeitung ähnlich sind.“) vermag auf den ersten Blick jedoch nicht zu überzeugen. Denn auch der EU-Standardvertrag zuzüglich der Regelungen des § 11 Abs. 2 BDSG führt nach Ansicht der Autoren dieser Orientierungshilfe dennoch nicht zu der privilegierenden Wirkung der Auftragsdatenverarbeitung und als Rechtsgrundlage muss weiterhin § 28 Abs. 1 S. 1 Nr. 2 BDSG herangezogen werden (a. a. O., S. 11). Wenn also ohnehin eine „echte“ ADV mit Privilegierungswirkung nicht in Betracht kommt, sondern § 28 BDSG die Rechtsgrundlage ist, besteht auch kein rechtsdogmatischer Grund, die Vorgaben des § 11 Abs. 2 BDSG zusätzlich umzusetzen. Zu denken ist allerdings an eine Verpflichtung zur Beachtung des § 11 Abs. 2 BDSG aufgrund § 11 Abs. 5 BDSG. Hierzu auch: Scholz und Lutz, CR 2011, S. 424, 427 f., die zu dem Ergebnis gelangen, dass § 11 BDSG auf Stellen, die personenbezogene Daten außerhalb des EWR im Auftrag erheben, verarbeiten und nutzen, keine Anwendung findet, und dass überzeugende Argumente gegen das Verlangen von Aufsichtsbehörden sprechen, zusätzlich zu den Standardvertragsklauseln den Anforderungen des § 11 BDSG genügen zu müssen.

Literatur

  • Bergmann L, Möhrle R, Herb A (2012) Datenschutzrecht. Stuttgart u. a., 41. EL

    Google Scholar 

  • Bierekoven C (2010) Lizenzierung in der Cloud. ITRB 42–44

    Google Scholar 

  • Doubrava C, Münch I (2011) Cloud Computing Security – Nachweis der Sicherheit beim Anbieter durch Zertifizierung, ISIS Cloud & SaaS Report, Edition 2, 38–39

    Google Scholar 

  • Eckhardt J (2011) Cloud Computing und Datenschutz – (k)ein Konflikt?. BVD-News Ausgabe 2:11–12

    Google Scholar 

  • Eckhardt Jens (2010) Cloud computing – ein rechtlicher Überblick. IM 55–60

    Google Scholar 

  • Eckhardt  J (2011) Cloud Computing – Datenschutz als lösbare Herausforderung, BME Praxisleitfaden Cloud Computing in Koorperation mit EuroCloud Deutschland_eco e. V., 53–61

    Google Scholar 

  • Giebichenstein R, Weiss A (2011) Zertifizierte Cloud durch das EuroCloud Star Audit SaaS, Ein Best Practice-Ansatz zur Auswahl eines vertrauenswürdigen Cloud-Anbieters. DuD 338–342

    Google Scholar 

  • Gola P, Schomerus R (2010) Bundesdatenschutzgesetz, 10. Aufl. Beck, München

    Google Scholar 

  • Hennrich T (2011) Compliance in Clouds, Datenschutz und Datensicherheit in Datenwolken. CR 546–552

    Google Scholar 

  • Münch I, Doubrava C, Essoh AD (2011) Eine Gefährdungsanalyse von Private Clouds, Sichere Virtualisierung als Grundlage für sichere private Clouds. DuD 322–328

    Google Scholar 

  • Niemann F, Paul J-A (2009) Bewölkt oder wolkenlos – rechtliche Herausforderungen des Cloud Computings. K&R 444–452

    Google Scholar 

  • Pohle J, Ammann T (2009) Über den Wolken… – Chancen und Risiken des Cloud Computing. CR 273–278

    Google Scholar 

  • Scholz M, Lutz H (2011) Standardvertragsklauseln für Auftragsverarbeiter und § 11 BDSG, Ein Plädoyer für die Unanwendbarkeit der §§ 11 Abs. 2, 43 Abs. 1 Nr. 2b) BDSG auf die Auftragsdatenverarbeitung außerhalb der EWR. CR 424–428

    Google Scholar 

  • Weichert T (2010) Cloud computing und Datenschutz. DuD 679–687

    Google Scholar 

Download references

Author information

Authors and Affiliations

  1. JUCONOMY Rechtsanwälte, Graf-Recke-Straße 82, 40627, Düsseldorf, Deutschland

    Dr. Jens Eckhardt

Authors
  1. Dr. Jens Eckhardt
    View author publications

    You can also search for this author in PubMed Google Scholar

Corresponding author

Correspondence to Jens Eckhardt .

Editor information

Editors and Affiliations

  1. , Lehrstuhl für Bürgerliches Recht, Ruhr-Universität Bochum, Universitätsstraße 150, Bochum, 44801, Germany

    Georg Borges

  2. , Lehrstuhl für Netz- und Datensicherheit, Ruhr-Universität Bochum, Universitätsstraße 150, Bochum, 44801, Germany

    Jörg Schwenk

Rights and permissions

Reprints and permissions

Copyright information

© 2012 Springer-Verlag Berlin Heidelberg

About this chapter

Cite this chapter

Eckhardt, J. (2012). Datenschutz im „Cloud Computing“ aus Anbietersicht. In: Borges, G., Schwenk, J. (eds) Daten- und Identitätsschutz in Cloud Computing, E-Government und E-Commerce. Springer, Berlin, Heidelberg. https://doi.org/10.1007/978-3-642-30102-5_5

Download citation

  • DOI: https://doi.org/10.1007/978-3-642-30102-5_5

  • Published:

  • Publisher Name: Springer, Berlin, Heidelberg

  • Print ISBN: 978-3-642-30101-8

  • Online ISBN: 978-3-642-30102-5

  • eBook Packages: Humanities, Social Science (German Language)

Publish with us

Policies and ethics

Search

Navigation