Datenschutz » BDSG, Datenschutzgesetz, IT-Sicherheit » Feil Rechtsanwaltsgesellschaft mbH

Auftragsdatenverarbeitung im Gesundheitswesen

24. Mai 2013

Nach den datenschutzrechtlichen Bestimmungen ist eine Datenverarbeitung im Auftrag durchaus privilegiert. Wenn personenbezogene Daten an einen Dritten weitergegeben werden, damit dieser die Daten für den Auftraggeber verarbeitet, bedarf es für diese Weitergabe keine Einwilligung des Betroffenen oder eine gesetzliche Übermittlungsbefugnis. Der Gesetzgeber sieht in einem solchen Fall Auftraggeber und Auftragnehmer als Einheit. Eine Weitergabe der Daten wird als interne Datennutzung durch den Auftraggeber gesehen. Die Auftragsdatenverarbeitung im Sozial- und Gesundheitswesen haben dennoch besondere Anforderungen.

Wenn beispielsweise eine Apotheke die Kostenerstattungsfähigkeit vor Ort unter Hilfsmittel durch eine Clearingstelle des Apothekenverbandes vorab klären lässt, sind nicht nur die Regelungen der Auftragsdatenverarbeitung nach § 11 BDSG zu beachten. Diese Grundnorm für Auftragsdatenverarbeitung gilt für alle nicht öffentliche Stellen. Dies umfasst beispielsweise Arztpraxen, Apotheken, Privatkliniken oder Dentallabore. Hier erwartet der Gesetzgeber, dass zwischen dem Auftraggeber und dem Auftragnehmer eine schriftliche Vereinbarung abgeschlossen wird. In § 11 BDSG ist ein Punktekatalog im Gesetz aufgeführt, der Grundanforderungen an die vertraglichen Vereinbarungen stellt. Weiterhin wird erwartet, dass im Rahmen der Auftragsdatenverarbeitung der Auftraggeber seinen Auftragnehmer dahingehend prüft, ob die technischen und organisatorischen Maßnahmen nach den datenschutzrechtlichen Regelungen eingehalten werden. Dies kann bis zu einer Verpflichtung gehen, regelmäßig beim Auftragnehmer ein Audit durchzuführen und die Einhaltung der gesetzlichen Regelung zu überprüfen.

Daneben können beispielsweise in der Apotheke, die als Beispiel oben Daten an eine Clearingstelle weitergibt, Daten betroffen sein, die der Schweigepflicht von Apothekern, Ärzten und Sozialarbeitern nach § 203 StGB unterliegen. In § 1 Abs. 3 Satz 2 BDSG stellt der Gesetzgeber klar, dass durch die datenschutzrechtlichen Regelungen die Verpflichtung zur Wahrung der gesetzlichen und berufsständischen Geheimhaltungspflichten nicht berührt ist. Eine Auftragsdatenverarbeitung nach § 11 BDSG befugt also weder den Arzt noch einen Apotheker, Patientengeheimnisse zu offenbaren.

Wenn also Daten im Rahmen einer Auftragsdatenverarbeitung weitergegeben werden sollen, die einer Schweigepflicht unterliegen, so bedarf es einer ausdrücklichen Schweigepflichtentbindung durch den Patienten. Hier ist in der Praxis vielfach zu beobachten, dass ein sorgloser Umgang mit der Schweigepflicht im Rahmen der Auftragsdatenbearbeitung besteht. Gerade wegen der strafrechtlichen Konsequenzen ist aber Ärzten und Apothekern zu empfehlen, neben den datenschutzrechtlichen Anforderungen die Schweigepflicht gesondert zu beachten.

Besonders kritisch sollte eine Auftragsdatenverarbeitung im Zusammenhang mit dem Cloud-Computing betrachtet werden. Soweit grenzüberschreitend eine IT-Infrastruktur zur Verfügung gestellt wird, sollte im Einzelnen geprüft werden, ob datenschutzrechtlich zulässig eine Auftragsdatenverarbeitung erfolgen kann. Gerade Gesundheitseinrichtungen sollten sehr genau prüfen, ob die Patientendaten auch im Rahmen eines Cloud-Computings wirklich geschützt sind.

Auskunft an die Datenschutzaufsicht

23. Mai 2013

Gemäß § 38 Abs. 3 BDSG hat die Datenschutzaufsicht einen Anspruch auf Auskünfte, die für die Erfüllung ihrer Aufgaben erforderlich sind. Ob Krankenhäuser oder Banken, immer wieder kommen die Landesdatenschutzbeauftragten auf bestimmte Branchen zu und verlangen Informationen. Teilweise geht es den Datenschutzbeauftragten um einen ersten Einblick in die informationstechnischen Strukturen, teilweise werden sehr konkret datenschutzrechtliche Anforderungen überprüft. Beispielsweise hat das Bayerische Landesamt für Datenschutzaufsicht vor kurzem über 13000 Webseiten von Unternehmen überprüft, ob Google Analytics datenschutzkonform eingesetzt wird.

Wenn die Datenschutzbehörde sich an Unternehmen oder öffentliche Einrichtungen wendet, sind Auskünfte unverzüglich zu erteilen. Dies bedeutet nicht, dass innerhalb von Minuten und Stunden geantwortet werden muss. Bestimmte Informationen können aber nicht erst Wochen später der Datenschutzaufsicht zur Verfügung gestellt werden.

Insbesondere können die Datenschutzaufsichtsbehörden erwarten, dass die Verfahrensverzeichnisse stets aktuell sind. Gemäß § 4 g Abs. 2 Satz 1 BDSG i.V.m. § 4 e BDSG dürfen die Verfahrensverzeichnisse von den Aufsichtsbehörden ausdrücklich eingesehen werden. Hier muss innerhalb weniger Tage die aktuelle Dokumentation vorgelegt werden.

Daher empfiehlt es sich, das Verfahrensverzeichnis stets aktuell zu halten, um bei Anfragen der Datenschutzaufsichtsbehörden kurzfristig reagieren zu können.

Cloud Computing in der Apotheke

16. Mai 2013

Dass die Auslagerung der hauseigenen IT-Infrastruktur mitsamt des dazugehörigen Datenbestandes einen Kostenvorteil erzeugt, hat sich mittlerweile herumgesprochen. Viele Unternehmen nutzen Cloud Systeme, um erstens nicht selbst für die IT-Sicherheit verantwortlich sein zu müssen, und zweitens keine eigene Hardware bereit zu halten. Auch Apotheken können von diesem Vorgehen profitieren. Allerdings sollte besonders bei den sensiblen Daten, die mit der Gesundheit der Verbraucher in Zusammenhang stehen, das deutsche Datenschutzrecht eingehalten werden. Verstöße können hier zum einen zu Bußgeldern führen, zum anderen auch zu einem medialen Echo, das sich gewaschen hat – denn schon kleine, unbedeutende Unternehmen erleiden irreversible Rufschädigungen, wenn Datenschutzpannen bekannt werden. Bei Apotheken würde die Empörung umso größer ausfallen, wenn die personenbezogene Gesundheitsdaten in die falschen Hände geraten oder sonst wie schludrig damit umgegangen würde.

Cloud in der Apotheke – Auftragsdatenverarbeitung

Wichtig zu wissen ist, dass der Apotheker, der seine Daten und IT-Infrastruktur cloudmäßig auslagert, eine sogenannte Auftragsdatenverarbeitung vornehmen lässt, § 11 BDSG – hier nach bleibt verantwortliche Stelle jedoch die Apotheke selbst, d.h. alle Rechte und Pflichten des BDSG treffen nicht den Cloud Anbieter an erster Stelle, sondern den Apotheker. Er muss den Cloud Vertrag schriftlich fassen, und dort folgende Punkte unbedingt regeln: Gegenstand und Dauer des Auftrages, Umfang/Art/Zeck der Erhebung/Verarbeitung/Nutzung von Daten, die Möglichkeiten der Löschung/Berichtigung von Daten und die Kontrollrechte des Auftraggebers. Die BDSG Vorschriften bleiben also auf den Auftraggeber anwendbar, er haftet für Datenschutzverstöße – “sicher” ist durch die Cloud Anwendung deshalb in erster Linie keiner, es ist lediglich ein Kostenersparnis, das allerdings früher oder später zu einem Wettbewerbsvorteil avancieren wird.

Apotheke und Daten ins Ausland?

Viele Cloud Anbieter mit umfangreichen Kapazitäten und fairer Preisgestaltung befinden sich im Ausland. Apotheken fragen sich hier zu Recht, ob das Erheben, Verarbeiteun und Nutzen der Daten durch den Dienstleister im Ausland überhaupt rechtskonform geschehen kann. Zu unterscheiden ist hierbei zwischen ausländischen Stellen innerhalb der EU, oder solchen in Drittstaaten außerhalb der Mitgliedsstaaten. Sollte eine Auftragsdatenverarbeitung durch einen Diensteanbieter innerhalb der EU vorgenommen werden, ist das BDSG regelmäßig anwendbar. Ist der Diensteanbieter allerdings nicht in der EU (z.B. ein amerikanisches Unternehmen) ist das BDSG nicht mehr anwendbar. Dann sind die BDSG Vorschriften über die Übermittlung zu beachten. Die EU-Kommission hat allerdings für die Auftragsdatenverarbeitung in Drittländern extra Standardvertragsklauseln vorgelegt, um es den Auftraggebern zu erleichtern, die EU-Datenschutzvorschriften einzuhalten.

Fragen zum Cloud Computing in der Apotheke?

Gerne können Sie uns kontaktieren, wenn Fragen offen geblieben sind – wir arbeiten im datenschutzrechtlichen Bereich mit vielen Apotheken zusammen und können aus unserer Erfahrung heraus beurteilen, ob eine Cloud-Auslagerung Sinn macht, und falls ja, wie das deutsche Datenschutzrecht gewahrt wird.

Nutzung des Cloud Computings in der Anwaltskanzlei

14. Mai 2013

Kaum ein Unternehmen unterschätzt mehr die Relevanz des Cloud Computings – Daten werden “ausgelagert” und andernorts gespeichert und archiviert, sodass Kosten für die Anschaffung und Instandhaltung von betriebseigenen Servern entfallen. Gleichzeitig kann jedernorts auf die in der Cloud gelegenen Daten zugegriffen werden, gleichfalls lassen sich jene Daten auch einfach und schnell bewegen. Mittlerweile nutzen mehr als ein Drittel der deutschen Unternehmen schon die Vorteile des Cloud Computings für die eigene Organisation von Informationen – heise berichtete.

Cloud Computing – Lösung oder Problem?

Hauptsorge der deutschen Cloud Anwender sind bisher die Sicherheit der fremden IT-Infrastruktur und das Datenschutzrecht. Zur Sicherheit gibt es Bedenken hinsichtlich des Falles eines “hacking”-Angriffs, aber auch die Frage, was bei einer Zerstörung der Daten in der Cloud passiert – hier liegt es ja nicht mehr in den betriebseigenen Strukturen, sondern in der Macht des Cloud Anbieters, ob Daten wieder hergestellt werden können. Das Datenschutzrecht erzeugt besondere Besorgnis – dürfen Daten, die in Deutschland erhoben worden sind, überhaupt an einen Cloud Anbieter weitergereicht werden? Welche Voraussetzungen hat diese sogenannte Auftragsdatenverarbeitung? Und was ist, wenn der Cloud Dienst nicht in Deutschland, sondern in einem anderen EU-Mitgliedsstaat seinen Sitz hat? Und noch komplizierter wird die Angelegenheit, wenn die Cloud im EU-Ausland (zum Beispiel USA) angesiedelt ist.

Anwaltliche Nutzung des Cloud Computings in der Kanzlei

Auch die deutschen Rechtsanwälte haben die Vorteile des Cloud Computings erkannt und nutzen diese bereits. Akten werden heutzutage überwiegend elektronisch verwaltet, was eine schnellere Bearbeitung gewährleistet und daher bei den Mandanten beliebt ist. Um aber solche sensiblen Daten überhaupt auslagern zu dürfen, müssen die in § 11 BDSG genannten Voraussetzungen zur Auftragsdatenverarbeitung eingehalten werden – es geht im Kern darum, dass der Rechtsanwalt, obwohl die Daten ausgelagert sind, immer noch “verantwortliche Stelle” im Sinne des BDSG bleibt, sich also der Verantwortung nicht dadurch entledigt, einen Cloud Anbieter einzuschalten. Der Anwalt muss einen schriftlichen Vertrag mit dem Anbieter schließen, in dem detailliert Umfang und Zweck der Verarbeitung von personenbezogenen Daten aus der Kanzlei geregelt werden muss. Bei Verstößen gegen das BDSG drohen Bußgelder und Anordnungen durch die Aufsichtsbehörde (§ 38 Abs. 5 BDSG).

Rechtsanwälte müssen weitere Vorschriften beachten

Weiterhin muss bei der anwaltlichen Cloudnutzung das datenschutzrechtliche Trennungsgebot beachtet werden – dies besagt, dass zu gewährleisten ist, dass die erhobenen personenbezogenen Daten getrennt verarbeitet werden müssen. Bei der Nutzung von Cloud Systemen in der Kanzlei kommen noch standesrechtliche Vorschriften zur Anwendung, die unbedingt beachtet werden müssen – so beispielsweise § 50 BRAO, wonach Anwälte dazu verpflichtet sind, ein geordnetes Bild ihrer Tätigkeit zu haben.

Datenschutzrechtliche Verstöße können zu Abmahnungen führen

13. Mai 2013

Das Datenschutzrecht erfährt eine zunehmend wettbewerbsrechtliche Relevanz. Eine Reihe von Gerichtsentscheidungen zeigt, dass Datenschutzverstöße wettbewerbsrechtlich abgemahnt werden können. Generell verneinen lässt sich dies jedenfalls nicht mehr. So erkannte das OLG Köln mit Urteilen vom 19.11.2010 (Az. 6 U 73/10) und 14.08.2009 (Az. 6 U 70/09) in einer unzulässigen Datenverarbeitung auch gleichzeitig einen Wettbewerbsverstoß. Das OLG Stuttgart (Az. 2 U 132/06) wies darauf hin, dass man zumindest dem § 28 BDSG die wettbewerbsrechtliche Relevanz nicht mehr absprechen können.

Anders entschieden hat das OLG München (Az. 29 U 3926/11) und vorinstanzlich das Landgericht Augsburg (Az. HK O 2827/11). Hinsichtlich des Einsatzes des sog. Facebook-Plug-in „Gefällt mir“ bestätigte das Kammergericht Berlin (Az. 5 W 88/11) das LG Berlin (Az. 91 O 25/11) in erster Instanz, wonach der Einsatz dieses Plug-ins aus Datenschutzgründen nicht wettbewerbswidrig sei.

Es wird deutlich, dass dieser Themenkomplex in der Rechtsprechung umstritten ist. Hintergrund ist, dass das Datenschutzrecht dogmatisch den Einzelnen davor schützen soll, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird (vgl. auch § 1 Abs. 1 BDSG und Art. 1 der Richtlinie 95/46/EG (sog. Datenschutzrichtlinie). Gemäß § 1 UWG ist Schutzzweck des Wettbewerbsrechts demgegenüber, Marktteilnehmer, wozu auch Verbraucher gezählt werden, vor unlauteren geschäftlichen Handlungen anderer Marktteilnehmer zu schützen. Außerdem dient das Wettbewerbsrecht zugleich dem Interesse der Allgemeinheit an einem unverfälschten Wettbewerb. Auf den ersten Blick erscheint es nicht gleich nachvollziehbar, wie die Verletzung einer individualschützenden datenschutzrechtlichen Norm Relevanz im Wettbewerbsrecht haben kann. Ob dies der Fall ist, hängt entscheidend davon ab, ob die verletzte Norm als sog. Marktverhaltensvorschrift i.S.d. § 4 Nr. 11 UWG darstellt. Der Rechtsprechung des BGH nach liegt dann eine Marktverhaltensvorschrift vor, wenn die betreffende Norm nicht nur die Funktion hat, das Marktverhalten im Interesse der Marktteilnehmer zu regeln, sondern auch eine auf die Lauterkeit des Wettbewerbsverstoß gerichtete Schutzfunktion aufweist (BGH, Urteil des I. Zivilsenats vom 2.12.2009 – I ZR 152/07 – Rn. 23 – Zweckbetrieb). Hierfür ist der Gesetzeszweck der jeweiligen Vorschrift entscheidend (BGH, Urteil des I. Zivilsenats vom 29.6.2006 – I ZR 171/03, Rn. 12.). Wie gezeigt, ist zwar der Zweck des BDSG nicht der Schutz der lauteren Geschäftspraxis, nichtsdestotrotz steht dies in Einzelfällen der Annahme eines Wettbewerbsverstoßes nicht entgegen. Dies wird deutlich, dass die Einhaltung des Datenschutzes mit Arbeit und Kosten verbunden ist. Wer sich dies spart und so einen Wettbewerbsvorteil erreicht, handelt dann wettbewerbswidrig. So sind zumindest die oben genannten Urteile zu verstehen.

Unternehmen, die personenbezogene Daten verarbeiten, also die weit überwiegende Mehrheit, müssen daher bei datenschutzrechtlichen Verstößen nicht nur Maßnahmen der betroffenen Personen und Aufsichtsbehörden befürchten, sondern auch von Marktteilnehmern, Verbraucherverbänden und Handelskammern, also all denjenigen, die Im Sinne von § 8 Abs. 3 UWG abmahnbefugt sind.

§ 8 UWG begründet einen Unterlassungsanspruch gegenüber demjenigen Marktteilnehmer, der eine nach § 3 oder § 7 UWG unzulässige geschäftliche Handlung vornimmt. Der Anspruch auf Unterlassung besteht bereits dann, wenn eine derartige Zuwiderhandlung droht. Der Begriff der geschäftlichen Handlung wird dabei denkbar weit verstanden, so dass alle Tätigkeiten auf dem Markt, durch welche ein Unternehmer auf die Mitbewerber, Verbraucher oder sonstige Marktteilnehmer einwirkt, hiervon erfasst sind.

Compliance mit dem Datenschutz dürfte für das Risikomanagement in Unternehmen eine wachsende Bedeutung erfahren.

Datenleck in Schneverdingen

8. Mai 2013

Die niedersächsische Stadt Schneverdingen informierte in einer Pressemitteilung, über die auch heise berichtete, über den Diebstahl von Notebooks, auf denen auch Daten der Einwohner gespeichert waren. Der Diebstahl ereignete sich am 19. April 2013 bei einem Berliner Unternehmen welches mit einer Softwareanalyse durch die Stadt Schneverdingen beauftragt ist. Unter den gespeicherten Daten befinden sich Name und Anschrift sowie die Bankverbindung der Einwohner.

Zum gegenwärtigen Zeitpunkt könne noch nicht gesagt werden, ob es die Einbrecher auf den Laptop oder auf die Daten abgesehen hatten. Da die Notebooks sowie die Anwendungen durch Passwörter geschützt sind, sei zudem fraglich, ob die Daten durch die Täter überhaupt abgegriffen werden könnten.

Auch die die Berliner Kriminalpolizei sei mittlerweile involviert. Schneverdingen weist darauf hin, dass selbst wenn die Täter gefasst werden sollten, die Gefahr des Datenmissbrauchs für die Betroffenen Bürger nicht gebannt sei. Sind Bankdaten erst einmal in den Umlauf gelangt, können sie auch von anderen missbraucht werden.

Schneverdingen rät den Betroffenen, verdächtige Abbuchungen im Auge zu behalten und insbesondere unrechtmäßige Abbuchungen nicht tatenlos hinzunehmen.

AGB von Apple teilweise unzulässig (LG Berlin Urteil vom 30.04.2013 Az.: 15 O 92/12)

7. Mai 2013

Allgemeine Geschäftsbedingungen großer Unternehmen bleiben ein spannendes rechtliches Thema. Oft werden die Verbraucher “um ihre Rechte” gebracht, weil die seitenlangen, undurchsichtigen und in juristischer Sprache verfassten AGB niemand ernsthaft vor Vertragsschluss lesen kann – und selbst wenn, hat der Verbraucher noch eine Wahl? Sind die AGB bei anderen Anbietern nicht genau so? Hier hilft es also nicht mal, die AGB zu studieren – man muss sich ja doch unterwerfen.

LG Berlin schreitet ein – gegen den “Riesen” namens Apple

Genau deshalb schützt das deutsche Recht den Verbraucher, denn wegen des Ungleichgewichts der Kräfte muss man meistens zustimmen. Aber die Allgemeinen Geschäftsbedingungen der Großkonzerne müssen dennoch der Inhaltskontrolle der § 307 ff. BGB standhalten. Und im Falle Apple ist dies nicht völlig geglückt: das LG Berlin (PDF) (Urteil vom 30.04.2013 Az.: 15 O 92/12) sah in vielen Klauseln eine Unzulässigkeit begründet.

Zuvor hatte die Verbraucherzentrale Bundesverband (vzbv) 15 Klauseln der deutschen Website von Apple beanstandet, und sogar für 7 dieser Klauseln gab Apple vorab schon strafbewehrte Unterlassungserklärungen ab – ein wenig Einsicht also. Die restlichen Klauseln wurden jetzt vom LG Berlin “kassiert” – und dies ist ein großer Schritt für den Stellenwert des deutschen Datenschutzrechts für Verbraucher.

Urteil vom 30.04.2013 Az.: 15 O 92/12 im Einzelnen

Verbraucherzentrale Bundesverband gegen Apple – es ging um Klauseln bezüglich der Datenerhebung, die in Deutschland nach dem Bundesdatenschutzgesetz nur mit Einwilligung des Betroffenen erfolgen darf, es ging auch um die Weitergabe von Daten an Dritte zu Werbezwecken. Apple hatte in seinen AGB eine Klausel, in der sich der Verbraucher damit einverstanden erklärt, dass Apple die Daten seiner Kontakte erheben darf – also Name, Anschrift, Email, Telefonnummer der Freunde! Das LG Berlin sah hierin eine “Einwilligung zulasten Dritter”, die das BDSG gar nicht kennt – diese Klausel ist daher nicht mit deutschem Recht vereinbar. Zum Glück nicht. Die Betroffenen konnten ja gar nicht einwilligen! Weiter wollte sich Apple das Recht vorbehalten, die daten an “strategische Partner” weiterzuleiten, wobei unklar blieb, um wen es sich überhaupt dabei handelt. Hierin sah das LG Berlin eine Überschreitung des für die Vertragserfüllung erforderliche Maß der Datenverarbeitung. Hierzu das LG Berlin wörtlich:

“Die Klausel gibt keinen Aufschluss darüber, an welche konkreten Institutionen die Daten weitergegeben werden sollen. Sie geht damit eindeutig über den Bereich der Vertragserfüllung (§ 28 Abs. 1 Nr. 1 BDSG) hinaus. Sie bezieht sich auf Nutzungsdaten, beispielsweise des Telekommunikationsanbieters. Sie erlaubt insofern einen Datenaustausch und damit die Nutzung der Beklagten von Daten im Anwendungsbereich der §§ 91 ff. TKG. Nach § 94 Nr. 1 TKG muss die in diesem Zusammenhang erteilte Einwilligung jedoch “eindeutig” erteilt werden. Des weiteren bedarf es einer Protokollierung.”

Verbraucherzentrale Bundesverband und das LG Berlin stärken unsere Rechte

Vielfach wird das deutsche Datenschutzrecht im Ausland belächelt – es sei ein strenges, aber wirkungsloses Rechtssystem. Allerdings sieht man im vorliegenden Fall, dass es tatsächlich etwas bewegen kann – alle 15 beanstandeten Klauseln sind also unwirksam und müssen neu überarbeitet werden, und zwar angepasst ans BDSG. Da hilft auch die Größe von Apple nicht weiter – es muss nachgebessert werden dank der vzbv und des LG Berlin Urteil vom 30.04.2013 Az.: 15 O 92/12.

Und bei der Abmahnfreudigkeit der vzbv darf man davon ausgehen, dass jeder weitere Versuch, durch AGB die Verbraucher zu “überrumpeln” sofort geahndet werden wird.

EU-Studie berichtet über datenschutzrechtliche Probleme in der Cloud

7. Mai 2013

Ein Gutachten des “Centre D’Etudes Sur Les Conflits” und des “Centre for European Policy Studies” warnt vor den Gefahren, die das Cloud Computing bei amerikanischen Unternehmen für die europäischen Daten mit sich bringen könnte. Die Studie “Fighting cyber crime and protectin privacy in the cloud” (PDF) wurde im Auftrag des EU-Parlaments angefertigt. Fazit der Studie: durch amerikanische Cloud-Anbieter können Behörden der USA Europäer legal überwachen. Die Sicherheitsgesetze, die nach dem 11. September 2011 erlassen worden sind, machen dies möglich – mit dem Patriot Act wurden ermittelnden Behörden umfassende Rechte eingeräumt, Abhörungen durchzuführen. Die Behörden haben umfassenden Zugriff auf Daten von Google, Facebook oder Anbietern wie Dropbox.

Datenschutz Grundverordnung

Nicht ganz uninteressant dürfte diese Studie für die geplante EU Datenschutzreform werden – EU-Kommision und EU-Parlament verhandeln derzeit die Neuordnung des europäischen Datenschutzrechts. In der Studie wurde sogar vorgeschlagen, bis 2020 zu erreichen, dass 50% der EU-Dienste auf Cloud Systemen innerhalb der EU liefen, sodass der Datenverlust und die Gefahr durch die Sammelwut der amerikanischen Behörden etwas gedämpft werden würde. Aus den USA vernimmt man im Hinblick auf die geplante EU Datenschutz Grundverordnung meist nur einen eher zurückhaltenden Ton, denn die europäischen Staaten werden mit ihrem geplanten Datenschutzgesetz nicht sehr ernst genommen – Europa sei dafür bekannt, weitreichende Datenschutzgesetze zu erlassen, die aber in der Realität gar nicht greifen würden (bestes Beispiel Facebook).

Unsicherheit der deutschen Unternehmen beim Cloud Computing

Dass die datenschutzrechtlichen Unsicherheiten hierzulande dazu führen, dass viele Unternehmen vor einer umfassenden Auslagerung in die Cloud zurückschrecken, ist verständlich. Es sei aber darauf hingewiesen, dass Cloud Computing mit Anbietern innerhalb der EU datenschutzrechtlich zulässig ist. Auch das Steuerrecht lässt sich damit vereinbaren. Vor dem Hintergrund der kommenden Datenschutz Grundverordnung wollen viele Unternehmen eventuell erst abwarten, was das neue Datenschutzgesetz tatsächlich mit sich bringt. Ab dann darf damit gerechnet werden, dass auch Deutschland immer mehr auf die Cloud vertrauen wird, denn noch ist die rechtliche Unsicherheit groß.