Cloud Computing – bitte die Auftragsdatenverarbeitung beachten!

Das Thema Cloud Computing darf durchaus noch immer als ein Modethema bezeichnet werden. Wurde die Thematik vor einiger Zeit noch auf theoretische Art diskutiert, erfordern die vielen Anwendungen in der Praxis nun eine konkrete Auseinandersetzung mit den rechtlichen Fragestellungen im Zusammenhang mit der Cloud.

Gerade aus datenschutzrechtlicher Sicht bietet das Cloud Computing viele Aspekte die beachtet werden müssen, um den datenschutzrechtlichen Anforderungen gerecht zu werden. Geschäftsgeheimnisse übermitteln die wenigsten Unternehmer gerne in die Cloud, bei der Übermittlung personenbezogenen Daten scheint das Bewusstsein mitunter weniger geschärft. Die aktuellen Mitteilungen über die Überwachungsmaßnahmen von Geheimdiensten bieten Anlass, noch einmal wohl das Kernelement für datenschutzrechtskonformes Cloud Computing zu behandeln: die Auftragsdatenverarbeitung.

Nachfolgend soll von einer Situation ausgegangen werden, in welcher die datenschutzrechtlich verantwortliche Stelle personenbezogene Daten in einer Cloud verarbeiten lässt. Gemäß § 3 Abs. 4 BDSG werden die personenbezogenen Daten demnach gespeichert, verändert, übermittelt, gesperrt oder gelöscht.

Räumliche Bestimmung der Cloud

Die verantwortliche Stelle muss zunächst den räumlichen Geltungsbereich bestimmen, sprich auf welchen Servern seine Daten verarbeitet werden können. Dies sind die Anknüpfungspunkte, um den Ort der Datenverarbeitung bestimmen zu können. Aus europäischer Sicht ist dies deshalb so wichtig, weil gemäß der so genannten Datenschutzrichtlinie 95/46/EG innerhalb der Europäischen Union sowie des Europäischen Wirtschaftsraumes (Island, Norwegen, Lichtenstein) ein angemessenes Datenschutzniveau vermutet wird. Kann die verantwortliche Stelle also sicher sein, dass der Diensteanbieter die Datenverarbeitung ausschließlich in diesem räumlichen Geltungsbereich durchführt, dann greift zu seinen Gunsten diese gesetzliche Vermutung.

Die verantwortliche Stelle darf sich jedoch auch im Lichte dieses Schutzniveaus nicht zurücklehnen, sondern muss eine so genannte Auftragsdatenverarbeitung mit dem Diensteanbieter abschließen. Dies ist in aller Regel ein datenschutzrechtlicher Vertrag, welcher sich auf einen Leistungsvertrag bezieht. Gemäß § 11 Abs. 1 BDSG hat die verantwortliche Stelle, die personenbezogene Daten im Auftrag verarbeiten lässt, den Auftraggeber für die Einhaltung der datenschutzrechtlichen Vorschriften vertraglich zu verpflichten. Diese Verpflichtung besteht im Übrigen gemäß § 11 Abs. 5 BDSG auch, wenn der Auftragnehmer zwar keine personenbezogenen Daten verarbeitet, aber die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. Wann genau eine Auftragsdatenverarbeitung vorliegt, kann im Einzelfall unklar sein. Im Lichte der weiten Verpflichtung zur Auftragsdatenverarbeitung empfiehlt es sich daher lieber eine zu viel als eine zu wenig abzuschließen.

Der Auftraggeber hat als weisungsbefugte Stelle sicherzustellen, dass er als „Herr der Daten“ entsprechende Kontrollrechte dem Cloud-Anbieter gegenüber (Auftragnehmer) sich vertraglich einräumen lässt. Nur wenn der Auftraggeber wirksame Kontrollrechte hat und diese auch ausgeübt werden, ist es datenschutzrechtlich gerechtfertigt, dass er Daten im Auftrag, also streng genommen außerhalb seines Verantwortungsbereiches, verarbeiten lässt.

Hierbei sind einige Punkte besonders zu beachten, welche das Gesetz in § 11 Abs. 2 BDSG  in Verbindung mit der Anlage zu § 9 BDSG definiere: Es sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind,

1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),

2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),

3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),

4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),

5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),

6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),

7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),

8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren sein

Die Praxis als Datenschutzbeauftragter zeigt, dass insbesondere Auftragsdatenverarbeitung mit US-amerikanischen Unternehmen sehr schwierig erscheinen. Hierbei gilt sowohl der Grundsatz, dass die größer das amerikanische Unternehmen ist, desto kürzer ist die Absage, eine Auftragsdatenverarbeitung schriftlich abzuschließen. Das Bundesdatenschutzgesetz oder die Datenschutzrichtlinie unterscheiden jedoch nicht, wie bekannt oder marktmächtig ein Auftragnehmer ist. Die verantwortliche Stelle hat im Zweifel für Verstöße dann einzustehen, wenn sie Ihre Kontrollpflicht nicht wirksam erfüllt.

 
1 Star2 Stars3 Stars4 Stars5 Stars 1 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*