Kommentar zu Datenschutz in der Cloud

Datensicherheit beginnt mit dem richtigen Vertrag

| Autor / Redakteur: Timo Schutt, Fachanwalt für IT-Recht, Kanzlei Schutt, Waetke / Elke Witmer-Goßner

Das deutsche Datenschutzgesetz lässt sich auch auf Cloud-Services anwenden und fordert entsprechend formulierte Anbieterverträge. Niet- und nagelfest geschützt sind ausgelagerte Daten und Dokumente damit aber noch lange nicht.
Das deutsche Datenschutzgesetz lässt sich auch auf Cloud-Services anwenden und fordert entsprechend formulierte Anbieterverträge. Niet- und nagelfest geschützt sind ausgelagerte Daten und Dokumente damit aber noch lange nicht. (Bild: © Helder Almeida - Fotolia)

Spätestens jetzt ist es allen bewusst geworden: Datensicherheit im eigentlichen Sinne gibt es gar nicht, da irgendein Geheimdienst immer alles mitlesen kann. Unabhängig davon aber ist das Thema Datenschutz und Datensicherheit in der Cloud, gerade für Firmen nicht zu unterschätzen.

Das Bundesdatenschutzgesetz (BDSG) gibt vor, wie mit personenbezogenen Daten zu verfahren ist. Personenbezug hat dabei jedes Datum, das sich irgendwie – und sei es auch nur unter großen Schwierigkeiten – auf eine natürliche Person zurückführen lässt. Selbst dynamisch vergebene IP-Adressen sollen nach der herrschenden Meinung unter den Juristen solche personenbezogene Daten sein.

Rechtlicher Rahmen

Sollen solche personenbezogene Daten in der Cloud gespeichert werden, gibt es ein Problem: Es wird sich dabei nämlich um eine Auftragsdatenverarbeitung handeln. In § 3 Absatz 4 BDSG steht: „Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten“. Da in der Cloud also die Daten gespeichert werden, ist es nicht von der Hand zu weisen, dass ein Dritter, also der Cloud-Anbieter, diese personenbezogen Daten im Auftrag seines Kunden, also demjenigen, der die Daten hochlädt, verarbeitet.

Dann gilt aber § 11 BDSG, der in solchen Fällen vom „Herrn der Daten“, das ist der Nutzer der Cloud, verlangt, einen schriftlichen Vertrag zu schließen, der zwingend einen vorgegebenen Katalog an bestimmten Pflichten, bis hin zu Weisungsbefugnissen und – man lese und staune – Kontrollen vor Ort vor Vertragsschluss und sodann regelmäßig während des Vertrages, enthalten muss. Von den umfangreichen Kontrollpflichten hinsichtlich der Umsetzung weitreichender Maßnahmen zur Datensicherheit (vgl. § 9 BDSG und die Anlage zu § 9 BDSG) ganz zu schweigen.

Bußgeld droht

Jeder, der mit seinem Cloud-Anbieter einen solchen Vertrag geschlossen und sich vorab vor Ort bei diesem umgesehen und das auch dokumentiert hat, muss jetzt nicht weiter lesen. Für alle anderen gilt: Sie haben ein Problem. Sie haben damit nämlich eine Ordnungswidrigkeit begangen, die Sie eine Geldbuße von bis zu 50.000 Euro kosten kann (§ 43 Absatz 1 Nr. 2b BDSG). Und auch die Gefahr einer Abmahnung ist nicht unerheblich, nachdem die Datenschutzregelungen teilweise auch als abmahnfähig angesehen werden.

Dazu kommt, dass die Daten in der Regel auf irgendeinem US-amerikanischen Server liegen und dort bei weitem nicht das deutsche Datenschutzniveau herrscht. Ganz im Gegenteil kann durch den Patriot Act zum Beispiel eine staatliche Behörde in den USA relativ simpel alle Daten einsehen. Mit Datenschutz, wie wir ihn verstehen, hat das alles natürlich wenig bis gar nichts zu tun.

Ohne Vertrag keine Cloud

Die Speicherung personenbezogener Daten in der Cloud ist nur dann eine gute Idee, wenn mit dem Anbieter zuvor ein Vertrag zur Auftragsdatenverarbeitung nach § 11 BDSG geschlossen wurde, er zumindest durch handfeste Nachweise bewiesen hat, dass er dem deutschen Datenschutzniveau nachkommt und diese Nachweise regelmäßig wiederholt. Am besten sollte ein deutscher Cloud-Anbieter oder zumindest einer aus dem EU-Raum gewählt werden, der die Daten auch nur in Deutschland bzw. der EU speichert und dem deutschen bzw. europäischen Datenschutzrecht unterliegt.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42231557 / Recht und Datenschutz)