Cloud Computing ist seit geraumer Zeit in aller Munde – und wird fraglos in den kommenden Monaten und Jahren an Bedeutung zunehmen. Bereits in Kürze wird es so verbreitet sein, dass es nicht mehr als etwas „Besonderes“ oder Neues wahrgenommen wird, sondern Bestandteil der gewohnten, allgegenwärtigen Datenverarbeitung ist. Nachfolgend wird das Cloud Computing unter datenschutzrechtlichen Gesichtspunkten betrachtet.
Allgemeines
Beim Cloud Computing handelt es sich datenschutzrechtlich dem Grunde nach um Auftragsdatenverarbeitung. Allerdings ist Cloud Computing aus dem Grunde komplexer als die „herkömmliche“ Auftragsdatenverarbeitung, als hier mehrere Dienstleister beteiligt sind und diese, je nach Kapazität, wechselseitig Auftragsdatenverarbeitung betreiben. Die verantwortliche Stelle weiß also im Zweifel nicht, welcher seiner Auftragnehmer gerade welche Verarbeitungsprozesse wahrnimmt. Das Charakteristische ist hierbei also die im Zweifel häufig wechselnde Tätigkeit mehrerer beteiligter Dienstleister je nach deren jeweils vorhandener Leistungsfähigkeit bzw. -eignung.
Dieses Prinzip wechselnder „Zuständigkeiten“ widerspricht der rechtlichen Konstruktion im Datenschutzrecht vollständig: Diese ist bisher rein zweiseitig aufgebaut, d.h. mit einer verantwortlichen Stelle und EINEM Auftragnehmer, ggfls. mit einem vertraglich benannten Sub-Auftragnehmer.
Aber nicht genug damit: Hinzu kommt, dass das Cloud Computing mittlerweile ein globales Phänomen ist, d.h. Auftragnehmer – auch von deutschen Unternehmen – nicht mehr nur in Deutschland oder der EU sitzen, sondern in den USA, in Indien, Südamerika etc. Dies erschwert die datenschutzrechtliche Betrachtung zusätzlich, denn deutsches und europäisches Datenschutzrecht verfolgen bisher primär den Ansatz, dass die Datenverarbeitung in Deutschland oder zumindest einem EU-Land stattfindet. Globale Datenverarbeitungsprozesse waren Mitte der Neunziger Jahre, als die Europäische Datenschutzrichtlinie entwickelt und verabschiedet wurde, in diesem heutigen Maße nicht vorstellbar. Das Recht hinkt also wieder einmal der Technik hinterher. Gleichwohl muss man zurzeit noch mit den gegebenen rechtlichen Rahmenbedingungen leben und versuchen, die Sachverhalte damit in den Griff zu bekommen.
Die datenschutzrechtlichen Rahmenbedingungen
Aus datenschutzrechtlicher Sicht sind im Wesentlichen zwei Besonderheiten des Cloud Computing zu betrachten: Zum einen die wechselnde Verteilung der Datenverarbeitungen auf mehrere Auftragnehmer bzw. die Pflichten des Auftragnehmers gegenüber der verantwortlichen Stelle (wechselnde Zuständigkeiten).
Zum anderen die Tatsache, dass eine Auftragsdatenverarbeitung gem. § 3 Abs. 8 S. 3 BDSG nur im EU-Raum privilegiert ist, d.h. nur soweit ein Dienstleister mit Sitz in der EU eine Datenverarbeitung im Auftrag vornimmt, kann dies unter den Voraussetzungen bzw. im Rahmen des § 11 BDSG erfolgen – wird ein Dienstleister im Nicht-EU-Ausland beauftragt, bedarf es zusätzlich zu weiteren Voraussetzungen einer rechtlichen Übermittlungsbefugnis. Hier stellt das deutsche und auch das europäische Datenschutzrecht also zusätzliche Hürden auf, um den vermeintlich geringeren Schutz der Daten in Staaten „ohne angemessenes Datenschutzniveau“ zu kompensieren.
Wechselnde Zuständigkeiten
Das europäische und deutsche Datenschutzrecht kennt im Bereich der Auftragsdatenverarbeitung bisher nur die klassische bilaterale Aufgabenverteilung: Auf der einen Seite die datenschutzrechtlich verantwortliche Stelle, auf der anderen Seite den zu bestimmten Pflichten vertraglich gebundenen Auftragnehmer. Dieses Szenario wird in vielen Fällen noch ergänzt um – meist bei Vertragsschluss bekannte – Subauftragnehmer, die in der Regel auf die Pflichten aus dem Primärvertrag verpflichtet werden, gegenüber der verantwortlichen Stelle aber datenschutzrechtlich nicht greifbar sind. Die vom Auftragnehmer zu übernehmenden Datenverarbeitungen sind, wenn der Vertrag die Vorgaben des § 11 BDSG einhält, konkret beschrieben, so dass im Falle von Störungen oder Missbräuchen Konsequenzen vertraglich geregelt werden können. Die verantwortliche Stelle ist zwar unmittelbar datenschutzrechtlich verantwortlich, kann aber regelmäßig Rückgriff gegenüber dem Auftragnehmer nehmen.
Das Cloud Computing bricht dieses Modell faktisch insoweit auf, als die einzelnen Verarbeitungsvorgänge gerade nicht auf einen Auftragnehmer oder dessen Subauftragnehmer festgelegt sind, sondern je nach Verfügbarkeit, Rechenleistung oder auch – bei globaler Verteilung der Auftragnehmer – nach den Geschäftszeiten der jeweiligen Zeitzone (follow the sun-Prinzip) vom jeweils bestgeeigneten Dienstleister übernommen werden. Dies macht nicht nur die „Nachverfolgung“ der jeweils tätigen Akteure und deren Handeln schwierig, sondern auch die vertragliche Konstruktion: Wer ist z.B. für welche technisch-organisatorischen Sicherheitsmaßnahmen verantwortlich, wenn ein Auftragnehmer (ggfls. mit Rechenzentren an drei global verteilten Standorten) das Hosting der Anwendung, ein anderer den Betrieb der Datenbanken, ein dritter das Housing der Server übernimmt (wobei diese klare Verteilung der Aufgaben noch ein einfacher Fall wäre)?
Die Antwort kann hier nur in entsprechend detaillierten Verträgen liegen. Ausgangspunkt ist hierfür § 11 BDSG – allerdings reichen diese Vorgaben, trotz ihrer weitreichenden gesetzlichen Detailliertheit, aufgrund der dargestellten Besonderheiten des Cloud Computing nicht aus. Vielmehr ist der Vertrag zur Auftragsdatenverarbeitung um folgende Punkte zu ergänzen:
- eine vollständige Aufzählung der Dienstleister mit detaillierten Informationen zum Sitz des jeweiligen Unternehmens
- die Festlegung eines verantwortlichen Auftragnehmers
- die Vorgabe, dass die Einbeziehung von Sub-Auftragnehmern nur unter Weiter-Verpflichtung derer auf die Pflichten des Hauptvertrages erfolgen kann
- eine Erweiterung der Kontrollrechte bzw. der Mitwirkungspflichten der Beteiligten: Soweit die eingeräumten Kontrollrechte gegenüber dem verantwortlichen Auftragnehmer ins Leere laufen muss dies kompensiert werden mit der Pflicht, entsprechende Informationen von den weiteren Dienstleistern einzuholen
- eine detaillierte Beschreibung der technisch-organisatorischen Sicherheitsmaßnahmen der beteiligten Anbieter einschließlich einer örtlichen Nennung der Rechenzentren bzw. Serverstandorte; hierbei insbesondere auch eine genaue Beschreibung, wie das Trennungsgebot durch die Auftragnehmer eingehalten wird
- erweiterte Pflichten zur Offenlegung von Datenschutzpannen, hierbei können auch ggfls. Vertragsstrafen vereinbart werden
- soweit möglich, kann darüber hinaus eine Beschränkung der Datenverarbeitung auf Serverstandorte innerhalb der EU vereinbart werden, diverse Cloud-Anbieter haben derartige Möglichkeiten aufgrund der Kenntnis des Europäischen Datenschutzrechts geschaffen.
Cloud Computing durch Auftragnehmer außerhalb der EU
Werden also Dienstleister innerhalb der EU eingesetzt, können die Besonderheiten des Cloud Computing damit vertraglich angemessen „eingefangen“ werden. Was aber, wenn die zu beauftragenden Dienstleister ihre Standorte in Ländern ohne „angemessenes Datenschutzniveau“ haben, also global arbeiten? Dann stellt sich, wie eingangs angesprochen, zusätzlich das Problem, dass eine Datenverarbeitung durch diese Dienstleister aufgrund des § 3 Abs. 8 S. 3 BDSG gesetzlich nicht mehr als Auftragsdatenverarbeitung gewertet werden kann – mit der Folge, dass es rechtlich einer Übermittlungsbefugnis bedarf (vgl. § 3 Abs. 4 Nr. 3 i.V.m. § 3 Abs. 8 S. 2 i.V.m. § 4 Abs. 1 BDSG).
Als Rechtsgrund für eine Übermittlung kommt nun § 28 Abs. 1 S. 1 Nr. 2 BDSG in Betracht: Hiernach ist eine Übermittlung von Daten (an Dritte) zulässig, soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt. Dass seitens der verantwortlichen Stelle der Einsatz von Cloud-Dienstleistern ein berechtigtes Interesse erfüllt, da diese Maßnahme in aller Regel eine Kostenersparnis gegenüber bisherigen Datenverarbeitungsmodellen darstellt oder eine schlankere und damit schnellere Abwicklung von Geschäftsprozessen, steht außer Frage.
Wiegt aber dieses Interesse in jedem Fall schwerer als das (in der Regel vermutete) Interesse der Betroffenen daran, dass ihre personenbezogenen Daten nicht global verarbeitet werden?
Mangels konkret belegbarer Aussagen von Betroffenen zu deren Interessen ist es sicherlich zulässig, ihnen die allgemeinen datenschutzrechtlichen Sicherheitsziele zu unterstellen, nämlich die Sicherstellung der Authentizität, Integrität, Vertraulichkeit und Verfügbarkeit der (personenbezogenen) Daten. Dies sind in aller Regel aber gleichzeitig auch Interessen der verantwortlichen Stelle, so dass sich diese – jedenfalls in den meisten Fällen – überhaupt nicht widersprechen. Es lässt sich nicht von der Hand weisen, dass das Kosteninteresse der verantwortlichen Stelle (und ggfls. auch weitere Interessen, z.B. eine schnellere oder permanente Verfügbarkeit der Daten) aus ihrer Sicht ggfls. höheres Gewicht haben als die genannten Sicherheitsziele. Gleichwohl schadet es auch der verantwortlichen Stelle zumindest mittelbar, wenn die genannten Maßnahmen von Seiten der Dienstleister mangelhaft umgesetzt werden.
Im Rahmen der Abwägung findet zudem auch der Aspekt Berücksichtigung, dass Cloud-Anbieter sich stets auf europäische Datenschutzstandards zu Authentizität, Integrität, Vertraulichkeit und Verfügbarkeit verpflichten müssen, sei es per Standardvertrag, Safe-Harbour-Abkommen oder Konzernrichtlinien.
Vor diesem Hintergrund kann als Rechtsgrund für die Übermittlung von personen-bezogenen Daten an Dienstleister außerhalb der EU in vielen Fällen § 28 Abs. 1 S. 1 Nr. 2 BDSG herangezogen werden, ausgenommen hiervon dürften Konstellationen sein, in denen die Dienstleister bereits auf den ersten Blick – sei es mangels aussagefähiger Dokumentation der technisch-organisatorischen Sicherheitsmaß-nahmen oder aus sonstigen offensichtlichen Gründen – nicht seriös erscheinen oder Sachverhalte, in denen sich bereits aus der Sensibilität der Daten (Gesundheitsdaten, politische Einstellungen etc.) ein überwiegendes Interesse der Betroffenen ergibt.
Ergänzt werden müssen solche Vertragsverhältnisse – wie stets in Konstellationen mit Nicht-EU-Auslandsberührung, natürlich um den zusätzlichen Abschluss der EU-Standard-Vertragsklauseln, da der „Mangel“ des nicht angemessenen Daten-schutzniveaus hiermit entsprechend kompensiert werden muss. Es bedarf bei der datenschutzgerechten Lösung des Cloud Computing somit des Abschlusses zweier Verträge, zum einen eines erweiterten Vertrages zur Auftragsdatenverarbeitung (s.o.), zum anderen der EU-Standard-Vertragsklauseln.
Fazit
Die datenschutzgerechte Nutzung von Cloud-Diensten ist machbar, sowohl im EU-Ausland, wie auch im Nicht-EU-Ausland. Je nach Sitz der Dienstleister ist entweder nur ein „erweiterter“ § 11-Vertrag, oder aber zusätzlich der Abschluss eines EU-Standard-Vertrages erforderlich.