Bieten Cloud-Dienste aus Deutschland mehr Rechtssicherheit und Datenschutz?

Oliver Schonschek, IT-Fachjournalist und IT-Analyst in Bad Ems

Nicht nur bei Lebensmitteln achten Kunden zunehmend auf die regionale Herkunft. In einer von der Deutschen Telekom unterstützten Umfrage gaben 78 Prozent der befragten Unternehmen an, dass es ihnen äußerst wichtig oder sehr wichtig sei, dass die Verarbeitung ihrer Daten im Geltungsbereich des deutschen Datenschutzrechts erfolgt.

23 Prozent der befragten Unternehmen wissen jedoch gar nicht, wo ihre Daten verarbeitet werden, wenn sie einen Dienstleister dafür nutzen. Gerade bei Cloud Computing herrscht Unwissen darüber, wo sich die eigenen Daten in der Wolke befinden. Das ist datenschutzrechtlich bedenklich. So fordern die obersten Datenschutzaufsichtsbehörden für den nicht-öffentlichen Bereich in Deutschland (sogenannter Düsseldorfer Kreis), dass es zu einer datenschutzkonformen Gestaltung des Cloud Computing gehört, dass der Nutzer genaue Informationen über den Ort der Datenverarbeitung und einen möglichen Ortswechsel des Cloud-Betreibers erhält.

Made in Germany bei Clouds

Initiativen wie Cloud Services made in Germany weisen aktiv auf den Standortvorteil Deutschland hin. Unternehmen, die sich als Cloud-Anbieter dieser Initiative anschließen wollen, müssen insbesondere in Deutschland gegründet sein und ihren Hauptsitz dort haben, Verträge nach deutschem Recht anbieten, einen Gerichtsstand für alle rechtlichen Angelegenheiten in Deutschland vereinbaren und einen lokal ansässigen, deutschsprachigen Support anbieten.

EU-Recht steckt den Rahmen

Auch wenn ein deutschsprachiger Support und ein Gerichtsstand in Deutschland zweifellos organisatorische Vorteile haben, aus Sicht des Datenschutzes ist nicht nur das Bundesdatenschutzgesetz (BDSG) relevant, sondern auch die EU-Datenschutzrichtlinie (Richtlinie 95/46/EG). Innerhalb des Europäischen Wirtschaftsraumes (EWR) kann von einem dem deutschen Niveau entsprechendem Datenschutz ausgegangen werden, wie auch die Orientierungshilfe Cloud Computing der Aufsichtsbehörden für den Datenschutz betont. Datenschutzrechtlich ist es also unerheblich, ob der Cloud-Betreiber in Deutschland oder im EU/EWR-Raum die Daten verarbeitet.

Auftragsdatenverarbeitung oder Datenübermittlung

Für eine datenschutzrechtliche Bewertung ist aber entscheidend, ob sich der Serverstandort innerhalb oder außerhalb des EU/EWR-Raumes befindet. In Deutschland und dem restlichen EU/EWR-Raum sind bei Cloud Computing insbesondere die Vorgaben bei Auftragsdatenverarbeitung zu beachten. Werden die Cloud-Dienste außerhalb des EU/EWR-Raumes (Drittstaaten) erbracht, also zum Beispiel in den USA, so müssen zusätzlich die Beschränkungen zur sogenannten Datenübermittlung berücksichtigt werden.

So muss für Cloud Computing in Drittstaaten zudem sichergestellt sein, dass ein angemessenes Datenschutzniveau vorliegt bzw. von der zuständigen Datenschutzaufsichtsbehörde die vertraglichen Garantien des Cloud-Betreibers hinsichtlich des Datenschutzes anerkannt sind. Juristen empfehlen hier insbesondere, für den Cloud-Vertrag die sogenannten EU-Standard-Vertragsklauseln, Garantien durch Vertragsklauseln oder verbindliche Unternehmensregeln, sogenannte Binding Corporate Rules (BCR), anzuwenden.

Selbstzertifizierung bei Safe Harbor

Die Vereinbarung Safe Harbor zwischen EU und USA, die als Basis der Übermittlung personenbezogener Daten für die Nutzung von Cloud-Diensten in den USA dienen kann, wird von Datenschützern unter Umständen nicht als ausreichend angesehen: Solange die Selbstverpflichtung der US-amerikanischen Unternehmen für die Teilnahme an Safe Harbor nicht durch US-amerikanische und europäische Kontrollbehörden flächendeckend geprüft werden kann, bleibe eine Prüfpflicht bei dem Auftraggeber. Der Cloud-Nutzer muss sich zum Beispiel vor der Datenübermittlung in die US-amerikanische Cloud davon überzeugen, dass der betreffende Cloud-Anbieter aktuell in dem Safe Harbor-Verzeichnis geführt wird, so ein Beschluss der Aufsichtsbehörden für den Datenschutz.

Patriot Act und staatliche Zugriffe

Die Studie "Fighting cyber crime and protecting privacy in the cloud" des Europäischen Parlamentes weist unter anderem darauf hin, dass US-amerikanische Gesetze wie der FISA Amendments Act und der USA PATRIOT Act dazu führen können, dass auch auf Cloud-Daten, die von EU-Bürgern stammen, durch US-amerikanische Behörden zugegriffen werden könnte. Grundlegend für die Anwendung des PATRIOT Acts ist der Sitz der Muttergesellschaft in den USA. In diesem Fall werden auch Zugriffsrechte geltend gemacht für Tochterunternehmen mit Sitz in Europa.

Allerdings haben auch in der EU die Ermittlungsbehörden unter bestimmten Voraussetzungen Zugriffsrechte auf Cloud-Daten, wie zum Beispiel die Studie "A Global Reality: Governmental Access to Data in the Cloud" erläutert. Alleine die Standortgarantie Deutschland oder EU/EWR-Raum kann also staatliche Zugriffe auf Cloud-Daten nicht ausschließen.

Datenschutzniveau trotzdem entscheidend

Die generelle Möglichkeit staatlicher Zugriffe auf Clouds ist allerdings kein Grund, auf ein angemessenes Datenschutzniveau bei dem Cloud-Anbieter der Wahl zu verzichten. Vielmehr sollten Cloud-Nutzer alles dafür tun, das Datenschutzniveau so hoch wie möglich zu halten. Dazu gehört eine Kontrolle der Auftragsdatenverarbeitung in der Cloud nach Bundesdatenschutzgesetz bei deutschen Cloud-Betreibern bzw. eine Überprüfung der Safe-Harbor-Zertifizierung bei US-amerikanischen Cloud-Anbietern. Nicht zuletzt gehört dazu auch eine Verschlüsselung der Cloud-Daten durch den Cloud-Nutzer selbst. Projekte wie Sealed Cloud untersuchen zurzeit, wie eine Verschlüsselung durch den Nutzer mit den staatlichen Zugriffsrechten auf Cloud-Daten vereinbart werden kann.

Es zeigt sich, dass die Standortfrage im Cloud Computing eine große Rolle spielt, für sich alleine genommen aber den Datenschutz nicht garantieren kann. Vielmehr sind Vertragsgestaltung mit deutschen, europäischen oder nicht-europäischen Cloud-Betreibern, eine Kontrolle des Cloud-Betreibers durch den Nutzer sowie technische Maßnahmen wie die Verschlüsselung der Cloud-Daten in jedem Fall erforderlich.

Sehen Sie den nächsten Artikel in diesem "Essential Guide": Rechtliche Vorschriften bei kryptografischen Systemen berücksichtigen or sehen Sie den kompletten Guide: Notfall-Management mit Business Continuity und Disaster Recovery