Cloud vereinfacht die Arbeit und spart Geld. Und der Datenschutz?
Für Mitarbeiter von Firmen ist es praktisch, Dienstpläne oder Kundenkarteien in Google Docs oder ähnlichen Cloud-Anwendungen zu speichern. Alle Beteiligten können darauf zugreifen. Das Dokument ist überall verfügbar. Das vereinfacht die Arbeit und spart Geld. Und der Datenschutz? Schließlich geht es um personenbezogene Daten.
Der Deutsche Anwaltverein, eine berufsständische Organisation mit 68.000 Mitgliedern, hält Cloud Computing in Unternehmen für rechtlich problematisch. In einem Dossier für die EU-Kommission vertritt er die Ansicht, Cloud Computing sei mit Dienstleistern außerhalb der EU nicht möglich – jedenfalls so lange, wie es kein Übereinkommen über datenschutzrechtliche Mindeststandards gebe.
Der Fachanwalt für Internet-Recht, Christian Solmecke, sieht die größte Hürde für das Cloud Computing im geltenden deutschen Datenschutzrecht. „Für die viele Dienste sehe ich hier derzeit leider kaum eine Möglichkeit, sich rechtskonform zu verhalten“, sagt er.
Cloud Computing ist rechtlich „Auftragsdatenverarbeitung“. Ein Auftraggeber (das Unternehmen in Deutschland) speichert Daten auf dem Server des Auftragnehmers (dem Cloud-Anbieter). Wie das abzulaufen hat, regelt §11 des Bundesdatenschutzgesetzes.
Dieser Paragraph fordert einen schriftlichen Vertrag über die Modalitäten der Datenverarbeitung. Ferner müsse sich der Auftraggeber „vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen“ überzeugen. Versäumt das der gewerbliche Cloud-Nutzer, droht ein Bußgeld von bis zu 50.000 Euro.
„Ganz wichtig sind ausgefeilte Service Level Agreements. Darin muss die vertragliche Leistung ganz genau definiert werden“, sagt Solmecke. Würden Daten in die USA geliefert, müsse sichergestellt werden, dass die Safe Harbor Anforderungen erfüllt würden.
Und wie ist es um die Datenschutzrechte der Verbraucher bestellt? Es gebe „kaum eine Möglichkeit, ihre ihnen nach europäischem Recht zustehenden Datenschutzrechte geltend zu machen, jedenfalls dann, wenn der Anbieter den Service aus einem Drittland (etwa den USA) anbietet“, bloggt der Bundesdatenschutzbeauftragte Peter Schaar. Sein Fazit: „Es wäre nicht hinnehmbar, wenn personenbezogene Daten frei zwischen den Kontinenten flottieren und der Datenschutz dabei in einer Wolke verschwindet.“
„Nach geltendem Datenschutzrecht muss ich meinem Kunden eigentlich jederzeit mitteilen, wer seine Daten wie und wo verwaltet“, sagt Solmecke. Die Weitergabe von Kundendaten in eine nicht näher definierte „Wolke“ sei eines der ungelösten datenschutzrechtlichen Probleme beim Cloud Computing.
Noch kritischer wird es, wenn Daten aus der Cloud an Dritte – beispielsweise Behörden – weitergegeben werden. So sind US-Unternehmen verpflichtet, auf ihren Servern gespeicherte Daten Regierungsstellen zur Verfügung zu stellen.
Und was ist, wenn der Cloud-Anbieter pleite geht? „Ich habe zwar theoretisch einen Anspruch auf Herausgabe meiner Daten. Ist die Cloud aber einmal abgeschaltet, kann die Rechtsdurchsetzung Jahre dauern“, sagt Solmecke. Praktisch bleibe wohl nur die Möglichkeit, die Daten redundant auf verschiedene Dienste zu verteilen.
Cloud Computing und das deutsche Datenschutzrecht bewegen sich in zwei Welten. Es scheint, als stamme das Gesetz aus einer Zeit, als Daten auf Magnetbändern von Rechenzentrum zu Rechenzentrum getragen wurden. Das deutsche Datenschutzrecht sei den Anforderungen des Internetzeitalters nicht gewachsen, sagen Juristen. Das zeigt auch die aktuelle Diskussion.
Quelle/Jürgen Stüber