Cloud Computing wird heute als das technologische Allheilmittel angesehen, wenn es um virtualisierte Infrastrukturen, hohe Skalierbarkeit und hohe Kostenersparnis geht. Dennoch reagieren viele Unternehmen bisher sehr verhalten, Daten in die Cloud zu verlagern. Sie trauen weder Technik noch Anbietern, wenn es um den Umgang mit sensiblen Daten geht.
Tatsächlich stößt Cloud Computing an seine rechtlichen Grenzen, wenn es um personenbezogene Daten geht. Der Auftraggeber sollte daher als erstes prüfen, ob und unter welchen Voraussetzungen deren Speicherung in der Cloud erlaubt ist. Denn die Verarbeitung personenbezogener Daten unterliegt strengen datenschutzrechtlichen Vorschriften. Grundsätzlich muss die Zustimmung des Betroffenen eingeholt werden, was in der Praxis aber häufig schwer umsetzbar ist.
Auftragsdatenverarbeitung gemäß § 11 BDSG
Ist diese Voraussetzung nicht gegeben, hilft die in § 11 BDSG geregelte Auftragsdatenverarbeitung weiter. Dafür muss der Provider die personenbezogenen Daten „im Auftrag des beauftragenden Unternehmens verarbeiten. Der Auftraggeber bleibt in diesem Fall dafür verantwortlich, dass die datenschutzrechtlichen Vorschriften bei der Datenverarbeitung in der Cloud eingehalten werden. Gehen beide Geschäftspartner so vor, fungiert der Cloud Service Provider als „verlängerte Werkbank“ seines Auftraggebers; er gilt nicht als Dritter im Sinne des Bundesdatenschutzgesetzes, so dass rechtlich gesehen keine zustimmungspflichtige Übertragung der Daten erfolgt.
Allerdings kann der Auftraggeber dieses Privileg nur dann für sich in Anspruch nehmen, wenn auch die in § 11 Abs. 2 BDSG genannten Voraussetzungen erfüllt sind: Danach darf er nur einen Cloud Service Provider auswählen, der seiner Ansicht nach für die technischen und organisatorischen Maßnahmen geeignet ist. Zudem müssen die Parteien schriftlich folgende Punkte festhalten: wie und in welchem Umfang die Datenverarbeitung in der Cloud erfolgen soll, welche weiteren Pflichten den Cloud Service Provider treffen, welche Weisungs- und Kontrollrechte der Auftraggeber hat und was mit den ausgelagerten Daten zum Ende der Auftragsdatenverarbeitung geschehen soll. Muss der Auftraggeber während der gesamten Vertragslaufzeit kontrollieren, ob der Anbieter die vertraglichen Vereinbarungen auch einhält.
Datenverarbeitung außerhalb des EWR
Auch für eine gesetzeskonforme Verarbeitung personenbezogener Daten außerhalb des Europäischen Wirtschaftsraumes (EWR) gelten besondere Anforderungen. Dementsprechend dürfen Daten grundsätzlich nur in Ländern mit vergleichbarem Datenschutzniveau verarbeitet werden, und auch die übrigen aufgeführten Voraussetzungen für das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten müssen gegeben sein.
Sollen die Daten auch in Ländern verarbeitet werden, die aus Sicht der EU ein niedrigeres Datenschutzniveau aufweisen (z.B. in den USA oder in Indien), müssen weitere Maßnahmen zum Schutz der Betroffenen ergriffen werden. Die Parteien können z.B. die Standardvertragsklauseln für die Weitergabe personenbezogener Daten an Auftragsverarbeiter in Drittländern (Richtlinie 95/46/EG) verwenden. Damit verpflichtet sich der Auftragnehmer vertraglich, Maßnahmen zu ergreifen, mit denen ein aus EU-Sicht akzeptables Datenschutzniveau hergestellt wird. Diese Klauseln hat die EU aktuell um Regelungen über die Vergabe eines Unterauftrages eines Datenverarbeiters mit Sitz in einem Drittland an einen weiteren Datenverarbeiter mit Sitz in einem Drittland ergänzt. Die neue Vorschrift regelt damit z.B. die Fälle, in denen ein in Indien ansässiger Datenverarbeiter ein anderes indisches Unternehmen als Subunternehmer für die Datenverarbeitung einschaltet. Wird ein solcher Unterauftrag vergeben, muss das im EWR ansässige beauftragende Unternehmen dieser Unterbeauftragung vorher schriftlich zustimmen. Die Einführung der Unterauftragsklauseln begründet die Kommission mit dem allgemeinen „Globalisierungstrend in den Geschäftspraktiken und Gepflogenheiten bei der Datenverarbeitung“.
Ob die Nutzung von Cloud Services in Anbetracht dieser Pflichten in Frage kommt, müssen Anwender anhand ihrer individuellen Anforderungen entscheiden. Es gibt momentan sicherlich noch Bereiche, in denen aufgrund ihrer Unsicherheit und Praxisferne abzuraten ist. Andererseits lassen sich viele rechtliche Hürden mit einer entsprechenden Vertragsgestaltung auch überwinden. Da die Entscheidung für Cloud Computing Unternehmen in technisch und rechtlich fordert, sollten sie sich dem Thema schrittweise nähern, um Risiken bewusst zu begrenzen und dennoch von revolutionären Möglichkeiten zu profitieren.