Telefon: +49 911 1335-1335

Cloud Computing

Wolkiger Datenschutz

Die Auslagerung von Daten in externe Server ist heikel. Das gilt vor allem für die Speicherung von personen- und steuerbezogenen Daten bei ausländischen Anbietern. Von Christian Günther

Cloud-Angebote sind inzwischen sogar in der Fernsehwerbung angelangt. Neben zahlreichen kleineren Anbietern buhlen die Großen wie Google, Apple, Microsoft, Amazon und Telekom um die Gunst der privaten und gewerblichen Kunden. Versprochen werden insbesondere ein Datenzugriff von überall, Backup-Funktionen, automatische Synchronhaltung aller Geräte und Einsparungen bei der Datenhaltung. Auch wenn das verlockend klingt, sollten Unternehmer ihre Daten nie bedenkenlos in der Wolke speichern – sonst droht Ärger hinsichtlich Datenschutz- und Steuerrecht.

Das Bundesdatenschutzgesetz (BDSG) verpflichtet nämlich jeden zum verantwortungsvollen Umgang mit personenbezogenen Daten – es sei denn, die Daten werden ausschließlich für persönliche oder familiäre Zwecke gespeichert. Das Gesetz dient damit vor allem dem Grundrecht auf informationelle Selbstbestimmung, d.h. jeder Einzelne hat das Recht, über die Preisgabe und Verwendung seiner personenbezogenen Daten selbst zu bestimmen. Wenn Dritte dagegen verstoßen, drohen hohe Bußgelder, Schadensersatzklagen oder Geld- und Haftstrafen – vom Image-Schaden für das verantwortliche Unternehmen ganz zu schweigen.

Die Identifizierbarkeit der Daten ist die entscheidende Frage, wenn es um den Bezug zu Personen geht: Lässt sich mit den Daten eine Einzelperson identifizieren? Name, Alter, Herkunft, Geschlecht, Ausbildung, Familienstand, Telefonnummer, Post-, E-Mail- und IP-Adressen sind typische Beispiele für personenbezogene Daten. Aber auch Informationen zu Konsumverhalten und Kreditwürdigkeit können personenbezogen sein. Belanglose Daten gibt es laut Bundesverfassungsgericht dabei nicht. Letztlich kommt es immer darauf an, ob die Informationen den Rückschluss auf eine bestimmte natürliche Person zulassen. Politische Meinungen, religiöse Überzeugungen, ethnische Herkunft und Gewerkschaftszugehörigkeit sind Beispiele für besondere Daten, die unter noch stärkerem Schutz stehen. Indirekt betrifft das auch Daten zum Gehalt und zu beruflichen Fehlzeiten. Umgekehrt bedeutet das aber auch, dass Unternehmensdaten ohne Personenbezug keine datenschutzrechtlichen Bedenken aufwerfen. Bloße Warenlisten, Analysen, Darstellungen oder Ähnliches ohne Personenbezug unterliegen nicht dem Bundesdatenschutzgesetz (BDSG).

Nur mit gesetzlicher Erlaubnis oder persönlicher Einwilligung des Betroffenen ist es erlaubt, personenbezogene Daten zu bearbeiten. Weil sie in der Vergangenheit vielfach sorglos weitergegeben wurden, verschärfte der Gesetzgeber im Laufe der Zeit die Regeln des Datenumgangs. Denn ohne die Sicherheit, wer, wann mit welchen personenbezogenen Daten umgehen darf, ist die informationelle Selbstbestimmung nichts mehr wert. Im Mittelpunkt der Cloud-Nutzung steht daher die Frage: Wie lassen sich Datenschutz und Datenwolke vereinbaren? Cloud-Lösungen fallen gemäß dem BDSG unter die sogenannte Auftragsdatenverarbeitung, die nur bei Weisungsgebundenheit des Auftragnehmers vorliegt. Das Gesetz behandelt den Auftragnehmer (also den Cloud-Dienstleister) dabei wie eine ausgelagerte Abteilung des Auftraggebers. Das hat zur Folge, dass dieser den Cloud-Anbieter regelmäßig überwachen und letzten Endes für dessen unrechtmäßigen Umgang mit Daten gerade stehen muss.

„Goldene Regeln“

Unternehmen, die einen Vertrag mit einem Cloud-Anbieter abschließen, müssen insbesondere die Regelungen in der Anlage zu § 9 des Bundesdatenschutzgesetzes beachten. Dort werden die Grundsätze genannt, die der Datenschutz im Rahmen des Auftragsverhältnisses zu beachten hat und die als acht goldene Regeln bezeichnet werden: Unbefugter Zutritt zur Datenverarbeitungsanlage, unerlaubte Datennutzung sowie unkontrollierter Zugriff auf die Daten sind zu verhindern. Die Datenweitergabe ist so zu organisieren, dass keine Daten nach außen dringen und nachvollziehbar bleibt, an wen die Daten gelangten. Ebenso zu kontrollieren ist, wer die Daten bearbeitet hat und ob dies gemäß der Weisungen des Auftraggebers geschah. Nicht zuletzt sind auch Maßnahmen gegen Datenverlust und zur getrennten Datenverarbeitung zu treffen.

Mit dem Vertrag allein ist es allerdings nicht getan: Der Cloud-Nutzer hat sich gemäß § 11 BDSG vor Beginn der Datenverarbeitung sowie danach davon zu überzeugen, dass die technischen und organisatorischen Vorkehrungen eingehalten werden. Er muss dies schriftlich dokumentieren und den Aufsichtsbehörden auf Anforderung Auskunft erteilen. Derartige Verträge mit großen Cloud-Anbietern auszuhandeln und sie zu kontrollieren, dürfte für viele unmöglich sein. Viele Verträge ausländischer Anbieter unterwerfen sich außerdem selten deutschem Datenschutzrecht. Die Frage, wo die Daten physisch liegen, muss nach deutschem Datenschutzrecht stets beantwortbar sein. Doch dies dürfte bei vielen Cloud-Anbietern schwer fallen: Google behält sich etwa vor, Daten irgendwo auf der Welt zu speichern.

Das führt direkt zum Problem der Datenspeicherung im Ausland. Abgesehen von den Ländern Kanada, Schweiz, Argentinien, Guernsey sowie der Isle of Man existiert nach Ansicht der EU-Kommission außerhalb der EU und des EWR kein Datenschutzrecht, das dem europäischen Niveau genügen würde. Brisant wird das bei der Datenspeicherung in den USA – Heimatland insbesondere von Google, Apple, Amazon und Microsoft und vieler ihrer Rechenzentren. Grund ist der „USA Patriot Act“ zur Terrorbekämpfung, der insbesondere die Dateneinsicht ohne Richterbeschluss zulässt. Mit hiesigem Datenschutzrecht ist das unvereinbar. Zwar verpflichten sich mittlerweile viele US-Unternehmen aufgrund des zwischen der EU und den USA geschlossenen Safe-Harbor-Abkommens, europäische Datenschutzstandards einzuhalten. Aus EU-Sicht ist damit eine Übermittlung personenbezogener Daten an diese US-Unternehmen legal. Viele Fachleute zweifeln dies jedoch an und argumentieren, das Safe-Harbor-Abkommen sei nur eine freiwillige Selbstverpflichtung ohne Nachkontrolle. Und der weitergehende „Cybersecurity Act“ erlaubt sogar die effektive Aufhebung des Datenschutzes. Microsoft gibt deshalb etwa offen zu, Daten ohne Weiteres an US-Behörden preiszugeben – selbst wenn sie auf europäischen Servern liegen. Wegen eines möglichen staatlichen Maulkorb-Erlasses erfahren Betroffene eventuell nicht einmal etwas davon.

Dringend anzuraten ist daher die Wahl eines Anbieters, der dem europäischen, besser noch dem deutschen Datenschutzniveau unterliegt. Außerdem ist die intensive Suche nach einem sicheren Anbieter angesichts der drohenden Konsequenzen Pflicht. Denn auch nach der Auslagerung der Daten in die Wolke verbleibt die Verantwortung für personenbezogene Daten überwiegend beim Auftraggeber. Diese vor der Speicherung zu verschlüsseln, erscheint wenig praktikabel und bietet keinen vollkommenen Schutz gegen Datendiebstahl.

Cloud-Computing kann auch steuerrechtliche Folgen haben. Seit 2010 dürfen Steuerpflichtige gemäß § 146 Abs. 2a Abgabenordnung steuerlich relevante Daten zwar auch im Ausland speichern, dies ist allerdings nur nach vorheriger Genehmigung der Finanzbehörden und innerhalb des EU- und EWR-Gebiets erlaubt. Eine Erlaubnis darüber hinaus gibt es nur in Härtefällen. Auf eine Personenbezogenheit der Daten kommt es, anders als im Datenschutzrecht, dabei nicht an.

Autor: Christian Günther ,ist Redakteur bei der anwalt.de services AG in Nürnberg (www.anwalt.de).
 

WiM – Wirtschaft in Mittelfranken, Ausgabe 06|2012, Seite 40

 
Device Index

Alle Ansprechpartner/innen auf einen Blick