Die Public Cloud und der Datenschutz – verträgt sich das?

Was ist die „Public Cloud“? – eine grobe Übersicht:

Wer seine Daten oder seine Anwenderprogramme nicht mehr innerhalb des eigenen Netzwerkes und auf eigenen Datenspeichern verwaltet, sondern die Daten oder auch Software über ein externes Unternehmen auslagert und verwaltet, begibt sich in die Public Cloud. Die Daten werden – wie beispielsweise beim Webhosting – in einer virtuellen Datenwolke an normalerweise nicht näher bekannten Serverstandorten zusammen mit Daten anderer Kunden verwaltet und gesichert.

Die Vorteile bestehen u.a. im Einsparen selbst vorzuhaltender und zu pflegender Datenspeicher und -verwaltungen, in der Möglichkeit zum flexiblen Abfangen von Spitzenkapazitäten der Kostenersparnis und der Organisationserleichterung. Dem stehen als Nachteile insbesondere die fehlende Einflußmöglichkeit auf den Weg der Datenverwaltung sowie die Sicherung und der Schutz der Daten gegenüber.

Hier wollen wir uns mit dem Datenschutz befassen:

Das deutsche Datenschutzrecht enthält diverse Vorgaben zum Erfassen, Speichern und Verarbeiten von Daten. § 4b BDSG bestimmt u.a. die Grenzen für die Übermittelung von Daten an Stellen außerhalb der EU, der EWG und an Organe und Einrichtungen der EG. Für die Übermittlung der Daten liegt die Verantwortlichkeit und die Erfüllung der gesetzlichen Voraussetzungen immer bei der „übermittelnden Stelle“ , also bei demjenigen, der die Daten an die Cloud übermittelt.

§ 4b BDSG schreibt u.a. vor, daß bei der Übermittlung von personenbezogenen Daten an die eben genannten Stellen diese Stellen das angemessene Datenschutzniveau einzuhalten haben. Was „angemessen“ ist, definiert das Gesetz nur recht abstrakt. Jedenfalls fordert das angemessene Datenschutzniveau, daß der Empfänger die Daten nicht ohne vorherige Einwilligung der Person, der die personenbezogenen Daten zuzuordnen sind, an Dritte weitergibt oder sonstwie verwendet.

Hier liegt eines der Probleme der Cloud:

Die Server, die die Daten der Cloud verwalten, stehen in der Regel nicht innerhalb Deutschlands und werden in der Regel auch nicht ausschließlich von deutschen Unternehmen betrieben und verwaltet.

Steht ein solcher Server außerhalb der EU, greift dort der Datenschutzstandard der EU üblicherweise nicht. Im Gegenteil können sich nach dem Recht des Landes, in dem der Datenserver plaziert ist, Pflichten des betreibenden Unternehmens zur Weitergabe von Daten beispielsweise an öffentliche Stellen ergeben. Dasselbe gilt in den Fällen, in denen ein Unternehmen mit Hauptsitz außerhalb der EU und einem cloud-computing anbietenden Sitz in Deutschland gleichwohl dem ausländischen Datenschutzrecht unterliegt.

Gewähren diese Staaten kein ausreichend angemessenes Datenschutzniveau, wird ein Verstoß gegen deutsche Datenschutzbestimmungen vorliegen, wenn ein Unternehmen seine Daten auf einen solchen Server in die Cloud auslagert.

Hier kommt es entscheidend darauf an, was in den zugrundeliegenden Cloud-Verträgen für die Datenverwaltung und den Standort der Daten vereinbart ist. In der Mehrzahl der Fälle finden sich hierzu keine aussagekräftigen und detaillierten Regelungen, da natürlich auch der Cloud-Anbieter flexibel reagieren können möchte, wenn er seine Ressourcen anbietet.

Die Verwaltung von Daten wird insbesondere bei Unternehmen wie google oder microsoft diskutiert: google hat den Hauptsitz des Unternehmens in den USA und unterliegt damit zunächst dem amerikanischen Datenschutzrecht. Dort regeln diverse Vorschriften die Freigabe oder Übermittlung von Daten an öffentliche Stellen und Ermittlungsbehörden, was wiederum den deutschen Datenschutz widerspricht.

Hierbei hilft auch das Safe-Harbour-Abkommen nicht weiter. Nach diesem Abkommen verpflichten sich die dort zertifizierten amerikanischen Unternehmen zur Einhaltung der datenschutzrechtlichen Vorgaben der EU, auf denen auch das BDSG basiert.

Da allerdings die Zertifizierung weder überwacht noch von unabhängigen Stellen sondern durch die angemeldeten Unternehmen selbst vergeben und auch die fortlaufende Einhaltung der Datenschutzbestimmungen nicht kontrolliert wird, handelt es sich bei dem Abkommen um ein stumpfes Schwert.

Die obersten Aufsichtsbehörden für den Datenschutz haben daher bereits im April 2011 ausdrücklich festgehalten, daß derjenige, der mit einem amerikanischen Unternehmen im Bereich des Cloud-Computing zusammen arbeitet, sich nicht auf die Zusage der Einhaltung des Safe-Harbour-Abkommens oder auf die Vorlage der Zertifizierung verlassen darf, sondern darüber hinaus den Nachweis verlangen muß, daß die Vorgaben des Datenschutzes im Detail auch eingehalten und die Informationspflichten gegenüber dem von der Datenverarbeitung Betroffenen eingehalten werden. Die Prüfungswege und -ergebnisse sind zu dokumentieren und ggfs. gegenüber den deutschen Datenschutzbehörden nachzuweisen.

Ebenfalls ist es nicht ausreichend, daß google eigene Server innerhalb Deutschlands oder der EU verwaltet, da die USA unter bestimmten Voraussetzungen auch hier Zugriff auf die Daten eines amerikanischen Unternehmens nehmen kann.