Datenschutz in China, Indien und USA

Vorsicht vor Clouds im Ausland

19.08.2012
Von    und Britta  Rothe
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Wie ist es um den Datenschutz in China, Indien und den USA bestellt? Mäßig bis schlecht, wenn Daten in die Cloud verlagert werden.
Foto: Mirpic, Fotolia.de

Wie sicher sind meine (personenbezogenen) Daten in der Cloud überhaupt? Wann beziehungsweise wo muss ich damit rechnen, dass ausländische Behörden auf meine Daten zugreifen? Kann ich überhaupt meinen Pflichten als in datenschutzrechtlicher Hinsicht verantwortliche Stelle in vollem Umfang nachkommen? Diese Fragen stellen sich vor allem diejenigen Unternehmen, die ihre Daten schon in die Cloud verschoben haben oder dies beabsichtigen. Dies gilt insbesondere, nachdem im Sommer 2011 nun auch "offiziell" bekannt wurde, dass beispielsweise US-Behörden nach dem so genannten Patriot Act auf Cloud-Daten europäischer Unternehmen zugreifen können.

Datenschutzrechtlicher Hintergrund

"Anwender dürfen Cloud-Services nur dann in Anspruch nehmen, wenn sie in der Lage sind, ihre Pflichten als verantwortliche Stelle in vollem Umfang wahrzunehmen und die Umsetzung der Datenschutzanforderungen und Informationssicherheitsanforderungen geprüft haben. Dies betrifft neben den Anforderungen an Vertraulichkeit, Integrität und Verfügbarkeit der Daten insbesondere die in diesem Umfeld schwierig umzusetzenden Anforderungen an Kontrollierbarkeit, Transparenz und Beeinflussbarkeit der Datenverarbeitung", lautet die offizielle Entschließung der 82. Konferenz der Datenschutzbeauftragten des Bundes und der Länder, die am 28. und 29. September 2011 in München stattfand.

Diese von den Datenschützern postulierten Anforderungen sind allerdings insbesondere dann nicht mehr einzuhalten, wenn sich Anwender für Cloud-Angebote mit internationalen Verflechtungen entscheiden, weil sie sich dann unversehens ausländischen Rechtsordnungen gegenüber sehen. Damit kann etwa die Situation entstehen, dass der Cloud-Provider ausländischen Behörden Zugriffsrechte einräumen oder Daten in unsichere Drittstaaten übermitteln muss (Übermittlungsobliegenheit).

Unsichere Drittstatten sind datenschutzrechtlich die Länder außerhalb der EU beziehungsweise des Europäischen Wirtschaftsraums (EWR; das sind die EU-Länder plus Norwegen, Island und Liechtenstein), bei denen laut EU-Kommission kein angemessenes Datenschutzniveau herrscht.