Heißes Thema Datenschutz

Die Vorschriften des Datenschutzes stellen die Virtualisie-rungsbestrebungen des Cloud Computing vor hohe Anforderungen - vor allem dann, wenn personenbezogene Daten jenseits der deutschen Grenzen übertragen werden. Gemäß Paragraf 4b Absatz 2 Satz 2 BDSG setzt die Übermittlung personenbezogener Daten in einen Drittstaat voraus, dass dieser ein "angemessenes" Schutzniveau gewährleistet. Sollten die gesetzlichen Regelungen dies gewährleisten, ist noch zu fragen, ob das jeweilige Unternehmen den gesetzlichen Normen Folge leistet oder nicht.

Ergibt die Prüfung hingegen, dass diese Region kein angemessenes Schutzniveau hat, greift der Paragraf 4c BDSG ein. Dort ist eine Reihe von Ausnahmen aufgeführt, die eine Übermittlung auch an Stellen zulassen, die kein ausreichendes Datenschutzniveau gewährleisten. Werden Daten ins Ausland übertragen oder ausgelagert, obwohl die Empfangsstelle weder über ein angemessenes Datenschutzniveau verfügt noch eine Ausnahme für sich reklamieren kann, so begeht der Anbieter eine Ordnungswidrigkeit. Darüber hinaus kann sogar der Tatbestand einer Straftat nach Paragraf 44 BDSG erfüllt sein.

Die USA verfügen über kein einheitliches Datenschutzrecht. Vielmehr wurden sporadisch sektorale Datenschutzgesetze erlassen (beispielsweise der Video Protection Act). Insgesamt wird in den USA auf den "Selbstregulierungsansatz" vertraut, der sich auf eine freiwillige Selbstverpflichtungen der Unternehmen stützt. Staatliche Kontrolle findet, von Ausnahmen abgesehen, nicht statt. Im Ergebnis wird man also den USA ein angemessenes Datenschutzniveau absprechen müssen.

Das würde jedoch den transatlantischen Geschäftsverkehr nicht nur im Bereich Cloud Computing erheblich stören. Deshalb wurde ein Dialog zwischen dem amerikanischen Handelsministerium (U.S.DOC) und der EU-Kommission (Generaldirektion XV) initiiert - mit dem Ziel, einen Ausweg aus dieser Zwickmühle zu finden. Ergebnis der Bemühungen ist das "Safe Harbor"-Übereinkommen vom 27. Juli 2000.