Rechtsfragen in der Cloud

Juristische Hürden bei Cloud-Collaboration-Lösungen

01.08.2013
Von    und  
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Christian Kuss ist Rechtsanwalt der Luther Rechtsanwaltsgesellschaft mbH in Köln. Sein Tätigkeitsschwerpunkt liegt auf IT- und Datenschutzrecht.

Auftragsdatenverarbeitung

Das Beispielunternehmen muss den Umgang mit personenbezogenen Daten auf einen Erlaubnistatbestand stützen können. Zwar kommt dafür grundsätzlich eine Einwilligung in Betracht. Praktisch sprechen jedoch einige Gründe gegen die Einwilligung als Erlaubnistatbestand: Das Maschinenbauunternehmen müsste von seinen Kunden, Lieferanten und Mitarbeitern eine Einwilligung abfragen, was einen hohen Dokumentationsaufwand bedeutet. Zusätzlich ist es problematisch, ob die Einwilligung eines Mitarbeiters aufgrund seiner sozialen Abhängigkeit vom Arbeitgeber überhaupt wirksam ist. Schließlich kann eine Einwilligung jederzeit widerrufen werden.

Es empfiehlt sich deshalb, auf andere Erlaubnistatbestände auszuweichen. So sollte der Abschluss eines Auftragsdatenverarbeitungsvertrages für den Einsatz einer Collaboration-Lösung vorgezogen werden. Ein Grund: Beim Vorliegen eines solchen Vertrages muss nicht jede Übermittlung von personenbezogenen Daten individuell auf ihre Zulässigkeit überprüft werden. Die Auftragsdatenverarbeitung führt dazu, dass die Datenverarbeitung des Providers dem Maschinenbauunternehmen zugerechnet wird.

Grundlage der Auftragsdatenverarbeitung ist ein Vertrag zwischen dem Maschinenbauunternehmen und dem Provider, in dem sich der Provider bezüglich der Datenverarbeitung den Weisungen des Unternehmens unterwirft. Der Inhalt des Vertrages ist vom Gesetz vorgeschrieben. Neben dem Weisungsrecht muss der Vertrag unter anderem Regelungen über die Art der Daten, die umzusetzenden technischen Datenschutzmaßnahmen und zum Einsatz in Subunternehmern enthalten. Schließlich ist das Unternehmen verpflichtet, die Umsetzung der technischen Datenschutzmaßnahmen durch Kontrollen beim Provider sicherzustellen.

Probleme in der Praxis

In der Praxis stößt dies häufig auf Probleme. Zum einen möchte der Provider seinen Kunden keinen Zugang zu den Rechenzentren gewähren. In diesem Fall kann die Kontrolle durch die Vorlage aussagekräftiger Zertifikate neutraler Dritter substituiert werden, die die Umsetzung der technischen Datenschutzmaßnahmen nachweisen. Zum anderen legt der Cloud-Provider die Infrastruktur, insbesondere die Standorte seiner Rechenzentren, und die Datenflüsse nicht offen. Das Unternehmen steht vor dem Problem, dass es anhand der Zertifikate nicht sicherstellen kann, ob diese tatsächlich alle relevanten Orte, wie zum Beispiel Service-Center, die Zugriff auf die Daten haben, erfassen. Insoweit hängt der rechtskonforme Einsatz von der Kooperationsbereitschaft des Providers ab.

Ein weiteres Problem kommt hinzu, wenn personenbezogene Daten an Orte außerhalb der EU oder des Europäischen Wirtschaftsraums (EWR) übermittelt werden. Durch die EU-Datenschutzrichtlinie 95/46/EG wurde in den Mitgliedsstaaten ein einheitliches Datenschutzniveau geschaffen. Deshalb können personenbezogene Daten innerhalb Europas unter den dargestellten Erlaubnistatbeständen übermittelt werden. Sitzt der Empfänger jedoch außerhalb dieser Staaten, muss ein angemessenes Datenschutzniveau durch die EU-Kommission festgestellt worden sein.

Fehlt eine solche Feststellung, muss dies durch zusätzliche Maßnahmen, wie den Abschluss der EU-Standardvertragsklauseln oder die Verpflichtung auf Safe Harbor Prinzipien, sichergestellt werden. Die Informationen, die das Maschinenbauunternehmen an die Standorte in Asien und den USA übermittelt, wären hiervon betroffen. Auf Seiten des Providers könnte dies ebenfalls eintreten, wenn dieser Subunternehmer in einem Drittland beschäftigt. In der Praxis hat sich der Abschluss der EU-Standardvertragsklauseln bewährt. Allerdings muss stets überprüft werden, ob diese für die beabsichtigte Datenverarbeitung auch geeignet sind.