Aufsichtsbehörden geben Orientierung für die Cloud

Ende September fand in München die Konferenz der Datenschutzbeauftragten des Bundes und der Länder statt. Die von den Beteiligten veröffentlichte „Orientierungshilfe“ zum Thema „Datenschutzkonforme Gestaltung und Nutzung von Cloud-Computing“ könnte etwas Klarheit in die umstrittene Thematik bringen…

Wir wollen an dieser Stelle nur die wichtigsten juristischen Problemfelder des Wegs in die Wolke aufgreifen. Wie heikel die juristische Situation ist, wurde bereits in einem Blog-Eintrag erörtert. Für Interessierte ist auf jeden Fall die Lektüre des veröffentlichten Papiers der Konferenz Pflicht, die sich an „Entscheidungsträger, betriebliche und behördliche Datenschutzbeauftragte sowie IT-Verantwortliche“ richtet.

Begriffsklärungen
Ein erster wichtiger Punkt im Rahmen der Cloud-Diskussion ist die Definition von „personenbezogenen Daten“. Zitat aus dem Papier: „Personenbezogen sind nur Daten, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen“. Diese Daten sind besonders schützenswert und verlangen eine hohe Verantwortung des Erfassers und Verarbeiters. Juristischer Hintergrund ist vor allem das Verfassungsrecht, welches jedem das Recht auf informationelle Selbstbestimmung garantiert. Des weiteren besteht für jede Person ein Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität bei der Nutzung informationstechnischer Systeme.

Die „verantwortliche Stelle“
Der wohl heikelste Punkt im Rahmen der juristischen Aufbereitung der Datenauslagerung ist die Feststellung der einzelnen Verantwortungsbereiche aller Beteiligten. Schon die verbindliche (vertraglich gesicherte) Auflistung aller Beteiligten ist die erste Hürde. Ich möchte hier auf die detaillierte Unterscheidung der einzelnen Cloud-Varianten in der „Orientierungshilfe“ verweisen.

Vereinfacht und zusammenfassend ausgedrückt: die Verantwortung liegt fast immer beim Cloud-Anwender. Ein Beispiel zur inhaltlichen Verantwortlichkeit: „Danach ist eine verantwortliche Stelle jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt“.

Der Vertrag
Ohne einen Vertrag mit dem Cloud-Betreiber geht gar nichts. Es muss (nicht sollte) aber ein umfassender und juristisch stichfester sein. Die vielfach angebotene Safe-Harbor-Zertifizierung genügt nicht, da diese den Cloud-Nutzer nicht von seiner Kontrollpflicht entbindet. Zu beachten ist ausserdem, dass alle Vereinbarungen auch für Unteranbieter des Cloud-Betreibers gelten müssen (soviel zum Stichwort Beteiligte). Selbst kurzfristigste Auslagerungen an einen Dritten (oder in Länder, deren Gesetzgebung sich von EU-Vorgaben unterscheiden) sind hier miteinzubeziehen.
Wie schwierig diese Gewährleistung der Rechtmäßigkeit der Daten(verarbeitung) durch diese „verantwortliche Stelle“ ist, zeigen die in der Broschüre aufgeführten Sachverhalte. Einfaches Beispiel: die Datenlöschung. Diese muss garantiert sein! Wer kann eine solche geben?
Ein schwierigeres Beispiel gefällig? Die Nachvollziehbarkeit der Protokollierung. Hier hat der Anwender keinen Zugriff und somit bleibt es meist bei einer Selbstkontrolle des Anbieters. Kontrolle und Verantwortung an zwei unterschiedlichen Stellen – keine gute Grundlage.

Fazit
Die Ausführungen der Aufsichtsbehörden sind ein guter Schritt zu mehr Klarheit. Die möglichen juristischen Fallen werden nach der Lektüre um einiges klarer. Umso schwieriger wird der richtige Ansatz für den Cloud-Interessierten. Ganz nebenbei: alle gesetzlichen Vorgaben gelten auch für alle bestehenden Vereinbarungen. Letztlich wird aber wohl nur eine übergeordnete Prüfungsorganisation, der sich alle Anbieter unterordnen, die Basis für gegenseitige Rechtssicherheit bilden können. Und diese muss EU-überschreitend gebildet werden.