In einem aktuellen Beitrag auf heise online geht Arnd Böken, Rechtsanwalt und Notar im Berliner Büro der Kanzlei Graf von Westphalen, nochmals umfassend auf die Problematik der bestehenden gesetzlichen Regelungen des “Patriot Act” – das Gesetz wurde zur Terrorabwehr nach den Vorkommnissen des 11. September 2001 verabschiedet – und deren Auswirkungen auf die Nutzung von Cloud Computing-Angeboten internationaler, speziell amerikanischer Unternehmen, unt dem Gesichtspunkt der Regelungen des Bundesdatenschutzgesetzes (BDSG) ein. Sein Fazit: “Probleme mit dem Datenschutz lassen sich am einfachsten vermeiden, wenn das deutsche Unternehmen einen Cloud-Anbieter mit einer Auftragsdatenverarbeitung in einer EU/EWR-Cloud beauftragt. Will das Unternehmen die EU/EWR-Cloud eines Cloud-Providers mit Sitz in den USA nutzen, so muss es besonders auf klare Garantien im Vertrag achten (im Prinzip gilt das auch für EU-Anbieter, allerdings haben US-Anbieter größere Schwierigkeiten, solche Garantien zu geben).”
Auslöser für die Diskussion war die Ankündigung von Microsoft und Google im Sommer 2011, dass sie gemäß “Patriot Act” verpflichtet seien, auch Daten aus EU-Rechenzentren an US-Behörden weiterzugeben und dass sie dies auch schon getan hätten. Im Gegensatz dazu sind deutsche Unternehmen an deutsches Datenschutzrecht gebunden, gleichgültig ob es Daten in einer Private Cloud verarbeitet oder die Angebote eines Cloud-Providers nutzt. Verarbeitet das Unternehmen personenbezogene Daten in der Cloud, also etwa Daten von Mitarbeitern, Kunden oder Lieferanten, so gilt dafür das Bundesdatenschutzgesetz (BDSG).
Das BDSG legt im Fall von personenbezogenen Daten allerdings fest, dass diese Daten nur innerhalb des Europäischen Wirtschaftsraums (EWR) verarbeitet werden, also innerhalb der EU sowie Island, Liechtenstein und Norwegen.
Der Jurist rät deshalb:
-
Verträge bis ins Detail prüfen
-
Im Zweifelsfall nachverhandeln
-
Keine Übermittlung von Gesundheitsdaten
-
In jedem Fall Verschlüsselung von Daten
Diese Vorsichtsmaßnahmen gelten übrigens nicht nur für Cloud Computing-Anwender, sondern auch für deutsche SaaS-Anbieter, die IaaS-Angebote amerikanischer Provider nutzen. Als Orientierungshilfe in beiden Fällen nennt Arnd Böken die „Orientierungshilfe“ der Datenschutzbeauftragten.
KompletterBeitrag auf heise online
Cloud Computing TV-Expertengespräch: Rechtssicherheit in der Cloud
Wie wichtig die von Herrn Böken angesprochene vertragliche Gestaltung im Cloud Computing ist und welche besondere Vorsicht bei der Nutzung von Nicht-EU Cloud Services geboten ist, wird auch aus dem Cloud Computing TV-Expertengespräch mit den beiden Kölner Anwältinnen Dr. Eva-Maria Brus und Jennifer Hannemann deutlich.