Weltweit ist Cloud Computing ist das Top-Thema der IT in den letzten Jahren. Doch angesichts der andauernden öffentlichen Diskussionen um die Datensicherheit in der Cloud verhält sich insbesondere der deutsche Mittelstand bislang eher zurückhaltend und läuft damit Gefahr, im globalen Wettbewerb den Anschluss zu verlieren. Kein Wunder also, dass Bundesinnenminister Friedrichs auf dem neulich stattgefundenen IT-Gipfel der Bundesregierung dafür warb, mittels sicherem Cloud Computing die Wettbewerbsfähigkeit Deutschlands zu verbessern.

Auch wenn Unkenrufe etwas anders behaupten, so ist auch nach derzeitigem deutschen Rechtsrahmen Cloud Computing zulässig gestaltbar.

Richtig ist allerdings auch, dass in bestimmten Bereichen auch unnötige Datenschutz-Hürden aufgebaut wurden, die dem Wirtschaftsstandort Deutschland eher schaden als nutzen. Wenn hier nicht zeitnah entgegengewirkt wird, wird absehbar die deutsche Wettbewerbsfähigkeit Schaden nehmen. Hier ist Bundesinnenminister Friedrichs gefordert, zumal durch die EU derzeit eine neue Verordnung zum Datenschutz vorbereitet wird, welche auch das heutige Bundesdatenschutzgesetz ersetzen wird. Ein derzeit noch inoffizieller Entwurf wurde zwischenzeitlich bekannt.

Insofern ist im Moment ein günstiger Zeitpunkt, um Cloud-relevante Aspekte in die aktuelle Diskussion aufzunehmen, welche einerseits die Rechte von Cloud-Nutzern nicht beeinträchtigen, andererseits jedoch notwendige, Cloud-basierte Wachstumschancen eröffnen:

• Abgegrenzte Definition zu personenbezogenen Daten

Die derzeitige Definition zu personenbezogenen Daten ist extrem weit gefasst und sollte von einem objektiven auf einen subjektiven Maßstab eingegrenzt werden. Sollte zum Beispiel ein Cloud Provider nicht in der Lage sein, spezifische Daten einer konkreten Person zuzuordnen, dann sollte es auch keine Rolle spielen, wenn ein Dritter dies theoretisch könnte, dieser jedoch nicht über genau dieses Daten verfügt.

• Anwendung des EU Datenschutzes auf ausländische Unternehmen

Sofern im (außereuropäischen) Ausland erhobene Daten ausländischer Nutzer in einem europäischen Rechenzentrum lediglich verarbeitet werden, sollte die EU-Datenschutzrichtlinie hierfür keine Anwendung finden. Andernfalls wären Kunden aus dem EU-Ausland schlecht beraten, zu einem deutschen Cloud Provider zu gehen, weil ihre Daten durch die Verarbeitung beim Provider in Deutschland sozusagen mit dem deutschen Datenschutzrecht infiziert werden würden.

• Auftragsdatenverarbeitung

Das Privileg der Auftragsdatenverarbeitung ist, dass die Daten zum Dienstleister transferiert werden, ohne dass dies zu einer Übermittlung im Rechtssinne führt. Dieses Privileg muss auch für die internationale Auftragsdatenverarbeitung gelten. Dies ist auch so in der EU Datenschutz-Richtlinie geregelt. Nach aktuellem deutschem Recht führt die Einschaltung eines Dienstleisters im EU-Ausland aber dem entgegen zu Übermittlungen. Daher besteht Rechtsunsicherheit, wenn sensitive Daten, wie z.B. Gesundheitsdaten, durch einen Dienstleister im EU-Ausland verarbeitet werden. Zwar können mit Dienstleistern im EU-Ausland Auftragsdatenverarbeitungsverträge, ergänzt um die EU Standardvertragsklauseln, geschlossen werden. Bei normalen Daten wird argumentiert, dass angesichts dieser Maßnahmen die Übermittlung auf Grundlage einer Abwägung gemäß § 28 Abs. 1 BDSG zulässig ist. Bei der Übermittlung sensitiver Daten ist eine solche Abwägung jedoch im Gesetz nicht vorgesehen, so dass sie nach aktuell geltendem deutschen Recht nicht zulässig ist. Dies betrifft Daten zu rassicher und ethnischer Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.

• Kontrolle des Dienstleisters

Das Bundesdatenschutzgesetz verpflichtet die Anwender vor Auftragserteilung an einen Dienstleister und regelmäßig während der Leistungserbringung seinen Kontrollpflichten nachzukommen. Mit einer Neuregelung sollte eindeutig klargestellt werden, dass der Auftraggeber diese Kontrollpflicht auch an einen dazu beauftragten Dritten vergeben kann. Zumal insbesondere mittelständische Auftraggeber oftmals nicht über das erforderliche Know-How für die Datenschutzkontrolle verfügen.

• Hoheitliche Datenschutz-Verantwortlichkeit

Um zukünftig unterschiedliche oder gar widersprüchliche Auffassungen zum Datenschutz zu vermeiden, sollte der Datenschutz in Deutschland durch eine zentrale Bundesbehörde vertreten werden.

Dezember 2011, Dr. Jürgen Hartung und Dr. Marc Hilber, Oppenhoff & Partner