Der US-Branchendienst ZDNet berichtete, dass Anbieter von Cloud-Dienstleistungen, die ihren Firmenstammsitz in Amerika haben, zur Einhaltung der dortigen Gesetze verpflichtet sind und demnach den US-Strafverfolgungsbehörden auf Verlangen Zugriff auf die gespeicherten Kundendaten gewähren müssen. Dies betrifft auch Kundendaten aus europäischen Rechenzentren, sofern es sich beim Cloud-Anbieter um ein in der EU ansässiges Tochterunternehmen mit amerikanischem Stammsitz handelt.
Mit Blick auf die Markteinführung von Microsofts Office 365 wurde damit noch einmal verdeutlicht, dass die Nutzung von Cloud-Dienstleistungen mit erheblichen datenschutzrechtlichen Problemen verbunden ist. Einer Stellungnahme von Thilo Weichert, dem Landesbeauftragten für den Datenschutz Schleswig-Holstein, zufolge, ist eine Datenweitergabe über die EU-Grenzen hinaus mit europäischem Datenschutzrecht nicht vereinbar. Die Vertraulichkeit von Daten und Anwendungen, die zwar über EU-Rechenzentren bereitgestellt, jedoch von einem amerikanischen Unternehmen verantwortet werden, sei gefährdet. Aus der Sicht von Thilo Weichert leitet sich für Kunden mit bestehenden Verträgen zu europäischen Cloud-Anbietern mit amerikanischem Stammsitz ein Sonderkündigungsrecht ab. Außerdem weist Weichert darauf hin, dass für die Verarbeitung von personenbezogenen Daten strenge datenschutzrechtliche Auflagen bestehen.
Bei einer Auslagerung von Datenverarbeitungsprozessen, die unter den Schutz des BDSG fallen, ist der Cloud-Anbieter gründlich auf die Einhaltung der Datenschutzvorgaben zu prüfen. Prinzipiell kommt es für die Anwendbarkeit einzelstaatlichen Rechts darauf an, in welchem Staat die Daten verarbeitende Stelle ihren Sitz hat. Der Begriff "verantwortliche Stelle" bezeichnet jede Person oder Stelle, "die personenbezogene Daten für sich selbst... verarbeitet... oder dies durch andere im Auftrag vornehmen lässt." Beim Cloud-Computing ist die verantwortliche Stelle der Cloud-Nutzer, der sich für die Auslagerung seiner Datenverarbeitungsprozesse entscheidet. Durch die Beauftragung und Einschaltung eines Dritten (Cloud-Anbieter), kann sich die verantwortliche Stelle nicht ihrer Verantwortung entziehen. Im §11 BDSG ist stattdessen klar geregelt, dass der Auftraggeber voll verantwortlich für die Einhaltung der Datenschutzvorschriften bleibt. Darüber hinaus obliegt dem Auftraggeber die Pflicht, den Vertrag zur Datenverarbeitung im Auftrag mit dem Auftragnehmer nach §11 BDSG abzusichern.
Laut Thilo Weichert sollten Verträge zur Datenverarbeitung im Auftrag, die unter den Schutz des BDSG fallen, ausschließlich mit europäischen Service-Providern abgeschlossen werden. Die Zusammenarbeit mit Microsoft-Service-Providern wie Office-365 und Windows-Azure schließe sich damit aus.
Weitere Informationen:
Glossarbeitrag "Cloud-Computing"
Quellen:
ULD- Cloud Computing und Datenschutz
Heise- US-Behörden dürfen auf europäische Cloud-Daten zugreifen
...weiter
