Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr

Smartphone mit Cloud App

Datenschutz bei der Nutzung von Cloudspeichern

In Zeiten zunehmender Komplexität global vernetzter und gestufter Datenverarbeitungsstrukturen, stellen sich für den Datenschutz neue Rechtsfragen und Herausforderungen. Diese Problematik zeigt sich vor allem beim sogenannten Cloud Computing.

In Zeiten zunehmender Komplexität global vernetzter und gestufter Datenverarbeitungsstrukturen, stellen sich für den Datenschutz neue Rechtsfragen und Herausforderungen. Während früher nur wenige Verarbeiter personenbezogene Daten auf einigen wenigen Großrechnern speicherten und diese von der jeweils zuständigen lokalen Datenschutzbehörde kontrolliert wurden, führt der digitale Binnenmarkt sowie die grenzüberschreitende Verarbeitung von Daten dazu, dass die geltenden datenschutzrechtlichen Bestimmungen der Realität nicht mehr hinreichend gerecht werden. Diese Problematik zeigt sich vor allem beim sogenannten Cloud Computing. Cloud Computing eröffnet dem Anwender die Möglichkeit, auf Basis informationstechnischer Virtualisierungslösungen IT-Infrastruktur, Plattformen und Anwendungen je nach aktuellem Bedarf einzukaufen und zu nutzen [1].

Welche Cloud-Arten gibt es?

Je nachdem wo im Moment des Abrufs des Kontingents Speicherplatz und andere Ressourcen vorhanden sind, kann es die Cloud-Nutzung erfordern, dass Rechenprozesse und personenbezogene Daten zwischen verschiedenen Rechenzentren in unterschiedlichen Ländern hin- und hergeschickt werden. Im Wesentlichen werden zwei Cloud-Modelle unterschieden. Während die Public Cloud der Allgemeinheit Speicherplatz und informatische Infrastruktur bereitstellt, sich der Anwender die Verwendung der Hardware also mit anderen Nutzern teilt, steht die Hardware bei Nutzung der Private Cloud einem Anwender exklusiv zur Verfügung. Daneben werden verschiedene Services von den Cloud-Anbietern zur Verfügung gestellt. Während viele Clouds lediglich die Infrastruktur, also etwa Speicherplatz oder Netzwerkbandbreite zur Verfügung stellen, bieten andere auch die Applikation selbst an.

Aufgrund ihrer technischen Überlegenheit und Vorteilen wie Skalierbarkeit, Flexibilität und Kosteneffizienz [2] erfreuen sich Clouds gerade auch bei Unternehmen immer größerer Beliebtheit. Am datenschutzrechtlich relevantesten ist die Nutzung der Public-Cloud-Modelle wie derer von Amazon oder Google. Bei den dort gespeicherten Informationen handelt es sich häufig um personenbezogene Daten, etwa wenn HR-Prozesse in die Cloud ausgelagert werden. Schließt ein Anwender einen Vertrag mit einem Cloud-Anbieter innerhalb der EU, so liegt nach überwiegender Auffassung eine Auftragsdatenverarbeitung vor für die das Bundesdatenschutzgesetz sowie die DSGVO bestimmte Regelungen vorsieht. Liegt jedoch eine Datenübermittlung an einen Drittstaat vor, gelangt das nationale Recht an seine Anwendbarkeitsgrenzen.

Weitere Informationen zur Berichtigung, Löschung und Sperrung von Daten finden Sie hier.

Cloud-Nutzung nach deutschem Recht

Aber auch mit Blick auf den Datenschutz nach deutschem Recht ergeben sich hinsichtlich der Verantwortlichkeit der Anbieter, des anwendbares Rechts und der Zuständigkeit der Datenschutzbehörden Probleme. Die geltenden Regelungen des Bundesdatenschutzgesetzes bilden die komplexen Verarbeitungsstrukturen mit ihren multiplen und gestuft beteiligten Akteuren nicht mehr hinreichend ab. Gerade die Anknüpfung an den Standort des Rechners für die Beurteilung des anwendbaren Rechts passt bei Cloud Speichern nicht mehr. Hinzu kommt, dass je nach Modell und konkreter Ausgestaltung der Cloud, die Verantwortung für die Verarbeitung personenbezogener Daten entweder beim Anbieter oder beim Nutzer selbst liegt. Eine allgemein gültige Aussage über die Verantwortlichkeit ist deshalb nur schwer zu treffen.

Zusammenfassend ist festzustellen, dass bei der Nutzung von Cloud-Speichern eine Reihe von Datenschutzregelungen zu beachten sind. Aufgrund der veralteten und zum Teil unpassenden Formulierungen der Gesetze ist die derzeitige Rechtslage jedoch hinsichtlich der Voraussetzungen einer zulässigen Nutzung von Cloudspeichern weitgehend unklar. Es bleibt abzuwarten wie sich die Aufsichtsbehörden zu diesem Thema positionieren und welche neuen Regelungen der Gesetzgeber zur Cloud-Nutzung entwickelt [3]. Bis dahin sollten Privatpersonen und vor allem Unternehmen die Cloud-Anbieter genau in Augenschein nehmen und im Zweifelsfall eine Cloud aus dem EU-Raum nutzen.

 

[1] Grapentin, in: Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, § 35, Rn. 85, 2. Auflage 2016

[2] Schmid/Kahl, Verarbeitung „sensibler“ Daten durch Cloud-Anbieter in Drittstaaten, ZD 2017, 54

[3] Schmid/Kahl, Verarbeitung „sensibler“ Daten durch Cloud-Anbieter in Drittstaaten, ZD 2017, 57