DAV: Stellungnahme zum Cloud Computing


In einer Stellungnahme des Deutschen Anwaltvereins (DAV) vom August 2011 äußert sich der Ausschuss Informationsrecht zur Konsultation der EU-Kommission zum Cloud Computing.

Aus dem Bereich „Clouds for users“ ergeben sich nach Ansicht des DAV, nach den in Deutschland diskutierten und praktizierten Modellen des Cloud Computing keine besonderen Probleme des Vertragsstatuts und des Deliktsrechts. Fragen des internationalen Privatrechts und des anwendbaren Rechts würden sich nicht von anderen internationalen Rechtsbeziehungen unterscheiden.

 

Eine Änderung der derzeitigen EU-Datenschutzrichtlinien, die das Cloud Computing erleichtert und gleichzeitig das Datenschutzniveau bewahren, ist nach Ansicht des DAV rein praktisch kaum vorstellbar. Problematisch sei die Datenverarbeitung in Drittländern außerhalb der EU und des EWR, solange diese andere Datenschutzkonzeptionen verfolgen. Wichtig wäre, zumindest mit einer ganzen Reihe weiterer Staaten (insbesondere den USA) zu einem Übereinkommen über datenschutzrechtliche Mindeststandards zu kommen, die dann auch überall gesetzlich durchgesetzt würden müssten. Andernfalls drohen z.B. staatliche Zugriffe ausländischer Behörden am Sitzland des Dienstleisters. Gerade aus anwaltlicher Sicht könne es nicht angehen, dass ausländische Behörden auf Daten zugreifen, die im Sitzland des Rechtsanwalts dem Anwaltsgeheimnis unterliegen. Innerhalb der EU wäre wünschenswert, wenn Anbietern in allen Mitgliedsstaaten zur „Datensicherheit“ weitgehend gleiche Auflagen zur Pflicht gemacht würden.

 

Ein weiteres Problem sieht der DAV in der Kontrollierbarkeit der Maßnahmen durch den Auftraggeber, weil Virtualisierung und Auslagerungen mit voll-automatisiertem Betrieb keine Lokalisierung der Daten erlauben. Trotz Auftrags-Datenverarbeitung soll der Auftraggeber aber Herr der Daten (Verantwortlicher) bleiben. Diese Herrschaft über die Weisungen wäre faktisch nicht durch optisch – physikalische Inspektionen prüfbar. Abhilfe könnten evtl. automatisierte Verfahren, die einerseits verbindliche Kern-Standards erfüllen, andererseits zertifiziert sind, bringen, wenn der Auftragnehmer selbst als wiederum zertifizierter Verwender der Verfahren ausgewiesen ist. Dies führt nach Meinung des DAV zur Audit-Pflicht als wichtigem, ohnehin in eine RL aufzunehmendem Institut. Die technischen Verfahren sollten auch Fernkontrolle ermöglichen, die Nichteinhaltung der Vorgaben sollte sanktionsbewehrt sein.

 

Aus der Sicht des DAV ist in der BRD eine privilegierte Auftragsdatenverarbeitung nach den Regelungen des BDSG sogar in sichere Drittländern nicht möglich, sodass Cloud Computing selbst dann unzulässig wäre, wenn die Datenverarbeitung in solchen Ländern stattfindet, die nach Ansicht der EU ein geeignetes Datenschutzniveau aufweisen. Daher sollte klargestellt werden, dass § 11 BDSG zur privilegierten Auftragsdatenverarbeitung auch dann gilt, wenn eine Datenübermittlung in Drittstaaten zulässig ist.