Sebastian Kraska

Schmidt-Bens, Cloud Computing Technologien und Datenschutz


Johanna Schmidt-Bens, Cloud Computing Technologien und Datenschutz, Edewecht (olWIR) 2012, ISBN 978-3-939704-71-3, € 24,80

 

Es ist in aller Munde: das sog. Cloud Computing hat in der IT-Industrie in den vergangenen Jahren erheblich an Bedeutung gewonnen. Dabei hat sich in der Praxis bislang keine einheitliche Definition durchgesetzt, was genau unter Cloud Computing zu verstehen ist. Von „klassischer“ Auftragsdatenverarbeitung über webbasierte Softwareangebote bis hin zu global strukturierten Datenverarbeitern waren z.B. auf der CeBIT in den letzten Jahren nahezu sämtliche Datenverarbeitungsvorgänge mit Drittbezug unter dem werbewirksamen Label „Cloud Computing“ anzutreffen.

In den Ausführungen beginnt Schmidt-Bens nach einer kurzen Darstellung der IT-Landschaft entsprechend mit verschiedenen Definitionsansätzen und legt Cloud Computing unter Verweis auf das Bundesamt für Sicherheit in der Informationstechnik fest als „das dynamisch an den Bedarf angepasste Anbieten, Nutzen und Abrechnen von IT-Dienstleistungen über ein Netz. Angebot und Nutzung dieser Dienstleistungen erfolgen dabei ausschließlich über definierte technische Schnittstellen und Protokolle. Die Spannbreite der i.R.v. Cloud Computing angebotenen Dienstleistungen umfasst das komplette Spektrum der Informationstechnik und beinhaltet unter anderem Infrastruktur (z.B. Rechenleistung, Speicherplatz), Plattformen und Software.“

Nach einer kurzen Einführung in die Frage der Anwendbarkeit der datenschutzrechtlichen Regelungskonzepte schließt die Autorin für Cloud Computing Technologien im europäischen Kontext mit dem Zwischenfazit, dass eine Cloud-basierte Datenverarbeitung als privilegierte Auftragsdatenverarbeitung gem. § 11 BDSG insbesondere nur dann als datenschutzrechtlich zulässig einzustufen sei, wenn zwischen dem Auftraggeber und dem Auftragnehmer die kontinuierliche Vorlage von Prüfberichten oder die Durchführung eines Datenschutzaudits schriftlich vereinbart würden. Bei Annahme einer sog. „Funktionsübertragung“ stünde nach Ansicht von Schmidt-Bens dagegen das schutzwürdige Interesse des Betroffenen einer Datenübermittlung an den Cloud-Service-Provider grundsätzlich entgegen.

Entsprechend kritisch fällt das Fazit der Autorin für extra-europäische Cloud Computing-Lösungen aus, wobei das Konzept der „Safe Harbor Zertifizierung“ bei US-Bezug einer besonders detaillierten (und i.E. ablehnenden) rechtlichen Prüfung unterzogen wird. Die Autorin hält hierbei (mit Einschränkungen) die Verwendung von EU-Standardvertragsklauseln für das vergleichsweise vorzugswürdige Konzept, wenngleich im Fazit insoweit gesetzgeberischer Handlungsbedarf festgestellt wird.

Das Werk gibt einen gut strukturierten Überblick über die datenschutzrechtliche Ausgangslage beim Einsatz und der Gestaltung von Cloud Computing-Technologien und bildet daher für Verwender wie Hersteller von Cloud Computing-Technologien gleichermaßen einen guten Einstieg in die sich mit hoher Dynamik verändernde Thematik. Der Entwicklungsgeschwindigkeit des Rechtsgebiets geschuldet sind jüngste Empfehlungen (wie z.B. der entsprechende Beschluss des Düsseldorfer Kreises oder die Stellungnahme der Art. 29-Datenschutzgruppe zum Einsatz von Cloud Computing -Technologien) nicht berücksichtigt, was die argumentative Aussagekraft der Arbeit nicht beeinträchtigt, bei dem praktischen Einsatz von Cloud Computing-Technologien indes ergänzend berücksichtigt werden sollte.

Die Arbeit schließt mit der Darstellung der sich ergebenden Spannungen zwischen den aus den Vorgaben der Auftragsdatenverarbeitung folgenden Forderungen nach Beschreibung fester technisch/organisatorischer Strukturen sowie Regelungen zum Einsatz von (internationalen) Unterauftragnehmern und den Cloud Computing-Technologien häufig eigenen Forderungen nach Flexibilität und Skalierbarkeit. Schmidt-Bens erörtert in diesem Zusammenhang mögliche Lösungskonzepte der Anonymisierung bzw. Pseudonymisierung von Daten, der Nutzung einer „Private Cloud“ bzw. die territoriale Begrenzung von Cloud Computing Diensten und formuliert die Erwartung, dass mit der zunehmend globalen Verbreitung von Cloud Computing-Technologien einheitliche Standards hinsichtlich der Zertifizierungsmöglichkeiten sowie der Gewährleistung eines angemessenen Datenschutzniveaus gefunden werden müssten.

 

Dr. Sebastian Kraska ist Rechtsanwalt und externer Datenschutzbeauftragter.