Gerrit Hornung

Kirstin Brennscheidt, Cloud Computing und Datenschutz


Kirstin Brennscheidt, Cloud Computing und Datenschutz, Baden-Baden (Nomos) 2013, ISBN 978-3-8487-0713-3, € 62,-

ZD-Aktuell 2014, 04113     Das – keineswegs durchweg neue – Verarbeitungsparadigma des Cloud Computing hat in den letzten Jahren teils hektische technische, rechtliche und politische Diskussionen ausgelöst, die sich derzeit etwas beruhigen. Unvermindert heftig ist allerdings die Debatte um die Sicherheit und den Schutz der vielen personenbezogenen Daten, die mittels Cloud Computing verarbeitet werden. Hierzu sind inzwischen einige Monografien aus rechtlicher Sicht erschienen, zu denen das Werk von Kirstin Brennscheidt gehört. Es gliedert sich in sieben Teile und behandelt nach einer Einleitung (S. 19-28) technische und datenschutzrechtliche Grundlagen (1. Kap., S. 29-65), Cloud Computing innerhalb (2. Kap., S. 67-136) und außerhalb (3. Kap., S. 137-157) der Auftragsdatenverarbeitung sowie in Drittstaaten (4. Kap., S. 159-180), schließlich Fragen des anwendbaren Rechts (5. Kap., S. 181-203) und fasst die Ergebnisse zusammen (6. Kap., S. 205-213).

Von Beginn an zeigt die Autorin, dass sie die Materie nicht nur durchdrungen, sondern auch die inzwischen erheblich ausdifferenzierte Lit. sicher aufbereitet hat. Die technischen Grundlagen werden zwar kurz, aber verständlich und entlang der üblichen Differenzierung dargestellt (verschiedene Servicemodelle: IaaS, PaaS, SaaS; Erscheinungsformen: Private, Public, Community und Hybrid Clouds) und in Beziehung zu Vorläufertechnologien gesetzt. In den rechtlichen Grundlagen geraten die verfassungsrechtlichen Ausführungen arg knapp; sie sind aber für die weitere Untersuchung auch ohne Belang. Relativ schnell folgt Brennscheidt der objektiven Theorie des Personenbezugs und begründet damit sowie mit dem prinzipiellen Risiko künftiger Entschlüsselungen auch die Anwendbarkeit des Datenschutzrechts auf verschlüsselte Daten.

Dem wichtigen Problem der Auftragsdatenverarbeitung ist das mit Abstand längste Kapitel der Arbeit gewidmet. § 3 Abs. 8 Satz 3 BDSG wird restriktiv nur angewendet, sofern sowohl der Sitz des Auftragnehmers als auch alle verwendeten Server sich im Geltungsbereich der Richtlinie befinden. Diese Auslegung wird überdies als richtlinienkonform eingeordnet, allerdings sei eine analoge Anwendung auf Staaten mit festgestelltem angemessenem Datenschutzniveau möglich. Die Autorin erörtert im Einzelnen die erforderlichen Maßnahmen der Datensicherheit und tritt für ein ausschließlich vom Cloud Nutzer verantwortetes Key Management ein; freilich bleiben die damit verbundenen funktionalen Einschränkungen unerwähnt. Für die wichtige Frage der Erfüllbarkeit der Auswahl- und Kontrollpflichten des Auftraggebers einer Auftragsdatenverarbeitung untersucht Brennscheidt ausführlich die Zulässigkeit von Datenschutzzertifikaten und bejaht diese für den Fall der (noch nicht gegebenen) Verfügbarkeit cloud-spezifischer, aussagekräftiger, effektiver und unabhängiger Zertifizierungsverfahren. Angesichts der fortbestehenden Rechtsunsicherheit wird zu Recht für eine spezifische Regulierung i.R.d. europäischen Reform plädiert. Die konkreten Vorgaben von § 11 BDSG beurteilt die Autorin als erfüllbar, wobei allerdings mitunter gehäuft Praktikabilitätserwägungen auftauchen, deren normative Relevanz stärker zu begründen wäre.

Besteht kein Auftragsverhältnis nach § 11 BDSG, so ist zum Einsatz von Cloud Computing eine Rechtsgrundlage erforderlich. Diese sieht Brennscheidt maßgeblich in § 28 Abs. 1 Satz 1 Nr. 2 BDSG, indem sie das Kostensenkungsinteresse des Cloud Nutzers als hinreichend berechtigt anerkennt und die Abwägung mit den schutzwürdigen Interessen der Betroffenen zumindest dann zu Gunsten des Cloud Nutzers ausfallen lässt, wenn es nicht um sensible Daten geht und der Datenschutz beim Cloud Provider entweder durch ein allgemeines angemessenes Datenschutzniveau an seinem Sitz oder durch einzelfallbezogene Garantien gewährleistet wird. Zumindest letzteres ist angesichts der Probleme der Durchsetzung in Drittstaaten zweifelhaft; in jedem Fall zeigen sich hier aber die Gefahren der völlig unbestimmten § 28 Abs. 1 Satz 1 Nr. 2 BDSG.

In den letzten beiden Kapiteln geht die Autorin grenzüberschreitenden Fragestellungen nach. Das betrifft zunächst § 4b und § 4c BDSG, deren Systematik und bisherige Anwendung allgemein erläutert werden. Für Staaten ohne angemessenes Datenschutzniveau werden die Lösungen über Binding Corporate Rules und die – inzwischen grundsätzlich stark umstrittenen – Safe Harbor-Principles als regelmäßig unzureichend abgelehnt, die Verwendung von Standardvertragsklauseln als zulässig bewertet. Systematisch spät befasst sich Brennscheidt sodann mit dem Kollisionsrecht. Dabei untersucht sie verschiedene Fallkonstellationen hinsichtlich des Sitzes von Cloud Nutzer und Cloud Provider sowie des Verarbeitungsorts und wendet maßgeblich die (teils abweichend umgesetzte) Datenschutzrichtlinie an; die Rspr. der schleswig-holsteinischen Gerichte und jüngst des EuGH konnte noch nicht berücksichtigt werden. Über Einzelergebnisse mag man diskutieren können (so wird wohl zumindest bei Verwendung von Clientsoftware eine Erhebung „im Inland“ nach § 1 Abs. 5 Satz 2 BDSG bzw. ein „Zurückgreifen“ auf automatisierte Mittel i.S.v. Art. 4 Abs. 1 lit. c DSRL diskutabel sein), es gelingt aber eine konsequente und systematische Darstellung.

Insgesamt ist Brennscheidt ein inhaltlich strukturiertes und auch sprachlich ansprechendes Werk gelungen, das auf knapp 200 Textseiten einen verständlichen Überblick und an vielen Stellen vertiefte Einsichten liefert. Gut und weiterführend ist auch die Berücksichtigung der aktuellen europäischen Reformdiskussion an praktisch allen wichtigen Punkten der Darstellung. Den hier jeweils angefügten Verbesserungsvorschlägen ist ebenso Beachtung zu wünschen wie dem Werk insgesamt.

 

Prof. Dr. Gerrit Hornung, LL.M., ist Inhaber des Lehrstuhls für Öffentliches Recht, IT-Recht und Rechtsinformatik an der Universität Passau und Sprecher des dortigen Institute of IT-Security and Security Law (ISL) sowie Mitglied des Wissenschaftsbeirats der ZD.