Deutschland: Datenübermittlung an externe IT-Dienstleister – Cloud Computing und Datenschutz

IT-Outsourcing
Immer mehr Unternehmen verarbeiten ihre Daten inzwischen nicht mehr selbst, sondern bedienen sich hierfür externer IT-Dienstleister. Für die meisten Unternehmen erfolgt dies unter dem Aspekt des damit verbundenen Kostenvorteiles. Lokale Ressourcen wie Software und Hardware lassen sich auf diese Weise einsparen. Zunehmend werden die Daten dabei in einer sog. „Cloud“ gespeichert. Dabei sind jedoch wichtige datenschutzrechtliche Regelungen zu beachten, um sich nicht der Gefahr von Bußgeldern auszusetzen.

Was ist „Cloud-Computing“?
Unter „Cloud-Computing“ versteht man einerseits das Speichern von Daten in einem entfernten Rechenzentrum, andererseits aber auch die Ausführung von Programmen, die nicht auf dem lokalen Rechner installiert sind, sondern in einer metaphorischen Wolke. Technischer formuliert: IT-Infrastrukturen (z.B. Rechenkapazität, Datenspeicher, Netzwerkkapazitäten oder auch fertige Software) werden dynamisch – an den Bedarf angepasst – über ein Netzwerk zur Verfügung gestellt. Die Spannweite der im Rahmen von Cloud-Computing angebotenen Dienstleistungen umfasst das gesamte Spektrum der Informationstechnik und beinhaltet unter anderem Infrastruktur (z.B. Rechenleistung und Speicherplatz), Plattformen und Software. Der Zugriff auf die entfernten Systeme erfolgt über ein Netzwerk, beispielsweise das Internet.

Der Anbieter einer Cloud kann dabei ein fremdes externes Dienstleistungsunternehmen oder ein anderes Konzernunternehmen sein.

Was hat Cloud-Computing mit Datenschutz zu tun?
Datenschutz spielt dann eine Rolle, wenn an den Anbieter der Cloud personenbezogene Daten übermittelt werden, die beim Anbieter der Cloud verarbeitet bzw. gespeichert werden.

„Personenbezogene“ Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse, die Rückschlüsse auf eine bestimmte natürliche Person zulassen. Diese Definition hat einen weiten Anwendungsbereich, sodass so ziemlich jede Angabe, die eine Person konkretisierbar macht, zu den personenbezogenen Daten zählt.

Sobald eine Verarbeitung personenbezogener Daten – wobei bereits deren Speicherung ausreicht (!) – durch einen anderen erfolgt als denjenigen, der sie erhebt, müssen spezielle datenschutzrechtliche Vorgaben beachtet werden. Andernfalls können die Behörden gegen das Unternehmen Bußgelder verhängen.

Welche datenschutzrechtlichen Maßnahmen muss ein Unternehmer ergreifen, wenn er personenbezogene Daten an den Anbieter einer Cloud übermittelt?
Das Cloud-Computing ist eine Form des Outsourcings und unterfällt der sog. „Auftragsdatenverarbeitung“. Die personenbezogenen Daten werden vom Anbieter der Cloud „im Auftrag“ des Unternehmens erhoben, gespeichert und möglicherweise genutzt. Verantwortlich für die korrekte Verarbeitung der erhobenen Daten bleibt dabei das Unternehmen. Vorteil dieser Auftragsdatenverarbeitung ist, dass der Anbieter der Cloud nicht als „Dritter“ anzusehen ist, so dass das Unternehmen keine zusätzliche Einwilligung des Betroffenen in die Übermittlung seiner personenbezogenen Daten an den Anbieter der Cloud benötigt. Eine solche Einwilligung zu erlangen, ist in der Praxis nämlich oftmals schwer durchsetzbar. Diese Privilegierung greift, sofern der Anbieter der Cloud seinen Sitz in einem Mitgliedstaat der EU oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum hat.

Da das Unternehmen für die ordnungsgemäße Verarbeitung der Daten verantwortlich bleibt, ist es zwingend notwendig, dass sich das Unternehmen beim Outsourcing der Datenverarbeitung vertraglich absichert und sich weitestgehende Weisungsrechte und Kontrollmöglichkeiten vorbehält. Es gilt also schon im Vorfeld, den Anbieter sorgfältig auszuwählen und sich von dessen Eignung zu überzeugen. Dabei müssen insbesondere die vom Anbieter der Cloud getroffenen technischen und organisatorischen Maßnahmen geprüft werden. Darüber hinaus muss das Unternehmen die Einhaltung dieser Vorkehrungen ständig kontrollieren. In der Praxis wird dies häufig in der Weise umgesetzt, dass der Anbieter der Cloud dem Unternehmen regelmäßig detaillierte Prüfberichte zur Verfügung stellt oder die Kontrollrechte an eine unabhängige, fachlich zuverlässige Stelle übertragen werden, die einschlägig zertifiziert ist.

Über die Erbringung der IT-Dienstleistungen im Rahmen einer Cloud ist ein schriftlicher Vertrag abzuschließen. In dieser Vereinbarung sind insbesondere der Zweck der Datenverarbeitung, die technischen und organisatorischen Maßnahmen des Cloud-Anbieters und die Kontrollrechte des Unternehmens festzulegen.

In Deutschland ist der Nichtabschluss eines solchen Vertrages für das Unternehmen als Auftraggeber bußgeldbewehrt. Im Falle eines Verstoßes können Bußgelder von bis zu EUR 50.000,00 verhängt werden.

Können die Daten auch an einen Anbieter im nicht-europäischen Ausland übermittelt werden?
Die Datenübermittlung an einen nicht-europäischen Anbieter ist möglich, unterliegt jedoch – neben dem verpflichtenden Vertragsabschluss zur Auftragsdatenverarbeitung – zusätzlichen Voraussetzungen. Sobald personenbezogene Daten an einen Anbieter außerhalb der EU oder des EWR übermittelt werden, muss hierfür eine entsprechende Legitimation vorliegen.

Die häufigsten Fälle einer Legitimation sind die folgenden:

  • Die Europäische Kommission hat die Feststellung getroffen, dass in dem Drittland ein in der EU vergleichbares „angemessenes Datenschutzniveau“ besteht (wie z.B. in Argentinien, in Kanada und in der Schweiz);
  • es werden die von der Europäischen Kommission zur Verfügung gestellten „Standardvertragsklauseln für die Übermittlung von Daten in Drittländer“ vereinbart;
  • der Anbieter der Cloud hat seinen Sitz in den USA und hat sich den sog. „Safe Harbor Principles“ einschließlich der sog. „Frequently Asked Questions“ verpflichtet;
  • zwischen den an der Cloud beteiligten Unternehmen besteht eine verbindliche Unternehmensregelung (sog. „Corporate Binding Rules“), die von der zuständigen Datenschutzbehörde genehmigt wurden.

Insbesondere, wenn es sich beim Anbieter der Cloud um ein internationales Unternehmen handelt, sollte genauestens geprüft werden, wo die Daten tatsächlich verarbeitet werden. Häufig wird eine Datenübermittlung in das nicht-europäische Ausland vorliegen, der vom Unternehmen unbedingt Rechnung zu tragen ist.

Fazit
Bei der Erbringung von IT-Dienstleistungen werden künftig im Rahmen einer Cloud immer häufiger personenbezogene Daten an andere Anbieter übermittelt. Es ist davon auszugehen, dass die Datenschutzbehörden auch in diesem Bereich stärkere Kontrollen durchführen werden. Für Unternehmen gilt es deshalb vorzusorgen und sich vor allem vertraglich abzusichern, um der Gefahr von Bußgeldern vorzubeugen. Nicht zuletzt geht es auch darum, negative Schlagzeilen bezüglich des Umgangs mit personenbezogenen Daten zu vermeiden.

Autorin: Katharina Wardelmann (Osnabrück)