Datenschutz und Cloud Computing

US-Behörden haben Zugriff auf Daten, die in einem Rechenzentrum in Europa gespeichert werden. Rechtssicherheit beim Cloud Computing nur bei Daten, die von europäischen Unternehmen auf dem Gebiet der Europäischen Union erhoben, verarbeitet oder genutzt werden?

Zugriff von US-Behörden auf Cloud-Daten

Ein Manager eines Softwareunternehmens, Standort England, gesellschaftsrechtlich verbunden mit einem US-amerikanischen Softwarehersteller, hat unlängst auf die Frage, ob der Softwarehersteller garantieren könne, dass Daten, die in einem Rechenzentrum in Europa gespeichert werden, unter keinen Umständen den Europäischen Wirtschaftsraum verlassen werden, auch nicht auf Grundlage des US Patriot Acts, geantwortet, dass weder dieser US-amerikanische Softwarehersteller noch andere Unternehmen diese Garantie geben könnten.  
Nach Möglichkeit würden die Kunden von einem solchen Zugriff auf die Daten informiert.

Eine derartige Zugriffsmöglichkeit von US-Behörden auf  Daten, die insoweit schon vermutet bzw. auf die Experten bereits hingewiesen haben (siehe dazu auch den Artikel des Autors „Cloud Computing und Datenschutz – Eine Einführung“ vom 02.06.2011, Ziff. II.  Datensicherheit und Vertraulichkeit) wurde damit nach meiner Kenntnis zum ersten Mal von einem Vertreter eines renommierten US-amerikanischen Softwareherstellers explizit öffentlich eingeräumt.

Nach dem US Patriot Act kann ein solcher Zugriff  auf  Daten mithin nicht ausgeschlossen werden, wenn ein Cloud-Anbieter seinen Firmensitz in den USA hat, dieses in den USA ansässige Unternehmen Geschäftsanteile an in Europa ansässigen (Tochter-) Gesellschaften hält, die Dienste als Cloud-Anbieter bereitstellen und/oder diese Daten von dem Cloud-Anbieter in den USA verarbeitet werden. Auch auf  eine entsprechende Information durch den Cloud-Anbieter über einen solchen Zugriff kann sich der Kunde nicht verlassen, da bestimmte US-Behörden dem Cloud-Anbieter verbieten können, diese Information an seinen Kunden weiterzugeben.

Entschließung der Datenaufsichtsbehörden, Stellungnahme des Deutschen Anwaltsvereins, Parlamentarische Anfrage

Leider wurde im Zusammenhang mit der Entschließung der 82. Konferenz der Datenaufsichtsbehörden am 28./29. September 2011 zu „Datenschutzkonforme Gestaltung und Nutzung von Cloud Computing“ und der „Orientierungshilfe – Cloud Computing“, letztere erarbeitet von den Arbeitskreisen Technik und Medien der Konferenz des Bundes und der Länder (Version 1.0, Stand: 26.09.2011), der Aspekt eines möglichen Datenzugriffs von US-Behörden nicht thematisiert. Auch nicht behandelt wurde, ob bzw. wie dieser Vorgang in der datenschutzrechtlich zulässigen Gestaltung von Angeboten von US-Cloud-Anbietern und ihren verbundenen, in Europa ansässigen Unternehmen, Berücksichtigung finden kann. 

In der Stellungnahme des Deutschen Anwaltsvereins durch den Ausschuss Informationsrecht zur Konsultation der EU-Kommission zum Cloud Computing vom August 2011 wird u.a. ausgeführt, dass es wichtig wäre, zumindest mit einer ganzen Reihe weiterer Staaten (insbesondere der Vereinigten Staaten) zu einem Übereinkommen über datenschutzrechtliche Mindeststandards zu kommen, die dann überall gesetzlich durchgesetzt werden; andernfalls drohten z.B. staatliche Zugriffe ausländischer Behörden am Sitz des Dienstleisters.

Soweit bekannt ist, will sich eine Gruppe von EU-Abgeordneten nicht damit abfinden, dass US-Behörden auf Cloud-Daten europäischer Unternehmen zugreifen können. Diese Gruppe hat insoweit im Juni d.J. eine entsprechende parlamentarische Anfrage an die EU-Kommission gerichtet, um die Rechtslage zu klären.
Die Abgeordneten haben moniert, dass die Antwort der EU-Kommission zwar klar mache, dass die USA unter Berufung auf nationales Recht keinen Zugriff auf  Daten erhalten könnten, die von europäischen Unternehmen auf dem Gebiet der EU gespeichert seien, kläre aber nicht die Lage von Unternehmen, die in der EU tätig seien und gleichzeitig eine Präsenz, sei es der Hauptsitz oder andere Aktivitäten, in den USA haben (siehe auch Johannes Fritsche, Finanzen – Markt & Meinungen, EU-Abgeordnete wollen US-Zugriff auf  Cloud-Daten abwehren, vom 12.10.2011).

Man darf  ebenso gespannt darauf sein, wenn die EU-Kommission im November ihren Vorschlag zur Revision der geltenden Datenschutzrichtlinie vorlegt, die besonders auf die Herausforderungen der Globalisierung und der modernen Technologien eingehen und die Zusammenarbeit mit Drittländern regeln soll.

Fazit

Im Ergebnis werden wohl nur internationale Vereinbarungen über Mindeststandards zum Datenschutz zur Rechtssicherheit des Cloud Computing beitragen und damit das Cloud Computing erleichtern.   

Cloud-Anwender, die im Rahmen der Auftragsdatenverarbeitung Verantwortung für die eigene Datenverarbeitung tragen, sollten daher bei Ihrer Entscheidung über eine „Datenverarbeitung in der Wolke“ derzeit zuvorderst bedenken, ob für sie im Einzelfall zumindest aus (datenschutz-) rechtlicher Sicht Cloud Computing das richtige Geschäftsmodell ist bzw. auf die Wahl des für sie in Betracht kommenden Cloud-Anbieters, wie Sitz des Unternehmens und Ort der Datenverarbeitung, achten.

Auch sollte sich der Cloud-Anbieter bei der Prüfung Zeit nehmen, zu klären bzw. sich dabei  beraten lassen, ob die Angebote der Cloud-Anbieter offene, transparente und detaillierte Informationen und rechtliche Rahmenbedingungen der von Ihnen angebotenen Dienstleistungen, einschließlich Vertraulichkeit, Integrität und Verfügbarkeit der Daten, Kontrollierbarkeit, Transparenz und Beinflussbarkeit der Datenverarbeitung enthalten und transparente, detaillierte und eindeutige vertragliche Regelungen zu den Cloud-Diensten und der Datenverarbeitung vereinbaren.        

Zu beachten ist, dass es insoweit nicht nur um die Verarbeitung von personenbezogenen Daten iSd Bundesdatenschutzgesetzes geht, sondern auch um in der Cloud verarbeitete vertrauliche Daten und Betriebsgeheimnisse, wie Finanzdaten, technische Daten und Strategiepläne, die es zu schützen gilt, auf die aber auch von US-Behörden zugegriffen werden könnte, ohne dass der Cloud-Anwender zumindest über den Zugriff informiert wird bzw. davon Kenntnis erlangt.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.