Seine Botschaft: Rechtlich ist Cloud Computing nichts anderes als Outsourcing. Man kann die wirtschaftlichen Vorteile der Wolke in Einklang bringen mit den gesetzlichen Anforderungen an Datenschutz und Datensicherheit. Man muss nur auf die Details achten.
Zunächst geht es um die rechtskonforme Datenübermittlung, denn in der Regel werden auch personenbezogene Daten in die Cloud übertragen. Ein Geschäftsbrief mit Name und Anschrift oder eine normale E-Mail erfüllen bereits diese Anforderung. Die Folge: Bei der Datenübermittlung finden die strengen Datenschutzgesetze Anwendung. Sie geben vor, dass personenbezogene Daten nur mit einer sogenannten gesetzlichen Ermächtigungsgrundlage übermittelt werden dürfen. Das erste Zwischenfazit des Referenten: Eine solche Datenübermittlung in die Cloud ist zulässig, denn die Regelungen für eine „Auftragsdatenverarbeitung“ erfüllen § 9 und § 11 BDSG.
Die zweite Hürde ist der Datenschutz. Aus Sicht des Referenten ist es gerade hier unbestritten, dass die meisten Anbieter von Cloud Services viel in die Sicherheit der Rechenzentren investiert haben. Die Vorgaben des § 9 BDSG sind demnach erfüllt, wenn eine konkrete Beschreibung der Sicherheitsmaßnahmen in einem Datensicherheitskonzept vorliegt und verbindlicher Bestandteil des Cloud-Vertrages ist. Hier ist eine Zertifizierung des Cloud-Anbieters nach der international gültigen Norm ISO 27001 mit jährlichen Überwachungsaudits eine zufriedenstellende Lösung.
Umstritten: Serverfarmen in Übersee
Der Fachanwalt für IT-Recht berichtet, dass sich die deutschen Datenschutzbehörden einig seien, dass in der EU ein ausreichend hohes Datenschutzniveau bestehe. Außerhalb der EU ist der Schutz personenbezogener Daten allerdings weitgehend unbekannt. Zahlreiche internationale Outsourcing-Projekte würden aber den Weg zu rechtlich zufriedenstellenden Lösungen weisen. Outsourcing werde rechtlich als Auftragsdatenverarbeitung anerkannt, wenn zwei Aspekte berücksichtigt würden: Zum einen führe die unveränderte Anwendung von EU-Standardvertragsklauseln auch in einem „nicht sicheren Drittland“ zu einem angemessenen Datenschutzniveau. Zum anderen liege mit dem „Safe-Harbor-Abkommen“ zwischen der EU-Kommision und der US-Regierung (aus dem Jahr 2000) eine etablierte Lösung für die USA vor. Mit der „freiwilligen Selbstverpflichtung“ des Cloud-Anbieters und der Einhaltung einiger Verpflichtungen führe Safe Harbor zu einem angemessenen Datenschutzniveau. Das bestätige ein Beschluss der obersten Aufsichtsbehörden für den Datenschutz (Beschluss Düsseldorfer Kreis von 2010 zu Safe Harbor für Cloud Computing).
Bedenken, das der FBI mit dem sogenannten „Patriot Act“ (US-amerikanisches Bundesgesetz vom 25.10.2001) unter bestimmten Voraussetzungen jederzeit Zugriff auf die Unternehmensdaten von US-Unternehmen nehme könne, wurden vom Referenten relativiert. Schließlich hätten staatliche Behörden noch weitere Möglichkeiten zur Erlangung von Informationen, der Anwendungsbereich sei eng an die Bekämpfung des Terrorismus geknüpft und schließlich seien die Maßnahmen seit Mai 2011 gerichtlich überprüfbar. Als Lösung schlägt der Referent ein vertragliches Herausgabeverbot sowie den Schutz durch das EU-Datenschutzrecht vor, indem der Vertrag mit einer EU-Tochter des Cloud-Anbieters abgeschlossen wird.
Das Fazit des Vortrags: Die rechtlichen Herausforderungen sind mit einem konstruktiven und praxisnahen Ansatz aller Beteiligten lösbar.