Cloud Computing und datenschutzrechtliche Risiken

Die datenschutzrechtliche Situation beim Cloud Computing ist insbesondere im internationalen Datentransfer rechtlich höchst unterschiedlich bewertet. Im Folgenden sollen drei Entwicklungen unter zum Teil neuen Aspekten aufgezeigt werden:

1. Update zu den Safe-Harbor Anforderungen – Reding: „Eher ein Schlupfloch als eine Absicherung.“

Nach den aktuellen Datenschutzvorkommnissen im Datenaustausch mit den USA gerät das Safe-Harbor-Abkommen immer mehr in die Kritik. Justizkommissiarin Viviane Reding ist der Ansicht, dass es mittlerweile eher ein Schlupfloch zur Datenübermittlung als ein Sicherheitsabkommen sei. Auch CSU-Abgeordnete und die EVP-Fraktion des europäischen Parlamentes fordern eine Aufkündigung des Abkommens. Dies berichtet der Spiegel am 29.10.2013. Sollte es zu einer Aufkündigung des Abkommens kommen, bedeutete dies für den wirtschaftlichen Alltag eine erheblich Erschwerung, da zusätzlich die EU-Standard-Vertrags-Klauseln zum Datentransfer abgeschlossen werden müssten. Aus eigener Praxis kann berichtet werden, dass sich große US-Unternehmen bereits darauf einstellen und bei Verträgen in der EU automatisch zusätzlich zum Safe-Harbor-Abkommen die EU-Standard-Vertragsklauseln anbieten.

Die zum Teil in der Presse zu lesenden Aufkündigungen des Safe Harbor-Abkommens durch deutsche Aufsichtsbehörden sind rechtlich nicht möglich, da das Anerkenntnis des Abkommens aufgrund der EU-Datenschutzrichtlinie durch die EU-Kommission erfolgte. Eine Kündigung durch deutsche Aufsichtsbehörden ist damit nicht möglich. Ein mögliches Nicht-Anerkenntnis der deutschen Aufsichten solcher Verträge würde wohl an einer richtlinienkonformen Auslegung des deutschen Rechts scheitern, was aber im Einzelfall zu prüfen wäre.

Der Düsseldorfer Kreis als Gremium der Aufsichtsbehörden für den nicht-öffentlichen Bereich erachtet die bloße Selbstzertifizierung mit dem Safe-Harbor-Abkommen schon lange als ungenügend (Beschl.v. 28.4.2010). US-Unternehmen können sich mit diesem Siegel vom US-Handelsministerium (US Federal Trade Commission, FTC) auszeichnen lassen. Solange keine konsequente Umsetzung des Regelwerks zu beobachten ist, sind somit Datenexporteure in der Pflicht, vor Übermittlung der Daten die Empfänger in Bezug auf datenschutzrechtliche Aspekte zu überprüfen. Im Zweifel sollten weitergehende Standardvertragsklauseln oder Binding Corporate Rules vereinbart bzw. präferiert werden. Auch eine Vermeidung des Transfers und ein Ausweichen auf europäische Dienste sind denkbar, solange die unternehmerische Praxis dies zulässt.

Die FTC hatte auf die Kritik im April dieses Jahres reagiert und versichert, dass zusätzliche Nachweispflichten, sowie weitergehende Standardvertragsklauseln und Binding Corporate Rules nicht notwendig seien. Die FTC ahndete seit 2009 allerdings nur zehn US-Firmen, u.a. MySpace, Google und Facebook wegen nicht korrekter Umsetzung des Abkommens.

2. Cloud-Zertifikate – zum Nachweis für technisch-organisatorische Maßnahmen geeignet?

Außer Safe-Harbor gibt es noch andere Zertifikate, die Cloud-Anbieter erwerben können. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) vergibt seit 2005 das Siegel ISO 27001. Amerikanische Anbieter weisen oftmals das Zertifikat SAS-70 bzw. den Nachfolger SSAE 16 nach. Da diese Zertifizierungen aber weder spezifisch auf Cloud Computing noch IT-Prozesse eingehen, ist die Aussagekraft fragwürdig. Nach Möglichkeit sollten andere Zertifizierungen verlangt werden. Erprobt wird aktuell das Gütesiegel Eurocloud Star Audit SaaS. Die Prüfpalette sieht u.a. örtliche Audits, Besichtigungen des Rechenzentrums sowie Recht und Compliance vor. Das BSI hat angekündigt, bis Ende 2013 eine Richtlinie für Zertifizierungen fertigzustellen, die Webservices, Management, Storage und Nutzung einer Cloud umfasst.

3. Behördliche Zugriffsrechte in der Cloud: von Patriot Act und NSA.

Fraglich sind Sicherheit und Datenschutz gerade von US-Unternehmen durch die weitgehenden Zugriffsrechte von US-Behörden auf Grundlage des Patriot Act und aufgrund von Zugriffen durch die NSA. Besonders problematisch ist hierbei, dass das Speichern von Daten in europäischen Rechenzentren dieser Firmen keinen ausreichenden Schutz gewährt. Der Patriot Act ermöglicht den Zugriff auf Daten von Unternehmen auch außerhalb der USA. Erforderlich ist lediglich, dass das betroffene Unternehmen irgendwie in den USA geschäftlich tätig ist, schon eine US-Tochtergesellschaft ist ausreichend. Zwei europäische Studien (Cloud Computing in Higher Education and Research Institutions and the USA Patriot Act und Fighting Cyber Crime and Protecting Privacy in the Cloud), eine davon durch das EU-Parlament in Auftrag gegeben, kommen zu dem Ergebnis, dass die unter dem Patriot Act verabschiedeten Anti-Terror-Gesetze weitreichende Zugriffsmöglichkeiten der US-Behörden nicht nur auf in Amerika gespeicherte Daten zulassen. Auf der Grundlage des Patriot Act könnten daher europäische Daten ausspioniert werden, mit der Konsequenz, dass die strengen Datenschutzrichtlinien der EU außer Kraft gesetzt werden würden.