Cloud Computing ist aus rechtlicher Sicht, zumindest in einigen Bereichen, immer noch ein heikles Thema. Gerade auch aufgrund der grenzüberschreitenden Dienstleistungen bestehen größtenteils Unsicherheiten bezüglich des anwendbaren Rechts. Klärungsbedarf besteht auch hinsichtlich des Urheberrechts, der Lizenzbedingungen und vor allem Dingen des Datenschutzes. Im Folgenden soll die datenschutzrechtliche Problematik näher dargestellt werden.
Datenschutz
Datenschutzrechtlich sind die Cloud-basierten Dienstleistungen gerade deswegen problematisch, weil vielfach personenbezogene Daten betroffen sind und daher auch verschiedene datenschutzrechtliche Vorgaben zu berücksichtigen sind.
Unterstellt man die Geltung deutschen Datenschutzrechts, sind insbesondere folgende Aspekte zu berücksichtigen:
Die Regelungen hierzu finden sich im Bundesdatenschutzgesetz. Hiernach ist die Verarbeitung personenbezogener Daten nur dann erlaubt, wenn es sich um eine sog. Auftragsdatenverarbeitung handelt. Hierbei bleibt der Nutzer „Herr seiner Daten“ und datenschutzrechtlich weiter verantwortlich, obwohl seine Daten betrieblich ausgelagert sind. Er ist per Gesetz dazu verpflichtet, den Auftragsdatenverarbeiter sorgfältig auszusuchen. Dies gilt insbesondere insoweit, als dass der Auftragsdatenverarbeiter technische und organisatorische Maßnahmen zu treffen hat, um gewährleisten zu können, dass sensible personenbezogene Daten nicht in unbefugte Kreise gelangen. Darüber hinaus muss der Auftraggeber die Einhaltung dieser Aspekte immer wieder kontrollieren und sicherstellen. Gerade dies könnte für die meisten Unternehmen problematisch sein. Oft ist es gar nicht nachvollziehbar, auf welchen Servern sich die Daten momentan befinden.
Hier stellen sich insbesondere auch Fragen der Internationalität der Datenverarbeitung. Personenbezogene Daten dürfen nämlich nur ausnahmsweise in das außereuropäische Ausland gelangen. Dazu muss das Schutzniveau am Zielort dem deutschen Schutzniveau entsprechen. Dies kann z.B. durch die EU-Standardvertragsklauseln oder für die USA durch die „Safe Harbour Registrierungen“ erreicht werden. Die meisten Staaten erreichen dieses Schutzniveau jedoch nicht. Um auch Daten im außereuropäischen Ausland zu lagern, was durchaus üblich ist, kann eine Verschlüsselung der Daten vorgenommen werden, wodurch diese ihren persönlichen Charakter verlieren. Dadurch können sie in der Cloud gespeichert werden, wobei ihre Verarbeitung aus der Cloud heraus eine Entschlüsselung voraussetzt.
Anwendbares Recht
Eine grundlegende Frage ist auch, welches Datenschutzrecht überhaupt anwendbar ist, wenn ein Unternehmen in einem anderen Staat ansässig ist. Werden Daten in Deutschland durch ein Unternehmen, das in einem anderen Mitgliedsstaat der Europäischen Union ihren Sitz hat, verarbeitet oder genutzt, so ist gem. § 1 Abs. 5 S. 1 des Bundesdatenschutzgesetzes das deutsche Datenschutzrecht nicht anwendbar. Für außereuropäische Unternehmen, beispielsweise solche in den USA, gilt das Territorialitätsprinzip. Dies bedeutet, dass bei einer Datenverarbeitung in Deutschland auch deutsches Recht anwendbar ist.
Nach einem aktuellen Bericht aus Brüssel strebt die EU-Kommission zurzeit mit einem „Made in Europe“-Siegel eine „ganzheitliche Cloud-Computing-Strategie in der EU“ an, um europäische Standards für Datenschutz und IT-Sicherheit in der Cloud zu entwickeln und u.a. die „Standardvertragsklauseln“ für die Verarbeitung personenbezogener Daten neu zu definieren.
Fazit
Festzuhalten ist, dass Cloud Computing in den IT-Unternehmen eine immer größere Rolle spielen wird. Grundsätzliche Hindernisse stehen dem Cloud Computing nicht entgegen. Wie in der Vergangenheit schon bei anderen IT-Services beobachtet werden konnte, werden sich auch für das Cloud Computing gewisse Standards und Lösungsansätze entwickeln, um dem Datenschutzrecht gerecht zu werden.