Deutsche Datenschützer zum Phänomen Cloud Computing
von , veröffentlicht am 07.06.2010Der BfDI hat in seiner jüngsten Pressemitteilung auf die Veröffentlichung des Eckpunktepapiers "Ein modernes Datenschutzrecht im 21. Jahrhundert" der Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 18.3.10 hingewiesen. Dort wurden auf einem 41-seitigen Papier Eckpunkte zur Modernisierung des Datenschutzes erstellt.
Ein wichiges Thema der Datenschützer war unter anderem auch das Cloud Computing und Datenverarbeitung im Auftrag. Siehe zum Cloud Computing in der MMR http://rsw.beck.de/rsw/shop/default.asp?sessionid=E8EA55A4702A4613B572923516331395&docid=281111&docClass=NEWS&site=MMR&from=mmr.10
In dem Papier heißt es zum Cloud Computing u.a. (S. 14ff.) : "Die Neufassung des Begriffs der verantwortlichen Stelle sowie die Einführung des Prinzips der nachhaltigen Verantwortlichkeit („Accountability") ermöglichen vor allem bei der Beteiligung mehrerer Stellen an der Datenverarbeitung eine interessengerechte Verteilung der Verantwortlichkeit. Jede Stelle ist verantwortlich, wenn und soweit sie in tatsächlicher Hinsicht über Mittel und Zwecke der Datenverarbeitung verantwortlich bestimmen kann. Die Betroffenen können ihre Rechte gegenüber jeder verantwortlichen Stelle geltend machen."
Damit bleiben die Datenschützer noch relativ vage. Man muss erst einmal wissen, wo sich die Daten überhaupt befinden - und das ist nicht einfach, wenn die Daten "in die Wolke" ausgelagert werden. Dese Feststellung ist aber wichtig, wenn es irgendwo zu einem Bruch der Datensicherheit kommt. Überdies: Welches Recht ist "in der Wolke "anwendbar?. Und schließlich: Die Praxis hat auch gezeigt, dass bei der Abspeicherung im Ausland in der "Wolke" Begehrlichkeiten der Strafverfolgungorgane aller möglichen Länder auf Zugang zu den Daten geweckt werden. Wie wollen die Datenschützer dem entgegentreten?
Gibt es Kommentare zu Thema Cloud Computing und Datenschutz?
Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben
2 Kommentare
Kommentare als Feed abonnierenDas Eckpunktepapier scheint bezüglich des Cloud Computing ergänzungsbedürftig. So wichtig der Aspekt des Berufsgeheimnisses zweifellos ist, liegt der Schwerpunkt der Probleme doch eher in der allgemeinen Zulässigkeit:
Wird die Verarbeitung von Personendaten wohin immer ausgelagert, muss doch wohl ein Auftragsverhältnis iSv § 11 BDSG begründet werden. Ganz angesehen davon, ob eine rein elektronische Form der Auftragserteilung hier ausreichend ist, müssen eine Reihe von Regelungen getroffen werden, die regelmäßig mit Cloud-Betreibern irgendwo auf der Welt kaum praktikabel geschlossen und v.a. kaum kontrolliert werden können. Welcher Cloud-Betreiber wird dem Kunden Rechte zur Kontrolle vor Ort (etwa in Irland) einräumen wollen ? Und welcher betriebliche Beauftragte für den Datenschutz kann den Daten rund um die Welt nachreisen ? Und weiß er überhaupt, auf welche Länder sich die Cloud erstreckt ? Die Rechnerkonfigurationen können sich schließlich schnell ändern .
Was gilt für Unterauftragsverhältnisse von Cloud-Betriebern ? Müssen/können diese offengelegt werden ? Und welche Weisungen muss/darf der Kunde dem Cloud-Betreiber erteilen ?
Diese Liste lässt sich noch länger fortsetzen. Deshalb nur kurz ein Fazit: Personendatenverarbeitung ist nicht mit Cloud Computing zu vereinbaren- jedenfalls, wenn nicht feststellbar ist, welche Wege die Daten in der Cloud nehmen.
RA Dr. Frank A. Koch, München
Danke Herr Koch - das ist ein wichtiger Gesichtspunkt. Besonders interessant wird es, wenn die Daten in die USA gelangen, wo sie z.B. für die Regierugnsstellen nach dem US Patriot Act zugänglich werden. Aus diesem Grund dürfen beispielsweise in Kanada Regierungsstellen und - institutionen im Wege des Cloud Computing keine Daten in die USA auslagern.
Sieh z.B. http://www.zdnet.com/blog/service-oriented/cloud-computings-earthly-bonds/1114
Manche kanadische Bankdaten müssen nach dem Bank Act im Inland gespeichert werden. Alles schwierig "in der Wolke" nachzuhalten.