zurück Blog

Datenschutz in der Cloud: Wer hat Recht?

Die Rechtsprechung rund um die Datennutzung ist weder für Privatpersonen noch für Unternehmen eindeutig geklärt. Vor allem der Einsatz von Cloud Services erfordert mehr Klarheit. Der IT-Fachanwalt und Datenschutzexperte beantwortet die wichtigsten Fragen rund um die Cloud.

Herr Feil, welches Datenschutzrecht gilt im Umgang mit der Cloud? Das deutsche oder das europäische?
Wir haben im eigentlichen Sinne kein europäisches Datenschutzrecht. Es gibt Planungen, ein einheitliches Datenschutzniveau einzurichten, aber das ist noch in der politischen Diskussion. Es gilt daher deutsches Datenschutzrecht. Wenn ein Unternehmen in Deutschland Daten in die Cloud gibt, findet erst einmal das Bundesdatenschutzgesetz Anwendung. Für Behörden sind das entsprechend die Landesdatenschutzgesetze.

Welche Regelungen greifen, wenn Cloud-Anbieter ihre Rechenzentren im europäischen Ausland betreiben?
Unternehmen, die Cloud Services im europäischen Ausland betreiben möchten, sollten einen sogenannten Auftragsdatenverarbeitungsvertrag abschließen. In diesem Vertrag ist genau geregelt, wo die Daten gehostet werden. Der Cloud Provider ist im engeren Sinne ein Dienstleister, der lediglich Ressourcen bereitstellt. Wichtig ist jedoch, dass die Daten in Europa bleiben.

Im Vertrag muss also der Ort des Hostings klar geregelt sein?
Absolut. In der Anfangsphase von Cloud Services war diese Verpflichtung ein echter Wettbewerbsnachteil für große Anbieter wie Google, Amazon und Microsoft.Zunächst konnten diese Unternehmen nicht sicherstellen, dass die Daten zu hundert Prozent in Europa verbleiben oder teilweise in die USA ausgelagert werden. Das ist für deutsche Unternehmen nicht akzeptabel, weil die USA aus der deutschen Perspektive kein sicheres Datenschutzniveau bieten.

Kann man den Schutz seiner Daten prüfen und wie wird er gewährleistet?
Der Vertrag mit einem Cloud-Anbieter ist mit entsprechenden Rahmenbedingungen versehen. Hier muss auch vermerkt sein, dass das Hosting in der Europäischen Union erfolgt. Bei der Auftragsdatenverarbeitung ist der Auftraggeber jedoch verpflichtet, sich davon überzeugen, dass sich das auch so verhält. Seriöse Anbieter legen entsprechende Zertifikate oder Nachweise von Wirtschaftsprüfern meist unaufgefordert vor der Austragserteilung vor.

Welche Aspekte sind noch zu berücksichtigen?
Ein weitverbreiteter Irrtum bezieht sich darauf, welche Daten unter rechtlichen Gesichtspunkten überhaupt schützenswert sind. Betroffen sind nur personenbezogene Daten, die unverschlüsselt in die Cloud gelangen. Dann ist das Bundesdatenschutzgesetz nicht anwendbar.

Gibt es für den Betrieb von Cloud Services im Ausland weitere Kriterien?
Es gibt einen wichtigen Aspekt, der die steuerliche Sichtweise betrifft. Grundsätzlich ist die Speicherung sämtlicher Daten, die steuerlich relevant sind, im Hoheitsgebiet der deutschen Finanzbehörden erlaubt. Wenn man steuerlich relevante Daten, wie zum Beispiel die Buchhaltung, in die Cloud legen möchte, muss das zuständige Finanzamt zunächst eine Genehmigung dazu erteilen.

Was empfehlen Sie bei der Auswahl eines Cloud Providers?
Die rechtlichen Konsequenzen werden oftmals nicht ausreichend betrachtet. Ein Beispiel ist der Zeitpunkt, wenn Unternehmen den Cloud Provider wechseln möchten. Hier müssen Sie sicher sein, dass der Vertragspartner nicht eigenmächtig mit Datenbeständen umgeht. Im Vertrag muss bei Vertragsschluss vereinbart werden, wie ich bei einem Providerwechsel an meine Daten komme, welche Daten gelöscht und welche archiviert werden. So kann sichergestellt werden, dass die Datenarchivierung verantwortungsvoll und im Sinne gültiger Rechtsprechung erfolgt.

Thomas Feil

Rechtsanwalt Thomas Feil ist Fachanwalt für IT-Recht und Arbeitsrecht in Hannover. Seine Spezialisierungen umfassen das Datenschutzrecht, Urheberrecht, Wettbewerbsrecht und das Markenrecht. Darüber hinaus ist er als externer Datenschutzbeauftragter tätig.

1 Star2 Stars3 Stars4 Stars5 Stars (2 votes, average: 5,00 out of 5)
Loading...


Kommentarrichtlinien
Wenn Sie Kommentare auf dem Angebot hinterlassen, werden Daten wie bspw. IP-Adressen gespeichert. Dies geschieht zur Sicherheit der Anbieterin für den Fall, dass jemand im Bereich „Comments“ rechtlich unzulässige bzw. strafbare Inhalte hinterlässt (bspw. Beleidigungen etc.). Da die Anbieterin hier selbst in Anspruch genommen werden kann, ist sie an der Identität des Nutzers interessiert.

LESEN SIE AUCH

Anja Osterloh im Gespräch: Verändern verbindet

  Nach der Entwicklung der neuen Struktur besteht die mod Gruppe nun bereits seit drei Jahren aus den drei Geschäftsfeldern Finance & Accounting, Human Resources und IT-Services. Die erfolgreiche Positionierung als Gesamtdienstleister für mittelständische Unternehmen […]

mehr
Interview – Die IT im Mittelstand hat echtes Potenzial mehr
So wird das Unternehmen mobil mehr
Marketing für die IT-Abteilung mehr
Der User als Kunde – Interne Leistungsverrechnung mehr

AKTUELLE ARTIKEL

IT-Sicherheitsgesetz: Vage Verordnung oder konkrete Anweisung? mehr
Penetration Tester m/w mehr
IT-ServiceDesk Agent m/w mehr
On Premise war gestern – das neue Arbeiten in der Cloud mehr