webbasiert:
business critical Web Applikationen Blog

Login Impressum Valid XHTML 1.0 Transitional
Name Passwort

rechtlich korrekte Datenhaltung beim Cloud Computing 

(2010-04-07, 09:14)Der EuroCloud Verband trägt gerade die Regeln für rechtliche compliance von Cloud Computing zusammen, die dann auch in das Gütesiegel für Software as a Service einfliessen.
Dafür ist notwending, daß wir eine Aufstellung der Bestimmungen brauchen, die Anwendung finden bei der Nutzung von Cloud Computing.

Dieses sollte ausdifferenziert werden nach Datensensibilität, Lokalität und Interessenslage des Kunden/Nutzers von Cloudservices.

Wenn es gesetzliche Mindestanforderungen sowie je nach Branche oder Art der Daten oder Nutzung Spezialanforderungen gibt leiten sich daraus Infrastrukturanforderungen ab.

Die juristischen Ausgangsgrundlagen sind in verschiedenen Gesetzen beschrieben (Übermittlungsleistungen, Auftragsdatenverarbeitung, 203 StGB, 11 StGB, 28 BDSG etc. und zu ergänzen). Für die Praktiker werden hier praktische Anwendungsbeispiele beschrieben werden müssen, die eine Erklärung und verstädnliche Interpretation liefern.

Zielsetzung kann dann sein, einerseits die Complianceregeln, die sich ein Softwareanbieter setzen sollte, zu erarbeiten, andererseits eine Checkliste mit Dos&Donts zusammenzustellen, die einem Nutzer die Entscheidung für einen Cloudservice erleichtert.

Mir ist durch die Gespräche zu dem Thema Cloud Compliance klar geworden, dass eines meiner Projekte sich aus meiner Sicht juristisch in einer nicht ganz klaren Situation befindet. Da hat sich keiner über die rechtliche Compliance Gedanken gemacht. Lediglich die technischen Aspekte (QoS) wurden vertraglich berücksichtigt. Dazu wurden AGBs, die von einem Juristen geprüft waren, verwendet. Für mich ist es wichtig, unseren mittelständischen deutschen Software- und Serviceanbietern eine Hilfestellung für die nationalen und internationalen Gegebenheiten zu geben. Sie müssen ein Gefühl dafür bekommen, wo sie sich juristisch absichern müssen, bzw. wo sie heute und unter welchen Bedingungen in Deutschland Cloud Services anbieten können.
Diese Fokusgruppe von euroCloud hat kompetente Experten und kann einen wertvollen Beitrag zur Aufklärung des rechtlich sicheren Einsatz von Cloud Computing leisten.

Im Rahmen der Gütesiegelbetrachtung wird mit der Konzentration auf die Zielgruppe der Software- und Serviceanbieter ebenfalls ein Beitrtag geleistet werden, wenn es gelingt, die Gewichtung von Muss- und Kannanforderungen abzubilden. Aus rechtlicher Sicht bestätigt sich , dass es nicht 'das EINE' Gütesiegel geben kann: was der eine Service erfüllen muss, muss der andere nicht unbedingt erfüllen. Trotzdem können beide zu Recht ein Gütesiegel beanspruchen.

Auftragsdatenverarbeitung kontra Übermittlungsmodell

Für die Nicht-Juristen unter uns: Bei der Auftragsdatenverarbeitung wird der Cloud-Anbieter vertraglich sehr eng an den Kunden angebunden, insbesondere darf er die Daten nur nach den Weisungen des Kunden behandeln. Der Anbieter wird dadurch datenschutzrechtlich zu einer 'internen Abteilung' des Kunden. Folge dieser engen Anbindung ist, dass der Anbieter aus Sicht des Datenschutzrechts kein 'Dritter' mehr ist. Erhält der Anbieter vom Kunden personenbezogenen Daten, so liegt keine 'Übermittlung' vor, für die ein datenschutzrechtlicher Erlaubnistatbestand benötigt würde. Hierin liegt der 'Reiz' einer Auftragsdatenverarbeitung.

Vermeidung von Auftragsdatenverarbeitung

Allerdings hat das Modell auch Nachteile, vorallem, weil § 11 BDSG umfangreiche Vorgaben macht, welche Regelungen in einen Auftragsdatenverarbeitungsvertrag gehören. Und diese sind bei einem Cloud Computing Verhältnis nicht leicht umzusetzen sind. Aus diesem Grund wird teilweise versucht, eine Auftragsdatenverarbeitung zu vermeiden. Der Anbieter ist dann ein Dritter im Sinne des Datenschutzrechtes und die Übermittlung von personenbezogenen Daten bedarf eines Erlaubnistatbestandes. Hierfür kommt vorallem eine Klausel im BDSG in Betracht, die auf einer Interessensabwägung beruht. Mit entsprechenden flankierenden Regelungen (die häufig einer Auftragsdatenverarbeitung ähneln), lässt sich so die Datenübermittlung an einen 'Dritten' rechtfertigen.

Nachteile der Übermittlungsvariante

  1. Das Modell funktioniert meist nicht mehr, wenn 'besondere Arten von Daten' im Sinne des BDSG (z.B. Daten zur Gesundheit, Gewerkschaftszugehörigkeit etc) im Raum stehen, was leider häufig der Fall ist bzw. nicht ausgeschlossen werden kann.
  2. Wenn das Verhältnis der Parteien einer Auftragsdatenverarbeitung ähnelt, wirkt die Übermittlungs-Lösung etwas gekünstelt oder besser gesagt: ihr haftet der 'Makel' an, es handle sich um eine Umgehung der gesetzlichen Anforderungen für eine Auftragsdatenverarbeitung. Damit will ich nicht sagen, dass die Übermittlungs-Lösung kein gangbarer Weg ist. Ich habe aber schon mehr als einmal erlebt, das der Datenschutzbeauftragte beim Kunden ein solches Modell nicht 'durchschaut' und auf einem Auftragsdatenverarbeitungsvertrag besteht. Der deutsche mittelständische Softwareanbieter (unsre Zielgruppe) wird sich dann schwer tun, seinem Kunden das Übermittlungsmodell schmackhaft zu machen.
  3. Das Übermittlungsmodell erspart dem Anbieter zwar die Einhaltung von § 11 BDSG, diesen Vorteil erkauft er sich aber, weil er als Datenempfänger mitverantwortlich für die Rechtmäßigkeit der Datenverarbeitung wird, was nach meiner Meinung ein nicht zu unterschätzender Nachteil ist.
  4. Was gerne übersehen wird: Das Übermittlungsmodell sprengt die Kette von Auftragsdatenverarbeitungsverhältnissen. Verarbeitet der Cloud-Kunde die Daten seinerseits für einen Kunden, mit dem er einen Auftragsdatenverarbeitungsverhältnis geschlossen hat, kann er regelmäßig einem Übermittlungsmodell nicht zustimmen. Beispiel: Ein Callcenter übernimmt für einen TK-Anbieter den Kundensupport, hierfür erhält das Callcenter Kundendaten des TK-Anbieter, die es als typischerweise als Auftragsdatenverarbeiter verarbeitet. Das Callcenter will nun eine Software im Wege des SaaS Modells nutzen, um die Kundendaten zu verwalten. Dies ist nur möglich, wenn der SaaS Anbieter seinerseits Auftragsdatenverarbeiter ist, da der Vertrag zwischen Callcenter und TK-Anbieter in der Regel vorsieht, dass die Daten nur an Subunternehmer weitergegeben werden die die Daten im Auftrag des Callcenters verarbeiten (und mindestens das gleiche Schutzniveau vorsehen, wie der Vertrag TK-Anbieter/Callcenter).

wichtig: richtige Nutzung der gesetzlichen Rahmen

Ich möchte damit nicht vorschlagen, dass wir uns auf ein Modell festlegen, halte es aber für sinnvoll dem Auftragsdatenverarbeitungsmodell ausreichend Raum zu schenken. Vor allem sollten wir Hinweise geben, wie die gesetzlichen Anforderungen beim Cloud Computing praktisch umgesetzt werden können.

© bitobito GmbH 2009