Datenschutzrecht und ausländische Cloud-Computing-Anbieter
Bevor personenbezogene Daten an einen Dienstleister übertragen werden, müssen die datenschutzrechtlichen Fragen geklärt werden. Insbesondere, wenn der Anbieter im Ausland sitzt.
- Marzena Sicking
Cloud-Computing ist in aller Munde, geradezu grenzenlos scheinen die Möglichkeiten zu sein. Das sind sie aber ganz und gar nicht – zumindest, wenn es um das Thema Datenschutz geht. Rechtsanwalt Thomas Feil erklärt, worauf bei der Weitergabe von personenbezogenen Daten geachtet werden muss.
Nimmt ein Unternehmen Cloud-Computing-Dienste in Anspruch, kann es vorkommen, dass personenbezogene Daten im Sinne des Datenschutzgesetzes (BDSG) an den Cloud-Dienstleister übertragen werden. Hier stellt sich die Frage nach der datenschutzrechtlichen Zulässigkeit.
Thomas Feil ist seit 1994 als Rechtsanwalt in Hannover tätig. Er ist Fachanwalt für IT-Recht und Arbeitsrecht. Zu seinen Tätigkeitsschwerpunkten gehört auch das Vergaberecht.
Das Datenschutzrecht sieht in § 3 Abs. 8 BDSG für den Fall der sogenannten Auftragsdatenverarbeitung, also wenn ein Dienstleister auf Geheiß des Auftraggebers personenbezogene Daten verarbeitet, eine Privilegierung vor. Diese bewirkt, dass keine zusätzliche Erlaubnisnorm für die Übermittlung der personenbezogenen Daten an den Dienstleister erforderlich ist. Ein Auftraggeber kann im Grundsatz also personenbezogene Daten, die er selbst speichern und verarbeiten darf, auch an einen Cloud-Computing-Dienst übermitteln.
Eine wichtige Einschränkung ist allerdings zu beachten. Die Privilegierung gilt nämlich ausschließlich dann, wenn sich der Dienstleister innerhalb der Europäischen Union oder dem Europäischen Wirtschaftsraum (EWR) befindet. Werden die Daten hingegen außerhalb dieser Staaten gespeichert oder verarbeitet, wird die Situation komplizierter. Zwar ist es grundsätzlich zulässig, personenbezogene Daten in Drittstaaten zu übermitteln, wenn keine schutzwürdigen Interessen des Betroffenen dagegen stehen. Erforderlich ist aber ein angemessenes Datenschutzniveau im Drittstaat. Teilweise gibt es hierzu verbindliche Feststellungen seitens der EU-Kommission, z.B. für die Schweiz. In Staaten mit geringerem Datenschutzniveau, wie den USA, können die Safe-Harbour-Regelungen den Datentransfer erlauben, wenn sich das Empfängerunternehmen vertraglich zu einem hohen Datenschutzniveau verpflichtet. Existiert im Drittstaat kein angemessenes Datenschutzniveau und greift auch keine Safe-Harbour-Ausnahme, können die Daten unter Umständen auch dann übermittelt werden, wenn die Betroffenen der Übermittlung ausdrücklich zugestimmt haben.
Man muss also beim Abschluss eines Cloud-Computing-Vertrags darauf achten, wo sich das Dienstleistungsunternehmen befindet und in welchem Staat die Daten gespeichert werden. Außerhalb der EU und des EWR sollten die rechtlichen Voraussetzungen der Datenübermittlung genau geprüft werden, um etwaigen rechtlichen Schwierigkeiten vorzubeugen. (Marzena Sicking) /
(map)
(masi)
