Cloud Computing und Safe Harbour Regeln

Von Amazon über Google bis hin zu Apple bieten zahlreiche IT-Konzerne ihre Cloud-Dienste an. Cloud Computing wird dabei von den Anbietern als einfache Möglichkeit dargestellt, mit der E-Mails, Datenbanken und Dateien auf den Servern des Anbieters gespeichert werden können und unabhängig von der eigenen IT-Hardware stets und überall abgerufen werden können. Doch so einfach ist es eben nicht, wie Rechtsanwalt Thomas Feil im folgenden Beitrag erklärt.

Werden im Rahmen von Cloud Services auch personenbezogene Daten übermittelt, ist dabei zu beachten, dass diese nur innerhalb der EU und dem EWR frei zwischen Ländern transferiert werden dürfen. Sollen Daten in Drittstaaten, wie z.B. die USA, übermittelt werden, stellt sich die Frage nach dem dortigen Datenschutzniveau und den sogenannten Safe-Harbour-Regeln.

Am einfachsten ist es, wenn der Ziel-Staat über ein angemessenes Datenschutzniveau verfügt. Eine Datenübermittlung ist dann erlaubt. Ob dies der Fall ist, wird von der EU-Kommission ermittelt. Eine Übersicht zu den Entscheidungen ist im Internet abrufbar. Derzeit ist ein angemessenes Datenschutzniveau anerkannt für die Schweiz, Kanada und Argentinien.

Thomas Feil ist seit 1994 als Rechtsanwalt in Hannover tätig. Er ist Fachanwalt für IT-Recht und Arbeitsrecht. Zu seinen Tätigkeitsschwerpunkten gehört auch das Vergaberecht.

Wenn im Zielland kein angemessenes Datenschutzniveau existiert, dürfen personenbezogene Daten nicht übermittelt werden. Es gibt jedoch auch Ausnahmen (siehe § 4c BDSG). Die praktisch wichtigsten betreffen den Einsatz von Standardvertragsklauseln und verbindlichen Unternehmensregeln. Diese stellen Selbstverpflichtungen dar, welche nach einer Genehmigung durch die Aufsichtsbehörde einen Transfer von personenbezogenen Daten in Drittstaaten ermöglichen.

Für die USA ist ein angemessenes Datenschutzniveau nicht anerkannt. Aufgrund der großen praktischen Relevanz gibt es hier jedoch ein Sonderverfahren, das den Datentransfer unter Umständen dennoch erlaubt. Dies ist der Fall, wenn sich das Empfängerunternehmen in den USA zur Einhaltung der Safe Harbour-Grundsätze verpflichtet und sich in eine Liste der Federal Trade Commission (FTC), des US-Handelsministeriums, hat eintragen lassen.

Seit ihrer Entstehung im Jahr 2000 ist die Safe Harbour-Regelung wiederholt kritisiert worden. Insbesondere die sehr oberflächlich gehaltenen Datenschutzerklärungen der US-Unternehmen, sowie die mangelnde Überwachung der Einhaltung der Selbstverpflichtungserklärungen sind angegriffen worden.

Das Safe Harbour-Abkommen hat nach wie vor Gültigkeit. Gleichzeitig ist jedoch zu beachten, dass gemäß § 4b Abs. 5 BDSG die übermittelnde Stelle "die Verantwortung für die Zulässigkeit der Übermittlung trägt (…)". Ist der verantwortlichen Stelle bekannt, dass das Unternehmen im Drittstaat die datenschutzrechtlichen Regeln nicht einhält, sollte im eigenen Interesse ein anderer zuverlässiger Dienstleister gesucht werden. (Marzena Sicking) / (map)
(masi)