© Ekaphon maneechot/Shutterstock.com
Ist Datenschutz ein Hemmschuh für den technischen Fortschritt in Unternehmen?

Die Grenzen der Cloud


Die globale Vernetzung schreitet in technischer Hinsicht rasch voran. Große Datenpakete lassen sich ohne wesentliche Verzögerung nahezu in die gesamte Welt übermitteln. Gerade der Hype um Cloud Computing zeigt, dass längst auch die Unternehmen die Möglichkeit, Daten fernab eigener Kapazitäten zu verarbeiten, für sich entdeckt haben. Welche rechtlichen Haftungsrisiken sie dabei eingehen, ist ihnen indes oft nicht bewusst. Wir geben Ihnen einen Überblick über die wichtigsten datenschutzrechtlichen Aspekte.

Die wirtschaftlichen Vorteile von Cloud Computing sind offensichtlich: Es besteht nicht nur die Möglichkeit, per Fernzugriff von überall auf die in der Cloud abgelegten Daten zuzugreifen, was unter anderem die eigene Mobilität steigert; eine umfassende Datenauslagerung kann für Unternehmen auch einen Wegfall der lokalen kostenintensiven IT-Infrastruktur bedeuten. Immer mehr Unternehmen lagern daher ihre Datenverarbeitungsprozesse in die Cloud zu externen Dienstleistern aus. Gerade wegen der attraktiven wirtschaftlichen Möglichkeiten, die technische Entwicklungen mit sich bringen, begeben sich Unternehmen allerdings oft blauäugig in für sie schier unübersehbare rechtliche Haftungsrisiken. Denn so unbegrenzt die technischen Möglichkeiten für ihre Anwender auch sein mögen – sie werden durch die gesetzlichen Vorgaben eingeschränkt. Besonders durch datenschutzrechtliche Bestimmungen werden den scheinbar unbegrenzten technischen Möglichkeiten des Cloud Computing enge Grenzen gesetzt.

Beachtung datenschutzrechtlicher Vorgaben

Datenschutzrechtliche Vorgaben sind immer dann zu beachten, wenn es um die Verarbeitung von personenbezogenen Daten geht, also Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person, dem so genannten Betroffenen. Datenschutzrechtliche Relevanz besteht daher vor allem dann, wenn Kunden-, Lieferanten- oder Mitarbeiterdaten vom Cloud-Anwender in der Cloud des Anbieters gespeichert werden.

Aus rechtlicher Perspektive handelt es sich bei der Ablage solcher Daten in der nicht unternehmenseigenen Cloud um die Übermittlung personenbezogener Daten an den Cloud-Anbieter. Eine solche Übermittlung personenbezogener Daten an einen Dritten bedarf grundsätzlich der Einwilligung jeder einzelnen betroffenen Person. Im Falle des Cloud Computing muss sich die Einwilligung dabei konkret auf die Verlagerung der Daten in die Cloud beziehen. Liegt – wie in den meisten Fällen – eine entsprechende Einwilligung des Betroffenen nicht vor, kann die Übermittlung der Daten nur durch einen gesetzlichen Erlaubnistatbestand legitimiert werden. Aber nur in den seltensten Fällen gelingt es, die Voraussetzungen einer gesetzlichen Erlaubnis zur Speicherung personenbezogener Daten in der Cloud zu erfüllen – mit der Folge, dass die Auslagerung der Daten in die Cloud ohne weitere Maßnahmen als unzulässig zu qualifizieren ist. Beispielsweise muss ein Transfer von personenbezogenen Daten zur Erfüllung eines Vertrags mit der betroffenen Person oder zur Wahrung berechtigter Interessen des Cloud-Anbieters erforderlich sein – eine Konstellation, die kaum vorstellbar scheint.

Auftragsdatenverarbeitung

Anders liegt der Fall, wenn zwischen dem Cloud-Anwender und dem Cloud-Anbieter eine vertragliche Vereinbarung über eine Datenverarbeitung im Auftrag abgeschlossen wurde. Eine solche Auftragsdatenverarbeitung liegt vor, wenn ein Dienstleister im Auftrag eines Unternehmens personenbezogene Daten erhebt, verarbeitet und nutzt. Das ist beim Cloud-Computing-Modell der Fall. Liegt eine entsprechende schriftliche Vereinbarung ...

Neugierig geworden? Wir haben diese Angebote für dich:

Angebote für Gewinner-Teams

Wir bieten Lizenz-Lösungen für Teams jeder Größe: Finden Sie heraus, welche Lösung am besten zu Ihnen passt.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang