Webshoprecht.de



Cloud Computing - Daten in der Wolke - Online-Speicherplatz - Auftragsdatenverarbeitung

Cloud Computing - Daten in der Wolke - Online-Speicherplatz - Auftragsdatenverarbeitung




Gliederung:


-   Einleitung
-   Allgemeines
-   Auftragsdateverwaltung
-   Haftung des Clouddienstes
-   Vererblichkeit der Daten
-   Foto-Upload in „private“ Cloud



Einleitung:


Es ist eines der ganz großen Zukunftsthemen der PC-Benutzung: Cloud Computing. Wie in einer über allem schwebenden Wolke sollen die Daten der User nicht mehr lokal auf dem eigenen Rechner gespeichert und verarbeitet werden, sondern auf Servern großer Anbieter wie Amazon, Google oder Microsoft.

Die Anbieter stellen ihre riesigen über den ganzen Erdball verteilten Serverfarmen zur Verfügung, um diese ggf. Milliarden von Internetnutzern als virtuelle Festplatte zur Verfügung zu stehen. Das macht die Datenhaltung erstens sicherer, weil kein Privatmann oder kleiner Unternehmer eine derartig hohe und schnelle und vor allem stets aktuelle Back-Up-Redundanz bieten kann, und zweitens verbilligt es potentiell die Hardware erheblich, weil weder teure und anfällige Festplatten noch übermäßig viel Arbeitsspeicher auf den Client-Rechnern vorhanden sein müssen.




Auf der anderen Seite sehen Skeptiker natürlich mit großen Bedenken, dass auf diese Weise kritische persönliche und Unternehmensdaten "außer Haus" (also "außer Kontrolle"?) verwahrt werden und möglicherweise der Datenschutz dabei nicht ausreichend gewahrt ist. Dabei muss aber bedacht werden, dass die Anbieter ihr Geld nicht mit Schnüffelei verdienen, sondern dass ihre Geschäftsmodelle geradezu ein hohes Vertrauen der Benutzer voraussetzen, wenn diese sich nicht in Massen von ihren Angeboten abwenden sollen.

Letztlich geht es aber nicht nur um Datenhaltung, sondern auch um das Zur-Verfügung-Stellen von Anwendungen wie beispielsweise CRM, CMS, Finanzsoftware, Datenbanken, E-Mail-Programme, Chatsoftware, Kommunikationssoftwäre jeglicher Art, Office-Software (Google Text & Tabellen, Microsoft Azure). Diese Anwendungen werden mit den diversen angebotenen Browsern aufgerufen und bedient.

Das Spiegel Wissen Lexikon zum Stichwort Cloud Computing:

   "Die Idee von „Cloud Computing“ ist, das Internet per Breitbandverbindung so zu nutzen, wie früher Großrechner per Terminal genutzt wurden. Der Endanwender am Büro- oder Heimschreibtisch bekommt nur noch ein relativ simples Gerät, über das er mit dem Internet verbunden ist. Das komplexe Betriebssystem, das aufwendige Textverarbeitungsprogramm, die funktionsüberbordende Tabellenkalkulation - all das läuft nicht mehr auf dem Rechner unter dem Tisch, sondern irgendwo in der „Wolke“ von Rechnern, die am Internet hängen; Videos werden nicht mehr von der persönlichen Festplatte abgespielt, sondern von Servern aus gestreamt ; und auch die unzähligen Gigabytes an Dokumenten, Fotos und Musik lagern nicht mehr auf dem Rechner unter dem Schreibtisch, sondern auf Servern irgendwo in einem Rechenzentrum. Die Anbieter der Software müssen nur noch in ihren Rechenzentren für Updates sorgen - die Nutzer greifen immer automatisch auf die aktuelle Version der Programme zu; um Backups müssen sie sich nicht mehr kümmern, dafür sorgen die Speicherplatz-Anbieter; und von jedem Rechner mit Internet-Anschluss fühlt sich das Arbeiten an, als säße man vor seinem eigenen Computer. Die Superrechner-Kraft des zeitgenössischen PC wird in die Rechnerwolke des Internet verlagert, für den Anwender bleibt ein einfaches Terminal.

Nach Google setzt seit Ende Oktober 2008 auch Microsoft auf die Verführungskraft des „Cloud Computing“ - wobei das Unternehmen aus Redmond die Wolken werbefreundlich im blauen Himmel von „Windows Azure“ hat verschwinden lassen. Noch steht die Entwicklung am Anfang, aber Experten sagen ihr eine große Zukunft voraus. Daran werden vermutlich auch die Kritiker nichts ändern können, die davor warnen, alle Daten wenigen Großkonzernen in den Rachen zu werfen: „Cloud Computing“ ist, wenn es denn funktioniert, einfach zu bequem."

Der Gedanke wird sogar soweit getrieben, dass künftig möglicherweise spezielle Betriebssysteme nur für das Cloud Computing entwickelt werden (siehe Google Chrome OS). Zumindest für den Netbookmarkt ist mit einer derartigen Entwicklung schon für die nächste Zukunft zu rechnen.

Allerdings muss beim Thema Cloud Computing ein starkes Augenmerk auf die Einhaltung des deutschen Datenschutzrechts gelenkt werden. Seit 2009 muss gem. § 11 Bundesdatenschutzgesetz (BDSG) derjenige, der seine Daten in die Cloud verlegen möchte - der Auftraggeber -, mit dem Unternehmen, auf dessen Server die Daten gelagert werden sollen - dem Auftragnehmer -, einen schriftlichen Verarbeitungsvertrag abschließen, in dem im einzelnen folgende Regelungen getroffen werden müssen:

der Gegenstand und die Dauer des Auftrags,

der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,

die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,

die Berichtigung, Löschung und Sperrung von Daten,

die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,

die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,

die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,

mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,

der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,

die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Eines der Hauptprobleme verursacht dabei - wie auch bei den großen sozialen Netzwerken - die Tatsache, dass die Daten u. U. nicht in Europa, sondern in Drittländern gespeichert und vorgehalten werden, die nicht das europäische und schon gar nicht das deutsche Datenschutzniveau gewährleisten. Zu diesen Staaten gehören beispielsweise auch die USA.

Es liegt auf der Hand, dass für kleinere Unternehmen der Abschluss derartiger Verträge mit Internetriesen wie Google, Amazon, Microsoft, aber auch beispielsweise Dropbox, Carbonite usw. nicht oder nur schwer erreichbar sein dürfte. Somit steht zu befürchten, dass bei strenger Anwendung des deutschen Datenschutzrechts gerade die kleinen Unternehmen von einer vielversprechenden und zukunftweisenden Technologie abgeschnitten werden.

Immerhin werden im Internet inzwischen entsprechende Musterverträge, u. a. auch von Google, zur Verfügung gestellt.




Zur Datenverarbeitung in der Cloud durch Unternehmen in Europa führt Rechtsanwalt Arnd Böken aus:

   "Ein deutsches Unternehmen ist an deutsches Datenschutzrecht gebunden, gleichgültig ob es Daten in einer Private Cloud verarbeitet oder die Angebote eines Cloud-Providers nutzt. Verarbeitet das Unternehmen personenbezogene Daten in der Cloud, also etwa Daten von Mitarbeitern, Kunden oder Lieferanten, so gilt dafür das Bundesdatenschutzgesetz (BDSG).

Die beste Möglichkeit, Cloud-Dienste datenschutzkonform entsprechend dem BDSG zu nutzen, ist die Auftragsdatenverarbeitung innerhalb einer EU/EWR-Cloud. Das bedeutet, dass der Cloud-Provider die Daten nur im Auftrag und auf Weisung des Unternehmens verarbeitet. Verantwortlich für die Datenverarbeitung ist dann weiterhin das Unternehmen. Auftragsdatenverarbeitung hat den großen Vorteil, dass die Daten problemlos zum Cloud-Anbieter transferiert werden dürfen. Der Auftragsdatenverarbeiter hat eine vergleichbare Stellung wie ein internes Rechenzentrum des Unternehmens.

Diese Vorteile können Unternehmen und Cloud-Anbieter aber nur in Anspruch nehmen, wenn sie auch wirksam die Voraussetzungen für Auftragsdatenverarbeitung schaffen. Dazu müssen sie einen schriftlichen Vertrag schließen, der eine Reihe von Bestimmungen zu Datenschutz und Datensicherheit enthält. Die Verträge sind umfangreich und schwierig zu verhandeln. Man muss hier zahlreiche Gesichtspunkte berücksichtigen.

Eine wichtige Voraussetzung ist, dass die Daten nur innerhalb des Europäischen Wirtschaftsraums (EWR) verarbeitet werden, also innerhalb der EU sowie Island, Liechtenstein und Norwegen. Nur dann erhält der Cloud-Anbieter eine Rechtsstellung, die mit einem internen Rechenzentrum des Unternehmens vergleichbar ist.

Genau hier liegt das Problem. Der Cloud-Anbieter muss garantieren, dass die Daten den EWR nicht verlassen. Cloud-Anbieter mit Sitz in der EU können diese Garantie problemlos geben. Viele deutsche Unternehmen nutzen diese Clouds, da sie die Vorteile einer Auftragsdatenverarbeitung innerhalb des EWR erkannt haben und für sich in Anspruch nehmen wollen."

Hat der Cloud-Anbieter seinen Sitz nicht in Europa, so muss er die Anforderungen des Safe-Harbor-Programms erfüllen, d. h. bestimmte Garantien hinsichtlich des Datenschutzes geben. Außerdem verlangen die deutschen Datenschutzbeauftragten dann, dass das Unternehmen mit dem Cloud-Provider einen schriftlichen Vertrag über die Auftragsdatenverarbeitung schließt (siehe oben und die nachstehenden Vertragsmuster) entsprechend den Grundsätzen des deutschen Rechts.

Allerdings het der EuGH (Urteil vom 06.10.2015 - C-362/14) befunden, dass das die Entscheidung 2000/520/EG der Kommission vom 26. Juli 2000 gemäß der Richtlinie 95/46 über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ gewährten Datenschutzes ungültig ist.

Safe Harbor (sicherer Hafen) ist eine Entscheidung der Europäische Kommission, bei deren Einhaltung es europäischen Unternehmen gestattet ist, personenbezogene Daten legal, d. h. datenschutzkonform in die USA zu übermitteln. Diejenigen amerikanischen Firmen, die sich verpflichten, sich entsprechend zu verhalten, treten dem Abkommen bei und lassen sich dementsprechend beim US-amerikanischen Handelsministerium registrieren. Unter den mehr als tausend registrierten Unternehmen sind auch alle großen bekannten Cloud-Anbieter, darunter auch die sozialen Netzwerke.

Ein typischer Fall der Auftragsdatenverarbeitung sind Analysetools wie beispielsweise Google Analytics.



Nachdem das "Safe-Harbor-System" durch die EuGH-Entscheidung obsolet geworden war, haben Verhandlungen zwischen den USA und Europa zum Privacy-Shield-System geführt: Die EU-Kommission überwacht ebenso wie die nationalen Datenschutzbehörden, ob jeweils noch ein angemessener Datenschutz gewährleistet ist. Insbesondere in den USA können die auf dem Gebiet der Datenverarbeitung tätigen Unternehmen nach Verpflichtung eines bestimmten Datenschutz-Levels eine vom US-Handelsministerium geführten Liste zeichnen, was zwischenzeitlich ca. 2.000 Unternehmen auch getan haben. Soweit die Kommission den Schutz der Daten für ausreichend hält, stellt sie dies durch entsprechende Angemessenheitsentscheidungen fest, auf die sich die Auftraggeber der Auftragsdatenverwaltung - auch gegenüber ihren nationalen Datenschutzbehörden - verlassen köinnen.

- nach oben -



Allgemeines:


Stichwörter zum Thema Datenschutz

Bundesdatenschutzgesetz (BDSG)

Bundesdatenschutzgesetz (BDSG) - gilt ab 25.05.2018

EU-AVG /EU-DSGV - Einzelbestimmungen anklickbar und in allen EU-Sprechen

Entscheidung der Kommission 2000/520/EG gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des von den Grundsätzen des „sicheren Hafens und der diesbezüglichen „Häufig gestellten Fragen (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA

Durchführungsbeschluss (EU) 2016/2297 der Kommission vom 16. Dezember 2016 zur Änderung der Entscheidung 2001/497/EG und des Beschlusses 2010/87/EU über Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer sowie an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates (deutsch)

Uitvoeringsbesluit (EU) 2016/2297van de commissie van 16 december 2016 tot wijziging van Beschikking 2001/497/EG en Besluit 2010/87/EU betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen en aan in derde landen gevestigde verwerkers, krachtens Richtlijn 95/46/EG van het Europees Parlement en de Raad (niederländisch)

Orientierungshilfe – Cloud Computing der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder sowie der Arbeitsgruppe Internationaler Datenverkehr des Düsseldorfer Kreises - Version 2.0 - Stand 09.10.2014

GDD (Gesellschaft für Datenschutz und Datensicherheit e.V.) - Mustervertrag zur Auftragsdatenverarbeitung gem. § 11 BDSG alt

GDD (Gesellschaft für Datenschutz und Datensicherheit e.V.) - Mustervertrag zur Auftragsdatenverarbeitung 2017 gem. Art. 28 DSGV

Google - Mustervertrag zur Auftragsdatenverarbeitung gem. § 11 BDSG

EuGH v. 06.10.2015:
Art. 25 Abs. 6 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr in der durch die Verordnung (EG) Nr. 1882/2003 des Europäischen Parlaments und des Rates vom 29. September 2003 geänderten Fassung ist im Licht der Art. 7, 8 und 47 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass eine aufgrund dieser Bestimmung ergangene Entscheidung wie die Entscheidung 2000/520/EG der Kommission vom 26. Juli 2000 gemäß der Richtlinie 95/46 über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ und der diesbezüglichen „Häufig gestellten Fragen“ (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA, in der die Europäische Kommission feststellt, dass ein Drittland ein angemessenes Schutzniveau gewährleistet, eine Kontrollstelle eines Mitgliedstaats im Sinne von Art. 28 der Richtlinie in geänderter Fassung nicht daran hindert, die Eingabe einer Person zu prüfen, die sich auf den Schutz ihrer Rechte und Freiheiten bei der Verarbeitung sie betreffender personenbezogener Daten, die aus einem Mitgliedstaat in dieses Drittland übermittelt wurden, bezieht, wenn diese Person geltend macht, dass das Recht und die Praxis dieses Landes kein angemessenes Schutzniveau gewährleisteten. - Die Entscheidung 2000/520 ist ungültig.

EuGH v. 06.10.2015 (Nederlands):
.
Positionspapier des ULD zum Urteil des Gerichtshofs der Europäischen Union vom 6. Oktober 2015, C-362/14

- nach oben -



Auftragsdatenverarbeitung:


OLG Düsseldorf v. 13.02.2015:
Die Übertragung von Inkassodienstleistungen stellt in aller Regel keine Auftragsdatenverarbeitung im Sinne des § 11 BDSG dar.

- nach oben -







Haftung des Clouddienstes:


Störerhaftung des Betreibers von Internetangeboten - Providerhaftung - Prüfungspflichten - Kontrollpflichten

OLG Köln v. 21.09.2007:
Der Sharehoster, der einen Server zur Verfügung stellt, auf dem seine Kunden Dateien speichern (hochladen) können, die mit Hilfe eines Download-Links, den die Kunden auch an Dritte weitergeben können, abgerufen oder anderweitig gespeichert werden können, ist nicht eo ipso Täter oder Teilnehmer dabei vorkommender Urheberrechtsverletzungen. Das gilt jedenfalls dann, wenn er ein Verzeichnis der auf dem Server gespeicherten Daten nicht anbietet. - Wird der Sharehoster von einer Verwertungsgesellschaft darüber unterrichtet, dass die Dateien unbefugt urheberrechtlich geschützte Werke enthalten, ist er zur Vermeidung seiner Störerhaftung gehalten, alle ihm zumutbaren Möglichkeiten zu nutzen, um entsprechende Verstöße für die Zukunft zu unterbinden.

OLG Hamburg v. 02.07.2008:
Lässt der Betreiber eines Sharehosting-Dienstes in Kenntnis begangener Urheberrechtsverletzungen weiterhin einschränkungslos eine anonyme Nutzung seines Dienstes zu, schneidet er dem verletzten Urheber sehenden Auges den erforderlichen Nachweis wiederholter Begehungshandlungen ab, welchen dieser benötigt, um auf der Grundlage der höchstrichterlichen Rechtsprechung seine Rechte erfolgreich und wirksam durchsetzen können. In diesem Fall kann sich der Betreiber zur Vermeidung seiner Verantwortlichkeit als Störer unter bestimmten Voraussetzungen nicht mehr auf eine ansonsten gegebenenfalls bestehende Unzumutbarkeit umfangreicher Prüfungspflichten berufen (Rapidshare I).

OLG Düsseldorf v. 27.04.2010:
Die schweizer Gesellschaft "Rapidshare", die Speicherplatz im Internet in der Weise zur Verfügung stellt, dass die Nutzung des Speicherplatzes zum Hochladen beliebiger Dateien zur Verfügung gestellt und den Hochladern durch Mitteilung eines Download-Links die Möglichkeit gegeben wird, anderen Nutzern Zugriff auf die gespeicherten Dateien zu verschaffen, haftet nicht als Täterin oder Teilnehmerin der von Nutzern begangenen Urheberrechtsverletzungen (hier: Vervielfältigung von Filmen - Anschluss OLG Köln, 21. September 2007, 6 U 86/07, MMR 2007,786; entgegen OLG Hamburg, 2. Juli 2008, 5 U 73/07, MMR 2008, 823). Auch eine Haftung als mittelbarer Störer wegen Zurverfügungstellung von Speicherplätzen kommt mangels Darlegung von ausreichenden effektiven Möglichkeiten der Vorbeugung, Verhinderung und gegebenenfalls nachträglichen Beseitigung urheberrechtlich geschützten Materials nicht in Betracht.

- nach oben -




Vererblichkeit der Daten:


Online-Nachlass - Erbmasse im Internet

LG Berlin v. 17.12.2015:
Der Erbe, der zugleich Sorgeberechtigter eines 15-jährigen Kindes war, ist berechtigt, den Zugang zu dessen Netzwerk-Account zu fordern. Weder Vorschriften des Datenschutzes noch Persönlichkeitsrechte Dritter stehen dem entgegen.

- nach oben -






Foto-Upload in „private“ Cloud:


Stichwörter zum Thema Urheberrecht und Urheberschutz

LG Heidelberg v. 02.12.2015:
Das Hochladen von Bildern in eine Cloud stellt weder eine öffentliche Zurschaustellung der Bilder im Sinne des § 22 Abs. 1, 2. Alt. KunstUrhG noch ein rechtswidriges Verbreitung von Bildnissen gem. § 22 Satz 1, 1. Alt. KunstUrhG dar.

- nach oben -






Datenschutz    Impressum