Daten in die Cloud – aber mit Bedacht

Sogar in der Fernsehwerbung sind Cloud-Angebote mittlerweile angekommen. Neben zahlreichen kleineren Anbietern buhlen die ganz Großen wie Google, Apple, Microsoft, Amazon und die Telekom um die Gunst der Kunden. Versprochen werden insbesondere der Datenzugriff von überall, Backup-Funktionen, automatische Synchronhaltung aller Geräte und Einsparmöglichkeiten. So verlockend das klingt, rechtlich betrachtet sollten Unternehmer ihre Daten nie bedenkenlos in der Wolke speichern - sonst droht datenschutz- und mitunter steuerrechtlicher Ärger.

[image]Umfassender Schutz personenbezogener Daten

Das Bundesdatenschutzgesetz (BDSG) verpflichtet jeden - abgesehen von der ausschließlichen Speicherung für persönliche oder familiäre Zwecke - zum verantwortungsvollen Umgang mit personenbezogenen Daten. Es dient damit vor allem dem Grundrecht auf informationelle Selbstbestimmung. Über Preisgabe und Verwendung personenbezogener Daten bestimmt demnach jeder Einzelne. Dritten drohen bei Verstößen dagegen hohe Bußgelder, Schadensersatzklagen und Geld- und Haftstrafen - von Imageschäden ganz zu schweigen.

Identifizierbarkeit der Daten ist entscheidende Frage

Entscheidende Frage für die Personenbezogenheit der Daten ist: Lässt sich mittels ihnen eine Einzelperson identifizieren? Name, Alter, Herkunft, Geschlecht, Ausbildung, Familienstand, Telefonnummer, Post-, E-Mail- und IP-Adressen stellen typische Beispiele dar. Aber auch Informationen zu Konsumverhalten und Kreditwürdigkeit können personenbezogen sein. Belanglose Daten gibt es laut Bundesverfassungsgericht dabei nicht. Letztlich kommt es immer darauf an, ob die Informationen den Rückschluss auf eine bestimmte natürliche Person zulassen. Politische Meinungen, religiöse Überzeugungen, ethnische Herkunft und Gewerkschaftszugehörigkeit stehen als Beispiele besonderer Daten unter noch stärkerem Schutz. Indirekt betrifft das auch Daten zum Gehalt und zu beruflichen Fehlzeiten. Umgekehrt bedeutet das aber auch, dass Unternehmensdaten ohne Personenbezug keine datenschutzrechtlichen Bedenken aufwerfen. Bloße Warenlisten, Analysen, Darstellungen oder Ähnliches ohne Personenbezug unterliegen nicht dem BDSG.

Cloud-Nutzung als Auftragsdatenverarbeitung

Daten zu bearbeiten, ist nur mit gesetzlicher Erlaubnis oder persönlicher Einwilligung des Betroffenen erlaubt. Vor allem ihre sorglose Weitergabe verschärfte die Regeln des Datenumgangs im Laufe der Zeit. Denn ohne Sicherheit, wer, wann mit welchen personenbezogenen Daten umgehen darf, ist die informationelle Selbstbestimmung nichts mehr wert. Im Mittelpunkt der Cloud-Nutzung steht daher die Frage: Wie lassen sich Datenschutz und Datenwolke vereinbaren? Cloud-Lösungen unterfallen nach dem BDSG der sogenannten Auftragsdatenverarbeitung. Diese liegt nur bei Weisungsgebundenheit des Auftragnehmers vor. Das Gesetz behandelt diesen dabei wie eine ausgelagerte Abteilung des Auftraggebers, der den Anbieter dementsprechend regelmäßig zu überwachen hat.

Datensicherheit ist zu gewährleisten

Immens wichtig ist die Datensicherheit. Die Anlage zu § 9 BDSG nennt dazu die acht goldenen Regeln des Datenschutzes. Unbefugter Zutritt zur Datenverarbeitungsanlage, unerlaubte Datennutzung sowie unkontrollierter Zugriff auf die Daten sind zu verhindern. Des Weiteren ist die Datenweitergabe so zu organisieren, dass keine Daten nach außen dringen und nachvollziehbar bleibt, an wen die Daten gelangten. Ebenso zu kontrollieren ist, wer die Daten bearbeitet hat und ob dies gemäß der Weisungen des Auftraggebers geschah. Nicht zuletzt sind auch Maßnahmen gegen Datenverlust und zur getrennten Datenverarbeitung zu treffen. Ein Vertrag mit dem Cloud-Anbieter muss insbesondere diese Punkte enthalten.

Ausführlicher Vertrag und spätere Kontrolle erforderlich

Mit dem Vertrag allein ist es nicht getan: Der Cloud-Nutzer hat sich gemäß § 11 BDSG vor Beginn der Datenverarbeitung sowie danach von der Einhaltung der technischen und organisatorischen Vorkehrungen zu überzeugen, das schriftlich zu dokumentieren und den Aufsichtsbehörden auf Anforderung Auskunft zu erteilen. Derartige Verträge mit großen Cloud-Anbietern auszuhandeln und sie zu kontrollieren, dürfte für viele unmöglich sein. Viele Verträge ausländischer Anbieter unterwerfen sich höchstselten deutschem Datenschutzrecht. So dürfte auch die stets zu beantwortbare Frage, wo die Daten physisch liegen, schwerfallen. Google behält sich etwa vor, Daten irgendwo auf der Welt zu speichern.

Vorsicht bei der Datenspeicherung im Ausland

Das führt direkt zum Problem der Datenspeicherung im Ausland. Abgesehen von den Ländern Kanada, Schweiz, Argentinien, Guernsey sowie der Isle of Man existiert nach Ansicht der EU-Kommission außerhalb der EU und des EWR kein dem europäischen Niveau genügender Datenschutz. Brisant wird das bei der Datenspeicherung in den USA - Heimatland insbesondere von Google, Apple, Amazon und Microsoft und vieler ihrer Rechenzentren. Grund ist der USA PATRIOT Act zur Terrorbekämpfung, der insbesondere die Dateneinsicht ohne Richterbeschluss zulässt. Mit hiesigem Datenschutzrecht ist das unvereinbar. Zwar verpflichten sich mittlerweile viele US-Unternehmen zur Einhaltung europäischer Datenschutzstandards aufgrund des zwischen der EU und den USA geschlossenen Safe-Harbor-Abkommens. Aus EU-Sicht ist eine Übermittlung personenbezogener Daten an diese US-Unternehmen legal. Viele Fachleute zweifeln dies jedoch an. Denn das Safe-Harbor-Abkommen ist nur eine freiwillige Selbstverpflichtung ohne Nachkontrolle. Und der weitergehende Cybersecurity Act erlaubt sogar die effektive Aufhebung des Datenschutzes. Microsoft gibt deshalb etwa offen zu, Daten ohne Weiteres an US-Behörden preiszugeben - selbst wenn sie auf europäischen Servern liegen. Mittels eines möglichen staatlichen Maulkorb-Erlasses erfahren Betroffene eventuell nicht einmal etwas davon.

Rechtliche Absicherung ist wichtig

Dringend anzuraten ist daher die Wahl eines Anbieters, der dem europäischen - besser noch dem deutschen - Datenschutzniveau unterliegt. Außerdem ist die intensive Suche nach einem sicheren Anbieter angesichts der drohenden Konsequenzen Pflicht. Denn auch danach verbleibt die Verantwortung für personenbezogene Daten überwiegend beim Auftraggeber. Diese vor der Speicherung zu verschlüsseln, erscheint wenig praktikabel. Und letztendlich kann der Schutz auch geknackt werden.

Steuerlich relevante Daten nur nach Genehmigung

Cloud-Computing kann auch steuerrechtliche Folgen haben. Seit 2010 dürfen Steuerpflichtige gemäß § 146 Abs. 2a Abgabenordnung steuerlich relevante Daten auch im Ausland speichern. Allerdings nur nach vorheriger Genehmigung der Finanzbehörden und innerhalb des EU- und EWR-Gebiets. Eine Erlaubnis darüber hinaus gibt es nur in Härtefällen. Auf eine Personenbezogenheit der Daten kommt es, anders als im Datenschutzrecht, dabei nicht an.

(GUE)