Immobilien

Datenschutz gibt es auch in der Cloud

Die Datenschutzrechtsnovelle hat die Anforderungen an die Auslagerung von IT-Dienstleistungen deutlich verschärft. Dies betrifft nicht nur die gesetzlichen Anforderungen an den Outsourcingvertrag – zu regeln sind insbesondere Kontrollpflichten, Technik, Organisation und Unterauftragsvergabe –, sondern auch die formale Beschränkung auf Auslagerungsvorhaben innerhalb Europas oder der EWR-Staaten. Die strengen datenschutzrechtlichen Anforderungen an ein IT-Outsourcing werden daher vielfach als grundsätzliches Argument gegen Cloud Computing für Unternehmen gesehen. „Die Auslagerung der Verarbeitung personenbezogener Daten in die Cloud ist zwar datenschutzrechtlich komplex, aber keineswegs problematisch“, meint dagegen Kai Westerwelle, Partner im Frankfurter Büro von Taylor Wessing.

16. Oktober 2012

Betreffen die geäußerten Bedenken doch in erster Linie die Public Clouds, also weltweite Angebote von Cloud-Computing-Leistungen an beliebig viele Unternehmen, bei denen Daten gegebenenfalls auch außerhalb Europas verarbeitet werden, Kontrollen nur eingeschränkt möglich und Unterauftragnehmer unter Umständen nicht eindeutig zu bestimmen sind. Demgegenüber sind Auslagerungen in eine „Private Cloud“, also eine unternehmensinterne oder externe, aber dedizierte IT-Umgebung, lediglich an den Kriterien eines klassischen IT-Outsourcings zu messen. Den datenschutzrechtlichen Bedenken zum Cloud Computing tragen auch so genannte „Hybrid Clouds“ als Mischform Rechnung, in denen z. B. die Verarbeitung personenbezogener Daten in einer Private Cloud und die sonstige Datenverarbeitung in Public Clouds erfolgt.

„Letztlich kann aber auch eine vollständige Auslagerung in eine Public Cloud datenschutzrechtskonform gestaltet werden, da die internationalen Cloud-Computing-Provider die Restriktionen des deutschen Datenschutzrechts vielfach erkannt und in ihren Verträgen, Leistungen und Prozessen adressiert haben“, so der Fachanwalt für Informationstechnologierecht weiter. Dies gilt auch für die formale Beschränkung auf eine innereuropäische Auslagerung, der viele Cloud-Anbieter durch lokal auf Deutschland oder Europa beschränkte Clouds Rechnung tragen oder die über Europa hinausgehende Auslagerung durch den Abschluss anerkannter EU-Standardvertragsklauseln zur cloudweiten Herstellung des europäischen Datenschutzniveaus datenschutzrechtlich zulässig machen.