Datenschutz in China, Indien und USA
Finger weg von der Cloud im Ausland
Wie sicher sind meine (personenbezogenen) Daten in der Cloud überhaupt? Wann beziehungsweise wo muss ich damit rechnen, dass ausländische Behörden auf meine Daten zugreifen? Kann ich überhaupt meinen Pflichten als in datenschutzrechtlicher Hinsicht verantwortliche Stelle in vollem Umfang nachkommen? Diese Fragen stellen sich vor allem diejenigen Unternehmen, die ihre Daten schon in die Cloud verschoben haben oder dies beabsichtigen. Dies gilt insbesondere, nachdem im Sommer 2011 nun auch "offiziell" bekannt wurde, dass beispielsweise US-Behörden nach dem so genannten Patriot Act auf Cloud-Daten europäischer Unternehmen zugreifen können.
Datenschutzrechtlicher Hintergrund
"Anwender dürfen Cloud-Services nur dann in Anspruch nehmen, wenn sie in der Lage sind, ihre Pflichten als verantwortliche Stelle in vollem Umfang wahrzunehmen und die Umsetzung der Datenschutzanforderungen und Informationssicherheitsanforderungen geprüft haben. Dies betrifft neben den Anforderungen an Vertraulichkeit, Integrität und Verfügbarkeit der Daten insbesondere die in diesem Umfeld schwierig umzusetzenden Anforderungen an Kontrollierbarkeit, Transparenz und Beeinflussbarkeit der Datenverarbeitung", lautet die offizielle Entschließung der 82. Konferenz der Datenschutzbeauftragten des Bundes und der Länder, die am 28. und 29. September 2011 in München stattfand.
- Tipps zur datenschutzrechtlichen Vorsorge
Wie sicher sind meine (personenbezogenen) Daten in der Cloud überhaupt? Wann beziehungsweise wo muss ich damit rechnen, dass ausländische Behörden auf meine Daten zugreifen? Fünf Tipps für mehr Sicherheit beim Cloud Computing. - Tipp 1:
Nutzen Sie nur europäische Clouds, um Konflikte mit dem hiesigen Datenschutz zu vermeiden - Tipp 2:
Bei internationalen Cloud-Modellen mit Bezug zu unsicheren Drittstaaten müssen ausreichende Garantien des Cloud-Dienstleisters eingefordert werden. - Tipp 3:
Machen Sie gegebenenfalls von dem Ihnen möglicherweise zustehenden Sonderkündigungsrecht Gebrauch. Als erste Orientierungshilfe gibt es dazu es ein Positionspapier des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein, ULD, vom 15. November 2011 - Tipp 4:
Prüfen Sie bevor sie sich für einen Cloud-Dienstleisters entscheiden dessen Beteiligungsverhältnisse in möglicherweise unsichere Drittstaaten. - Tipp 5:
Gestalten Sie Ihre Verträge mit den Cloud-Anbietern auch in datenschutzrechtlicher Hinsicht rechtssicher, indem Sie (neben den Mindestanforderungen aus Paragraf 11 BDSG) auch den Speicher- und Verarbeitungsort Ihrer Daten genau festlegen und Übermittlungsverbote Ihrer Daten in unsichere Drittstaaten vereinbaren und mit Vertragsstrafen verbinden.
Diese von den Datenschützern postulierten Anforderungen sind allerdings insbesondere dann nicht mehr einzuhalten, wenn sich Anwender für Cloud-Angebote mit internationalen Verflechtungen entscheiden, weil sie sich dann unversehens ausländischen Rechtsordnungen gegenüber sehen. Damit kann etwa die Situation entstehen, dass der Cloud-Provider ausländischen Behörden Zugriffsrechte einräumen oder Daten in unsichere Drittstaaten übermitteln muss (Übermittlungsobliegenheit).
Unsichere Drittstatten sind datenschutzrechtlich die Länder außerhalb der EU beziehungsweise des Europäischen Wirtschaftsraums (EWR; das sind die EU-Länder plus Norwegen, Island und Liechtenstein), bei denen laut EU-Kommission kein angemessenes Datenschutzniveau herrscht.