116 47 2MB
German Pages 342 Year 2016
Internetrecht und Digitale Gesellschaft Band 4
Cloud Computing – Herausforderungen an den Rechtsrahmen für Datenschutz
Von Thorsten Hennrich
Duncker & Humblot · Berlin
THORSTEN HENNRICH
Cloud Computing – Herausforderungen an den Rechtsrahmen für Datenschutz
Internetrecht und Digitale Gesellschaft Herausgegeben von
Dirk Heckmann
Band 4
Cloud Computing – Herausforderungen an den Rechtsrahmen für Datenschutz
Von Thorsten Hennrich
Duncker & Humblot · Berlin
Die Juristische Fakultät der Universität Passau hat diese Arbeit im Jahre 2015 als Dissertation angenommen.
Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.
Alle Rechte vorbehalten
© 2016 Duncker & Humblot GmbH, Berlin
Fremddatenübernahme: L101 Mediengestaltung, Berlin Druck: buchbücher.de gmbH, Birkach Printed in Germany ISSN 2363-5479 ISBN 978-3-428-14780-9 (Print) ISBN 978-3-428-54780-7 (E-Book) ISBN 978-3-428-84780-8 (Print & E-Book) Gedruckt auf alterungsbeständigem (säurefreiem) Papier entsprechend ISO 9706 Internet: http://www.duncker-humblot.de
Meiner Familie
Vorwort Cloud Computing steht für das flexible, dynamische, skalierbare und bedarfsorientierte Anbieten, Nutzen und Abrechnen von Infrastruktur- und Anwendungskomponenten über das Internet „als Dienst“. Die vielfältigen Chancen und Vorteile von Cloud Computing treffen jedoch auf einen Rechtsrahmen, der die Besonderheiten (global) verteilter, multimandantenfähiger und virtualisierter IT-Infrastrukturen konzeptionell noch gar nicht zu berücksichtigen hatte. Die zentralen Herausforderungen von Cloud Computing an den Rechtsrahmen für Datenschutz werden auf Grundlage des BDSG und der Entwicklungen im Zuge der EU-Datenschutzreform praxisnah und anhand typischer Spannungsfelder erörtert. Im Fokus stehen das anzuwendende Datenschutzrecht, der Personenbezug von Daten, die Daten- und Informationssicherheit sowie die Auftragsdatenverarbeitung. Da globale Datenströme und weltweite Netzwerke das technische Rückgrat einer globalisierten Wirtschaft und Gesellschaft bilden, liegt ein Schwerpunkt auch auf internationalen Datentransfers – aus Gründen der Praxisrelevanz vor allem in die USA auf Basis der „Safe-Harbor-Vereinbarung“. Die vorliegende Arbeit wurde im ersten Halbjahr des Jahres 2015 von der Juristischen Fakultät der Universität Passau als Dissertation angenommen. Sehr herzlich danke ich meinem Doktorvater, Herrn Prof. Dr. Dirk Heckmann, für die hervorragende Unterstützung und Betreuung des Promotionsvorhabens sowie für die Aufnahme in seine Schriftenreihe. Insbesondere die Gelegenheit zur Mitwirkung an einer Studie zum sicheren Einsatz von Cloud Computing für Kommunen ermöglichte Grundlagenforschung zum „status quo“ von IT-Outsourcing der öffentlichen Hand. Forschungsergebnisse dieser Studie sind auch in die vorliegende Arbeit eingeflossen. Herrn Prof. Dr. Kai von Lewinski danke ich herzlich für die Erstellung des Zweitgutachtens und seine wertvollen Hinweise. Ganz besonders danke ich meinen Eltern, Hiltrud und Lothar Hennrich, sowie meinen verstorbenen Großeltern, Hedwig und Franz Englmaier, die mit ihrer unschätzbaren und vielfältigen Unterstützung meine Ausbildung und diese Arbeit ermöglicht haben. Ihnen und meiner ganzen Familie – auch meinem kleinen Neffen und Patenkind Felix, der auf seine lustige Art oft zur Entspannung beitrug – ist diese Arbeit gewidmet.
8 Vorwort
Bei meinem Bruder Matthias Hennrich bedanke ich mich für technischen Input zum Thema Cloud Computing, zahlreiche Anregungen sowie für die Möglichkeit, jederzeit auf sein großes Know-how in diesem Bereich zurückgreifen zu können. Durch die gemeinsame Führung eines Colocation- / Hosting-Anbieters seit dem Jahr 2001 konnte für diese Arbeit zugleich auf jahrelange Praxiserfahrung mit Cloud- und Virtualisierungstechnologien zurückgegriffen werden. Meinem Bruder Dr. Stephan Hennrich danke ich für seine vielfältige Unterstützung, insbesondere für zahlreiche Diskussionen und wertvolle Tipps rund um diese Arbeit. Er hatte stets ein offenes Ohr für meine Anliegen und nahm sich auch bei komplexen juristischen Themen immer gerne die notwendige Zeit. Für zahlreiche Gespräche, Feedback und gemeinsame Veröffentlichungen danke ich vor allem Herrn Dr. Fabian Niemann und Herrn Dr. Michael Marc Maisch. Neben diversen Fachaufsätzen und Studien ist diese Arbeit das zentrale Ergebnis einer jahrelangen rechtlichen Befassung mit der Materie Cloud Computing, die auch künftig weitergehen wird. Die Untersuchung wurde im September 2014 abgeschlossen. Die nachfolgende rechtliche Entwicklung wurde bis Juli 2015 berücksichtigt. Frankfurt am Main, im Juli 2015
Thorsten Hennrich
Inhaltsübersicht A. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 I. Cloud Computing – IT „as a Service“. . . . . . . . . . . . . . . . . . . . . . . . . . 35 II. Chancen und Risiken innovativer Technologielösungenals Herausforderungen an einen Rechtsrahmen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 III. Gang der Darstellung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 B. Die Grundlagen von Cloud Computing . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 I. Von Mainframes zu Datenwolken. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 II. Technische Rahmenbedingungen für Cloud Computing . . . . . . . . . . . . 46 III. Basistechnologien von Cloud Computing. . . . . . . . . . . . . . . . . . . . . . . . 49 IV. Begriff und Definition von Cloud Computing. . . . . . . . . . . . . . . . . . . . 56 V. Service Modelle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 VI. Bereitstellungsmodelle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 VII. Die geographischen Dimensionen von Cloud Computing. . . . . . . . . . . 82 C. Zentrale Herausforderungen von Cloud Computing an den Rechtsrahmen für Datenschutz. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 I. Einleitung – Das Spannungsfeld zwischen Cloud Computing und Datenschutz. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 II. Das anzuwendende Datenschutzrecht bei einem „Rechnen in Datenwolken“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 III. Der Personenbezug von Daten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 IV. Internationale Datentransfers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147 V. Allgemeine Daten- und Informationssicherheit (§ 9 BDSG). . . . . . . . . 207 VI. Auftragsdatenverarbeitung (§ 11 BDSG) . . . . . . . . . . . . . . . . . . . . . . . . 235 VII. Datenübermittlung (nach § 28 Abs. 1 S. 1 Nr. 2 BDSG). . . . . . . . . . . . 293 D. Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298 I. Herausforderungen an das anzuwendende Datenschutzrecht. . . . . . . . . 298 II. Herausforderungen an den Personenbezug von Daten. . . . . . . . . . . . . . 300 III. Herausforderungen im Kontext internationaler Datentransfers an EUStandardvertragsklauseln und verbindliche Unternehmensregelungen . 301 IV. Herausforderungen an transatlantische Datentransfers in die USA auf Basis von Safe Harbor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303
10 Inhaltsübersicht V. Herausforderungen an die Grundsätze der Daten- und Informationssicherheit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304 VI. Herausforderungen an eine Auftragsdatenverarbeitung. . . . . . . . . . . . . 306 VII. Herausforderungen an eine Datenübermittlung . . . . . . . . . . . . . . . . . . . 309 Literaturverzeichnis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311 Sachverzeichnis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338
Inhaltsverzeichnis A. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 I. Cloud Computing – IT „as a Service“. . . . . . . . . . . . . . . . . . . . . . . . . . 35 II. Chancen und Risiken innovativer Technologielösungenals Herausforderungen an einen Rechtsrahmen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 III. Gang der Darstellung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 B. Die Grundlagen von Cloud Computing . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 I. Von Mainframes zu Datenwolken. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 1. Meilensteine des Informationszeitalters auf dem Weg zur Cloud . . 42 2. Cloud Computing – Evolution oder Revolution? . . . . . . . . . . . . . . . 45 II. Technische Rahmenbedingungen für Cloud Computing . . . . . . . . . . . . 46 1. Breitbandige Internetzugänge und mobile Kommunikation . . . . . . . 46 2. Vielfältige Zugangsgeräte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 a) Von PC bis Smartphone – Zugangsgeräte in Zeiten wachsender mobiler Kommunikation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 b) Zugangsgeräte in einem Smart Grid und Internet der Dinge. . . 47 c) Thin Clients und Zero Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 3. Einfache Zugriffsmöglichkeiten via Browser oder App. . . . . . . . . . 48 4. Leistungsstarke Hardware und breitbandige Standortvernetzung. . . 49 III. Basistechnologien von Cloud Computing. . . . . . . . . . . . . . . . . . . . . . . . 49 1. Grid Computing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 2. Computer Cluster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 3. Service-orientierte Architekturen (SOA) . . . . . . . . . . . . . . . . . . . . . . 51 4. Virtualisierung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 a) Systemvirtualisierung durch einen Hypervisor. . . . . . . . . . . . . . . 53 b) Anwendungsvirtualisierung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 c) Vorteile. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 5. Server-based Computing und Application Service Providing. . . . . . 55 IV. Begriff und Definition von Cloud Computing. . . . . . . . . . . . . . . . . . . . 56 1. Einleitung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 2. The NIST Definition of Cloud Computing. . . . . . . . . . . . . . . . . . . . 57 3. Definition des BSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 4. Stellungnahme und zugrunde gelegte Begriffsdefinition. . . . . . . . . . 59 5. Abgrenzung zu „klassischem“ IT-Outsourcing . . . . . . . . . . . . . . . . . 61 V. Service Modelle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 1. Einleitung – Der Gedanke von „IT / Everything as a Service“ (XaaS). 62 2. Infrastructure as a Service (IaaS). . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
12 Inhaltsverzeichnis a) Wesentliche Charakteristika und Vorteile. . . . . . . . . . . . . . . . . . . 63 b) Praxisbeispiele. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 aa) Amazon Web Services. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 (1) Amazon Elastic Compute Cloud (Amazon EC2). . . . . . 66 (2) Amazon Simple Storage Service (Amazon S3). . . . . . . 66 (3) Availability Zones und Regionen. . . . . . . . . . . . . . . . . . 67 bb) Dropbox . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 3. Platform as a Service (PaaS). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 a) Wesentliche Charakteristika und Vorteile. . . . . . . . . . . . . . . . . . . 68 b) Praxisbeispiele. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 4. Software as a Service (SaaS). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 a) Wesentliche Charakteristika und Vorteile. . . . . . . . . . . . . . . . . . . 69 b) Praxisbeispiele. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 aa) Microsoft Office 365 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 bb) Google Apps for Business. . . . . . . . . . . . . . . . . . . . . . . . . . . 72 cc) salesforce.com. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 dd) Apple iCloud. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 5. Weitere Ausprägungen und Spezifizierungen. . . . . . . . . . . . . . . . . . . 74 VI. Bereitstellungsmodelle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 1. Public Cloud. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 a) Charakteristika und wesentliche Elemente. . . . . . . . . . . . . . . . . . 74 b) Vor- und Nachteile von Public Clouds. . . . . . . . . . . . . . . . . . . . . 75 2. Private Cloud. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 a) Charakteristika und wesentliche Elemente. . . . . . . . . . . . . . . . . . 76 b) Vor- und Nachteile von Private Clouds. . . . . . . . . . . . . . . . . . . . 77 c) „Echtes“ Cloud Computing in der Private Cloud? – Eine Frage des begrifflichen Verständnisses. . . . . . . . . . . . . . . . . . . . . . . . . . 78 3. Spezielle Ausprägungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 a) Hybrid Cloud. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 b) Virtual Private Cloud. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 c) Community Cloud. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 d) Regionale Clouds und weitere Unterteilungen. . . . . . . . . . . . . . . 81 VII. Die geographischen Dimensionen von Cloud Computing. . . . . . . . . . . 82 C. Zentrale Herausforderungen von Cloud Computing an den Rechtsrahmen für Datenschutz. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 I. Einleitung – Das Spannungsfeld zwischen Cloud Computing und Datenschutz. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 II. Das anzuwendende Datenschutzrecht bei einem „Rechnen in Datenwolken“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 1. Einleitung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 2. Rechtsrahmen – § 1 BDSG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 a) Territorialitätsprinzip. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
Inhaltsverzeichnis13 b) Kollisionsrechtliche Regelungen nach § 1 Abs. 5 BDSG . . . . . . 88 aa) Kollisionsregelung gegenüber EU / EWR-Staaten (§ 1 Abs. 5 S. 1 BDSG). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 (1) Sitzprinzip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 (2) Niederlassungsprinzip . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 bb) Kollisionsregelung gegenüber Drittstaaten (§ 1 Abs. 5 S. 2–4 BDSG) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 3. Herausforderungen von Cloud Computing an das anzuwendende Datenschutzrecht. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 a) Die Herausforderung der Bestimmung des Datenverarbeitungsstandorts und dessen territoriale Zuordnung zu einer Jurisdiktion bei grenzüberschreitenden Datenverarbeitungsszenarien . . . . . . 91 aa) Charakteristika dieser Herausforderung. . . . . . . . . . . . . . . . . 91 (1) Verteiltes, IT-systemunabhängiges und standortübergreifendes Rechnen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 (2) Datenreplikationen in hochverfügbaren Storage-Clustern. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 (3) Intransparente Anbieterinformationen und ungleiche Verhandlungskonstellationen. . . . . . . . . . . . . . . . . . . . . . 93 bb) Bewertung dieser Herausforderung. . . . . . . . . . . . . . . . . . . . 94 (1) Auswirkungen auf die Bestimmung des anzuwendenden Datenschutzrechts. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 (a) Höhere Abstraktionsebene bei Standortbestimmung: Berücksichtigung sämtlicher der Datenwolke zugrunde liegenden Standorte . . . . . . . . . . . . . . . . . . . 94 (b) Orientierung an allgemeinen Handlungsempfehlungen für Cloud Computing. . . . . . . . . . . . . . . . . . . . . 95 (2) Auswirkungen auf die datenschutzrechtliche Verantwortlichkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 (a) Keine oder nur unzureichende Kenntnis über Datenverarbeitungsstandorte. . . . . . . . . . . . . . . . . . . . . 96 (b) Kenntnis über Datenverarbeitungsstandorte. . . . . . . 97 (aa) Eingrenzbare Datenwolken. . . . . . . . . . . . . . . . 97 (bb) Jurisdiktionsübergreifende Datenwolken. . . . . 97 (cc) Rechtliche Folgen einer jurisdiktionsübergreifenden Cloud-Infrastruktur. . . . . . . . . . . . . . . . 98 (3) Ergebnis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 cc) Cloud Computing und die Anwendbarkeit des BDSG bei Kenntnis über die Datenverarbeitungsstandorte – Ein Blick auf praxisrelevante Datenverarbeitungsszenarien . . . . . . . . . 99 (1) Sicht eines datenschutzrechtlich verantwortlichen Nutzers aus Deutschland. . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 (a) Datenverarbeitung außerhalb von EU und EWR (Drittstaaten). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
14 Inhaltsverzeichnis (b) Datenverarbeitung in „EU-Clouds“ . . . . . . . . . . . . . 100 (c) Datenverarbeitung in Deutschland (einschließlich EU-Stellen) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 (d) Ergebnis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 (2) Cloud Computing und die Anwendbarkeit des BDSG bei einer außereuropäischen Stelle. . . . . . . . . . . . . . . . . 101 (a) § 1 Abs. 5 S. 2 BDSG. . . . . . . . . . . . . . . . . . . . . . . . 101 (b) Inländische Mittel. . . . . . . . . . . . . . . . . . . . . . . . . . . 102 (aa) Technische Betrachtung. . . . . . . . . . . . . . . . . . 102 (bb) Normative Auslegung. . . . . . . . . . . . . . . . . . . . 103 (cc) Ergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 (c) Teleologische Reduktion des Anwendungsbereichs von § 1 Abs. 5 S. 2 BDSG (im Fall der Verarbeitung personenbezogener Daten ohne Verbindung zur EU). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 (aa) Sicht der Art.-29-Datenschutzgruppe zu Art. 4 Abs. 1 lit. c) EG-Datenschutz-Richtlinie. . . . . 104 (bb) Sicht des Düsseldorfer Kreises . . . . . . . . . . . . 106 (cc) Ergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 b) Die Herausforderung der intransparenten Struktur multinationaler Konzerne als Cloud-Anbieter . . . . . . . . . . . . . . . . . . . . . . . . . 107 4. Das anzuwendende Datenschutzrecht nach der EU-Datenschutzreform. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 a) Hintergründe der Datenschutzreform und Cloud-ComputingStrategie der Kommission. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 aa) Die Entwicklung einer Strategie für Cloud Computing . . . . 110 bb) Cloud Computing „Public Consultation“ der Kommission. . 111 cc) Strategiepapier der Kommission zu Cloud Computing. . . . . 112 b) Bewertung des geplanten Rechtsrahmens für das anzuwendende Datenschutzrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114 aa) Anwendung auf die für die Datenverarbeitung Verantwortlichen in der Union – Art. 3 Abs. 1 DS-GVO-E. . . . . . . . . . . 114 bb) Anwendung der EU-Vorschriften auf für die Datenverarbeitung Verantwortliche in Drittländern – Art. 3 Abs. 2 DSGVO-E . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 (1) EU-Bürger als Leistungsadressat bei Waren oder Dienstleistungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 (a) Allgemein in Betracht kommende Anknüpfungskriterien. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 (b) Übertragung i. R. v. Art. 4 Abs. 1 lit. c) EG-Datenschutz-Richtlinie anzulegender Kriterien. . . . . . . . . 117 (c) Überlegungen zum Adressatengedanken bei Cloud Computing. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
Inhaltsverzeichnis15 (d) Zwischenfazit – Weitere Präzisierung der heranzuziehenden Kriterien. . . . . . . . . . . . . . . . . . . . . . . . . . 119 (e) Drei- oder Mehrpersonenverhältnisse. . . . . . . . . . . . 119 (2) Rückgriff auf inländische Mittel. . . . . . . . . . . . . . . . . . . 120 (3) Aufsicht außereuropäischer Anbieter und Rechtsdurchsetzung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 (4) Stellungnahme – Licht und Schatten bei der Anwendung der DS-GVO auf außereuropäische Stellen . . . . . 122 5. Die rechtsordnungsübergreifende Herausforderung von uneinheitlichen nationalen Datenschutzvorschriften in den Mitgliedstaaten. . . 123 a) Die Rechtszersplitterung als Hindernis bei der Cloud-ServiceErbringung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 b) Ein einheitlicher Rechtsrahmen durch die EU-Datenschutzreform. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124 III. Der Personenbezug von Daten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 1. Einleitung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 2. Rechtsrahmen – Personenbezogene Daten (§ 3 Abs. 1 BDSG) . . . . 127 a) Bestimmtheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128 b) Bestimmbarkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128 aa) Absoluter Personenbezug. . . . . . . . . . . . . . . . . . . . . . . . . . . . 128 bb) Relativer Personenbezug . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 cc) Auswirkungen an dem Beispiel von dynamisch vergebenen IP-Adressen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 dd) Neuere Entwicklungen und EU-Datenschutzreform . . . . . . . 130 3. Die Herausforderung von datenschutzneutralen Verarbeitungsmöglichkeiten in einer Cloud durch Datenveränderung. . . . . . . . . . . . . . 132 4. Bewertung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132 a) Nutzerseitige Datenveränderung außerhalb der Cloud. . . . . . . . . 133 aa) Anonymisierung – § 3 Abs. 6 BDSG. . . . . . . . . . . . . . . . . . . 133 (1) Absolute, „echte“ Anonymisierung. . . . . . . . . . . . . . . . . 133 (2) Faktische, „unechte“ Anonymisierung . . . . . . . . . . . . . . 134 (3) Einsatzbereich bei Cloud Computing. . . . . . . . . . . . . . . 135 bb) Pseudonymisierung und Verschlüsselung. . . . . . . . . . . . . . . . 135 (1) Pseudonymisierung – § 3 Abs. 6a BDSG. . . . . . . . . . . . 135 (2) Verschlüsselung von Daten. . . . . . . . . . . . . . . . . . . . . . . 136 (a) Rechtliche Einordnung reversibler Verschlüsselungstechniken. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137 (b) Der Re-Identifizierungsaufwand bei Verschlüsselungstechniken. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138 (aa) Allgemeines zu dem Re-Identifizierungsaufwand. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138 (bb) Der Re-Identifizierungsaufwand im Lichte von „cloud power“, Datenreplikationen, Snapshots und verteilter Datenverarbeitungen. . . . . . . . . 139
16 Inhaltsverzeichnis (cc) Ergebnis zu dem Re-Identifizierungsaufwand bei Verschlüsselungstechniken. . . . . . . . . . . . . 140 (c) Einsatzbereich reversibel verschlüsselter Daten bei Cloud Computing. . . . . . . . . . . . . . . . . . . . . . . . . . . 142 (aa) Cloud-Storage. . . . . . . . . . . . . . . . . . . . . . . . . . 142 (bb) Weitergehende Datenverarbeitungszwecke (mit Rechenoperationen) . . . . . . . . . . . . . . . . . . . . . 142 α) Unverschlüsselte Daten im Zeitpunkt der Verarbeitung. . . . . . . . . . . . . . . . . . . . . . . . 142 β) Homomorphe Verschlüsselung. . . . . . . . . . 143 (d) Ergebnis zu der Verschlüsselung von Daten. . . . . . 144 cc) Ergebnis zu nutzerseitig veränderten Daten außerhalb der Cloud. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144 b) Verschlüsselung in der Cloud. . . . . . . . . . . . . . . . . . . . . . . . . . . . 145 5. Lösungsmöglichkeiten – Überlegungen zu einem künftigen Rechtsrahmen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145 IV. Internationale Datentransfers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147 1. Einleitung – Globale Datenwolken und Datenströme in einem digitalen Zeitalter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147 2. Der allgemeine Rechtsrahmen für internationale Datentransfers (§§ 4b, 4c BDSG). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148 a) Freier Datenverkehr im Anwendungsbereich des EU-Rechts (§ 4b Abs. 1 BDSG) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 b) Grundsätzliches Übermittlungsverbot bei Drittstaatentransfers (§ 4b Abs. 2 S. 2 BDSG). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150 c) Die Angemessenheit des Datenschutzniveaus (§ 4b Abs. 3 BDSG). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150 d) Angemessenheitsentscheidung der Kommission. . . . . . . . . . . . . . 151 e) Ausnahmetatbestände nach § 4c BDSG. . . . . . . . . . . . . . . . . . . . 153 3. Herausforderungen von Cloud Computing an den Rechtsrahmen für internationale Datentransfers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153 a) Die Herausforderung der Bestimmung einer Empfangsdestination und deren territoriale Zuordnung bei grenzüberschreitenden Datenverarbeitungsszenarien. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154 b) Flexible und bedarfsgerechte Nutzungsszenarien als Herausforderung an Vertragsklauseln als ausreichende Garantien eines angemessenen Schutzniveaus . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155 aa) Charakteristika dieser Herausforderung. . . . . . . . . . . . . . . . . 155 bb) EU-Standardvertragsklauseln. . . . . . . . . . . . . . . . . . . . . . . . . 155 (1) Rechtsrahmen – Kennzeichnende Elemente von Standardvertragsklauseln. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155 (2) Cloud-spezifische Bewertung von Standardvertragsklauseln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157 (a) Zeitlicher und wirtschaftlicher Aufwand. . . . . . . . . 158
Inhaltsverzeichnis17 (b) Anpassungsmöglichkeiten auf Seiten eines CloudAnbieters. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159 (c) Aufsichtsbehördliche Ansicht der ergänzenden Be rücksichtigung von § 11 Abs. 2 BDSG entsprechenden Anforderungen (am Beispiel der „Orientierungshilfe Cloud Computing“). . . . . . . . . . . . . . . 159 (d) Ergebnis – Notwendigkeit eines differenzierten Umgangs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160 cc) Verbindliche Unternehmensregelungen („Binding Corporate Rules“) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161 (1) Rechtsrahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161 (a) Kennzeichnende Elemente . . . . . . . . . . . . . . . . . . . . 161 (b) Genehmigungspflicht. . . . . . . . . . . . . . . . . . . . . . . . . 162 (c) Kooperationsverfahren und „mutual recognition“. . 164 (2) Cloud-spezifische Bewertung von verbindlichen Unternehmensregelungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165 (a) Anwendungsbereich bei Cloud Computing: Private Clouds. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165 (b) Vereinfachungen und Standardisierungen . . . . . . . . 166 (c) Processor Binding Corporate Rules. . . . . . . . . . . . . 167 dd) Vertragsklauseln nach der geplanten EU-Datenschutzreform. 168 (1) Datenübermittlung auf Grundlage eines Angemessenheitsbeschlusses der Kommission (Art. 41 DS-GVO-E) 168 (2) Datenübermittlung auf Grundlage geeigneter Garantien (Art. 42 DS-GVO-E). . . . . . . . . . . . . . . . . . . . . . . . . . . . 169 (3) Stellungnahme und Überlegungen zu einem künftigen Rechtsrahmen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170 c) Die Herausforderung globaler Unterauftragsverhältnisse. . . . . . . 171 d) Transatlantische Datentransfers in die USA – Die Marktdominanz und hohe Beliebtheit von US-Cloud-Anbietern als Herausforderung an einen praxistauglichen Rechtsrahmen. . . . . . . . . . . 172 aa) Die „Safe-Harbor-Vereinbarung“ als Sonderregelung für Datentransfers in die USA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172 (1) Einleitung – Freiwillige Selbstregulierung des US-Datenempfängers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172 (2) Rechtsrahmen – Gegenstand und Inhalt der Safe-Harbor-Kommissionsentscheidung . . . . . . . . . . . . . . . . . . . . 174 (a) Die Angemessenheit des von den Safe-HarborGrundsätzen gewährleisteten Schutzes. . . . . . . . . . . 174 (b) Die sieben Grundsätze des „sicheren Hafens“ zum Datenschutz. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174 (aa) Informationspflicht („Notice“). . . . . . . . . . . . . 175 (bb) Wahlmöglichkeit („Choice“) . . . . . . . . . . . . . . 175
18 Inhaltsverzeichnis (cc) Weitergabe („Onward Transfer“). . . . . . . . . . . 175 (dd) Sicherheit („Security“). . . . . . . . . . . . . . . . . . . 176 (ee) Datenintegrität („Data Integrity“) . . . . . . . . . . 176 (ff) Auskunftsrecht („Access“). . . . . . . . . . . . . . . . 176 (gg) Durchsetzung („Enforcement“) . . . . . . . . . . . . 176 (c) Safe-Harbor-Beitritt einer US-Organisation. . . . . . . 177 (aa) Selbstzertifizierung durch öffentliche Verpflichtung zu den Safe-Harbor-Grundsätzen. . 177 (bb) US-Organisation unterliegt den gesetzlichen Befugnissen einer staatlichen Einrichtung. . . . 178 (3) US-Cloud-Anbieter und Safe Harbor. . . . . . . . . . . . . . . 179 (4) Safe or Unsafe Harbor? – Datenwolkentaugliche Vereinbarung oder Schönwetterabkommen? . . . . . . . . . . . . 180 (a) Praxiserfahrungen in dem ersten Jahrzehnt des Abkommens. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181 (aa) Umsetzungsberichte der Kommissionsdienststellen aus den Jahren 2002 und 2004. . . . . . 181 (bb) Safe Harbor: Fact or Fiction? – Die „GalexiaStudie“ aus dem Jahr 2008. . . . . . . . . . . . . . . 182 (cc) Zwischenergebnis. . . . . . . . . . . . . . . . . . . . . . . 184 (b) Auswirkungen und Folgen der Kritiken an Safe Harbor. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185 (aa) Safe Harbor aus der Sicht der Aufsichtsbehörden für den Datenschutz . . . . . . . . . . . . . . . . . 185 α) Der Beschluss des Düsseldorfer Kreises vom 28. / 29. April 2010. . . . . . . . . . . . . . . 185 β) Orientierungshilfe Cloud Computing. . . . . 186 γ) Art.-29-Datenschutzgruppe – Stellungnahme zum Cloud Computing (WP 196). . . . 187 δ) Weitere Ansichten (exemplarisch). . . . . . . 188 ε) Stellungnahme – Dokumentations- und Nachweispflichten in flexiblen Nutzungsszenarien. . . . . . . . . . . . . . . . . . . . . . . . . . . 189 (bb) Safe Harbor aus Sicht der juristischen Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191 (cc) Safe Harbor aus Sicht der Kommission – Mitteilung aus dem November 2013. . . . . . . . . . . 192 (dd) Safe Harbor aus Sicht des Europäischen Parlaments – Entschließung vom 12. März 2014. 193 (c) Ein vergleichender Blick über den Atlantik – Ansichten und Entwicklungen in den USA. . . . . . . . . 193 (aa) Safe Harbor und Cloud Computing aus Sicht des US-Handelsministeriums. . . . . . . . . . . . . . 193
Inhaltsverzeichnis19 α) Stellungnahme der International Trade Administration zu WP 196 der Art.-29-Datenschutzgruppe – „Clarifications Regarding the U.S.-EU Safe Harbor Framework and Cloud Computing“. . . . . . . . . . . . . . . . . . . 193 β) Anmerkung. . . . . . . . . . . . . . . . . . . . . . . . . 194 (bb) Die (fehlende) Durchsetzung durch die FTC – Entwicklungen in den letzten Jahren. . . . . . . . 195 α) Erste Verfahren der FTC zu dem Vorliegen der Selbstzertifizierung an sich. . . . . . . . . 195 β) Der Google-Buzz-Vergleich. . . . . . . . . . . . 196 γ) Vergleiche der FTC mit Facebook und MySpace. . . . . . . . . . . . . . . . . . . . . . . . . . . 197 δ) Vergleiche der FTC mit US-Unternehmen in der ersten Hälfte des Jahres 2014. . . . . 198 ε) „Privacy Enforcement and Safe Harbor“ – Stellungnahme von Mitarbeitern der FTC an die Kommission aus dem November 2013 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199 ζ) Stellungnahme. . . . . . . . . . . . . . . . . . . . . . . 200 (d) Ergebnis – Safe Harbor als geltender Rechtsrahmen auch für Cloud Computing. . . . . . . . . . . . . . . . . . . . 201 bb) Vorschläge für eine Verbesserung des Safe-Harbor-Rechtsrahmens zur Wiederherstellung von Vertrauen im Zuge der NSA-Überwachungsaffäre . . . . . . . . . . . . . . . . . . . . . . . . . . . 202 (1) Vorschläge der Kommission aus dem November 2013. . 202 (2) Verbesserungsvorschläge der Art.-29-Datenschutzgruppe zu Safe Harbor. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203 cc) Vorlage an den EuGH zur Verbindlichkeit der Safe-HarborKommissionsentscheidung durch den irischen High Court in Dublin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204 dd) Gedanken zu einem künftigen Rechtsrahmen für transatlantische Datentransfers; „EU-Safe-Harbour“ . . . . . . . . . . . . . . 204 e) Weitere Auswirkungen der Überwachungsaktivitäten der NSA auf internationale Datentransfers in die USA . . . . . . . . . . . . . . . 205 aa) Reaktion der Datenschutzkonferenz – Pressemitteilung vom 24. Juli 2013. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205 bb) Stellungnahme. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206 V. Allgemeine Daten- und Informationssicherheit (§ 9 BDSG). . . . . . . . . 207 1. Einleitung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207 2. Rechtsrahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207 a) Schutzziele der Daten- und Informationssicherheit. . . . . . . . . . . 207 b) Technische und organisatorische Daten- und Informationssicherheit nach § 9 BDSG und dessen konkretisierender Anlage. . . . . 208 c) Die Daten- und Informationssicherheit außerhalb des BDSG. . . 211
20 Inhaltsverzeichnis 3. Herausforderungen von Cloud Computing an die Daten- und Informationssicherheit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212 a) Technische und organisatorische Risiken auf den Ebenen einer IT-Sicherheitsarchitektur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213 aa) Infrastruktur- / Rechenzentrumsebene (Sicherheit von Gelände und Gebäude). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213 (1) Gefährdungslage und typische technische und organisatorische Maßnahmen. . . . . . . . . . . . . . . . . . . . . . . . . . . . 213 (2) Colocation und Serverhousing als klassisches Praxisbeispiel auf Rechenzentrumsebene . . . . . . . . . . . . . . . . . . . 214 (3) Bewertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215 bb) IT-System-Ebene und Systemvirtualisierung (Sicherheit der Server, Router, Switches und anderer IT-Systeme; Sicherheit virtueller IT-System-Umgebungen) . . . . . . . . . . . . . . . . . . . . 216 (1) Gefährdungslage und typische technische und organisatorische Maßnahmen. . . . . . . . . . . . . . . . . . . . . . . . . . . . 216 (2) Bewertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218 cc) Netzwerkebene. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219 (1) Gefährdungslage und typische technische und organisatorische Maßnahmen. . . . . . . . . . . . . . . . . . . . . . . . . . . . 219 (2) Bewertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219 dd) Anwendungs- / Software-Ebene. . . . . . . . . . . . . . . . . . . . . . . . 220 (1) Gefährdungslage und typische technische und organisatorische Maßnahmen. . . . . . . . . . . . . . . . . . . . . . . . . . . . 220 (2) Bewertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220 ee) Ebenenübergreifende, allgemeine Gefahren. . . . . . . . . . . . . . 221 (1) Administrative Schnittstellen. . . . . . . . . . . . . . . . . . . . . . 222 (2) Anbieterabhängigkeit („vendor lock-in“), Portabilität und Insolvenz eines Anbieters . . . . . . . . . . . . . . . . . . . . 222 (3) Verfügbarkeit eines Cloud-Services und der Leitungswege. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222 (4) Vervielfältigung und Verteilung von Daten aufgrund von breitbandigen Datenleitungen und schnellen Glasfaserverbindungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223 (5) Die Löschung von Daten bei einem verteilten Rechnen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223 ff) Ergebnis – Neue Konzepte zur Gewährleistung der Datenund Informationssicherheit bei Cloud Computing und modernen Formen der Datenverarbeitung. . . . . . . . . . . . . . . . . . 224 gg) Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz). . . . . . . . 225 hh) EU-Datenschutzreform. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226
Inhaltsverzeichnis21 b) Die Herausforderung der potentiellen Zugriffsmöglichkeiten durch Sicherheitsbehörden in Drittstaaten am Beispiel des USA PATRIOT Act. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226 aa) USA PATRIOT Act – Ausweitung sicherheitsbehördlicher Befugnisse zur Terrorismusbekämpfung . . . . . . . . . . . . . . . . 227 (1) Foreign Intelligence Surveillance Act (FISA). . . . . . . . 227 (2) National Security Letter (NSL). . . . . . . . . . . . . . . . . . . . 228 (3) Statistiken zur „FISA Implementation“ . . . . . . . . . . . . . 229 bb) Auswirkungen auf die Daten- und Informationssicherheit bei Cloud Computing. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229 (1) Extraterritoriale Auswirkungen des USA PATRIOT Act – Kreis der von US-Anordnungen potentiell betroffenen Unternehmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230 (2) Folgen für den Cloud-Anbieter – Rechtsunsicherheiten aufgrund konträrer Verpflichtungen zweier Rechtsordnungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231 (3) Folgen für den Cloud-Nutzer – Eingeschränkte Wahrnehmung der datenschutzrechtlichen Verantwortlichkeit (etwa aufgrund einer fehlenden Kenntnis durch eine „gag order“). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231 cc) Entscheidung des „United States District Court for the Southern District of New York“ vom 25. April 2014. . . . . . 232 dd) Handlungsbedarf zur Beseitigung bestehender Rechtsunsicherheiten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233 ee) EU-Datenschutzreform. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234 VI. Auftragsdatenverarbeitung (§ 11 BDSG) . . . . . . . . . . . . . . . . . . . . . . . . 235 1. Einleitung – Modernes IT-Outsourcing. . . . . . . . . . . . . . . . . . . . . . . 235 2. Das „Privileg“ der Auftragsdatenverarbeitung. . . . . . . . . . . . . . . . . . 236 3. Abgrenzung zur Funktionsübertragung – Cloud Computing als klassische Konstellation einer Auftragsdatenverarbeitung. . . . . . . . . . . . 237 4. Internationale Auftragsdatenverarbeitung. . . . . . . . . . . . . . . . . . . . . . 239 a) Rechtsrahmen – § 3 Abs. 8 S. 3 BDSG. . . . . . . . . . . . . . . . . . . . 239 b) Herausforderungen von Cloud Computing. . . . . . . . . . . . . . . . . . 240 aa) Die Sicherstellung einer Datenverarbeitung auf EU / EWRGebiet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240 bb) Die rechtliche Privilegierung einer internationalen Auftragsdatenverarbeitung in „sicheren Drittstaaten“ als Herausforderung der globalen Dimension von Cloud Computing. . . . 241 (1) Ausgangslage und Problematik. . . . . . . . . . . . . . . . . . . . 241 (2) Privilegierung bei festgestelltem angemessenen Schutzniveau („sicherer Drittstaat“) . . . . . . . . . . . . . . . . . . . . . 243 (a) Fehlende Grundlage im BDSG und Gleichstellungsgebot. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243 (b) Gesetzesänderungsvorschlag des Bundesrates. . . . . 243
22 Inhaltsverzeichnis (c) Stellungnahme. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244 (3) Privilegierung bei Einsatz von Standardvertragsklauseln für Auftragsdatenverarbeiter („Set III“). . . . . . . . . . . . . 245 (a) Modifizierte Erforderlichkeitsprüfung i. R. v. § 28 Abs. 1 S. 1 Nr. 2 BDSG. . . . . . . . . . . . . . . . . . . . . . 245 (b) Richtlinienkonforme Auslegung. . . . . . . . . . . . . . . . 246 (aa) Vollharmonisierungswirkung der EG-Datenschutz-Richtlinie. . . . . . . . . . . . . . . . . . . . . . . . 246 (bb) Begriffsverständnis i. S. d. EG-DatenschutzRichtlinie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247 (c) Analogie zu § 3 Abs. 8 BDSG. . . . . . . . . . . . . . . . . 247 (d) Stellungnahme. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247 cc) Unterauftragsdatenverarbeitung in Drittstaaten. . . . . . . . . . . 248 c) Ergebnis und Blick auf die Datenschutzreform. . . . . . . . . . . . . . 249 5. Anforderungen nach § 11 BDSG. . . . . . . . . . . . . . . . . . . . . . . . . . . . 249 a) Vertragliche Festlegungen bei Auftragserteilung – Verhandlungskonstellationen im Anbieter-Nutzer-Verhältnis und die Verhandlungsbereitschaft von Cloud-Anbietern. . . . . . . . . . . . . . . . . . . . . 249 aa) Rechtsrahmen – § 11 Abs. 2 S. 2 BDSG. . . . . . . . . . . . . . . . 249 bb) Anbieterseitige Mitwirkungshandlungen als Herausforderung von Cloud Computing. . . . . . . . . . . . . . . . . . . . . . . . . . 250 cc) Bewertung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251 dd) Lösungsmöglichkeiten und Anforderungen an einen künftigen Rechtsrahmen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252 b) Form der Auftragserteilung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253 aa) Rechtsrahmen ‒ § 11 Abs. 2 S. 2 BDSG. . . . . . . . . . . . . . . . 253 bb) Herausforderungen von Cloud Computing: Flexible Nutzungsmodelle und vielfältige Zugangsgeräte. . . . . . . . . . . . . 254 cc) Bewertung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254 dd) Lösungsmöglichkeiten und Anforderungen an einen künftigen Rechtsrahmen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255 ee) EU-Datenschutzreform. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256 c) Technische und organisatorische Maßnahmen – Auswahlentscheidung, vertragliche Festlegung und Auftragskontrolle . . . . . 257 aa) Rechtsrahmen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258 (1) Sorgfältige Auswahlentscheidung – § 11 Abs. 2 S. 1 BDSG. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258 (2) Vertragliche Festlegung – § 11 Abs. 2 S. 1, S. 2 Nr. 3 BDSG, § 9 BDSG i. V. m. Anlage zu § 9 BDSG. . . . . . 258 (3) Auftragskontrolle – § 11 Abs. 2 S. 2 Nr. 7, S. 4 BDSG. 259 bb) Herausforderungen von Cloud Computing . . . . . . . . . . . . . . 260 (1) Intransparente Anbieterinformationen und eine hohe technische Komplexität. . . . . . . . . . . . . . . . . . . . . . . . . . 260 (a) Charakteristika dieser Herausforderungen. . . . . . . . 260
Inhaltsverzeichnis23 (aa) Intransparente Anbieterinformationen zu den Datenverarbeitungsstandorten und den dort implementierten technischen und organisatorischen Maßnahmen . . . . . . . . . . . . . . . . . . . . . . 260 (bb) Die technische und organisatorische Komplexität von Cloud-Umgebungen . . . . . . . . . . . . . 261 (b) Bewertung und Lösungsmöglichkeiten . . . . . . . . . . 261 (2) Standortkontrollen in Zeiten eines verteilten Rechnens. 262 (a) Charakteristika dieser Herausforderung. . . . . . . . . . 262 (aa) Fehlende Kontrollmöglichkeiten . . . . . . . . . . . 262 (bb) Praktische Handhabung eines „Vor-Ort-Kontroll-Tourismus“. . . . . . . . . . . . . . . . . . . . . . . . . 262 (cc) Kontrolle geographisch verteilter Standorte . . 262 (b) Bewertung und Lösungsmöglichkeiten . . . . . . . . . . 263 (3) Zwischenfazit zu den Herausforderungen von Cloud Computing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264 (a) Zielkonflikt zwischen dem Rechtsrahmen und modernen Datenverarbeitungsformen . . . . . . . . . . . . . . 264 (b) Zeitgemäße Auslegung des geltenden Rechts (Technische und organisatorische Maßnahmen im Lichte der technologischen Realität). . . . . . . . . . . . . . . . . . 265 (aa) Enge, wortlautgetreue Auslegung . . . . . . . . . . 265 (bb) Cloud-spezifische Auslegung. . . . . . . . . . . . . . 266 (4) Die Vielfalt der gegenwärtig in Bezug genommenen Zertifizierungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267 (a) ISO / IEC 27001 (einschließlich ISO / IEC 27002, ISO / IEC 27017, ISO / IEC 27018). . . . . . . . . . . . . . 267 (aa) Darstellung des Standards . . . . . . . . . . . . . . . . 267 (bb) Bewertung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270 (cc) Ausblick auf Weiterentwicklungen: ISO / IEC 27017 (Cloud Computing auf Basis von ISO / IEC 27002) und ISO / IEC 27018 (Datenschutz in Public Clouds). . . . . . . . . . . . . . . . . . . . . . . 271 (b) ISO 9001. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271 (c) SAS 70, SSAE 16 und ISAE 3402. . . . . . . . . . . . . 273 (aa) Darstellung der Standards . . . . . . . . . . . . . . . . 273 (bb) Bewertung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274 (d) TRUSTe Privacy Program . . . . . . . . . . . . . . . . . . . . 275 (e) Cloud Security Alliance STAR Certification. . . . . . 276 (f) EuroCloud Star Audit. . . . . . . . . . . . . . . . . . . . . . . . 276 (aa) Gegenstand der Zertifizierung. . . . . . . . . . . . . 276 (bb) Bewertung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278 (g) Ergebnis – Die Entwicklung geeigneter Zertifizierungen für das Cloud-Zeitalter. . . . . . . . . . . . . . . . . 279
24 Inhaltsverzeichnis cc) Lösungsmöglichkeiten, Anforderungen an einen künftigen Rechtsrahmen und EU-Datenschutzreform . . . . . . . . . . . . . . 280 d) Unterauftragsverhältnisse (§ 11 Abs. 2 S. 2 Nr. 6 BDSG). . . . . . 283 aa) Rechtsrahmen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283 bb) Herausforderungen von Cloud Computing . . . . . . . . . . . . . . 283 cc) Bewertung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284 dd) Lösungsmöglichkeiten und Blick auf die EU-Datenschutzreform. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285 e) Weisungen (§ 11 Abs. 2 S. 2 Nr. 9, Abs. 3 BDSG). . . . . . . . . . . 287 aa) Rechtsrahmen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287 bb) Herausforderungen von Cloud Computing . . . . . . . . . . . . . . 288 cc) Bewertung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288 dd) Lösungsmöglichkeiten und Blick auf die EU-Datenschutzreform. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289 f) Rückgabe überlassener Datenträger und Löschung von Daten (§ 11 Abs. 2 S. 2 Nr. 10 BDSG). . . . . . . . . . . . . . . . . . . . . . . . . . 290 aa) Rechtsrahmen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290 bb) Herausforderungen von Cloud Computing . . . . . . . . . . . . . . 291 cc) Bewertung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291 dd) Lösungsmöglichkeiten und Blick auf die EU-Datenschutzreform. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292 VII. Datenübermittlung (nach § 28 Abs. 1 S. 1 Nr. 2 BDSG). . . . . . . . . . . . 293 1. Wahrung berechtigter Interessen der verantwortlichen Stelle. . . . . . 293 2. Erforderlichkeit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294 3. Interessenabwägung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295 4. Ergebnis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296 D. Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298 I. Herausforderungen an das anzuwendende Datenschutzrecht. . . . . . . . . 298 II. Herausforderungen an den Personenbezug von Daten. . . . . . . . . . . . . . 300 III. Herausforderungen im Kontext internationaler Datentransfers an EUStandardvertragsklauseln und verbindliche Unternehmensregelungen. . 301 IV. Herausforderungen an transatlantische Datentransfers in die USA auf Basis von Safe Harbor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303 V. Herausforderungen an die Grundsätze der Daten- und Informationssicherheit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304 VI. Herausforderungen an eine Auftragsdatenverarbeitung. . . . . . . . . . . . . 306 VII. Herausforderungen an eine Datenübermittlung . . . . . . . . . . . . . . . . . . . 309 Literaturverzeichnis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311 Sachverzeichnis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338
Abkürzungsverzeichnis a. A.
andere Ansicht
a. a. O.
am angegebenen Ort
ABl.EG
Amtsblatt der Europäischen Gemeinschaften
ABl.EU
Amtsblatt der Europäischen Union
Abs. Absatz a. E.
am Ende
AEUV
Vertrag über die Arbeitsweise der Europäischen Union in der Fassung des Vertrags von Lissabon vom 13.12.2007
a. F.
alte Fassung
AG
Aktiengesellschaft, Arbeitsgruppe
AICPA
American Institute of Certified Public Accountants
AKDB
Anstalt für Kommunale Datenverarbeitung
AktG Aktiengesetz Alt. Alternative AMS-IX
Amsterdam Internet Exchange
Anm. Anmerkung AO Abgabenordnung App
Kurzform für Application (Anwendungssoftware)
ARPANET
Advanced Research Projects Agency Network
Art. Artikel ASP
Application Service Providing
AT
Allgemeiner Teil
Aufl. Auflage AWS
Amazon Web Services
B2B Business-to-business BaFin
Bundesanstalt für Finanzdienstleistungsaufsicht
BayDSG
Bayerisches Datenschutzgesetz
BayLfD
Der Bayerische Landesbeauftragte für den Datenschutz
BB Betriebs-Berater BCR
Binding Corporate Rules
BDSG Bundesdatenschutzgesetz Begr. Begründung
26 Abkürzungsverzeichnis BfDI
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
BGB
Bürgerliches Gesetzbuch
BGH Bundesgerichtshof BITKOM
Bundesverband Informationswirtschaft, und neue Medien e. V.
Telekommunikation
BlnBDI
Berliner Beauftragter für Datenschutz und Informationsfreiheit
BMI
Bundesministerium des Innern
BMWi
Bundesministerium für Wirtschaft und Energie
BPaaS
Business Process as a Service
BRD
Bundesrepublik Deutschland
BR-Drs.
Drucksache des Bundesrats
BS
British Standard
BSI
Bundesamt für Sicherheit in der Informationstechnik
BSIG
Gesetz über das Bundesamt für Sicherheit in der Informationstechnik
BT-Drs.
Drucksache des Deutschen Bundestags
BVerfG Bundesverfassungsgericht BVerfGE
Entscheidungen des Bundesverfassungsgerichtes
BvR
Aktenzeichen einer Verfassungsbeschwerde zum BVerfG
bzw. beziehungsweise C3
Compliant Community Cloud
ca. circa CaaS
Communication as a Service
ccTLD
Country code top-level domain (länderspezifische Top-LevelDomain)
CCZ
Corporate Compliance Zeitschrift
CEN
Comité Européen de Normalisation / European Committee for Standardization / Europäisches Komitee für Normung
CERN
Conseil Européen pour la Recherche Nucléaire / European Organization for Nuclear Research
CICA
Canadian Institute of Chartered Accountants
CIIP
Critical Information Infrastructure Protection
COM
Dokument der Kommission
CPU
Central Processing Unit (Prozessor eines Computers)
CR
Computer und Recht – Zeitschrift für die Praxis des Rechts der Informationstechnologien
Abkürzungsverzeichnis27 CRi
Computer Law Review International – A Journal of Information Law and Technology
CRM
Customer Relationship Management
CRS
Congressional Research Service (Agentur innerhalb der Library of Congress in den USA)
CSA
Cloud Security Alliance
DBAN
Darik’s Boot and Nuke (Software zur Löschung von Daten)
DDoS
Distributed Denial of Service
DE-CIX
Deutscher Commercial Internet Exchange
DIB
Datenschutz- und Informationsfreiheitsbericht
DIN
DIN-Norm, DIN Deutsches Institut für Normung e. V.
Diss. Dissertation DrittelbG
Gesetz über die Drittelbeteiligung der Arbeitnehmer im Aufsichtsrat
Drs. Drucksache DS-GVO Datenschutz-Grundverordnung DS-GVO-E
KOM(2012) 11, Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung)
DSK
Konferenz der Datenschutzbeauftragten des Bundes und der Länder
DSL
Digital Subscriber Line
DSRI
Deutsche Stiftung für Recht und Informatik
DuD
Datenschutz und Datensicherheit
DV Datenverarbeitung EC2
Elastic Compute Cloud (ein Dienst von Amazon Web Services)
EEG Erneuerbare-Energien-Gesetz EFTA
European Free Trade Association
EG
Europäische Gemeinschaft
EGBGB
Einführungsgesetz zum Bürgerlichen Gesetzbuch
EG-DatenschutzRichtlinie
Richtlinie 95 / 46 / EG des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr
EGKS
Europäische Gemeinschaft für Kohle und Stahl
Einf Einführung EL Ergänzungslieferung
28 Abkürzungsverzeichnis EMEA
Europe, Middle East, Africa (Europa, Mittlerer Osten, Afrika)
EN
Europäische Norm
ENIAC
Electronic Numerical Integrator and Computer
ENISA
European Network and Information Security Agency (Europäische Agentur für Netz- und Informationssicherheit)
EN ISO 9001:2008 Europäische Norm ISO 9001:2008 – Dreisprachige Fassung (D / E / F) (deutsch / englisch / französisch) EP
Europäisches Parlament
EPIC
Electronic Privacy Information Center
et seq.
et sequens (und folgende)
ETSI
European Telecommunications Standards Institute (Europäisches Institut für Telekommunikationsnormen)
EU
Europäische Union
EuGH
Europäischer Gerichtshof, Gerichtshof der Europäischen Union
EUV
Vertrag über die Europäische Union in der Fassung des Vertrags von Lissabon vom 13.12.2007
EuZW
Europäische Zeitschrift für Wirtschaftsrecht
e. V.
eingetragener Verein
EWR
Europäischer Wirtschaftsraum
f., ff.
folgend(e)
FA Fachanwalt FAQ
Frequently asked questions (Häufig gestellte Fragen)
FAZ
Frankfurter Allgemeine Zeitung
FBI
Federal Bureau of Investigation
FISA
Foreign Intelligence Surveillance Act
FISC
Foreign Intelligence Surveillance Court
Fn. Fußnote Fraunhofer FOKUS Fraunhofer-Institut für Offene Kommunikationssysteme Fraunhofer SIT
Fraunhofer-Institut für Sichere Informationstechnologie
FS Festschrift FTC
Federal Trade Commission
GA Generalanwalt GB Gigabyte GCHQ
Government Communications Headquarters (britischer Nachrichtendienst)
GewO Gewerbeordnung GG Grundgesetz
Abkürzungsverzeichnis29 ggf. gegebenenfalls GmbH
Gesellschaft mit beschränkter Haftung
GoBS
Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme
GRUR
Gewerblicher Rechtsschutz und Urheberrecht – Zeitschrift der Deutschen Vereinigung für gewerblichen Rechtsschutz und Urheberrecht
HessDSB
Der Hessische Datenschutzbeauftragte
HmbBfDI
Der Hamburgische Beauftragte für Datenschutz und Informa tionsfreiheit
HPCaaS
High Performance Computing as a Service
H.R.
House of Representatives
Hrsg., hrsg.
Herausgeber, herausgegeben
HTML
Hypertext Markup Language
IaaS
Infrastructure as a Service
IAASB
International Auditing and Assurance Standards Board
ICE
Intercity-Express, Zuggattung der Deutschen Bahn AG
IEC
International Electrotechnical Commission (Internationale Elektrotechnische Kommission)
IKT
Informations- und Kommunikationstechnologie
Inc.
Corporation (US-amerikanische Kapitalgesellschaft)
insb. insbesondere InvG Investmentgesetz IPv4
Internet Protocol Version 4
IPv6
Internet Protocol Version 6
i. R. v.
im Rahmen von
ISAE
International Standard on Assurance Engagements
i. S. d.
im Sinne des, im Sinne der
ISMS Informationssicherheits-Managementsystem ISO
International Organization for Standardization (Internationale Organisation für Normung)
ISO / IEC JTC 1 / SC 27
International Organization for Standardization / International Electrotechnical Commission – Joint Technical Committee 1 „Information Technology“ / Subcommittee 27 „Security techniques“
i. S. v.
im Sinne von
IT
Informationstechnik, Informationstechnologie
ITA
International Trade Administration
30 Abkürzungsverzeichnis ITIL
IT Infrastructure Library
i. V. m.
in Verbindung mit
iX
Magazin für professionelle Informationstechnik
JB Jahresbericht JTC
Joint Technical Committee (Technisches Gemeinschaftskomitee von ISO und IEC)
jurisAnwZert ITR juris AnwaltZertifikatOnline IT-Recht JZ JuristenZeitung K&R
Kommunikation & Recht
Kap. Kapitel KG Kommanditgesellschaft KMU
kleine und mittlere Unternehmen
KOM
Dokument der Kommission
Kommission
Europäische Kommission
KonTraG
Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
KWG
Gesetz über das Kreditwesen (Kreditwesengesetz)
LDA
Landesbeauftragter für den Datenschutz und für das Recht auf Akteneinsicht
LDI NRW
Landesbeauftragter für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
LfD
Landesbeauftragter für Datenschutz
LfDI
Landesbeauftragter für Datenschutz und Informationsfreiheit
LG Landgericht LHC
Large Hadron Collider
LINX
London Internet Exchange
lit.
litera (Buchstabe)
LLC
Limited Liability Company (US-amerikanische Kapitalgesellschaft)
Ltd.
Limited Company (Kapitalgesellschaft in Großbritannien und Irland)
LT-Drs. Landtagsdrucksache LTE
Long Term Evolution (Mobilfunkstandard)
Mag. Magistrate MaRisk
Mindestanforderungen an das Risikomanagement (Rundschreiben der BaFin)
Mbit / s
Megabit pro Sekunde
MitbestG
Gesetz über die Mitbestimmung der Arbeitnehmer
MüKo
Münchener Kommentar
MVS
Multiple Virtual Storage
Abkürzungsverzeichnis31 m. w. N.
mit weiteren Nachweisen
NASDAQ
National Association of Securities Dealers Automated Quotations
NDA
Non Disclosure Agreement
NIA
Normenausschuss Informationstechnik und Anwendungen im DIN
NIST
National Institute of Standards and Technology (USA)
NJW
Neue Juristische Wochenschrift
No.
Number (Nummer)
NQSZ
Normenausschuss Qualitätsmanagement, Statistik und Zertifizierungsgrundlagen im DIN
Nr. Nummer NRW Nordrhein-Westfalen NSA
National Security Agency
NSL
National Security Letter
NYSE
New York Stock Exchange
OECD
Organization for Economic Co-operation and Development (Organisation für wirtschaftliche Zusammenarbeit und Entwicklung)
OHG
Offene Handelsgesellschaft
OS
Operating System (Betriebssystem)
OVG Oberverwaltungsgericht PaaS
Platform as a Service
PB Petabyte PBCR
Processor Binding Corporate Rules
PC
Personal Computer
PII
Personally Identifiable Information
PK Praxiskommentar PL
Public Law
PNR
Passenger Name Records (Fluggastdatensätze)
QM Qualitätsmanagement RAM
Random Access Memory
RDV
Recht der Datenverarbeitung
RFID
Radio Frequency Identification
RL Richtlinie Rn. Randnummer
32 Abkürzungsverzeichnis Rom I-VO
Verordnung (EG) Nr. 593 / 2008 des Europäischen Parlaments und des Rates v. 17.6.2008 über das auf vertragliche Schuldverhältnisse anzuwendende Recht
Rom II-VO
Verordnung (EG) Nr. 864 / 2007 des Europäischen Parlaments und des Rates vom 11.7.2007 über das auf außervertragliche Schuldverhältnisse anzuwendende Recht
Rs. Rechtssache S.
Satz, Seite
S3
Simple Storage Service (ein Dienst von Amazon Web Services)
SaaS
Software as a Service
SAN
Storage Area Network
SAS 70
Statement on Auditing Standards No. 70
SBC
Server-based Computing
S.D.N.Y.
Southern District of New York (Region eines United States District Courts)
SEC / SEK
Arbeitsdokument der Kommissionsdienststellen (SecretariatGeneral); beginnend Januar 2012 mit dem Identifikator SWD veröffentlicht
SETI
Search for Extraterrestrial Intelligence
SGB I
Sozialgesetzbuch, Erstes Buch (I) – Allgemeiner Teil
SGB X
Sozialgesetzbuch, Zehntes Buch (X) – Sozialverwaltungsverfahren und Sozialdatenschutz
S.L.
Sociedad de responsabilidad limitada (spanische Kapitalgesellschaft)
SLA
Service Level Agreement
SOA
Service-orientierte Architekturen
SOC
Service Organization Control
sog. sogenannt SOX
Sarbanes-Oxley Act
SSAE
Statement on Standards for Attestation Engagements
StaaS
Storage as a Service
StGB Strafgesetzbuch SWD
Staff Working Document (Arbeitsdokumente und gemeinsame Arbeitsdokumente der Kommissionsdienststellen)
SWIFT
Society for Worldwide Interbank Financial Telecommunication
TB
Tätigkeitsbericht, Terabyte
TC
Technical Committee (Technisches Komitee der ISO)
TK Telekommunikation TKG Telekommunikationsgesetz TLD
Top Level Domain
Abkürzungsverzeichnis33 TMG Telemediengesetz u. a.
unter anderem
ULD
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (Anstalt des öffentlichen Rechts)
URL
Uniform Resource Locator
Urt. Urteil US / U.S.
United States
USA
United States of America (Vereinigte Staaten von Amerika)
USA PATRIOT Act Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism (USA PATRIOT ACT) Act of 2001 U.S.C.
United States Code (The Code of Laws of the United States of America)
U.S. SAFE WEB Act
Undertaking Spam, Spyware, And Fraud Enforcement With Enforcers beyond Borders Act
USV
Unterbrechungsfreie Stromversorgung
v.
vom, von, vor
v. a.
vor allem
VAG
Gesetz über die Beaufsichtigung der Versicherungsunternehmen (Versicherungsaufsichtsgesetz)
Var. Variante VblBW
Verwaltungsblätter für Baden-Württemberg – Zeitschrift für öffentliches Recht und öffentliche Verwaltung
VG Verwaltungsgericht Vgl. (vgl.)
Vergleiche (vergleiche)
VO
Verordnung (Rechtsakt der EU)
WAN
Wide Area Network
WI
Wirtschaftsinformatik (Zeitschrift)
WLAN
Wireless Local Area Network
WP
Working Paper (Arbeitspapier der Art.-29-Datenschutzgruppe)
WpHG
Gesetz über den Wertpapierhandel (Wertpapierhandelsgesetz)
WTO
World Trade Organization (Welthandelsorganisation)
WWW
World Wide Web
XaaS
Everything as a Service
z. B.
zum Beispiel
ZD
Zeitschrift für Datenschutz
ZUM
Zeitschrift für Urheber- und Medienrecht
A. Einleitung I. Cloud Computing – IT „as a Service“ „Where the World Wide Web makes information available everywhere and to anyone, cloud computing makes computing power available everywhere and to anyone.“ Europäische Kommission1
Der Einsatz von Informationstechnologie unterliegt seit einigen Jahren einem bedeutenden Wandel. Nahezu sämtliche Infrastruktur- und Anwendungskomponenten können – vergleichbar mit der Nutzung eines Web-MailDienstes – flexibel, dynamisch, bedarfsgerecht und in beinahe unbegrenztem Umfang auch über das Internet „als Dienst“ aus Datenwolken bezogen werden.2 Für die hiermit verbundene Abkehr von bisherigen Nutzungs- und Einsatzszenarien steht ein sowohl omnipräsentes wie auch nebulöses Schlagwort: Cloud Computing. In rasanter Geschwindigkeit hat sich die Thematik der IT-Dienstleistungen aus der „Wolke des Internets“ in der weltweiten IT-Branche verbreitet. Bereits in den Jahren 2010 und 2011 wurde Cloud Computing nach einer Umfrage des Branchenverbands BITKOM3 zum IT-Trend des Jahres gewählt.4 Für die Folgejahre wurden hohe zweistellige Wachstumsraten allein in Deutschland prognostiziert.5 Sehr schnell rückten die Datenwolken daher auch in den Fokus von Initiativen großer Konzerne.6 Im Jahr 2013 wurde 1 COM (2012) 529 EN, S. 2 (deutsche Übersetzung nach COM (2012) 529, S. 2: „Während das World Wide Web überall für jedermann Informationen zugänglich macht, stellt das Cloud-Computing überall für jedermann Rechenleistung zur Verfügung.“); Cloud Computing geht aber grundsätzlich (v. a. im Hinblick auf Software und Applikationen) über bloße „Rechenleistung“ hinaus, vgl. unten unter B.V. 2 Vgl. COM (2012) 529, S. 3; BfDI, 23. TB, S. 63; LfD Rheinland-Pfalz, 22. TB, S. 94; LfDI Rheinland-Pfalz, 23. TB, S. 16; Vossen / Haselmann / Hoeren, Cloud Computing für Unternehmen, S. 1 f. 3 Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. (BITKOM). 4 BITKOM, Presseinformation v. 18.1.2011, S. 1 ff.; BSI, JB 2010, S. 26. 5 Vgl. BITKOM, Leitfaden Cloud Computing 2010, S. 14; BSI, JB 2010, S. 26. 6 Exemplarisch hierzu die Microsoft „Go Cloud“ Initiative für die deutsche ITIndustrie, in der ein Gesamtinvestitionsvolumen von 100 Millionen Euro bis 2013
36
A. Einleitung
Cloud Computing schon nicht mehr als Trend, sondern als fester Bestandteil der IT-Landschaft angesehen.7 Der Verband der deutschen Internetwirtschaft eco8 verwies auf die Bedeutung von Cloud Computing als Wirtschaftsmotor mit einem prognostizierten Umsatz-Gesamtwachstum von 150 Prozent bis in das Jahr 2016 (dies entspricht einem jährlichen Wachstum von 37 Prozent) bei Anbietern für Services und Anwendungen.9 Im Jahr 2014 war die Cloud-Nutzung weiterhin am Wachsen, auch wenn sich das Wachstum im Vergleich zum Vorjahr leicht abgeschwächt haben soll.10 Vor allem die NSA-Überwachungsaffäre soll das Bewusstsein für eine gefährdete IT-Sicherheit geschärft und die Einstellung von Unternehmen gegenüber Public Clouds und Private Clouds beeinflusst haben.11 Auch gegenwärtig – im Jahr 2015 – sind es vor allem Sicherheitsbedenken, wie die Angst vor Datenverlust und unberechtigtem Datenzugriff, die als größtes Hemmnis der weiterhin wachsenden Cloud-Nutzung gegenüberstehen.12 Zahlreiche Technologieansätze, die sich hinter Cloud Computing verbergen, sind keineswegs neu.13 Mitunter gewinnt ein Betrachter daher den Eindruck, dass einige Unternehmen vor allem aus Werbe- und Marketinggesichtspunkten „in der Cloud“ sind und bestehende Services hierfür neu etikettiert haben.14 Für die künftige, alltägliche Nutzung von Informationstechnologien sind der unter dem Schlagwort Cloud Computing eingeleitete Paradigmenwechsel sowie das wirtschaftliche Potential jedoch von grundsätzlicher Bedeutung. In Bezug auf Hardware und Applikationen ist es der konsequente Schritt in der weiteren Entwicklung der Informationstechnologie. Computersysteme, wie sie noch heute in Unternehmen, öffentlichen Einrichtungen oder in Privathaushalten wiederzufinden sind, werden im Idealfall durch bloße „thin clients“15 ersetzt. Mittels Browser oder App wird über das Internet auf sämtliche Applikationen und Daten „in der Cloud“ angekündigt wurde, Pressemitteilung v. 29.9.2010, http://www.microsoft.com / de-de / news / pressemitteilung.aspx?id=533235 (Stand: 1.7.2015). 7 eco / Arthur D. Little, Die deutsche Internetwirtschaft 2012–2016, S. 26. 8 eco – Verband der deutschen Internetwirtschaft e. V. 9 eco, Pressemeldung v. 20.8.2013, http://www.eco.de/2013/pressemeldungen/wirt schaftsmotor-cloud-computing-37-prozent-wachstum-pro-jahr.html (Stand: 1.7.2015); eco / Arthur D. Little, Die deutsche Internetwirtschaft 2012–2016, S. 16. 10 KPMG / Bitkom Research, Cloud-Monitor 2014, S. 10. 11 KPMG / Bitkom Research, Cloud-Monitor 2014, S. 10, 30; ausführlich zu Public Clouds siehe unter B.VI.1, zu Private Clouds siehe unter B.VI.2. 12 KPMG / Bitkom Research, Cloud-Monitor 2015, S. 29. 13 Hierzu ausführlich unter B.IV. 14 Vgl. Giebichenstein, BB 2011, 2218; Heckmann, in: Hill / Schliesky, Innova tionen im und durch Recht, S. 97; Höllwarth, Cloud Migration, S. 145. 15 Zu „thin clients“ siehe unter B.II.2.c).
I. Cloud Computing – IT „as a Service“37
zugegriffen. Lokale Software-Installationen macht dies entbehrlich.16 Flexible Nutzungs- und Abrechnungsmodelle tragen zugleich dazu bei, dass sich die Nutzung von Informationstechnologie langfristig zu einer „Utility“ wandeln wird und einem Versorgungsgut gleichkommen kann.17 In dem Cloud Computing zugrunde liegenden Technologieansatz wird daher häufig eine Parallele zu der Versorgung mit elektrischem Strom gesehen: während Industriebetriebe gerade in den Anfängen der Stromnutzung noch eigene, kleine Energieerzeuger unterhielten (Parallele zu lokal vorgehaltenen ITSystemen), wurden diese im Laufe der Zeit entbehrlich, da nach dem Aufbau von Versorgungsnetzen die Belieferung mit elektrischem Strom schließlich zentral über Elektrizitätsversorgungsunternehmen erfolgte (Parallele zu Cloud-Anbietern).18 IT-Leistungen sollen demnach quasi wie Strom „aus der Steckdose“ direkt ins Haus gelangen.19 Das Potential der Datenwolken wurde auch auf staatlicher Seite erkannt. Mit Blick auf die zur öffentlichen Aufgabenerfüllung in den Grenzen des Haushalts- und Vergaberechts verfügbaren Mittel ist Cloud Computing gerade auch für Kommunen und andere öffentliche Stellen wirtschaftlich attraktiv.20 International für Aufmerksamkeit sorgte im Jahr 2010 eine Entscheidung der kalifornischen Stadt Los Angeles, den gesamten E-MailVerkehr der Stadtverwaltung auf Server von Google auszulagern.21 Aufgrund von Sicherheitsfragen wurde dies im Folgejahr zwar wieder revidiert.22 Mittlerweile bieten aber alle großen US-Dienstleister spezielle Lösungen
Vossen / Haselmann / Hoeren, Cloud Computing für Unternehmen, S. 2 f. The Big Switch, S. 20; Kroes, SPEECH / 11 / 199, S. 2; siehe auch Vossen / Haselmann / Hoeren, Cloud Computing für Unternehmen, S. 19 und die dort enthaltene Darstellung der bereits im Jahr 1961 von John McCarthy geprägten Vision „computing may someday be organized as a public utility“, die mit dem Aufkommen von Cloud Computing wieder aufgegriffen wurde. 18 Carr, The Big Switch, S. 19 f. 19 Vgl. Carr, The Big Switch, S. 20 ff.; Heckmann, jurisPK-Internetrecht, Kap. 9 Rn. 600; Pohle / Ammann, CR 2010, 273; Arbeitskreise Technik und Medien der DSK, Orientierungshilfe Cloud Computing, S. 4; LfD Thüringen, 8. TB, S. 125; LfDI Rheinland-Pfalz, 23. TB, S. 16; Vossen / Haselmann / Hoeren, Cloud Computing für Unternehmen, S. 2; Eiermann, DuD 2013, 92 (93); Schulz, in: Krallmann / Zapp, Bausteine einer vernetzten Verwaltung, S. 53. 20 Heckmann / von Lucke / Hennrich / Maisch, C3-Studie, S. 24, 47 f. 21 FAZ v. 4.10.2010, http://www.faz.net/aktuell/wirtschaft/netzwirtschaft/datenspei cherung-jetzt-kommt-die-cloud-1230186.html (Stand: 1.7.2015). 22 http://www.heise.de/ix/meldung/Los-Angeles-beklagt-Sicherheitsprobleme-beiGoogles-Cloud-1364534.html v. 21.10.2011 (Stand: 1.7.2015); http://www.heise.de/ ix/meldung/Polizei-von-Los-Angeles-verzichtet-auf-Googles-Cloud-1405726.html v. 9.1.2012 (Stand: 1.7.2015). 16 Vgl.
17 Carr,
38
A. Einleitung
auch für das „Government“ an.23 Da auch spezialisierte deutsche Anbieter ein den Sicherheitsbedürfnissen und Anforderungen der öffentlichen Verwaltung entsprechendes Leistungsportfolio aufweisen, ist Cloud Computing aus E-Government-Konzepten nicht mehr wegzudenken.24 Zu den ersten prominenten staatlichen Cloud-Initiativen in Deutschland zählt das „Aktionsprogramm Cloud Computing / Trusted Cloud“ des Bundesministeriums für Wirtschaft und Technologie (BMWi) aus dem Jahr 2010.25 Im gleichen Jahr hat Cloud Computing aber beispielsweise auch Eingang in die IKT-Strategie „Deutschland Digital 2015“ der Bundesregierung gefunden.26 Daneben beschäftigen sich seit einigen Jahren verschiedene Arbeits- und Unterarbeitsgruppen auf den vom BMWi ausgerichteten „Nationalen IT-Gipfeln“ mit Vertrauen, Datenschutz und Sicherheit beim Cloud Computing.27 Cloud Computing ist aus Innovationsstrategien nicht mehr wegzudenken und steht daher auch im Fokus verschiedener Maßnahmen der „Digitalen Agenda 2014–2017“ der Bundesregierung.28 Staatliche Initiativen finden sich auch in anderen EU-Mitgliedstaaten (beispielsweise das „G-Cloud Programme“ in Großbritannien).29 Auf europäischer Ebene sind die Datenwolken zudem zentraler Bestandteil der „Digitalen Agenda“ der Kommission.30 Aufgrund des Auftragsvolumens öffentlicher Ausschreibungen ist die Kommission in ihrem Strategiepapier zu Cloud Computing der Auffassung, dass öffentliche Stellen bei der Verbreitung offener Technologien und sicherer Plattformen sowie bei dem Einsatz vertrauenswürdiger Cloud-Lösungen eine zentrale Rolle einnehmen werden.31 Das Strategiepapier trägt dabei den ambitionierten Titel „Freisetzung 23 Gerber / Thiele / Zimmer, in: Krallmann / Zapp, Bausteine einer vernetzten Verwaltung, S. 228; zu Praxisbeispielen siehe unten Fn. 317. 24 Ausführlich Heckmann / von Lucke / Hennrich / Maisch, C3-Studie, S. 1 ff.; vgl. Gerber / Thiele / Zimmer, in: Krallmann / Zapp, Bausteine einer vernetzten Verwaltung, S. 213 ff. 25 BMWi, Aktionsprogramm Cloud Computing, S. 1 ff. 26 BMWi, IKT-Strategie Deutschland Digital 2015, S. 12. 27 Nationaler IT-Gipfel in Hamburg (2014) und Essen (2012), jeweils Arbeitsgruppe 4 „Vertrauen, Datenschutz und Sicherheit im Internet“, Unterarbeitsgruppe 1: Sicheres Cloud Computing; in München (2011), verschiedene Dokumente zu Cloud Computing, siehe (v. a. unter „Archiv“) http://www.it-gipfel.de (Stand: 1.7.2015). 28 Bundesregierung, Digitale Agenda 2014–2017, S. 13. 29 Gerber / Thiele / Zimmer, in: Krallmann / Zapp, Bausteine einer vernetzten Verwaltung, S. 234; https://www.digitalmarketplace.service.gov.uk / g-cloud / framework (Stand: 1.7.2015). 30 http://ec.europa.eu / digital-agenda / en / telecoms-and-internet / cloud-computing (Stand: 1.7.2015). 31 COM(2012) 529, S. 11; ausführlich zur Cloud Computing Strategie der Kommission unter C.II.4.a)cc).
II. Chancen und Risiken innovativer Technologielösungen39
des Cloud-Computing-Potenzials in Europa“32 und verdeutlicht durch diese Titelwahl trefflich, dass – langfristig gesehen – der mit Cloud Computing verbundene Transformationsprozess und Wandel gerade erst begonnen haben.33 Wie genau die verschiedenen „Cloud 2.0“-Konzepte aussehen werden, wird sich wohl schon in wenigen Jahren zeigen. Begrifflich wurde die „Cloud“ weiten Teilen der Bevölkerung vor allem durch den Online-Speicher- und Synchronisationsdienst „iCloud“34 von Apple oder den Online-Musikspieler „Amazon Cloud Player“35 bekannt. Heute steht „Cloud Computing“ als ganz und gar „wolkiger“ Ober- und Marketingbegriff oft vereinfachend für Online-Speicherdienste, Web-2.0Dienste (wie Facebook, Wikipedia, Twitter oder Flickr) oder mitunter ganz pauschal für die Nutzung des Internets oder von Online-Ressourcen. Wie sich im Rahmen der begrifflichen Erörterung von Cloud Computing noch zeigen wird, umgeben Datenwolken die Online-Gemeinde in verschiedenen Gewändern quasi seit Beginn des Internetzeitalters – wenngleich noch nicht in der Komplexität und Flexibilität bestimmter Nutzungs- und Abrechnungsmodelle, die zahlreiche Dienste heutzutage aufweisen und die „Cloud Computing“ kennzeichnen.36
II. Chancen und Risiken innovativer Technologielösungen als Herausforderungen an einen Rechtsrahmen Cloud Computing bietet vielfältige Chancen und Vorteile.37 Aus wirtschaftlicher Sicht eröffnen vor allem die flexiblen und bedarfsgerechten Geschäfts- und Abrechnungsmodelle eine kosteneffiziente Nutzung von ITRessourcen und Applikationen.38 Durch verbesserte Betriebs-, Einstiegsund Anschaffungskosten, Kapitalausgaben sowie einer Anpassungsfähigkeit an geänderte Bedürfnisse können Unternehmen dem steigenden Kostendruck 32 COM
(2012) 529; SWD(2012) 271. COM (2012) 529, S. 2; vgl. auch unter B.IV.4. 34 http://www.apple.com / de / icloud (Stand: 1.7.2015); zu der „iCloud“ siehe auch unten unter B.V.4.b)dd). 35 http://www.amazon.de / cloudplayer (Stand: 1.7.2015). 36 Zu dem Begriff „Cloud Computing“ ausführlich unter B.IV. 37 Ausführlich z. B. COM(2012) 529, S. 3 ff.; SWD(2012) 271, S. 3 ff.; Heckmann / von Lucke / Hennrich / Maisch, C3-Studie, S. 24 f.; Heckmann, jurisPK-Internetrecht, Kap. 9 Rn. 617 ff.; Vossen / Haselmann / Hoeren, Cloud Computing für Unternehmen, S. 32 ff.; Falck / Haucap / Kühling, Wachstumsorientierte Telekommunikationspolitik, S. 72 ff.; BITKOM, Leitfaden Cloud Computing 2010, S. 28 ff.; MeirHuber, Cloud Computing, S. 59 ff.; Metzger / Reitz / Villar, Cloud Computing, S. 27 ff. 38 Vgl. Bräutigam / Thalhofer, in: Bräutigam, IT-Outsourcing und Cloud-Comput ing, Teil 14 Rn. 11; LfD Bremen, 34. JB, S. 19; Kühling / Biendl, CR 2014, 150. 33 Vgl.
40
A. Einleitung
in einem globalen Wettbewerb noch flexibler begegnen.39 Ein hohes Einsparpotential wird gerade bei IT-Systemen und bei entfallenden Wartungsund Anschaffungszyklen gesehen.40 Langfristig kann Cloud Computing daher ganze Geschäftsprozesse und Unternehmensstrategien nachhaltig verändern.41 Gerade kleine und mittelständische Unternehmen können nunmehr auf erstklassige Technologien zurückgreifen, die aufgrund hoher Anschaffungskosten oder einem fehlendem Know-how bei klassischen Bezugsmodellen nicht erschwinglich waren.42 Technische Vorteile verbinden sich vor allem mit der ubiquitären, standortunabhängigen Verfügbarkeit von Daten, IT-Ressourcen und Applikationen sowie mit dem Know-how und der Erfahrung spezialisierter Anbieter.43 Neue und innovative Technologielösungen enthalten aber auch neuartige Risiken, die den Chancen und Vorteilen gegenüberstehen.44 In der Cloud sind Daten und Applikationen vor allem dem direkten physischen Zugriff des Nutzers entzogen. Bei der Wahl eines Anbieters können neben technischen Aspekten daher insbesondere Fragen der Interoperabilität (zwecks Vermeidung der Abhängigkeit von einem Anbieter, sog. „vendor lock-in“) oder die Zugriffsmöglichkeiten von Sicherheitsbehörden (gerade bei außereuropäischen Clouds) von Bedeutung sein.45 Rechtliche Bedenken und Unsicherheiten sind vor allem mit den Herausforderungen an einen wirksamen Datenschutz und an die Grundsätze der allgemeinen Daten- und Informationssicherheit verbunden.46 Da der technische Ansatz (global) verteilter Ressourcen hierbei auf einen Rechtsrahmen trifft, der verteiltes Rechnen und die Besonderheiten gemeinsam genutzter Ressourcen im Zeitpunkt seiner Konzeption noch nicht zu berücksichtigen hatte, können die unklare rechtliche Situation, Fragen einer diesbezüglichen Compliance sowie feh39 Vgl. BITKOM, Leitfaden Cloud Computing 2010, S. 4 f., 21 ff.; BMWi, Ak tionsprogramm Cloud Computing, S. 10; Heckmann / von Lucke / Hennrich / Maisch, C3-Studie, S. 25. 40 BSI, Lagebericht der IT-Sicherheit in Deutschland 2011, S. 39. 41 Vgl. BITKOM, Leitfaden Cloud Computing 2010, S. 10 ff. 42 Vgl. Art.-29-Datenschutzgruppe, WP 196, S. 5; Lehmann / Giedke, CR 2013, 608 (610). 43 BSI, Lagebericht der IT-Sicherheit in Deutschland 2011, S. 39; BSI, JB 2010, S. 27; Heckmann / von Lucke / Hennrich / Maisch, C3-Studie, S. 24 f. 44 Ausführlich zu den Hemmnissen in der Entwicklung von Cloud Computing Falck / Haucap / Kühling, Wachstumsorientierte Telekommunikationspolitik, S. 77 ff. 45 Heckmann / von Lucke / Hennrich / Maisch, C3-Studie, S. 26 f.; siehe hierzu ausführlich im Rahmen der allgemeinen Daten- und Informationssicherheit unter C.V.; vgl. Niemann, in: Niemann / Paul, Rechtsfragen des Cloud Computing, Kap. 5 Rn. 3. 46 Vgl. BMWi, Aktionsprogramm Cloud Computing, S. 19; Heckmann / von Lucke / Hennrich / Maisch, C3-Studie, S. 26; BSI, JB 2010, S. 27; Art.-29-Datenschutzgruppe, WP 196, S. 2.
III. Gang der Darstellung41
lendes Vertrauen die Chancen und Vorteile von Cloud Computing oftmals relativieren.47
III. Gang der Darstellung Das folgende Kapitel B. dient der Einführung in die Grundlagen von Cloud Computing. Nach einem kurzen Rückblick auf Meilensteine des Informationszeitalters auf dem Weg zur Cloud folgt eine Darstellung der technischen Rahmenbedingungen und Basistechnologien von Cloud Computing. Hieran anschließend werden das begriffliche Verständnis von Cloud Computing, gegenwärtige Erscheinungsformen sowie ausgewählte Praxisbeispiele dargestellt. Die Herausforderungen von Cloud Computing an den Rechtsrahmen für Datenschutz werden sodann anhand der typischen und praxisrelevanten Spannungsfelder zwischen Cloud Computing und dem BDSG im zweiten Kapitel erörtert. Im Fokus der Arbeit, die sich an dem Aufbau des BDSG orientiert, stehen insoweit das anzuwendende Datenschutzrecht, der Personenbezug von Daten, internationale Datentransfers, die allgemeine Datenund Informationssicherheit, die Auftragsdatenverarbeitung sowie die Interessenabwägung im Rahmen von § 28 Abs. 1 S. 1 Nr. 2 BDSG. Der Darstellung des jeweiligen Rechtsrahmens werden dabei diejenigen Herausforderungen von Cloud Computing gegenübergestellt, mit denen in der Praxis besondere Schwierigkeiten bei der Umsetzung und Einhaltung der gesetz lichen Regelung verbunden sind. Neuere Entwicklungen im Zuge der EUDatenschutzreform werden berücksichtigt und, wo erforderlich, kritisch begleitet.
47 Vgl. BITKOM, Leitfaden Cloud Computing 2010, S. 14; Niemann / Hennrich, CR 2010, 686; Wedde, in: Däubler / Klebe / Wedde / Weichert, BDSG, § 9 Rn. 30; Schultze-Melling, in: Taeger / Gabel, BDSG, § 9 Rn. 104; Falck / Haucap / Kühling, Wachstumsorientierte Telekommunikationspolitik, S. 78.
B. Die Grundlagen von Cloud Computing Gegenstand dieses Kapitels sind die Grundlagen von Cloud Computing. Sie bilden das notwendige Hintergrundwissen für die sich anschließende Erörterung der Herausforderungen an den Rechtsrahmen für Datenschutz. Nach einem kurzen Rückblick auf Meilensteine des Informationszeitalters auf dem Weg zur Cloud werden die technischen Rahmenbedingungen und Basistechnologien, das begriffliche Verständnis von Cloud Computing sowie die gegenwärtigen Erscheinungsformen (einschließlich ausgewählter Praxisbeispiele) dargestellt.
I. Von Mainframes zu Datenwolken 1. Meilensteine des Informationszeitalters auf dem Weg zur Cloud Das Informationszeitalter hat – wie die menschliche Zivilisation, die sich von der Agrargesellschaft über die Industriegesellschaft bis hin zur heutigen Informationsgesellschaft in mehreren Stufen entwickelte – auf dem Weg zur Cloud von ersten Relaisrechnern, Mainframes, PCs, Client-Server-Netzwerken, dem Internet, mobiler Kommunikation, breitbandigen Anbindungen und Smartphones binnen weniger Jahrzehnte zahlreiche Entwicklungsstufen durchlaufen.48 Zwar befindet sich das Informationszeitalter unter zivilisatorischen Gesichtspunkten noch in den Anfängen der Entstehung. Der herbeigeführte technische Fortschritt hat die Gesellschaft aber in allen Lebensbereichen bereits nachhaltig und dauerhaft verändert.49 Der Weg zur Cloud ist zunächst ein geschichtlicher Rückblick auf die Entwicklung von Rechenmaschinen. Spuren und Pfade lassen sich insoweit bis in das 11. vorchristliche Jahrhundert zurückverfolgen, als in China ein Rechenbrett entwickelt wurde, das die Römer später „Abakus“ nannten.50 Erst viele Jahrhunderte später finden sich mechanische Rechenmaschinen. Hervorzuheben sind insoweit die im 17. Jahrhundert entwickelte Rechenma48 Vgl. Mather / Kumaraswamy / Latif, Cloud Security and Privacy, S. 2; Heckmann, jurisPK-Internetrecht, Kap. 9 Rn. 599. 49 Vgl. KOM(2012) 11, S. 1. 50 Hoffmann, Grundlagen der Technischen Informatik, S. 13; vgl. Herold / Lurz / Wohlrab, Grundlagen der Informatik, S. 28 ff.
I. Von Mainframes zu Datenwolken43
schine von Wilhelm Schickard, die bereits Addition und Subtraktion beherrschte, sowie das Konzept einer programmgesteuerten Rechenmaschine von Charles Babbage aus dem 19. Jahrhundert.51 Die eigentlichen Ursprünge des Informationszeitalters liegen aber im 20. Jahrhundert. Gegenüber rein mechanischen Rechenmaschinen eröffnete die Entwicklung elektromechanischer Bauteile (hierbei vor allem Relais) den Einsatz von elektrischem Strom und von Schaltkreisen. Zu den bekanntesten elektromechanischen Relaisrechnern zählen die im Jahr 1941 konstruierte Z3 von Konrad Zuse oder der von Howard Aiken 1944 entwickelte Mark I.52 Als erster Computer im heutigen Verständnis wird der 1946 an der University of Pennsylvania gebaute, rein elektronische Rechner ENIAC53 angesehen, dessen 30 Einheiten mit einem Gesamtgewicht von fast 30 Tonnen zwar noch um die 140 Quadratmeter einnahmen und U-förmig über einen ganzen Raum verteilt waren, in dem anstelle von Relais als Schalt element aber bereits Vakuumröhren des Röhrentyps der Triode zum Einsatz gelangten.54 Zu den Meilensteinen der fünfziger Jahre zählt die kontinuierliche Ablösung der Vakuumröhre durch den Ende der vierziger Jahre erfundenen Transistor sowie die Entwicklung eines integrierten Schaltkreises durch Jack Kilby im Jahr 1958, wonach Transistoren nicht mehr als diskretes Element, sondern als integrierter Bestandteil eines Halbleiters zum Einsatz gelangen konnten.55 Integriert in einen Mikrochip sind sie bis heute zentraler Bestandteil von Prozessoren. Infolge der fortschreitenden Miniaturisierung hin zu Strukturen von wenigen Nanometern bewegt sich die Anzahl an Transistoren je Prozessor aber gegenwärtig im Milliarden-Bereich, wie eine Ankündigung des Herstellers Intel aus dem Herbst 2013 über Serverprozessoren mit bis zu 12 Kernen und 4,1 Milliarden Transistoren auf einem Chip veranschaulicht.56 Integrierte Schaltkreise eröffneten Mitte der sechziger Jahre auch die Ära der Großrechner (Mainframes).57 In den siebziger Jahren konnte deren Rechenleistung bereits für verschiedene Aufgaben virtualisiert bereitgestellt 51 Hoffmann,
Grundlagen der Technischen Informatik, S. 14 ff. Grundlagen der Informatik, S. 34 ff.; Hoffmann, Grundlagen der Technischen Informatik, S. 17 ff. 53 Electronic Numerical Integrator and Computer. 54 Hoffmann, Grundlagen der Technischen Informatik, S. 20 ff. (mit Skizze eines „Floorplan“ der ENIAC); Herold / Lurz / Wohlrab, Grundlagen der Informatik, S. 37. 55 Hoffmann, Grundlagen der Technischen Informatik, S. 23 ff. 56 http://www.heise.de/newsticker/meldung/IDF-Intel-bringt-Serverprozessor-IvyBridge-EP-heraus-1953442.html v. 10.9.2013 (Stand: 1.7.2015). 57 Hoffmann, Grundlagen der Technischen Informatik, S. 25 f. 52 Herold / Lurz / Wohlrab,
44
B. Die Grundlagen von Cloud Computing
werden.58 Obwohl Informationen in der Mainframe-Ära meist noch über gestanzte Lochkarten oder Magnetbänder eingegeben wurden, findet sich das Konzept eines leistungsstarken „Großrechners“ auch beim Cloud Computing wieder. Die für hohe Nutzerzahlen dimensionierten und über mehrere Rechenzentrumsstandorte verteilten und vernetzten Serverlandschaften sind die Großrechner des Cloud-Zeitalters. In den siebziger Jahren liegt auch die Entwicklung kompakter Mikroprozessoren. Deren Taktfrequenzen von bis zu einem Megahertz sind in Zeiten, in denen selbst Smartphones mit Mehrkernprozessoren von über einem Gigahertz Taktfrequenz bestückt sind, kaum noch vorstellbar.59 Ende der siebziger Jahre begann zudem die Ära der Personal Computer (PC), die in den achtziger Jahren auch in Privathaushalte Einzug hielten und die bereits Monitor, Tastatur und Maus als Schnittstellen-Elemente aufwiesen.60 Die Datenweitergabe erfolgte meist noch mittels Disketten als Datenträger. Erste Datennetze, wie das ARPANET, waren vorwiegend militärischen Zwecken, Forschungseinrichtungen oder größeren Unternehmen vorbehalten.61 Als Meilenstein auf dem Weg zur Cloud findet sich in den neunziger Jahren die Entwicklung von Netzwerken und Client-Server-Technologien.62 Der Thüringer Landesbeauftragte für Datenschutz sieht in Cloud Computing eine besondere Form des Client-Server-Prinzips, „wobei der Server durch eine komplexe Wolke und der Client durch ein mehr oder weniger intelligentes Anzeigegerät ersetzt werden.“63 In diesem Jahrzehnt liegen aber auch die Anfänge des World Wide Webs. Im Rahmen eines Projekts am Kernforschungszentrum CERN64 entwickelte Tim Berners-Lee ein Hypertext-System auf Basis der Hypertext Markup Language (HTML), das noch heute – wenngleich in weiterentwickelter Form (gegenwärtig HTML5) – ein grundlegender Webstandard ist. Softwareseitig vereinfachten Betriebssysteme mit graphischer Benutzeroberfläche (wie vor allem „Windows 95“ von Microsoft) die Bedienbarkeit von PCs und ermöglichten nicht zuletzt die 58 Wie z. B. das Betriebssystem MVS („multiple virtual storage“) bei IBM-Mainframes, vgl. Greis, Die IBM-Mainframe-Architektur, S. 24 ff.; zu der Virtualisierung im heutigen Verständnis siehe unten unter B.III.4. 59 Vgl. Hoffmann, Grundlagen der Technischen Informatik, S. 27. 60 Vgl. Hoffmann, Grundlagen der Technischen Informatik, S. 29; Meir-Huber, Cloud Computing, S. 16. 61 Das Advanced Research Projects Agency Network (ARPANET) wurde für militärische Zwecke entwickelt und ist ein Vorläufer des Internets; hierzu einleitend Köhler / Arndt / Fetzer, Recht des Internet, S. 1 Rn. 1. 62 Vgl. BlnBDI, JB 2008, S. 14. 63 LfD Thüringen, 8. TB, S. 125. 64 Conseil Européen pour la Recherche Nucléaire (European Organization for Nuclear Research).
I. Von Mainframes zu Datenwolken45
Entwicklung des Internets zu einem Massenmedium. In den Web-MailDiensten der ersten Generation können bereits Frühformen von Datenwolken gesehen werden. Die Speicherung ein- und ausgehender E-Mails durch den Anbieter sowie die Verwaltung des Postfachs durch den Nutzer über einen Browser sind typische Merkmale, die das Anbieter-Nutzer-Verhältnis auch bei Cloud Computing kennzeichnen. Nach der Jahrtausendwende beflügelte vor allem der Ausbau breitbandiger Datennetze die weitere Entwicklung des Internets zu dem interaktiven Web 2.0, sozialen Netzwerken und flexiblen Nutzungsmodellen.65 2. Cloud Computing – Evolution oder Revolution? Im Kontext der IT-historischen Meilensteine auf dem Weg zur Cloud stellt sich zwangsläufig die Frage, ob Cloud Computing (lediglich) als weitere Evolutionsstufe des Informationszeitalters oder (vielmehr) als Revolution anzusehen ist.66 Mit Blick auf die folgende Darstellung der technischen Rahmenbedingungen und Basistechnologien von Cloud Computing erscheint es vorzugswürdig, die dahinterstehende Technik (noch) als evolutionär zu betrachten.67 Zwar ist schon heute die Abkehr von verschiedenen, das Informationszeitalter bisher kennzeichnenden Paradigmen ersichtlich. Allerdings hat dieser Transformationsprozess erst begonnen. Das gesamte Potential, das sich hinter Cloud Computing verbirgt, ist bei weitem nicht ausgeschöpft. Durch bedarfsbasierte Nutzungs- und Bereitstellungsformen weist der eingeleitete Wandel jedenfalls das wirtschaftliche Potential auf, um ITEinsatzszenarien dauerhaft umzuwälzen.68 Langfristig kann dies als revolutionär betrachtet werden,69 wenngleich spätere Generationen dies anhand der künftigen Entwicklung rückblickend bewerten müssen.70
65 Zu
den technischen Rahmenbedingungen siehe unten unter B.II. Meir-Huber, Cloud Computing, S. 17 ff.; BITKOM, Leitfaden Cloud Computing 2009, S. 7, 9; Art.-29-Datenschutzgruppe, WP 196, S. 5; Carr, The Big Switch, S. 20; Babcock, The Cloud Revolution, S. 1 ff.; Eiermann, DuD 2013, 92 (93). 67 Gerber / Thiele / Zimmer, in: Krallmann / Zapp, Bausteine einer vernetzten Verwaltung, S. 218; Heckmann / von Lucke / Hennrich / Maisch, C3-Studie, S. 22; Jotzo, Der Schutz personenbezogener Daten in der Cloud, S. 19. 68 Siehe oben unter A.II. 69 Vgl. Höllwarth, Cloud Migration, S. 51. 70 So auch LDI NRW, 20. DIB, S. 123. 66 Vgl.
46
B. Die Grundlagen von Cloud Computing
II. Technische Rahmenbedingungen für Cloud Computing Als „cloud enabler“ sind bestimmte technische Rahmenbedingungen von grundlegender Bedeutung für das „Rechnen in der Cloud“. 1. Breitbandige Internetzugänge und mobile Kommunikation Breitbandige Internetzugänge und mobile Kommunikation bilden das technische Rückgrat für einen schnellen und jederzeitigen Cloud-Zugriff.71 Selbst datenintensive Dienste (wie Audio- und Media-Streaming, OnlineSoftware-Updates oder ganze Software-Applikationen aus der Cloud) können heutzutage meist mit großem Komfort ohne lange Ladezeiten genutzt werden. Dies war in den Anfängen des WWW noch längst nicht der Fall und etwa bei der graphischen Konzeption von Webseiten ein limitierender Faktor. Obwohl Breitbandnetze vor allem in den Ballungszentren kontinuierlich ausgebaut wurden, ist eine breitbandige Netzabdeckung in einigen ländlichen Regionen bis heute nicht abgeschlossen.72 Aufgrund der Bedeutung für das wirtschaftliche Wachstum beschloss die Bundesregierung im Jahr 2009, verbliebene weiße Flecken zu beseitigen und flächendeckend eine Geschwindigkeit von mindestens 1 Mbit / s zu erreichen.73 Nach einem Zwischenbericht von Ende 2011 können 98,7 Prozent der deutschen Haushalte einen Breitbandanschluss mit dieser Mindestgeschwindigkeit nutzen.74 In modernen, datenintensiven Nutzungsszenarien erscheint aber selbst diese Geschwindigkeit eher als Schmalband von gestern statt Highspeed für morgen.75 Ein weiterer Breitband-Ausbau ist daher im Fest- und Mobilfunknetz unabdingbar, wobei für Cloud Computing gerade der Ausbau von LTENetzen im Mobilfunkbereich als Wachstumstreiber angesehen wird.76 Eine flächendeckende Breitbandinfrastruktur, die Beseitigung weißer Flecken, höhere Bandbreiten und mobiles Breitband sind auch zentrale Maßnahmen der im August 2014 vorgestellten „Digitalen Agenda 2014–2017“ der Bundesregierung.77 Metzger / Reitz / Villar, Cloud Computing, S. 3. Meir-Huber, Cloud Computing, S. 17. 73 BMWi, Breitbandstrategie der Bundesregierung (2009), S. 4, 6. 74 BMWi, Zweiter Monitoringbericht zur Breitbandstrategie des Bundes (2011), S. 43. 75 Vgl. http://www.spiegel.de/netzwelt/web/schmalband-deutschland-warum-unserinternet-immer-noch-zu-langsam-ist-a-901508.html v. 21.6.2013 (Stand: 1.7.2015). 76 eco / Arthur D. Little, Die deutsche Internetwirtschaft 2012–2016, S. 12. 77 Bundesregierung, Digitale Agenda 2014–2017, S. 9 f. 71 Vgl. 72 Vgl.
II. Technische Rahmenbedingungen für Cloud Computing 47
Anstelle einer zeit- und volumenbasierten Abrechnung wurden Internetanschlüsse von Access-Providern bald unabhängig von Onlinezeit oder der Menge an übertragenen Gigabytes („flat“) bereitgestellt. Dies änderte das Nutzungsverhalten und beflügelte vor allem die Entwicklung von sozialen Netzwerken, Online-Enzyklopädien, Foto- und Videoplattformen in einem interaktiven Web 2.0. Nicht zuletzt hierdurch ist das Internet mittlerweile ein unverzichtbarer Bestandteil des täglichen Lebens geworden.78 WLANHotspots in Hotels, Cafés, Flughäfen, Bahnhöfen, in ICE-Zügen der Deutschen Bahn oder an Bord von Flugzeugen sind Ausdruck eines Bedürfnisses nach Datenmobilität und ermöglichen neben der Datenkommunikation über Mobilfunk von fast jedem Ort einen Zugriff auf das Internet. 2. Vielfältige Zugangsgeräte a) Von PC bis Smartphone – Zugangsgeräte in Zeiten wachsender mobiler Kommunikation Die Vielfalt der Geräte, die einen Zugang zu Datenwolken ermöglicht, hat gerade in den letzten Jahren stark zugenommen. Für einen „cloud access“ stehen neben PCs und Notebooks vor allem Smartphones und Tablets bereit, die als elektronische Helfer aus dem digitalen Alltag nicht mehr wegzudenken sind.79 In Verbindung mit breitbandigen Datennetzen sorgen sie dafür, dass Cloud Computing nicht nur an festen Standorten, sondern auch mobil möglich ist. b) Zugangsgeräte in einem Smart Grid und Internet der Dinge Im Zuge der Digitalisierung des Alltags („smart life“) existieren bereits heute zahlreiche Geräte, die sich bei klassischer Betrachtung ihres eigentlichen Verwendungszwecks zunächst nicht mit einer Online-Nutzung assoziieren lassen (wie WLAN-fähige Fernsehgeräte mit integriertem Browser, vernetztes Auto). In einem „Internet der Dinge“ werden Kühlschränke, die entnommene Lebensmittel bei Online-Händlern nachbestellen, Kaffeemaschinen, Rollladensteuerungen, Energie- und Haushaltszähler („smart metering“), Rasensprenger, Haushaltsroboter, Lesegeräte für RFID-Transponder und viele andere Smart Devices das gesamte Smart Grid bilden.80 Die im78 Vgl. BGH, Urt. v. 24.1.2013 – III ZR 98 / 12, wonach die Nutzbarkeit des Internets ein Wirtschaftsgut ist, dessen ständige Verfügbarkeit seit längerer Zeit auch im privaten Bereich von zentraler Bedeutung für die Lebensführung ist. 79 Vgl. Mather / Kumaraswamy / Latif, Cloud Security and Privacy, S. 12. 80 Vgl. LfDI Rheinland-Pfalz, 23. TB, S. 18; Eiermann, DuD 2013, 92 (93).
48
B. Die Grundlagen von Cloud Computing
mer größere Zahl an ständig vernetzten Geräten ist im Internet an der Knappheit der rund 4 Milliarden IPv4-Adressen erkennbar. Mit IPv6 stehen künftig rund 340 Sextillionen möglicher IP-Adressen zur Verfügung,81 um der kontinuierlich wachsenden Zahl und Vielfalt an Geräten mit Zugang zu Datenwolken technisch gerecht zu werden. c) Thin Clients und Zero Clients Anstelle von Notebooks oder PCs gelangen zunehmend bloße „thin clients“ zum Einsatz (auf wenige Funktionen und Dienste reduzierte Geräte werden in der gegenwärtigen Praxis mitunter als „zero clients“ beworben). Im Gegensatz zu „fat clients“ umfassen sie in der Regel nur noch diejenigen Hardware-Ressourcen, die für die Nutzung als Schnittstelle (vor allem Anzeige- und Dateneingabemöglichkeiten) unmittelbar erforderlich sind.82 Weitergehende Datenverarbeitungsprozesse erfolgen nicht mehr lokal, sondern zentral in der Cloud. Von einem Nutzer werden diese ausgelagerten Prozesse über den „thin client“ nur noch „gesteuert“. Mit Blick auf die anderenfalls lokal vorzuhaltenden IT-Ressourcen verdeutlicht sich insoweit die mit Cloud Computing assoziierte Abkehr von bisherigen IT-Nutzungsund Einsatzszenarien. 3. Einfache Zugriffsmöglichkeiten via Browser oder App Die Verbreitung von Cloud-Services wird vor allem dadurch gefördert, dass viele Dienste über Browser oder App in Anspruch genommen werden können.83 Moderne Methoden in der dynamischen Gestaltung von Webseiten, insbesondere HTML5, Ajax und Javascript spielen dabei eine große Rolle. Cloud-Services können somit überall dort genutzt werden, wo ein Zugangsgerät mit installiertem Browser (ein „thin client“ reicht hierfür in der Regel bereits aus) vorhanden ist. Browsergestützte Zugangs- und Nutzungsmöglichkeiten machen vor allem lokale Software-Installationen entbehrlich.84
81 Das ist die Zahl 340 gefolgt von 36 Nullen, siehe Brosch / Hennrich, juris AnwZert ITR 21 / 2011, Anm. 2. 82 Vgl. Mather / Kumaraswamy / Latif, Cloud Security and Privacy, S. 13; Vossen / Haselmann / Hoeren, Cloud Computing für Unternehmen, S. 2. 83 Vgl. Mather / Kumaraswamy / Latif, Cloud Security and Privacy, S. 13. 84 Vgl. Niemann / Hennrich, CR 2010, 686; Vossen / Haselmann / Hoeren, Cloud Computing für Unternehmen, S. 3; Metzger / Reitz / Villar, Cloud Computing, S. 4.
III. Basistechnologien von Cloud Computing49
4. Leistungsstarke Hardware und breitbandige Standortvernetzung Der Einsatz der Virtualisierungstechnik, die unter anderem durch eine effizientere Auslastung der zugrunde liegenden Ressourcen zu einem wirtschaftlicheren Betrieb führt,85 hat zusammen mit immer leistungsfähigerer Standardhardware (meist ähnliche Komponenten wie in gewöhnlichen PCs) die Bereitstellung von professionellen und hochverfügbaren Lösungen vereinfacht. Die zugleich immer günstigeren Ressourcen ermöglichen es Cloud-Infrastruktur-Anbietern, diese auch in großen Mengen bereitzuhalten und auf Basis flexibler Nutzungsmodelle zur Verfügung zu stellen.86 Schnelle Glasfaserverbindungen zwischen Rechenzentrumsstandorten eröffnen zudem hochperformante Vernetzungsoptionen und ermöglichen einem breiten Nutzerkreis die Umsetzung von Hochverfügbarkeitslösungen mit geographischer Standortredundanz.
III. Basistechnologien von Cloud Computing Cloud Computing ist keine neue Technologie an sich.87 In dem folgenden Blick auf zentrale Basistechnologien finden sich vielmehr etablierte ITKonzepte wieder, die bereits Bestandteil eigenständiger Entwicklungen waren. Die heutigen technischen Rahmenbedingungen ermöglichen es aber, diese Konzepte in neuen Formen miteinander zu kombinieren, gemeinsam weiterzuentwickeln und um nutzungsorientierte Abrechnungsmodelle zu ergänzen.88 1. Grid Computing Grid Computing findet seinen Ursprung in den neunziger Jahren und stellt eine wichtige Stufe in der Entwicklung von Rechenclustern dar.89 Bei 85 Ausführlich
zu der Virtualisierung siehe unten unter B.III.4. Niemann / Hennrich, CR 2010, 686; Mather / Kumaraswamy / Latif, Cloud Security and Privacy, S. 13. 87 ENISA, Cloud Computing: Benefits, Risks and Recommendations, S. 4; Höllwarth, Cloud Migration, S. 148; Niemann / Hennrich, CR 2010, 686; Lapp, BB 36.2011, VI; Wicker, MMR 2012, 783. 88 Niemann / Hennrich, CR 2010, 686; Mather / Kumaraswamy / Latif, Cloud Security and Privacy, S. 11; Schuster / Reichl, CR 2010, 38; vgl. Vossen / Haselmann / Hoeren, Cloud Computing für Unternehmen, S. 19; ausführlich zu den Grundlagen von Cloud Computing Baun / Kunze / Nimis / Tai, Cloud Computing, S. 9 ff. 89 Gerber / Thiele / Zimmer, in: Krallmann / Zapp, Bausteine einer vernetzten Verwaltung, S. 215 f.; den Begriff prägte vor allem die in den neunziger Jahren erschienene Publikation von Foster / Kesselman, The Grid. 86 Vgl.
50
B. Die Grundlagen von Cloud Computing
dem verteilten Rechnen in Computer Grids werden IT-Systeme zu leistungsstarken Clustern gekoppelt, um rechenintensive Aufgaben zu bewältigen.90 Koordiniert wird die Ressourcen-Nutzung durch „virtuelle Organisationen“, in denen sich mitwirkende Unternehmen, Organisationen oder Einzelpersonen zweckgebunden und für die Dauer der gemeinsamen Nutzung zusammengeschlossen haben.91 Für die technische Umsetzung einer Grid-Architektur existieren sehr unterschiedliche Konzepte und Implementationsmöglichkeiten. Bei einer Verteilung über mehrere Standorte enthält Grid Computing – wie Cloud Computing – daher neue technische Herausforderungen an den Datenzugriff (vor allem an die Bandbreite von Datenleitungen oder an Latenzen bei der Datenübertragung).92 Computer Grids gelangen bis heute vornehmlich im wissenschaftlichen Umfeld – etwa in naturwissenschaftlichen Forschungsprojekten wie dem Large Hadron Collider (LHC) am CERN, das gewaltige 15 Petabyte93 pro Jahr an Messdaten produziert94 –, aber auch bei der Verarbeitung großer Datenmengen durch Unternehmen zum Einsatz.95 In kleinerem Maßstab ist das SETI@home96-Projekt bekannt geworden, bei dem zur Suche nach außerirdischer Intelligenz auf die ungenutzten CPU-Ressourcen von PCs (zu Hause oder am Arbeitsplatz) zurückgegriffen wird, die über das Internet mit den Projektservern verbunden sind, die jeweils kleine Arbeitspakete verteilen.97 Aus dem Grid Computing findet sich im Cloud Computing vor allem das Konzept der gemeinsamen und bedarfsbasierten Nutzung verteilter und gekoppelter Hardware-Ressourcen wieder.98 Gerade in Public Clouds ist die gemeinsame Nutzung von Ressourcen jedoch nicht auf die speziellen Anforderungen von Forschungseinrichtungen oder Unternehmen, sondern auf die generelle Nutzung durch die Allgemeinheit ausgelegt.99 Auch weist das Grid Computing keine zentrale Ressourcenkontrolle auf, da Grids von Un90 Vgl. Höllwarth, Cloud Migration, S. 148; Metzger / Reitz / Villar, Cloud Comput ing, S. 24. 91 Metzger / Reitz / Villar, Cloud Computing, S. 24; Foster / Kesselman / Tuecke, The Anatomy of the Grid, S. 2. 92 Vgl. Höllwarth, Cloud Migration a. F. (2011), S. 32. 93 1 PB = 1.000 TB = 1.000.000 GB. 94 http://home.web.cern.ch / about / computing (Stand: 1.7.2015). 95 Metzger / Reitz / Villar, Cloud Computing, S. 24; Meir-Huber, Cloud Computing, S. 19. 96 SETI (Search for Extraterrestrial Intelligence). 97 http://setiathome.berkeley.edu / (Stand: 1.7.2015); vgl. Vossen / Haselmann / Hoeren, Cloud Computing für Unternehmen, S. 16. 98 Vgl. Meir-Huber, Cloud Computing, S. 19. 99 Vgl. Meir-Huber, Cloud Computing, S. 19; zu dem Begriff „Public Cloud“ siehe unten unter B.VI.1.
III. Basistechnologien von Cloud Computing51
ternehmen oder Personen gesteuert werden, die sich in „virtuellen Organisationen“ zweckgebunden zusammengeschlossen haben, um dezentrale Datenverarbeitungsvorgänge auszuführen.100 Computer-Grids waren daher meist noch äußerst komplex in Bedienung und Nutzung.101 Dagegen kann sich ein Nutzer bei Cloud Computing sämtliche, von einem Anbieter zentral bereitgehaltenen Ressourcen im Idealfall ohne Verzögerung selbst zuteilen („selfprovisioning“). 2. Computer Cluster Im Unterschied zu den oftmals heterogenen Clustern des Grid Computing, bei denen unterschiedliche Betriebssysteme und Hardware zum Einsatz gelangen, finden sich homogene IT-System-Cluster regelmäßig im Kontext des „high performance computing“ sowie bei verschiedenen anderen Loadbalancing- und High-Availability-Clustern (und mithin auch bei den Serverfarmen, die soziale Netzwerke oder Suchmaschinen zur Beantwortung von Suchanfragen verwenden) wieder.102 Derartige Cluster bestehen in vielen Fällen aus handelsüblichen Einzelkomponenten (sog. „commercial-off-theshelf-components“) in Verbindung mit einer intelligenten Softwaresteuerung.103 Diese Kombination bildet auch beim Cloud Computing die Basis für eine hochverfügbare und zugleich kosteneffiziente Infrastruktur. 3. Service-orientierte Architekturen (SOA) Als eine weitere Basistechnologie von Cloud Computing bezweckt das Konzept service-orientierter Architekturen die übergreifende Strukturierung und kombinierte Nutzung von IT-Diensten und IT-Systemen.104 Bestehende IT-gestützte Anwendungen oder Dienste werden erfasst und als Baustein für andere (neue) Geschäftsprozesse wiederverwendet. Eine derartige Orchestrierung der in einem Unternehmen vorhandenen Dienste und Systeme soll sämtliche Geschäftsprozesse effektiver unterstützen und sowohl zu einer höheren Flexibilisierung und Standardisierung der Prozesse als auch zu einer verbesserten Wiederverwendung der einzelnen IT-Dienste beitragen.105 Wei100 Höllwarth,
Cloud Migration, S. 148; Meir-Huber, Cloud Computing, S. 19. Höllwarth, Cloud Migration, S. 148. 102 Vossen / Haselmann / Hoeren, Cloud Computing für Unternehmen, S. 15. 103 Vgl. Vossen / Haselmann / Hoeren, Cloud Computing für Unternehmen, S. 15. 104 Tilkov / Starke, in: Starke / Tilkov, SOA, S. 12; Weichert, DuD 2010, 679; Höllwarth, Cloud Migration a. F. (2011), S. 32. 105 Vgl. Dunkel / Koschel, in: Starke / Tilkov, SOA, S. 510; Baun / Kunze / Nimis / Tai, Cloud Computing, S. 19; Hohpe, in: Starke / Tilkov, SOA, S. 444. 101 Vgl.
52
B. Die Grundlagen von Cloud Computing
terführende SOA-Konzepte, in denen die Bereitstellung der SOA-Komponenten über standardisierte Interfaces erfolgt, deuten daher bereits in Richtung Cloud Computing und der Standardisierung von IT.106 Die Bereitstellung von Infrastrukturen, Plattformen und Software über standardisierte Schnittstellen als Dienst („as a Service“) ist daher immer auch eine Bereitstellung in service-orientierten Architekturen.107 SOA-Konzepte bilden mithin einen wesentlichen Bestandteil des Fundaments von Cloud Computing.108 4. Virtualisierung Eine zentrale Grundlage von Cloud-Architekturen und modernen IT-Betriebsszenarien bildet die Virtualisierung, die eine Abstraktion des Betriebssystems von der Hardware und sämtlichen darüber liegenden Ebenen (wie z. B. Anwendungen) von untergeordneten Ebenen ermöglicht und deren technische Ansätze sich bis in die Mainframe-Ära der siebziger Jahre zurückverfolgen lassen.109 Von dem Begriff der Virtualisierung sind verschiedene Techniken und Implementierungsmöglichkeiten erfasst, die von einer Systemvirtualisierung durch einen Hypervisor oder ein spezielles Betriebssystem, einer Speicher- und Netzwerkvirtualisierung bis hin zu einer Anwendungsvirtualisierung reichen.110 Neben Voll-Virtualisierungen sind auch Para-Virtualisierungen möglich, deren Abstraktion weniger durchgängig ist.111 Unterschiede zwischen den einzelnen Virtualisierungskonzepten zeigt der folgende Vergleich zwischen der Systemvirtualisierung durch einen Hypervisor112 und der Anwendungsvirtualisierung. 106 Höllwarth,
Cloud Migration a. F. (2011), S. 32 f. Cloud Computing, S. 19. 108 Höllwarth, Cloud Migration a. F. (2011), S. 32. 109 Vgl. BSI, IT-Grundschutz-Kataloge, 13. EL, M 3.70; Heckmann, jurisPK-Internetrecht, Kap. 9 Rn. 601 f.; Nägele / Jacobs, ZUM 2010, 281; Pohle / Ammann, CR 2010, 273 (274); Heidrich / Wegener, MMR 2010, 803; Baun / Kunze / Nimis / Tai, Cloud Computing, S. 9; Maisch, Informationelle Selbstbestimmung in Netzwerken, S. 101; Gerber / Thiele / Zimmer, in: Krallmann / Zapp, Bausteine einer vernetzten Verwaltung, S. 216; der Einsatz von Virtualisierungstechnologien wird von über 80 % der Befragten auch auf Seiten der öffentlichen Verwaltung bejaht, Fraunhofer FOKUS, ISPRAT-Studie, S. 34 f.; zu der Virtualisierung in der Mainframe-Ära (wie das Betriebssystem MVS) siehe oben unter B.I.1. 110 Ausführlich zu den verschiedenen Virtualisierungsarten Baun / Kunze / Nimis / Tai, Cloud Computing, S. 12 ff.; vgl. BSI, IT-Grundschutz-Kataloge, 13. EL, M 3.70; Lehmann / Giedke, CR 2013, 608 (614 f.). 111 BSI, IT-Grundschutz-Kataloge, 13. EL, M 3.72; Baun / Kunze / Nimis / Tai, Cloud Computing, S. 14. 112 In der Praxis wird dieser auch als Virtual Machine Monitor bezeichnet. Vgl. auch Baun / Kunze / Nimis / Tai, Cloud Computing, S. 14; Lehmann / Giedke, CR 2013, 608 (613 f.); Heidrich / Wegener, MMR 2010, 803. 107 Baun / Kunze / Nimis / Tai,
III. Basistechnologien von Cloud Computing53
a) Systemvirtualisierung durch einen Hypervisor Im Wege der hypervisorbasierten Systemvirtualisierung werden komplette IT-Systeme in virtuellen Maschinen „simuliert“.113 Innerhalb dieser virtuellen Hardwareumgebung lassen sich jeweils eigene Betriebssysteme mit Applikationen ausführen, als ob „echte“ Hardware unmittelbar zugrunde liegt.114 Auf einem physischen Computersystem können somit mehrere virtuelle IT-Systeme betrieben werden.115 Dessen native Hardwarekomponenten (wie CPU, RAM, Speicherplatz, Netzwerk-Controller) werden dafür in Pools zusammengefasst und abstrahiert von der zugrunde liegenden Hardware den virtuellen Maschinen zur Verfügung gestellt.116 Die Administration und Zuteilung der gepoolten Ressourcen erfolgt in Echtzeit durch den Hypervisor nach den von dem Administrator festgelegten Regeln und Prioritäten. Moderne CPUs unterstützen diesen Vorgang, um die Leistungsverluste möglichst gering zu halten.117 Diese Abstraktion ermöglicht eine besonders einfache Verwaltung der virtuellen Maschinen. Für geplante Wartungen können virtuelle Systeme im laufenden Betrieb auf andere physische Hardware migriert werden. Datensätze werden meist in einem hochverfügbaren Storage repliziert, um eine schnelle und ausfallfreie Migration zu gewährleisten und um die Verfügbarkeit virtueller Maschinen zu erhöhen.118 Durch einen „Snapshot“ kann der Zustand eines virtuellen IT-Systems jederzeit festgehalten werden.119 Ein Klonen ermöglicht die Bereitstellung identischer virtueller Maschinen.120 Werden mehrere physische IT-Systeme virtualisiert, bilden sie ein virtuelles Cluster.121 Marktführende Virtualisierungslösungen, wie von dem Software-Entwickler VMware, werden stetig weiterentwickelt und beispielsweise um moderne Zuweisungstechniken wie „thin provision 113 Baun / Kunze / Nimis / Tai,
Cloud Computing, S. 13 ff. Cloud Computing, S. 22; BSI, IT-Grundschutz-Kataloge, 13. EL, M 3.72; Heckmann, jurisPK-Internetrecht, Kap. 9 Rn. 601 f.; Hennrich / Maisch, jurisAnwZert ITR 15 / 2011, Anm. 2. 115 BSI, IT-Grundschutz-Kataloge, 13. EL, B 3.304 bzw. einführend M 3.70. 116 Heckmann / von Lucke / Hennrich / Maisch, C3-Studie, S. 10; Hennrich / Maisch, jurisAnwZert ITR 15 / 2011, Anm. 2; Heckmann / Seidl / Maisch, Adäquates Sicherheitsniveau bei der elektronischen Kommunikation, S. 98, Fn. 410; Baun / Kunze / Nimis / Tai, Cloud Computing, S. 9, 13; Metzger / Reitz / Villar, Cloud Computing, S. 15 f.; Mather / Kumaraswamy / Latif, Cloud Security and Privacy, S. 14. 117 Beispiele hierfür sind die Intel Virtualization Technology (Intel VT) oder AMD Virtualization (AMD-V). 118 Vgl. Meir-Huber, Cloud Computing, S. 22; Baun / Kunze / Nimis / Tai, Cloud Computing, S. 11. 119 BSI, IT-Grundschutz-Kataloge, 13. EL, M 3.72. 120 Beispiel v. VMware http://www.vmware.com/support/ws55/doc/ws_clone_ overview.html (Stand: 1.7.2015). 121 BSI, IT-Grundschutz-Kataloge, 13. EL, B 3.304 bzw. M 3.70. 114 Meir-Huber,
54
B. Die Grundlagen von Cloud Computing
ing“ (intelligente Überprovisionierung von Ressourcen und dynamische Bereitstellung nach Bedarf zur effizienten Ressourcen-Nutzung) erweitert.122 b) Anwendungsvirtualisierung Im Unterschied zur Systemvirtualisierung durch einen Hypervisor ermöglicht die Anwendungsvirtualisierung die Verteilung und das Ausführen von Software, ohne dass es hierfür einer lokalen Installation auf dem Betriebssystem bedarf. Hierfür wird zwischen Betriebssystem und Anwendung eine Virtualisierungsebene eingefügt und es werden die Schnittstellen zwischen Anwendung und Betriebssystem (wie z. B. Grafikausgabe oder Tastatureingabe) über eine spezielle Software abstrahiert.123 Die Anwendung steht meist als „hosted application“ in der Cloud zur Nutzung über das Internet bereit; oftmals kann sie aber auch als vorkonfigurierte „virtual appliance“ lokal eingesetzt werden.124 c) Vorteile Der Einsatz virtualisierter IT-Systeme bietet vielfältige Vorteile und ermöglicht vor allem eine Konsolidierung der physischen Hardware.125 Effizienz und Wirkungsgrad können gegenüber dem konventionellen Betrieb von dedizierten und oftmals nur niedrig ausgelasteten IT-Systemen deutlich erhöht werden.126 Die Verfügbarkeit immer leistungsfähigerer Hardware verstärkt diesen Effekt. Kostenvorteile sind aber auch mit einer Verkleinerung der für den Betrieb erforderlichen Rechenzentrumsfläche, einem verringerten Energieverbrauch sowie mit reduzierten Anschaffungs-, Administrations-, Wartungs- und Personalkosten verbunden.127 In der Praxis des Rechenzentrumsbetriebs kann so den steigenden Energiekosten und vor allem der EEG-Umlage nach dem Erneuerbare-Energien-Gesetz (EEG) zur Finanzierung der Energiewende begegnet werden, da Stromkosten einen hohen Anteil der laufenden Kosten ausmachen und Unternehmen im Rahmen von Green-IT-Bemühungen den Energiebedarf stetig senken wollen.128 122 Beispiel v. VMware, http://www.vmware.com/de/products/datacenter-virtualiza tion/vsphere/storage-thin-provisioning.html (Stand: 1.7.2015). 123 Vgl. Baun / Kunze / Nimis / Tai, Cloud Computing, S. 18. 124 Baun / Kunze / Nimis / Tai, Cloud Computing, S. 18. 125 Zu den Vorteilen der Virtualisierung siehe BSI, IT-Grundschutz-Kataloge, 13. EL, B 3.304. 126 Vgl. Baun / Kunze / Nimis / Tai, Cloud Computing, S. 10 f. 127 BSI, IT-Grundschutz-Kataloge, 13. EL, M 3.70; Baun / Kunze / Nimis / Tai, Cloud Computing, S. 10 ff. 128 Zu Colocation siehe unten unter C.V.3.a)aa)(2).
III. Basistechnologien von Cloud Computing55
Zu den Vorteilen der Anwendungsvirtualisierung zählen neben einem zentralen und zeitnahen Update- und Patch-Management durch den Anbieter vor allem die globale Verfügbarkeit der jeweiligen Anwendung.129 In der Praxis wird hierdurch aber beispielsweise auch die Verteilung von Anwendungen und deren Updates in großen Unternehmen deutlich vereinfacht, da nur eine Version der Software kopiert werden muss, ohne dass die besondere Konfiguration des Betriebssystems oder die jeweilige Software-Version an jedem einzelnen Arbeitsplatz zu berücksichtigen sind. Der Anwendungsvirtualisierung kommt gerade im Rahmen des Software-as-a-Service-Modells eine zentrale Bedeutung zu.130 5. Server-based Computing und Application Service Providing Als eine Basistechnologie von Cloud Computing und als ein wichtiger Vorläufer der Anwendungsvirtualisierung zählt das Server-based Computing (SBC), welches das Konzept verfolgt, Betriebssysteme und Applikationen auf leistungsstarken Servern („Terminalserver“) zentral vorzuhalten und sämtliche Rechenoperationen hierauf auszuführen.131 Clients fungieren überwiegend als „thin clients“ und damit als eine bloße Mensch-MaschineSchnittstelle für die Eingabe von Daten sowie für Anzeige- und Darstellungsfunktionen.132 Ein kennzeichnendes Element von Cloud Computing findet sich darin wieder, dass diejenigen Computing-Aufgaben, die in ClientServer-Zeiten noch von Clients übernommen wurden, im SBC bereits auf die Serverebene verlagert sind. Eine bekannte Unterform ist das Application Service Providing (ASP). Anwendungen werden hierbei auf dedizierten Ressourcen in einem Rechenzentrum bereitgehalten und über einen Remote-Access (wie etwa Terminalserver, Remote-Desktop) bedarfsgerecht genutzt.133 Im Unterschied zu Cloud Computing in Form der gemeinsam genutzten Public Cloud wird die zugrunde liegende Hardware bei ASP einem Nutzer in der Regel dediziert und damit exklusiv zur Verfügung gestellt.134 Anbieter konnten durch der129 Baun / Kunze / Nimis / Tai, 130 Baun / Kunze / Nimis / Tai,
B.V.4.
131 Ausführlich
Cloud Computing, S. 18. Cloud Computing, S. 18; zu SaaS siehe unten unter
zu dem SBC siehe BlnBDI, JB 2006, S. 50 ff. BlnBDI, JB 2008, S. 14; zu „thin clients“ siehe oben unter B.II.2.c). 133 Vossen / Haselmann / Hoeren, Cloud Computing für Unternehmen, S. 16 f.; vgl. Metzger / Reitz / Villar, Cloud Computing, S. 23 f.; Pohle / Ammann, K&R 2009, 625. 134 Vossen / Haselmann / Hoeren, Cloud Computing für Unternehmen, S. 17; Bräutigam / Thalhofer, in: Bräutigam, IT-Outsourcing und Cloud-Computing, Teil 14 Rn. 6; Brennscheidt, Cloud Computing und Datenschutz, S. 42; zur Public Cloud siehe unten unter B.VI.1. 132 Vgl.
56
B. Die Grundlagen von Cloud Computing
artige Betriebsmodelle jedoch oftmals keine hohen Skaleneffekte erreichen.135 Zugleich standen der erfolgreichen Verbreitung von ASP noch nicht ausreichende Breitbandverbindungen entgegen.136
IV. Begriff und Definition von Cloud Computing 1. Einleitung Cloud Computing steht als Schlagwort für ein sehr breites Spektrum an flexiblen IT-Leistungen aus der „Wolke des Internets“.137 In Presse und Medien sowie vor allem in den Marketingkampagnen von IT-Unternehmen ist der Begriff allgegenwärtig. Welche konkreten Konturen und Gesichter sich aber hinter der Fassade dieses ganz und gar „wolkigen“ Oberbegriffs verbergen, bleibt oftmals unklar. Cumulus oder Stratus?138 Eine derartige Frage nach der „Wolkengattung“ steht daher quasi am Anfang von jeder Befassung mit dem „Rechnen in der Wolke“ und der Suche nach einer begrifflichen Definition. Fest steht zunächst nur, dass die „Wolke“ als „Datenwolke“ zu verstehen ist, der bekannten Metapher für das Internet oder für andere unbestimmte Datennetzstrukturen.139 Die hierin zum Ausdruck kommende, fehlende Bestimmtheit lässt aber bereits erahnen, dass die Beantwortung der Frage, was „Cloud Computing“ denn konkret ist, Schwierigkeiten bereiten muss. Diese werden nicht zuletzt dadurch verdeutlicht, dass sich in der weltweiten IT-Branche bisher noch keine einheitliche Begriffsdefinition herausbilden konnte.140 Da es sich bei Cloud Computing um nichts weniger als einen bedeutenden IT-Trend (oder gar um eine IT135 Vossen / Haselmann / Hoeren,
Cloud Computing für Unternehmen, S. 17. Cloud Computing für Unternehmen, S. 17; Pohle / Ammann, K&R 2009, 625; vgl. oben unter B.II.1. 137 Vgl. Niemann / Hennrich, CR 2010, 686; Hennrich, CR 2011, 546; Schuster / Reichl, CR 2010, 38; Niemann / Paul, K&R 2010, 444; Funke / Wittmann, ZD 2013, 221; Lapp, BB 36.2011, VI; Reese, Cloud Application Architectures, S. 1; LfDI Mecklenburg-Vorpommern, 10. TB, S. 46. 138 Hennrich, CR 2011, 546. 139 Vgl. Heckmann, jurisPK-Internetrecht, Kap. 9 Rn. 603; BlnBDI, JB 2008, S. 14; Babcock, The Cloud Revolution, S. 1; Mather / Kumaraswamy / Latif, Cloud Security and Privacy, S. 22. 140 Heckmann / von Lucke / Hennrich / Maisch, C3-Studie, S. 8; BSI, Sicherheitsempfehlungen für Cloud Computing Anbieter, S. 14; vgl. auch Fraunhofer SIT, Vergleich der Sicherheit traditioneller IT-Systeme und Public Cloud Computing Systeme, S. 3; Plath, in: Plath, BDSG, § 11 Rn. 46 m. w. N.; Hornung / Sädtler, DuD 2013, 148 (149); Niemann / Paul, K&R 2009, 444 (445); Nägele / Jacobs, ZUM 2010, 281; Heidrich / Wegener, MMR 2010, 803; Fraunhofer FOKUS, ISPRAT-Studie, S. 147 ff., in der über 30 Cloud-Definitionen aus verschiedenen Online-Quellen zusammengetragen wurden. 136 Vossen / Haselmann / Hoeren,
IV. Begriff und Definition von Cloud Computing57
Revolution)141 handeln soll, mag dies durchaus verwundern. Allerdings deutet bereits die große Vielfalt existierender Cloud-Services an, dass es jedenfalls nicht „das“ Cloud Computing geben kann.142 Zu unterschiedlich sind vor allem die verschiedenen Service Modelle („Infrastructure as a Service“, „Platform as a Service“ sowie „Software as a Service“) und Bereitstellungsformen (v. a. „Public Cloud“, „Private Cloud“).143 Begrifflich „weit“ gehalten sind daher auch die regelmäßig wiederzufindenden Definitionen von Cloud Computing. 2. The NIST Definition of Cloud Computing In fachlichen Publikationen finden sich zahlreiche Verweise auf die „Definition of Cloud Computing“ des National Institute of Standards and Technology (NIST), der als Bundesbehörde innerhalb des Geschäftsbereichs des US-Handelsministeriums (U.S. Department of Commerce) angesiedelten Standardisierungsstelle.144 Entsprechende Bezugnahmen sind etwa in Veröffentlichungen der Art.-29-Datenschutzgruppe145, der sog. „Berlin Group“146, des Branchenverbands BITKOM147, des Europäischen Parlaments148, der Kommission149 oder von Fraunhofer-Instituten150 enthalten. Auch das BSI stellt die Inhalte der „NIST Definition“ der eigenen Definition voran.151 Das NIST hat Cloud Computing wie folgt definiert: „Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e. g., net141 Siehe
oben unter B.I.2. Hennrich, CR 2011, 546; Heckmann, jurisPK-Internetrecht, Kap. 9 Rn. 606; Heckmann, in: FS Würtenberger (2013), S. 17 Fn. 2; Schuster / Reichl, CR 2010, 38; Maisch, Informationelle Selbstbestimmung in Netzwerken, S. 103. 143 Siehe hierzu unter V. und VI. 144 Zu dem NIST siehe http://www.nist.gov / public_affairs / general_information. cfm (Stand: 1.7.2015). 145 Art.-29-Datenschutzgruppe, WP 196, S. 30 Fn. 50. 146 International Working Group on Data Protection in Telecommunications, Cloud Computing „Sopot Memorandum“, S. 1 f.; die Gruppe wurde im Jahr 1983 auf Initiative des Berliner LfD gegründet (der seitdem den Vorsitz hat) und wird daher auch als „Berlin Group“ bezeichnet, siehe http://www.datenschutz-berlin. de / content / europa-international / international-working-group-on-data-protection-intelecommunications-iwgdpt (Stand: 1.7.2015). 147 Vgl. BITKOM, Leitfaden Cloud Computing 2010, S. 15. 148 EP, Cloud Computing, S. 15. 149 SWD(2012) 271, S. 2 Fn. 1. 150 Fraunhofer FOKUS, ISPRAT-Studie, S. 5; Fraunhofer SIT, Vergleich der Sicherheit traditioneller IT-Systeme und Public Cloud Computing Systeme, S. 3. 151 BSI, Sicherheitsempfehlungen für Cloud Computing Anbieter, S. 14. 142 Vgl.
58
B. Die Grundlagen von Cloud Computing
works, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction.“152 [„Cloud Computing ist ein Modell, das es erlaubt, bei Bedarf, jederzeit und überall bequem über ein Netz auf einen geteilten Pool von konfigurierbaren Rechnerressourcen (z. B. Netze, Server, Speichersysteme, Anwendungen und Dienste) zuzugreifen, die schnell und mit minimalem Managementaufwand oder geringer Service-Provider-Interaktion zur Verfügung gestellt werden können.“]153
Das NIST führt ergänzend aus, dass sich dieses Cloud-Modell aus fünf grundlegenden Charakteristika (on-demand self-service, broad network access, resource pooling, rapid elasticity, measured service), drei Service Modellen und vier Bereitstellungsformen zusammensetzt.154 Nach dem Charakteristikum eines „on-demand self-service“ könne ein Nutzer einseitig und ohne weitere Interaktion mit dem Service-Provider verschiedene ITLeistungen (wie Servernutzung oder Storage) provisionieren. Die Merkmale eines „broad network access“ sieht das NIST darin, dass Kapazitäten nicht nur über ein Netzwerk verfügbar sind, sondern auch über Standardmechanismen zugänglich sind, die von verschiedenen „thin or thick client platforms“ unterstützt werden. „Resource pooling“ kennzeichne, dass ein Service-Provider seine IT-Ressourcen (wie Rechenleistung, Storage, Arbeitsspeicher, Bandbreite) in einem Pool zusammengefasst hat, um hieraus – auf Basis eines multimandantenfähigen Modells (bestehend aus verschiedenen physischen und virtuellen Ressourcen) – mehrere Nutzer dynamisch und bedarfsgerecht zu bedienen. Zwar könne hierdurch ein gewisser Eindruck von Standortunabhängigkeit entstehen, wonach ein Nutzer weder Wissen noch Kontrolle über die genaue Lokation der genutzten Ressourcen habe. Nach Ansicht des NIST kann der Standort aber gegebenenfalls auf einer höheren Abstraktionsebene (Land, Bundesstaat, Rechenzentrumsstandort) festgemacht werden. „Rapid elasticity“ wird als viertes Charakteristikum dahingehend beschrieben, dass Kapazitäten elastisch, teilweise auch automatisch, bereitgestellt werden, um sie (im Sinne einer Skalierbarkeit) dem jeweiligen Bedarf schnell anzupassen (und aus Sicht eines Nutzers daher als unendlich erscheinen können). Ein „measured services“ sei schließlich dadurch gekennzeichnet, dass die Nutzung der IT-Ressourcen sowohl über Abrechnungssysteme als auch über weitere Monitoring- und ReportingFunktionen überwacht werden kann, was sowohl Anbietern als auch Nutzern eine Transparenz gewährleistet. 152 Mell / Grance, 153 Übersetzung
The NIST Definition of Cloud Computing, S. 2. nach BSI, Sicherheitsempfehlungen für Cloud Computing Anbie-
ter, S. 14. 154 Mell / Grance, The NIST Definition of Cloud Computing, S. 2; vgl. auch Vossen / Haselmann / Hoeren, Cloud Computing für Unternehmen, S. 20 ff.
IV. Begriff und Definition von Cloud Computing59
Die sich anschließenden Ausführungen des NIST zu den drei Service Modellen („service models“) und vier Bereitstellungsformen („deployment models“) beziehen sich auf Software as a Service (SaaS), Platform as a Service (PaaS) und Infrastructure as a Service (IaaS) sowie auf die Bereitstellungsformen der Private Cloud, Community Cloud, Public Cloud und Hybrid Cloud.155 Die von dem NIST diesbezüglich angeführten Merkmale finden sich vorliegend in den jeweiligen Darstellungen zu Service Modellen und Bereitstellungsformen wieder.156 3. Definition des BSI Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde 1991 mit Sitz in Bonn gegründet und ist als unabhängige und neutrale Stelle für Fragen der IT-Sicherheit der zentrale IT-Sicherheitsdienstleister des Bundes.157 Organisatorisch gehört es zu dem Geschäftsbereich des Bundesministeriums des Innern.158 In dem im Mai 2011 veröffentlichten Eckpunktepapier der „Sicherheitsempfehlungen für Cloud Computing Anbieter“ hat das BSI für den Begriff Cloud Computing die nachstehende Definition festgelegt, die für alle künftigen Arbeiten des BSI rund um Cloud Computing eine einheitliche Grundlage bieten soll: „Cloud Computing bezeichnet das dynamisch an den Bedarf angepasste Anbieten, Nutzen und Abrechnen von IT-Dienstleistungen über ein Netz. Angebot und Nutzung dieser Dienstleistung erfolgen dabei ausschließlich über definierte technische Schnittstellen und Protokolle. Die Spannbreite der im Rahmen von Cloud Computing angebotenen Dienstleistungen umfasst das komplette Spektrum der Informationstechnik und beinhaltet unter anderem Infrastruktur (z. B. Rechenleistung, Speicherplatz), Plattformen und Software.“159
4. Stellungnahme und zugrunde gelegte Begriffsdefinition Einleitend wurde bereits hervorgehoben, dass sich aufgrund der großen Leistungsvielfalt noch keine einheitliche Definition von Cloud Computing herausbilden konnte.160 Begrifflich weit gehalten ist daher auch die DefiniMell / Grance, The NIST Definition of Cloud Computing, S. 2 f. hierzu unter B.V (zu den Service Modellen), B.VI (zu den Bereitstellungsformen). 157 BSI, Sicherheitsempfehlungen für Cloud Computing Anbieter, S. 5. 158 BSI, Sicherheitsempfehlungen für Cloud Computing Anbieter, S. 5; Übersicht von Organisation und Aufgaben, abrufbar unter https://www.bsi.bund.de/DE/DasBSI/ Aufgaben/aufgaben_node.html (Stand: 1.7.2015). 159 BSI, Sicherheitsempfehlungen für Cloud Computing Anbieter, S. 15 f. 160 Siehe oben unter B.IV.1. 155 Vgl.
156 Siehe
60
B. Die Grundlagen von Cloud Computing
tion des BSI, die im Kern auf das „dynamisch an den Bedarf angepasste Anbieten, Nutzen und Abrechnen von IT-Dienstleistungen“ abstellt. Der sich anschließende Verweis auf das komplette Spektrum der Informationstechnik verdeutlicht trefflich die Bandbreite potentieller IT-Dienstleistungen. Infrastruktur, Plattformen und Software werden daher zu Recht nur als Beispiele angeführt. Das US-amerikanische NIST hat sich vor allem auf cloud-typische Merkmale fokussiert. In Übereinstimmung mit der diesbezüglichen Bewertung des BSI sind die vom NIST benannten „essential characteristics“ von Cloud Computing jedoch nicht „zu dogmatisch“ zu verstehen.161 Vor dem Hintergrund des rapiden technischen Fortschritts und von unterschiedlichen infrastrukturellen Begebenheiten (etwa Bandbreite von Datennetzen) lässt sich für ein Charakteristikum bereits kein Mindestmaß festgelegen und es wird sich zudem nicht beantworten lassen, ob und welche Charakteristika kumulativ vorliegen müssen. Da sich der eingeleitete Wandel – langfristig betrachtet – erst in den Anfängen befindet,162 ist ein kumulatives Vorliegen vielmehr als Idealform von Cloud Computing anzusehen. Ein begrifflich weites, nicht allzu dogmatisches Verständnis ermöglicht vor allem einen sachgerechten, der Realität entsprechenden Umgang mit Cloud Computing. Auch kann dem Charakter eines beliebten (Ober-)Begriffs Rechnung getragen werden, da die vielseitige und sehr unterschied liche Verwendung in Presse und Medien sowie zu Werbe- und Marketingzwecken nicht nur die begrifflichen Konturen weiter verwässert, sondern auch die Wahrnehmung in der Öffentlichkeit beeinflusst hat.163 Ein (allzu) enges Verständnis von Cloud Computing könnte dagegen zu dem unbilligen Ergebnis führen, dass als „Cloud“ beworbene Leistungen diesem Begriff gar nicht unterfallen. Betreffen könnte dies vor allem die gegenüber Public Clouds regelmäßig unflexiblere und teilweise klassischen IT-Infrastrukturen ähnelnde Private Cloud, die durchaus cloud-typische Merkmale aufweist und gerade bei hohen Datensicherheitsanforderungen als technische Lösung in Betracht kommt.164 161 BSI,
Sicherheitsempfehlungen für Cloud Computing Anbieter, S. 15. NIST Guidelines on Security and Privacy in Public Cloud Computing, S. 3 („cloud computing [as an emerging form of distributed computing] is still in its infancy“); vgl. auch BITKOM, Leitfaden Cloud Computing 2010, S. 15 sowie oben unter A.I. 163 Vgl. Heckmann, in: Hill / Schliesky, Innovationen im und durch Recht, S. 97 ff.; Heckmann / von Lucke / Hennrich / Maisch, C3-Studie, S. 7, 12; vgl. auch oben unter A.I. 164 Vgl. Hennrich, CR 2011, 546 (552); zu Cloud Computing in der Private Cloud siehe auch unter B.VI.2.c). 162 Jansen / Grance,
IV. Begriff und Definition von Cloud Computing61
Auch wenn es sich im durch raschen Wandel gekennzeichneten IT-Sektor immer nur um eine Momentaufnahme handeln kann, wird der vorliegenden Ausarbeitung in Abwandlung der Begriffsdefinition des BSI das folgende Verständnis von Cloud Computing zugrunde gelegt: „Cloud Computing bezeichnet das flexibel und bedarfsorientierte (‚on-demand‘, ‚pay-per-use‘) Anbieten, Nutzen und Abrechnen von IT-Dienstleistungen über Datennetze, die gegenwärtig vor allem in Bezug auf die Bereitstellung von Infrastruktur, Plattformen und Software unterschieden werden, jedoch grundsätzlich das komplette Spektrum der Informationstechnik umfassen können und idealerweise durch eine hohe Skalierbarkeit und Elastizität sowie durch geteilte und gepoolte Hardware-Ressourcen (‚multi-tenancy‘ bzw. ‚resource pooling‘) gekennzeichnet sind.“
5. Abgrenzung zu „klassischem“ IT-Outsourcing Die Auslagerung von IT-Dienstleistungen auf externe Anbieter ist gängige Praxis, um Kosten zu optimieren oder um auf das Know-how spezialisierter Anbieter zurückzugreifen.165 Zur Abgrenzung gegenüber „klassischem“ ITOutsourcing können cloud-typische Charakteristika jedoch nicht unmittelbar herangezogen werden, da sie – wie zuvor im Rahmen der zugrunde gelegten Begriffsdefinition erörtert166 – in ihrer Gesamtheit vielmehr eine Idealform von Cloud Computing darstellen. Zudem finden sie sich bereits in seit längerer Zeit existierenden Technologieansätzen und mithin in Basistechnologien von Cloud Computing wieder.167 Da der Transformationsprozess gerade erst begonnen hat und der Übergang zu konventionellen IT-Infrastrukturen vor allem bei Private Clouds168 fließend ist, wird eine Trennlinie zunächst dahingehend gezogen, dass in konventionellen IT-Betriebsszenarien Daten noch auf dedizierten, physisch zuordnenbaren Servern verarbeitet wurden.169 Ein weiterer Unterschied wird darin gesehen, dass die flexible und bedarfsgerechte Zuteilung von Ressourcen bei Cloud Computing meist auf einem automatisierten Prozess im 165 Fraunhofer FOKUS, ISPRAT-Studie, S. 23 f.; zu IT-Outsourcing siehe auch unten unter C.VI.1. 166 Siehe zuvor unter B.IV.4. 167 Vgl. Fraunhofer FOKUS, ISPRAT-Studie, S. 24; zu den Basistechnologien siehe oben unter B.III. 168 Zur Private Cloud (einschließlich der Frage des insoweit „echten“ Cloud Computing) siehe unter B.VI.2. 169 Vgl. Fraunhofer FOKUS, ISPRAT-Studie, S. 23 f.; Heckmann / von Lucke / Hennrich / Maisch, C3-Studie, S. 9 f.; Bräutigam / Thalhofer, in: Bräutigam, IT-Outsourcing und Cloud-Computing, Teil 14 Rn. 5 f.; zur Virtualisierung siehe oben unter B.III.4 sowie unten unter C.V.3.a)bb).
62
B. Die Grundlagen von Cloud Computing
Dienstmanagement durch den Anbieter basiert.170 Klassische IT-Outsourc ing-Szenarien kennzeichnen dagegen meist langfristige Vertragslaufzeiten und ein kundenspezifischerer Leistungszuschnitt.171 Ganz in diesem Sinne stellt auch das Fraunhofer-Institut für Offene Kommunikationssysteme (Fraunhofer FOKUS) fest, dass das IT-Systemmanagement in klassischen Betriebskonstellationen tendenziell von heterogenen Insellösungen gekennzeichnet war, während Cloud-Infrastrukturen ein homogenisierter System administrationsansatz zugrunde liegt.172
V. Service Modelle 1. Einleitung – Der Gedanke von „IT / Everything as a Service“ (XaaS) Cloud Computing liegt der Gedanke von „IT as a Service“ im Umfang des kompletten Spektrums der Informationstechnik zugrunde.173 Als unbestimmter Platzhalter kann daher auch der Buchstabe „x“ fungieren: „XaaS“ – also „Everything as a Service“.174 Gegenwärtig wird jedoch vor allem zwischen drei grundlegenden Service Modellen unterschieden.175 Die hierarchische Differenzierung nach infrastruktur-, plattform- und softwarebezogenen Diensten orientiert sich dabei an dem Ebenen-Modell einer IT-Sicherheitsarchitektur, wobei Leistungsmerkmale eines Cloud-Services auch mehreren Ebenen unterfallen können.176 170 Vgl. Fraunhofer FOKUS, ISPRAT-Studie, S. 25; Vossen / Haselmann / Hoeren, Cloud Computing für Unternehmen, S. 27. 171 Vgl. Trusted Cloud, Datenschutzrechtliche Lösungen für Cloud Computing, S. 6 f. 172 Fraunhofer FOKUS, ISPRAT-Studie, S. 25. 173 Heckmann / von Lucke / Hennrich / Maisch, C3-Studie, S. 9; BSI, Sicherheitsempfehlungen für Cloud Computing Anbieter, S. 15 f. 174 Vgl. Metzger / Reitz / Villar, Cloud Computing, S. 22; Heckmann, jurisPK-Internetrecht, Kap. 9 Rn. 606; Wicker, MMR 2012, 783 (784 Fn. 17); Heckmann / von Lucke / Hennrich / Maisch, C3-Studie, S. 9; Meir-Huber, Cloud Computing, S. 49 f.; Vossen / Haselmann / Hoeren, Cloud Computing für Unternehmen, S. 29; Hornung / Sädtler, DuD 2013, 148 (149). 175 Vgl. BSI, Sicherheitsempfehlungen für Cloud Computing Anbieter, S. 17 f.; Mell / Grance, The NIST Definition of Cloud Computing, S. 2 f.; BITKOM, Leitfaden Cloud Computing 2010, S 16; Heckmann, jurisPK-Internetrecht, Kap. 9 Rn. 606; Niemann / Paul, K&R 2009, 444 (445); Heidrich / Wegener, MMR 2010, 803 f.; Hennrich, CR 2011, 546 f.; Köhler / Arndt / Fetzer, Recht des Internet, S. 324 Rn. 973; Nägele / Jacobs, ZUM 2010, 281 (282); Maisch, jurisAnwZert ITR 15 / 2009, Anm. 4. 176 Vgl. Mather / Kumaraswamy / Latif, Cloud Security and Privacy, S. 203 ff.; Terplan / Voigt, Cloud Computing, S. 143 ff.; Lehmann / Giedke, CR 2013, 608 (609).
V. Service Modelle63
2. Infrastructure as a Service (IaaS) a) Wesentliche Charakteristika und Vorteile Auf Infrastruktur-Ebene umfasst Cloud Computing die flexible, bedarfsund nutzungsorientierte Bereitstellung von Hardware-Ressourcen als Dienst („as a Service“).177 Grundsätzlich kommen insoweit alle Infrastrukturkomponenten von IT-Systemen in Betracht. In der Praxis steht jedoch vor allem die Nutzung von Prozessorleistung (CPU), Arbeitsspeicher (RAM), Datenspeicherkapazitäten sowie von virtuellen Netzwerken und Netzwerkkomponenten (Firewalls, Router, Loadbalancing) im Vordergrund.178 Die Ressourcen werden in aller Regel virtualisiert und von den zugrunde liegenden physischen Ressourcen abstrahiert zur Verfügung gestellt.179 Eine praxisrelevante IaaS-Unterform ist dabei die bedarfsbasierte Bereitstellung von Speicherplatz („Storage as a Service“). Betrieb, Administration und Instandhaltung der physischen IT-Infrastruktur werden von dem IaaS-Anbieter zentral wahrgenommen oder erfolgen (ganz oder teilweise, gegebenenfalls wiederum auf IaaS-Basis) unter Einschaltung von Subunternehmern.180 Der Anbieter kommt dabei grundsätzlich denjenigen Aufgaben nach, die ihn auf Rechenzentrums-, Server-, Netzwerk- und Virtualisierungsebene treffen.181 Der Nutzer wiederum erlangt die volle Kontrolle über die allokierten Ressourcen und kann innerhalb der virtuellen Umgebung etwa eigene Betriebssysteme und weitere Anwendungen seiner Wahl (vornehmlich Software, aber beispielsweise auch virtuelle Firewalls zum Schutz einer virtuellen Maschine) installieren.182 Die Zuteilung der Ressourcen kann er meist über eine Benutzerschnittstelle des An177 BITKOM, Leitfaden Cloud Computing 2010, S. 16; Hennrich, CR 2011, 546; Fraunhofer FOKUS, ISPRAT-Studie, S. 18. 178 Heckmann / von Lucke / Hennrich / Maisch, C3-Studie, S. 13; BSI, Sicherheitsempfehlungen für Cloud Computing Anbieter, S. 17; Mell / Grance, The NIST Definition of Cloud Computing, S. 3; BITKOM, Leitfaden Cloud Computing 2010, S. 16; Heckmann, jurisPK-Internetrecht, Kap. 9 Rn. 607; Jansen / Grance, NIST Guidelines on Security and Privacy in Public Cloud Computing, S. 4; Fraunhofer FOKUS, ISPRAT-Studie, S. 18; Terplan / Voigt, Cloud Computing, S. 25; Metzger / Reitz / Villar, Cloud Computing, S. 21; Vossen / Haselmann / Hoeren, Cloud Computing für Unternehmen, S. 30. 179 Vgl. BITKOM, Leitfaden Cloud Computing 2010, S. 16; zu der Virtualisierung siehe oben unter B.III.4. 180 Vgl. Terplan / Voigt, Cloud Computing, S. 26. 181 Siehe hierzu ausführlich im Rahmen der Datensicherheit unter C.V.3.a). 182 Vgl. BSI, Sicherheitsempfehlungen für Cloud Computing Anbieter, S. 17; Bräutigam / Thalhofer, in: Bräutigam, IT-Outsourcing und Cloud-Computing, Teil 14 Rn. 12.
64
B. Die Grundlagen von Cloud Computing
bieters selbst steuern („self-provisioning“).183 Die Abrechnung erfolgt in der Regel nutzungsbasiert („pay-per-use“). Je nach Service-Vertrag können dabei unterschiedliche (Zeit-)Einheiten vereinbart sein. Im Idealfall liegt der Abrechnung die tatsächliche Nutzung zugrunde. In der Praxis finden sich aber auch zahlreiche längere (Mindest-)Nutzungsintervalle wieder.184 Vorteile bietet IaaS vor allem mit der Einsparung der für Anschaffung, Wartung und Betrieb von dedizierten IT-Systemen verbundenen Kosten oder in der Möglichkeit, temporären Lastspitzen zu begegnen, ohne kosten- und wartungsintensive Ressourcen bereithalten zu müssen, die außerhalb der „Peak“-Zeiten nur in geringem Umfang genutzt werden.185 b) Praxisbeispiele Typische Beispiele auf IaaS-Ebene sind die Amazon Web Services EC2 und S3 oder der Speicherdienst Dropbox (in Bezug auf die Bereitstellung von Speicherplatz), die zu einer besseren Veranschaulichung im Folgenden kurz dargestellt werden. Für IaaS stehen aber auch die infrastrukturbezogenen Lösungen der „Windows Azure“-Cloud-Plattform von Microsoft, die eine flexible, skalierbare und nutzungsabhängige Bereitstellung virtueller Server und Computer ermöglichen.186 Weit verbreitete Datenspeicherdienste sind beispielsweise Microsoft OneDrive187, Google Drive188, Wuala189 oder Amazon Cloud Drive190. Von IaaS-Dienstleistern werden Dienste etwa auf Basis von VMware vCloud oder dessen Open-Source-Pendants (vor allem Eucalyptus191, OpenNebula192 sowie OpenStack193) bereitgestellt. 183 Vgl. Jansen / Grance, NIST Guidelines on Security and Privacy in Public Cloud Computing, S. 4; Baun / Kunze / Nimis / Tai, Cloud Computing, S. 31; Hennrich, CR 2011, 546. 184 Vgl. PricewaterhouseCoopers, Cloud Computing – Navigation in der Wolke, S. 30. 185 Vgl. Hennrich, CR 2011, 546 f.; Gerber / Thiele / Zimmer, in: Krallmann / Zapp, Bausteine einer vernetzten Verwaltung, S. 222; zu den allgemeinen Vor- und Nachteilen von Cloud Computing siehe oben unter A.II. 186 http://www.windowsazure.com / de-de / solutions / infrastructure / (Stand: 1.7. 2015). 187 https://onedrive.live.com / about / de-de / (Stand: 1.7.2015). 188 https://drive.google.com (Stand: 1.7.2015). 189 http://www.wuala.com / de / (Stand: 1.7.2015). 190 http://www.amazon.de/gp/feature.html?ie=UTF8&docId=1000655923 (Stand: 1.7.2015). 191 http://www.eucalyptus.com / (Stand: 1.7.2015). 192 http://www.opennebula.org / (Stand: 1.7.2015). 193 http://www.openstack.org / (Stand: 1.7.2015).
V. Service Modelle65
aa) Amazon Web Services Amazon gilt als Cloud-Computing-Pionier.194 Die Amazon Web Services (AWS)195 basieren im Wesentlichen auf der technischen Infrastruktur des weltweiten Amazon-Online-Shops.196 Hierfür hatte das Unternehmen sämtliche Ressourcen anhand des jährlichen Spitzenaufkommens im Weihnachtsgeschäft zu dimensionieren, das die Normallast des Online-Shops zu anderen Jahreszeiten um ein Mehrfaches übersteigt.197 Da diese massiv vorgehaltenen Kapazitäten außerhalb des Weihnachtsgeschäfts weitgehend ungenutzt blieben, entwickelte Amazon das Geschäftsmodell, Kapazitäten seiner globalen IT-Infrastruktur der allgemeinen Öffentlichkeit zur flexiblen und entgeltlichen Nutzung zur Verfügung zu stellen.198 Amazon machte dies zu dem wohl bekanntesten Wegbereiter von IT-Infrastruktur „as a service“. Bereits im Jahr 2007 – und damit binnen kurzer Zeit – überstieg die von AWS-Nutzern verbrauchte Bandbreite diejenige des globalen OnlineShops.199 Neben den bekannten Diensten Amazon Elastic Compute Cloud (Amazon EC2)200 und Amazon Simple Storage Services (Amazon S3)201, auf die im Folgenden ein vertiefender Blick geworfen wird, umfassen die AWS gegenwärtig unter anderem auch die Amazon Simple Queue Services (Amazon SQS)202, Amazon SimpleDB203 und Amazon CloudFront204, welche reines IaaS bereits übersteigen.
194 Heckmann, jurisPK-Internetrecht, Kap. 9 Rn. 615; Maisch, jurisAnwZert ITR 15 / 2009, Anm. 4. 195 http://aws.amazon.com / de / (Stand: 1.7.2015). 196 Vgl. Terplan / Voigt, Cloud Computing, S. 145; Baun / Kunze / Nimis / Tai, Cloud Computing, S. 44. 197 Baun / Kunze / Nimis / Tai, Cloud Computing, S. 44. 198 Mather / Kumaraswamy / Latif, Cloud Security and Privacy, S. 203; Baun / Kunze / Nimis / Tai, Cloud Computing, S. 44; Heckmann, jurisPK-Internetrecht, Kap. 9 Rn. 615. 199 Cooke / Kirby, Casting a Ray of Sunshine on Cloud Computing, S. 3. 200 http://aws.amazon.com / de / ec2 / (Stand: 1.7.2015). 201 http://aws.amazon.com / de / s3 / (Stand: 1.7.2015). 202 http://aws.amazon.com / de / sqs / (Stand: 1.7.2015). 203 http://aws.amazon.com / de / simpledb / (Stand: 1.7.2015). 204 http://aws.amazon.com / de / cloudfront / (Stand: 1.7.2015).
66
B. Die Grundlagen von Cloud Computing
(1) Amazon Elastic Compute Cloud (Amazon EC2) Die EC2 ist der bekannteste Cloud-Service von Amazon und steht wie kein anderer Dienst als typisches Praxisbeispiel auf IaaS-Ebene.205 Ist pauschal von der „Amazon Cloud“ die Rede, soll meist die EC2 gemeint sein,206 bei der Rechenleistung in verschiedenen EC2-Instanztypen bereitgestellt wird. Jede Instanz ist ein virtueller Server, der je nach Instanztyp unterschiedliche Spezifikationen und Kombinationen an CPU, Arbeitsspeicher, Speicher und Netzwerkkapazität aufweist und damit für verschiedene Anwendungsfälle und Nutzungsszenarien (von allgemeinen Datenverarbeitungszwecken bis hin zu speicher- oder arbeitsspeicheroptimierten Instanzen) optimiert ist.207 Dieses flexible Grundkonzept ist – wie der Name „Elastic Cloud“ vermuten lässt – von einer hohen Elastizität gekennzeichnet. Kapazitäten können binnen Minuten erweitert oder verringert werden und es können eine, zehn, hunderte oder gar tausende EC2-Instanzen gleichzeitig in Betrieb genommen werden.208 Die Abrechnung erfolgt rein nutzungsbasiert – in der kleinsten Einheit pro Stunde.209 (2) Amazon Simple Storage Service (Amazon S3) Mit S3 bietet Amazon über das Internet verfügbaren Speicherplatz an.210 Daten werden dabei in Form von Objekten in sogenannten „buckets“ gespeichert und können mit einem individuellen „key“ abgerufen werden.211 Die monatliche Abrechnung erfolgt nutzungsbasiert anhand des genutzten Speicherplatzes, der übertragenen Daten sowie der Anzahl an An- und Abfragen.212 Für die Speicherung der „buckets“ stehen verschiedene geographische Regionen zur Verfügung, die von S3-Kunden ausgewählt werden 205 Vgl. Baun / Kunze / Nimis / Tai, Cloud Computing, S. 44; Heckmann, jurisPKInternetrecht, Kap. 9 Rn. 607; Fraunhofer FOKUS, ISPRAT-Studie, S. 18; Heidrich / Wegener, MMR 2010, 803 (804); Schultze-Melling, in: Taeger / Gabel, BDSG, § 9 Rn. 103; Fickert, in: Taeger / Wiebe, Inside the Cloud, S. 420; Hennrich, CR 2011, 546 (547); Thalhofer, CCZ 2011, 222; Höllwarth, Cloud Migration, S. 158; Vossen / Haselmann / Hoeren, Cloud Computing für Unternehmen, S. 30. 206 Reese, Cloud Application Architectures, S. 20, 29. 207 http://aws.amazon.com / de / ec2 / instance-types / (Stand: 1.7.2015). 208 http://aws.amazon.com / de / ec2 / (Stand: 1.7.2015). 209 http://aws.amazon.com / de / ec2 / pricing / (Stand: 1.7.2015). 210 http://aws.amazon.com / de / s3 / (Stand: 1.7.2015); Reese, Cloud Application Architectures, S. 21. 211 http://aws.amazon.com / de / s3 / details / (Stand: 1.7.2015); Baun / Kunze / Nimis / Tai, Cloud Computing, S. 54; Terplan / Voigt, Cloud Computing, S. 146; Vossen / Haselmann / Hoeren, Cloud Computing für Unternehmen, S. 5. 212 http://aws.amazon.com / de / s3 / pricing / (Stand: 1.7.2015).
V. Service Modelle67
können, „um die Latenz zu optimieren, die Kosten zu minimieren oder Vorschriften einzuhalten.“213 (3) Availability Zones und Regionen Die AWS zugrunde liegende Infrastruktur besteht aus „Availability Zones“ und „Regionen“. Availability Zones beschreibt Amazon als „eigenständige Standorte, die so entwickelt wurden, dass sie von Ausfällen in anderen Availability Zones isoliert sind.“214 Regionen bestehen dagegen aus „mindestens einer Availability Zone, sind geografisch verteilt und befinden sich in unterschiedlichen geografischen Zonen oder Ländern.“215 Gegenwärtig verweist Amazon bei der EC2 und bei S3 für Nord-, Mittel- und Südamerika auf die Regionen „Nord-Virginia“, „Oregon“, „Nordkalifornien“, „São Paulo“ und die „GovCloud“, für den Bereich Europa / Naher Osten / Afrika auf die Regionen „Irland“ und „Frankfurt“ sowie für den Raum Asien-Pazifik auf die Regionen „Singapur“, „Tokio“, „Sydney“ und „Peking“.216 Durch die weltweite Infrastruktur, die dauernd erweitert wird, möchte AWS seinen Kunden nicht nur eine kürzere Latenz und einen höheren Durchsatz ermöglichen, sondern auch sicherstellen, „dass die Daten nur in der vom Kunden angegebenen Region gespeichert werden.“217 bb) Dropbox Der im Basisumfang kostenlose Dienst Dropbox ermöglicht es, Daten (wie Dokumente, Fotos, Videos) in der eigenen Dropbox zu speichern, um hierauf von anderen Geräten (auf denen die Dropbox-Anwendung installiert ist) oder über die Dropbox-Webseite wieder zugreifen zu können.218 Weitere unterstützende Funktionen (wie das Freigeben und gemeinsame Nutzen von Dateien, das Anlegen von Fotogalerien oder eine Versionsverwaltung) runden das Service-Angebot ab.219 Darüber hinaus existieren kostenpflichtige Pro- und Business-Abonnements, die etwa Management-Tools zur Ver213 http://aws.amazon.com / de / s3 / details /
(Stand: 1.7.2015). (Stand: 1.7.2015). 215 http://aws.amazon.com / de / ec2 / details / (Stand: 1.7.2015). 216 http://aws.amazon.com / de / about-aws / global-infrastructure / regional-productservices / (Stand: 1.7.2015); zur Vereinheitlichung wird für die jeweiligen Regionen, wie etwa für die nördliche Region „Northern Virginia“ des US-Bundesstaates Virginia, die deutsche Übersetzung nach der AWS-Webseite zugrundegelegt. 217 http://aws.amazon.com / de / about-aws / global-infrastructure / (Stand: 1.7.2015). 218 https://www.dropbox.com / tour / 1 (Stand: 1.7.2015). 219 https://www.dropbox.com / tour / 3 (Stand: 1.7.2015). 214 http://aws.amazon.com / de / ec2 / details /
68
B. Die Grundlagen von Cloud Computing
waltung von Unternehmensdaten umfassen.220 In Bezug auf die Bereitstellung von Speicherplatz ist Dropbox als „Storage as a Service“ anzusehen und unterfällt damit der IaaS-Ebene. Die vielfältigen Funktionen der Software unterfallen dagegen der SaaS-Ebene. Für Datenspeicherkapazitäten greift Dropbox nach den auf der Webseite lange Zeit enthaltenen Angaben wiederum auf den S3-Dienst von Amazon Web Services zurück; mittlerweile wird bloß auf „data centers across the United States“ verwiesen.221 3. Platform as a Service (PaaS) a) Wesentliche Charakteristika und Vorteile Auf PaaS-Ebene werden einem Nutzer Laufzeit- und Entwicklungsplattformen abonnement- oder nutzungsbasiert bereitgestellt, die der Erstellung und Implementierung von Anwendungsinfrastruktur (Datenbanken, Security, Middleware) und Anwendungssoftware dienen.222 Die Entwicklungsumgebung sowie weitere Tools, Datenbanken, Anwendungen oder standardisierte Komponenten werden unter Zugrundelegung einer verteilten Infrastruktur (Server, Netzwerk, Storage) bereitgestellt, die von dem Anbieter entweder selbst oder unter Einschaltung von Subunternehmern betrieben wird.223 PaaS-Dienste werden vor allem von Systemarchitekten und Anwendungsentwicklern genutzt.224 Sie erhalten Zugriff auf die Applikationen und können gegebenenfalls weitere Konfigurationsoptionen vornehmen.225 Die Vorteile einer PaaS-Lösung sind vor allem in der abonnement- oder nutzungsbasierten Abrechnung, der Skalierbarkeit und Elastizität sowie in der zentralen Bereitstellung und Administration durch einen Anbieter (einschließlich Update- und Patchmanagement) wiederzufinden.226 220 https://www.dropbox.com / pro, https://www.dropbox.com / business (jeweils Stand: 1.7.2015). 221 https://www.dropbox.com / help / 7?path=security_and_privacy (Stand: 1.7.2015); zu Amazon S3 siehe oben unter B.V.2.b)aa)(2). 222 BITKOM, Leitfaden Cloud Computing 2010, S. 16; Sujecki, K&R 2012, 312 (313); Höllwarth, Cloud Migration, S. 158; Hennrich, CR 2011, 546 (547). 223 Mell / Grance, The NIST Definition of Cloud Computing, S. 3; vgl. Höllwarth, Cloud Migration, S. 158; BITKOM, Leitfaden Cloud Computing 2010, S. 16; Metzger / Reitz / Villar, Cloud Computing, S. 21; Vossen / Haselmann / Hoeren, Cloud Computing für Unternehmen, S. 29. 224 Vgl. BITKOM, Leitfaden Cloud Computing 2010, S. 16; Baun / Kunze / Nimis / Tai, Cloud Computing, S. 35; Vossen / Haselmann / Hoeren, Cloud Computing für Un ternehmen, S. 29. 225 Vgl. Mell / Grance, The NIST Definition of Cloud Computing, S. 3. 226 Vgl. insoweit vor allem die Vorteile einer Public Cloud unter B.VI.1.b).
V. Service Modelle69
b) Praxisbeispiele Ein bekanntes PaaS-Praxisbeispiel ist die „Google App Engine“, bei der Programmier- und Ausführungsumgebungen, eine Werkzeugunterstützung sowie weitere Plugins zur Entwicklung von Web-Applikationen bereitgestellt und nach der Menge an transferierten Daten sowie der Speicherbenutzung abgerechnet werden (es bestehen auch Freikontingente).227 Ein Beispiel für die Entwicklung und Bereitstellung von Geschäftsanwendungen ist die Mitte November 2013 gestartete „Salesforce1 Plattform“, die den Vorgänger „force.com“ ersetzt und zahlreiche neue Features zur Anwendungsentwicklung bietet.228 Exemplarisch für PaaS stehen aber auch diejenigen Lösungen der „Windows Azure“-Cloud-Plattform von Microsoft, die hinsichtlich Programmiersprachen, Tools und Frameworks offen sind, um Entwicklern das Erstellen, Bereitstellen und Verwalten von Anwendungen in dem globalen Netzwerk an Microsoft-Rechenzentren zu ermöglichen.229 4. Software as a Service (SaaS) a) Wesentliche Charakteristika und Vorteile Auf SaaS-Ebene wird Software bedarfs- oder abonnementbasiert als Anwendung bereitgestellt.230 Mit Blick auf Web-Mail-Dienste existieren einfache SaaS-Lösungen dem Grunde nach seit vielen Jahren.231 Die Bereitstellung komplexer Software-Lösungen war zudem bereits Gegenstand des Application Service Providing (ASP).232 Heutzutage ermöglichen es vor allem breitbandige Datenleitungen, dass datenintensive Applikationen von der allgemeinen Öffentlichkeit flexibel und kostengünstig aus der „Datenwolke“ in Anspruch genommen werden können.233 Software muss in Abkehr zu traditionellen Nutzungsszenarien daher nicht mehr lokal auf einem PC 227 https://developers.google.com / appengine / docs / whatisgoogleappengine (Stand: 1.7.2015); siehe auch die Darstellung in Baun / Kunze / Nimis / Tai, Cloud Computing, S. 61, 63. 228 http://www.salesforce.com / de / platform / overview / (Stand: 1.7.2015). 229 http://azure.microsoft.com / de-de / overview / what-is-azure / (Stand: 1.7.2015). 230 Heckmann, jurisPK-Internetrecht, Kap. 9 Rn. 609; Schuster / Reichl, CR 2010, 38; Hennrich, CR 2011, 546 (547); Art.-29-Datenschutzgruppe, WP 196, S. 31; Baun / Kunze / Nimis / Tai, Cloud Computing, S. 37; Wicker, MMR 2012, 783; vgl. Stögmüller, in: Leupold / Glossner, IT-Recht, Teil 4 Rn. 3. 231 Vgl. Höllwarth, Cloud Migration, S. 158 f.; Pohle / Ammann, K&R 2009, 625 (626); vgl. oben unter B.I.1. 232 Zu ASP siehe oben unter B.III.5. 233 Zu den technischen Rahmenbedingungen siehe oben unter B.I.
70
B. Die Grundlagen von Cloud Computing
oder Notebook installiert werden, sondern wird über einen Browser oder eine App unmittelbar in der Cloud ausgeführt.234 Die zugrunde liegenden Ressourcen (Server, Netzwerk, Storage) werden in der Regel von dem Anbieter betrieben und administriert oder von einem eingeschalteten Drittanbieter (auf IaaS-Basis) bezogen.235 In der Regel ist die Ressourcen-Nutzung im SaaS-Nutzungspreis bereits enthalten.236 Der Hauptvorteil von SaaS liegt in der Reduzierung der Kosten für bereitzustellende Hardware, für zu erwerbende Software und Lizenzen sowie für Installation, Unterhaltung, Wartung und Betrieb.237 Sicherheits-Patches und Updates können von dem Anbieter zentral und zeitnah für alle Nutzer durchgeführt werden.238 Aufgrund des hohen Standardisierungsgrades können individuelle Konfigurationsmöglichkeiten aber mitunter eingeschränkt sein.239 b) Praxisbeispiele Das SaaS-Angebot umfasst das komplette Software-Spektrum und reicht daher von web-basierten E-Mail-Diensten und Application-Services wie „Google Maps“240 bis zu allgemeinen Office-Anwendungen, kaufmännischer Software sowie spezifischen Fachanwendungen. Bekannte, aber bei weitem nicht das ganze Spektrum umfassende Praxisbeispiele sind „Microsoft Office 365“241, „Google Apps for Business“242, CRM243-Lösungen 234 Vgl. Mell / Grance, The NIST Definition of Cloud Computing, S. 2; Metzger / Reitz / Villar, Cloud Computing, S. 21; Stiemerling / Hirschmeier, ITRB 2010, 146; Bräutigam / Thalhofer, in: Bräutigam, IT-Outsourcing und Cloud-Computing, Teil 14 Rn. 14. 235 Vgl. Fraunhofer FOKUS, ISPRAT-Studie, S. 16; Baun / Kunze / Nimis / Tai, Cloud Computing, S. 37; Jansen / Grance, NIST Guidelines on Security and Privacy in Public Cloud Computing, S. 4. 236 Höllwarth, Cloud Migration, S. 159. 237 Vgl. Jansen / Grance, NIST Guidelines on Security and Privacy in Public Cloud Computing, S. 3; Baun / Kunze / Nimis / Tai, Cloud Computing, S. 37; Pohle / Ammann, K&R 2009, 625. 238 ENISA, Security & Resilience in Governmental Clouds, S. 49; vgl. auch Vossen / Haselmann / Hoeren, Cloud Computing für Unternehmen, S. 28; Pohle / Ammann, K&R 2009, 625 (626); zu den Vorteilen einer Public Cloud siehe auch unter B. VI.1.b). 239 Vgl. Mell / Grance, The NIST Definition of Cloud Computing, S. 2; Fraunhofer FOKUS, ISPRAT-Studie, S. 17; Terplan / Voigt, Cloud Computing, S. 26; Stiemerling / Hirschmeier, ITRB 2010, 146. 240 http://maps.google.de (Stand: 1.7.2015). 241 http://www.office365.com (Stand: 1.7.2015). 242 http://www.google.de / intl / de / enterprise / apps / business / (Stand: 1.7.2015). 243 Customer Relationship Management.
V. Service Modelle71
von salesforce244, die „iCloud“245 von Apple oder Dropbox (in Bezug auf die vielfältigen Funktionen der Software), die im Folgenden kurz veranschaulicht werden.246 aa) Microsoft Office 365 Office 365 wird von Microsoft als „ihr Office in der Cloud“ beworben.247 Rund um die Uhr und an 365 Tagen im Jahr können die bekannte OfficeSuite (vor allem Outlook, Word, Excel, Powerpoint, Access) und andere Anwendungen in der jeweils aktuellen Version von quasi jedem Ort online genutzt werden.248 Von „Office 365 Business“ bis zu „Office 365 Enterprise“ existieren Lösungen für Unternehmen unterschiedlicher Größe.249 Dabei können kostenpflichtige Benutzerlizenzen beispielsweise für „Office 365 Business Premium“ auf monatlicher oder jährlicher Abonnement-Basis erworben werden.250 Die geographische Dimension verdeutlicht ein exemplarischer Blick auf die Office 365 zugrunde liegenden Rechenzentrumsstandorte. Sämtliche Ressourcen sind über ein globales Netzwerk an Rechenzentren verteilt, die von Microsoft als Unteranbieter eingeschaltet sind.251 Speicherung und Verarbeitung von Daten erfolgen dabei in unterschiedlichen geographischen Regionen, die sich nach der Adresse des Kunden bestimmen.252 Liegt diese Adresse in Europa, dem Mittleren Osten oder Afrika (EMEA253), werden Daten in der EU, in den USA und in Kanada gespeichert.254 Microsoft gibt den Rechenzentrumsstandort in Irland als „primary data center for ForeFront Online Protection for Exchange“ an, den Standort in den Niederlanden 244 http://www.salesforce.com / de /
(Stand: 1.7.2015). (Stand: 1.7.2015). 246 Zu Dropbox siehe bereits oben unter B.V.2.b)bb). 247 http://office.microsoft.com / de-de / business / (Stand: 1.7.2015). 248 Siehe beispielsweise den von Microsoft beschriebenen Leistungsumfang zu „Business Premium“ unter https://products.office.com / de-de / business / office-365business-premium (Stand: 1.7.2015). 249 https://products.office.com / de-de / business / office-365-business (Stand: 1.7. 2015). 250 https://products.office.com / de-de / business / office-365-business-premium (Stand: 1.7.2015). 251 BlnBDI, JB 2012, S. 145. 252 http://www.microsoft.com / online / legal / v2 / ?docid=25&langid=de-DE (Stand: 1.7.2015). 253 Europe, Middle East, Africa (EMEA). 254 Microsoft, Customer Data Flows in Office 365, S. 1. 245 http://www.apple.com / de / icloud /
72
B. Die Grundlagen von Cloud Computing
als „primary data center for SharePoint Online“.255 Der Standort in Irland sowie Rechenzentren in den USA fungieren aber auch als „primary data centers for the Microsoft Online Portal and for all Office 365 services’ directory data, with data replicated between locations“.256 Alle Standorte werden auch als Backup-Standorte genutzt. So wird beispielsweise für SharePoint Online Services mit „primary data center“ in den Niederlanden der Standort Irland als Backup angegeben.257 Neben anwendbaren Gesetzen weist Microsoft vor allem auf die Einhaltung des „U.S.-EU Safe Harbor Framework“ hin.258 bb) Google Apps for Business „Google Apps for Business“ ist eine „cloud-basierte Produktivitätssuite“, die vor allem die Apps „Gmail“, „Kalender“, „Drive“, „Docs“, „Tabellen“ und „Präsentationen“ umfasst.259 Kostenpflichtige Benutzerlizenzen können auch hier auf monatlicher oder jährlicher Abonnement-Basis erworben werden.260 Neben dem bei „Google Drive“ zur Verfügung stehenden Speicherplatz in der Cloud bestehen etwa Synchronisierungs-Optionen mit verschiedenen Geräten oder weitergehende Möglichkeiten, um Dokumente online zu erstellen, gemeinsam zu bearbeiten und mit anderen Nutzern zu teilen.261 cc) salesforce.com Der US-Anbieter salesforce.com beschreibt sich als „Marktführer für CRM-Anwendungen“262 und zählt als Pionier für Cloud Computing im Bereich Geschäftsanwendungen.263 Die web-basierten Vertriebs- und Kundenbeziehungsmanagement-Lösungen seien „das ‚Ende von Software‘, so wie man sie kennt“ und sollen Unternehmen jeder Größe bei der Verwaltung von Kundenkontakten und der Steuerung des Vertriebs („Sales Cloud“), bei 255 Microsoft,
Customer Data Flows in Office 365, S. 1. Customer Data Flows in Office 365, S. 1. 257 Microsoft, Customer Data Flows in Office 365, S. 2. 258 Microsoft, Customer Data Flows in Office 365, S. 1; zu „Safe Harbor“ siehe unten unter C.IV.3.d)aa). 259 http://www.google.de / intx / de / enterprise / apps / business / (Stand: 1.7.2015). 260 http://www.google.com/intl/de/enterprise/apps/business/pricing.html (Stand: 1.7.2015). 261 http://www.google.de/intx/de/enterprise/apps/business/products.html#drive (Stand: 1.7.2015). 262 Customer Relationship Management (CRM); https://www.salesforce.com / de / (Stand: 1.7.2015). 263 Vgl. https://www.salesforce.com / de / company / (Stand: 1.7.2015). 256 Microsoft,
V. Service Modelle73
Kundenservice und -support („Service Cloud“) sowie bei Marketing in sozialen Netzwerken („Marketing Cloud“) unterstützen.264 Branchenspezifische Lösungen sowie Dienste für mobile Endgeräte runden das Leistungsangebot ab.265 Mit Blick auf das Nutzungsmodell ist etwa bei der „Sales Cloud“ für alle je Benutzer lizenzierten und auf Basis eines monatlichen Abrechnungsmodells bereitgestellten Produkte ein Jahresvertrag erforderlich.266 Sämtliche Anwendungen laufen auf Servern von salesforce.com, die „in dedizierten Räumlichkeiten renommierter Rechenzentren“ untergebracht sind.267 Konkretere Angaben zu Serverstandorten sind der Webseite allerdings nicht zu entnehmen. Bezugnahmen auf ein „TRUSTe EU Safe Harbor Seal“ sowie auf Instanzen in Nordamerika, Asien-Pazifik sowie Europa lassen lediglich einen Rückschluss auf diese Territorien, insbesondere auf das Heimatland des Anbieters, zu.268 dd) Apple iCloud Der Dienst iCloud von Apple ermöglicht es, Fotostreams mit anderen Nutzern zu teilen oder sämtliche Apps, Musik („iTunes in der Cloud“), Filme, iBooks, Dokumente und andere Daten (etwa von Kalendern, Kontakten oder E-Mails) in der Cloud zu speichern.269 Neue oder bearbeitete Daten auf einem Gerät können über die iCloud automatisch auf andere Geräte übertragen werden, um die neuesten Fotos an einem anderen Ort zu betrachten oder um die begonnene Arbeit an dem synchronisierten Dokument auf einem anderen Gerät fortzuführen.270 In Bezug auf die Datenspeicherung (auch für ein Backup zur Wiederherstellung eines Apple-Geräts) unterfällt der Dienst noch grundsätzlich der IaaS-Ebene, während die vielfältigen weitergehenden Leistungen und Funktionen der iCloud der SaaS-Ebene zuzuordnen sind.
264 Engelen / Engelen / Bachmann, Corporate Entrepreneurship, S. 75; https://www. salesforce.com / de / company / , https://www.salesforce.com / de / products / (jeweils Stand: 1.7.2015). 265 Siehe hierzu insgesamt die Produktbeschreibungen auf https://www.salesforce. com / de / (Stand: 1.7.2015). 266 https://www.salesforce.com / de / sales-cloud / overview / (Stand: 1.7.2015). 267 Baun / Kunze / Nimis / Tai, Cloud Computing, S. 69; https://trust.salesforce.com / trust / learn / datacenters (Stand: 1.7.2015). 268 http://www.salesforce.com / de / company / privacy.jsp, https://trust.salesforce. com / trust / instances (jeweils Stand: 1.7.2015); ausführlich zu der „Safe Harbor Vereinbarung“ unten unter C.IV.3.d)aa). 269 https://www.apple.com / de / icloud / (Stand: 1.7.2015). 270 https://www.apple.com / de / icloud / (Stand: 1.7.2015).
74
B. Die Grundlagen von Cloud Computing
5. Weitere Ausprägungen und Spezifizierungen Neben der grundsätzlichen Unterscheidung zwischen IaaS, PaaS und SaaS sind – dem Gedanken von XaaS folgend – weitergehende begriffliche Differenzierungen nicht ausgeschlossen. Neben der bereits erörterten IaaSUnterform StaaS (Storage as a Service) finden sich in der Praxis vor allem die Begriffe HPCaaS (High Performance Computing as a Service), CaaS (Communication as a Service) oder BPaaS (Business Process as a Service) wieder.271
VI. Bereitstellungsmodelle Bei allen Service Modellen ist zwischen verschiedenen Bereitstellungsmodellen272 zu unterscheiden. Neben den Grundformen der Public und Private Cloud existieren spezielle Ausprägungen gerade in Form der Hybrid Cloud oder der branchenspezifischen Community Cloud. 1. Public Cloud a) Charakteristika und wesentliche Elemente Public Clouds sind der allgemeinen Öffentlichkeit („jedermann“) weltweit über das Internet zugängliche Cloud-Umgebungen.273 Sämtliche Nutzer, die sich die zugrunde liegende Hardware teilen und gemeinsam nutzen („multitenancy“), sind organisatorisch nicht miteinander verbunden, zumal einem Nutzer Identität und Anzahl der übrigen Nutzer in aller Regel nicht bekannt sind und er hierauf auch keinen Einfluss hat.274 271 Vgl. Baun / Kunze / Nimis / Tai, Cloud Computing, S. 39 ff.; Becker / Nikolaeva, CR 2012, 170; Gaul / Koehler, BB 2011, 2229; Grünwald / Döpkens, MMR 2011, 287 f.; Höllwarth, Cloud Migration, S. 160; BITKOM, Leitfaden Cloud Computing 2010, S. 16; Metzger / Reitz / Villar, Cloud Computing, S. 22; zu Storage as a Service siehe oben unter B.V.2.a). 272 Der zugrundegelegte Begriff von „Bereitstellungsmodellen“ orientiert sich an der NIST-Definition of Cloud Computing von Mell / Grance („deployment models“). Auch das BSI verweist auf die „Bereitstellungsmodelle des NIST“, siehe BSI, Sicherheitsempfehlungen für Cloud Computing Anbieter, S. 16. 273 Vgl. Mell / Grance, The NIST Definition of Cloud Computing, S. 3; Art.-29Datenschutzgruppe, WP 196, S. 30; Heckmann / von Lucke / Hennrich / Maisch, C3Studie, S. 14; BSI, Sicherheitsempfehlungen für Cloud Computing Anbieter, S. 16; Höllwarth, Cloud Migration, S. 150; Bräutigam / Thalhofer, in: Bräutigam, IT-Outsourcing und Cloud-Computing, Teil 14 Rn. 16. 274 Höllwarth, Cloud Migration, S. 150; Hennrich, CR 2012, 546 (547); dies ist ein Unterschied zum Grid Computing, vgl. oben unter B.III.1.
VI. Bereitstellungsmodelle75
Die einer Public Cloud zugrunde liegende IT-Infrastruktur wird von dem Anbieter (in einem oder in mehreren Rechenzentren) entweder selbst betrieben oder von einem externen IT-Dienstleister (gegebenenfalls wiederum bedarfs- und nutzungsbasiert) bezogen.275 Technisch sind Public Clouds meist hoch standardisiert und weisen – im Fall eines großen RessourcenPools – in der Regel eine hohe Skalierbarkeit und Elastizität auf.276 Aufgrund der Vielzahl an Nutzern sind Public Clouds aber auch in rechtlicher Hinsicht, insbesondere in Bezug auf Service Level Agreements (SLAs) und einheitliche Geschäftsbedingungen, standardisiert. b) Vor- und Nachteile von Public Clouds Public Clouds kennzeichnet vor allem der große, skalierbare, flexibel verfügbare und mit Dritten gemeinsam genutzte Pool an Hardware-Ressourcen.277 Bei hinreichender Redundanz aller Komponenten wird zudem die Verfügbarkeit erhöht und das Ausfallrisiko reduziert.278 Im Falle einer geographischen Verteilung der Ressourcen können selbst kleine Unternehmen kosteneffiziente Sicherheitsstrategien für die unternehmenskritischen Aspekte von Business Continuity und Disaster Recovery entwickeln.279 Nutzerseitig ist vor allem die jederzeitige Zugriffsmöglichkeit (über verschiedene Endgeräte) auf den öffentlich bereitgestellten Service hervorzuheben.280 In wirtschaftlicher Hinsicht sind Public Clouds – vor allem im Vergleich zu Private Clouds und Eigenbetriebskonstellationen – meist die kostengünstigere Lösung.281 Aufgrund des hohen technischen und rechtlichen Standardisierungsgrads verbleibt meist kein Raum für individuelle Festlegungen.282 Zugleich sind 275 Vgl. Höllwarth, Cloud Migration, S. 150; Mell / Grance, The NIST Definition of Cloud Computing, S. 3. 276 Vgl. BSI, Sicherheitsempfehlungen für Cloud Computing Anbieter, S. 17; Heckmann / von Lucke / Hennrich / Maisch, C3-Studie, S. 14. 277 Zu den Vor- und Nachteilen siehe die SWOT-Analyse (Strengths, Weaknesses, Opportunities, Threats) in ENISA, Security & Resilience in Governmental Clouds, S. 49 ff.; Höllwarth, Cloud Migration, S. 149 ff. 278 ENISA, Security & Resilience in Governmental Clouds, S. 49. 279 ENISA, Security & Resilience in Governmental Clouds, S. 49; „Business Continuity“ steht für Strategien und Grundsätze, um den Fortbestand eines Unternehmens durch eine allgemeine Betriebssicherheit und Verfügbarkeit von IT-Systemen zu gewährleisten, vgl. Hennrich, CR 2011, 546 (549), Fn. 39. 280 Vgl. Höllwarth, Cloud Migration, S. 151. 281 Vgl. Höllwarth, Cloud Migration, S. 151; zu den wirtschaftlichen Vorteilen vgl. auch oben unter A.II. 282 Vgl. Höllwarth, Cloud Migration, S. 150.
76
B. Die Grundlagen von Cloud Computing
mit der unbekannten Nutzerzahl und den Charakteristika einer multimandantenfähigen Umgebung neue Gefahren und Risiken an die Grundsätze der allgemeinen Daten- und Informationssicherheit verbunden.283 2. Private Cloud a) Charakteristika und wesentliche Elemente Private Clouds decken die Funktionalitäten einer Public Cloud ab und nutzen eine ähnlich aufgebaute Technik. Allerdings sind sie einer unbestimmten Öffentlichkeit nicht allgemein zugänglich, sondern stehen nur einem bestimmten, abgeschlossenen Nutzerkreis (wie den Mitarbeitern eines Unternehmens) zur Verfügung.284 Eine Private Cloud kann in Eigenregie betrieben werden oder von einem externen Anbieter „on premise“ oder „off premise“ zur exklusiven Nutzung bereitgestellt werden.285 In der Betriebskonstellation des vollständigen Eigenbetriebs durch ein Unternehmen („internal / insourced private cloud“) befinden sich sämtliche Ressourcen an einem hierfür geeigneten (Rechenzentrums-)Standort des Unternehmens („on premise“).286 Bei einem Teil-Outsourcing auf Rechenzentrums-Ebene wird unternehmenseigene Hardware (mangels vergleichbarer Infrastruktur „on premise“) in der Sicherheitsumgebung eines externen Rechenzentrumsanbieters untergebracht („off premise“) und auf allen übrigen Ebenen einer IT-Sicherheitsarchitektur weiterhin durch das auslagernde Unternehmen administriert.287 Gehen auch Betrieb und Administration auf einen externen Anbieter über, liegt eine vollständige Auslagerung vor („external / outsourced private cloud“).288 Einheitliche Begriffe haben sich insoweit aber noch nicht herausgebildet. Externe Subunternehmer können grundsätzlich auf allen Organisationsebenen eingeschaltet sein. Der Zugriff auf eine Private Cloud kann – abhängig von der konkreten Betriebskonstellation – neben öffentlichen Datennetzen (wie dem Internet) auch über das Intranet eines Unterneh283 Siehe
hierzu ausführlich unten unter C.V. Mell / Grance, The NIST Definition of Cloud Computing, S. 3; Art.-29Datenschutzgruppe, WP 196, S. 30; BITKOM, Leitfaden Cloud Computing 2010, S. 18; Heckmann / von Lucke / Hennrich / Maisch, C3-Studie, S. 14; Hennrich, CR 2011, 546 (547); Niemann / Paul, K&R, 2009, 444 (445). 285 Reese, Cloud Application Architectures, S. 18; Heckmann / von Lucke / Hennrich / Maisch, C3-Studie, S. 17; Hennrich, CR 2011, 546 (547); vgl. Mell / Grance, The NIST Definition of Cloud Computing, S. 3. 286 Heckmann / von Lucke / Hennrich / Maisch, C3-Studie, S. 17. 287 Vgl. die Ebenen einer IT-Sicherheitsarchitektur im Rahmen der Datensicherheit unter C.V.3.a). 288 Vgl. Heckmann / von Lucke / Hennrich / Maisch, C3-Studie, S. 17. 284 Vgl.
VI. Bereitstellungsmodelle77
mens, ein Virtual Private Network (VPN) oder eine abgeschottete Standleitung erfolgen.289 Mitunter werden Leistungen aus Werbe- und Marketinggesichtspunkten als „private“ beworben, obwohl die Cloud-Infrastruktur ganz oder teilweise einer unbestimmten Nutzerzahl offensteht.290 Zu Verwechselungen führen häufig als „privat“ beworbene Container oder anderweitig isolierte Umgebungen, die – wie die Virtual Private Cloud – jedoch eine spezielle Ausprägung der Public Cloud sind.291 b) Vor- und Nachteile von Private Clouds Der große Vorteil einer Private Cloud liegt darin, dass die IT-Ressourcen im unmittelbaren Kontrollbereich verbleiben und nur einem abgeschlossenen Nutzerkreis zur Verfügung stehen.292 Die Bereitstellungsform gelangt daher vor allem dort zum Einsatz, wo Kontrolle und Datensicherheit von hoher Bedeutung sind.293 Zugleich kann von den technischen Vorteilen virtualisierter Umgebungen (wie erhöhte Verfügbarkeit, Ausfallsicherheit, Hardwareunabhängigkeit, internes Ressourcen-Pooling) profitiert werden.294 Sofern eine Private Cloud nicht als vorkonfigurierte und standardisierte „in a box-Lösung“ bereitgestellt wird, lassen sich meist auch individuelle Anforderungen abbilden oder spezifische Leistungsparameter festlegen.295 Im Unterschied zu Public Clouds, deren Ressourcen in der Regel durch den Nutzer über eine Webseite oder App selbst provisioniert werden, gehen ITService-Verträgen über Private Clouds oftmals noch Verhandlungen mit dem Anbieter voraus (gerade bei umfangreichen, an spezifische Anforderungen angepassten Lösungen).296 Die Ressourcen einer Private Cloud sind aufgrund eines anderen Nutzerkreises regelmäßig (deutlich) kleiner dimensioniert als bei (großen) Public 289 Vgl.
BITKOM, Leitfaden Cloud Computing 2010, S. 18. Höllwarth, Cloud Migration, S. 153. 291 Zur Virtual Private Cloud siehe unten unter B.VI.3.b). 292 Heckmann / von Lucke / Hennrich / Maisch, C3-Studie, S. 17. 293 Vgl. ENISA, Security & Resilience in Governmental Clouds, S. 53; KPMG / BITKOM, Cloud-Monitor 2013, S. 14 ff.; Hennrich, CR 2011, 546 (551 f.); SchultzeMelling, ITRB 2011, 239; Leupold, MMR 2014, 145 f. 294 Vgl. Reese, Cloud Application Architectures, S. 19; Höllwarth, Cloud Migration, S. 152. 295 Höllwarth, Cloud Migration, S. 152; Hennrich, CR 2011, 546 (552). 296 Hennrich, CR 2011, 546 (552); zu der Möglichkeit von individuellen vertraglichen Festlegungen bei Auftragserteilung und unterschiedlichen Verhandlungskonstellationen siehe unten unter C.VI.5.a). 290 Vgl.
78
B. Die Grundlagen von Cloud Computing
Clouds.297 Entsprechend geringer sind daher meist auch das Maß an (geographischer) Redundanz, Flexibilität und Skalierbarkeit sowie der Pool an verfügbaren Ressourcen zur Begegnung von Lastspitzen.298 Gerade bei Private Clouds im Eigenbetrieb führen die mit der Anschaffung von Hardware verbundenen Investitionen dazu, dass es sich um keine kostengünstige Lösung handelt.299 Selbst bei einem Rückgriff auf externe Dienstleister sind die wirtschaftlichen Vorteile von Private Clouds im Vergleich zu großen, hochstandardisierten Public Clouds in aller Regel nur in eingeschränktem Umfang wiederzufinden und es bedarf einer einzelfallbezogenen Kostenanalyse.300 c) „Echtes“ Cloud Computing in der Private Cloud? – Eine Frage des begrifflichen Verständnisses Im Rahmen der begrifflichen Erörterung von „Cloud Computing“ wurden uneinheitliche Begriffsdefinitionen bereits deutlich.301 Ein fließender Übergang zu klassischen IT-Betriebsszenarien zeigt sich vor allem bei Private Clouds, die gerade auf Rechenzentrums- und Serverebene oftmals noch konventionellen IT-Infrastrukturen ähneln.302 Mitunter drängt sich zu Recht der Verdacht auf, dass teilweise bloß „alter Wein in neuen Schläuchen“ verkauft wird.303 Im Vergleich zu großdimensionierten Public Clouds weist das IT-Cluster einer Private Cloud meist einen deutlich geringeren Pool an HardwareRessourcen auf.304 Nach dem vorliegend vertretenen weiten Verständnis von Cloud Computing macht dies Private Clouds aber nicht „unecht“. Gerade hochverdichtete IT-Systeme (wie „Bladecenter“) bieten ein sehr großes Leistungspotential auf wenig Raum und einen deutlich größeren Ressourcen297 Heckmann / von
Lucke / Hennrich / Maisch, C3-Studie, S. 14. Security & Resilience in Governmental Clouds, S. 54; Reese, Cloud Application Architectures, S. 19; vgl. Schultze-Melling, ITRB 2011, 239. 299 Höllwarth, Cloud Migration, S. 153. 300 Vgl. ENISA, Security & Resilience in Governmental Clouds, S. 54; Duisberg, in: Trust in IT, S. 51. 301 Siehe oben unter B.IV. 302 Heckmann / von Lucke / Hennrich / Maisch, C3-Studie, S. 14; Maisch / Seidl, VBlBW 2012, 7 (8); Hennrich, CR 2011, 546 (552); Art.-29-Datenschutzgruppe, WP 196, S. 30; Höllwarth, Cloud Migration, S. 152; Duisberg, in: Trust in IT, S. 50; vgl. auch oben unter B.IV.5 sowie unten unter B.VI.2.c). 303 Heckmann, in: Hill / Schliesky, Innovationen im und durch Recht, S. 97 (98); Pohle / Ammann, K&R 2009, 625; vgl. Vossen / Haselmann / Hoeren, Cloud Computing für Unternehmen, S. 13. 304 Siehe oben unter B.IV.4. und B.IV.5. 298 ENISA,
VI. Bereitstellungsmodelle79
Pool im Vergleich zu „normalen“ Serversystemen. Da es die stetige technische Weiterentwicklung geradezu unmöglich macht, ein bestimmtes (Mindest-)Maß für einen Ressourcen-Pool oder für eine Skalierbarkeit überhaupt festlegen zu können, zeigt sich vor dem Hintergrund der Private Cloud, dass Cloud-Merkmale nicht „zu dogmatisch“ und im besten Fall vielmehr als „Idealform“ verstanden werden sollten. Ein derartiges Verständnis entspricht sowohl dem stattfindenden Transformationsprozess in der Bereitstellung von IT als auch der Wahrnehmung von Cloud Computing als Oberbegriff in der Öffentlichkeit. 3. Spezielle Ausprägungen Auf den beiden Grundformen der Public Cloud und der Private Cloud gründen spezielle Ausprägungen von Bereitstellungsformen als Derivate, Kombinationen oder Speziallösungen.305 a) Hybrid Cloud Werden organisatorisch unabhängige Public und Private Clouds über standardisierte Schnittstellen miteinander kombiniert, wird diese Mischform als Hybrid Cloud bezeichnet.306 In derartige Koppelungsszenarien können auch konventionelle IT-Umgebungen einbezogen sein.307 Durch den Einsatz von hybriden Cloud-Umgebungen kann vor allem unterschiedlichen Sicherheitsstandards nachgekommen werden. Datenkategorien, für die keine besonderen gesetzlichen oder unternehmensinternen Anforderungen bestehen (etwa Daten ohne Personenbezug, nicht-unternehmenskritische Daten), können meist kostengünstig in einer Public Cloud verarbeitet werden. Personenbezogene, sensible oder kritische Daten (etwa Daten der Geschäftsführung, geheime Daten aus dem Bereich der Produktentwicklung, Daten der Rechtsabteilung oder der Buchhaltung) können dagegen innerhalb der abgeschlossenen Private Cloud verbleiben.308 Als 305 Hennrich,
S. 18.
CR 2011, 546 (547); BITKOM, Leitfaden Cloud Computing 2010,
306 Vgl. Fraunhofer FOKUS, ISPRAT-Studie, S. 23; Mell / Grance, The NIST Definition of Cloud Computing, S. 3; BSI, Sicherheitsempfehlungen für Cloud Comput ing Anbieter, S. 16; Höllwarth, Cloud Migration, S. 153; Hennrich, CR 2011, 546 (547); Baun / Kunze / Nimis / Tai, Cloud Computing, S. 29. 307 BITKOM, Leitfaden Cloud Computing 2010, S. 18; Höllwarth, Cloud Migration, S. 153. 308 Vgl. Höllwarth, Cloud Migration, S. 153; Fraunhofer FOKUS, ISPRAT-Studie, S. 23, die hervorhebt, dass gerade bei Lastspitzen ein Rückgriff auf eine Public Cloud in Betracht kommen kann.
80
B. Die Grundlagen von Cloud Computing
komplex können sich mitunter die Herausforderungen an die Integration und Interoperabilität der unabhängigen Cloud-Umgebungen, an die Überwachung der Schnittstellen sowie an ein einheitliches Service- und SicherheitsManagement erweisen.309 b) Virtual Private Cloud Als Virtual Private Cloud wird eine individualisierte und isolierte Umgebung innerhalb einer Public Cloud typisiert, die durch bestimmte Sicherheitsvorkehrungen gekennzeichnet ist.310 Auch wenn die Bezeichnung „private“ etwas anderes vermuten lässt, sind derart isolierte Umgebungen meist eine Unterform der Public Cloud.311 Ein Praxisbeispiel ist die Amazon Virtual Private Cloud.312 c) Community Cloud Als Community Cloud wird die gemeinsame Nutzung einer Cloud-Umgebung durch Unternehmen oder Organisationen einer Branche – etwa zur brancheninternen Zusammenarbeit oder aufgrund vergleichbarer Compliance-Anforderungen – bezeichnet.313 Die Bereitstellung (durch einen externen Anbieter oder durch ein involviertes Unternehmen)314 kann sowohl als Public Cloud als auch in einem privaten oder hybriden Bereitstellungsmodell erfolgen. Ist die Cloud-Umgebung einer unbestimmten Anzahl an branchenspezifischen Nutzern allgemein zugänglich (etwa zum weltweiten Austausch von Bildmaterial zwischen Fotografen und Presse-Redaktionen), ist sie als öffentliche Community Cloud zu typisieren (begrifflich bietet sich die Bezeichnung „Public Community Cloud“ an). Wird die Cloud dagegen einem bestimmten Nutzerkreis exklusiv bereitgestellt, findet sich das Merkmal einer Private Cloud wieder („Private Community Cloud“). Herausfor309 Vgl. Höllwarth, Cloud Migration, S. 153 ff.; BITKOM, Leitfaden Cloud Computing 2010, S. 18. 310 Vgl. BITKOM, Leitfaden Cloud Computing 2010, S. 18. 311 Im Ergebnis so auch BITKOM, Leitfaden Cloud Computing 2010, S. 18. 312 http://aws.amazon.com / de / vpc / (Stand: 1.7.2015). 313 Mell / Grance, The NIST Definition of Cloud Computing, S. 3; vgl. auch BSI, Sicherheitsempfehlungen für Cloud Computing Anbieter, S. 16; Hennrich, CR 2011, 546 (547); Höllwarth, Cloud Migration, S. 156 f.; Metzger / Reitz / Villar, Cloud Computing, S. 19; Heckmann / von Lucke / Hennrich / Maisch, C3-Studie, S. 14 f.; Vossen / Haselmann / Hoeren, Cloud Computing für Unternehmen, S. 31. 314 Mell / Grance, The NIST Definition of Cloud Computing, S. 3; vgl. Vossen / Haselmann / Hoeren, Cloud Computing für Unternehmen, S. 31.
VI. Bereitstellungsmodelle81
derungen können bei Community Clouds vor allem mit der branchenübergreifenden technischen Integration sowie der Vereinheitlichung von Prozessen, Zugangsberechtigungen, Daten(formaten) und Anwendungen verbunden sein.315 Das Maß an Sicherheit ist daher immer anhand des konkreten Bereitstellungsmodells und der Anzahl an branchenspezifischen Nutzern einzelfallbezogen zu bewerten.316 Weitere begriffliche Differenzierungen sind beispielsweise anhand der Branchenbezeichnung denkbar (etwa „Automotive Industry Cloud“ für eine Kollaborationsplattform in der Automobilbranche zwischen Herstellern, Zulieferern und anderen Beteiligten). Community Clouds, die ausschließlich von Trägern der öffentlichen Verwaltung als „Branche“ genutzt werden oder als Schnittstelle zwischen Bürgern und Staat dienen, werden auch als „Government Cloud“ bezeichnet.317 Praxisbeispiele für eine Community Cloud im Finanzsektor sind die Technologielösungen der NYSE zu einer „Capital Markets Community“, die Händlern Rechenressourcen bedarfsgerecht zur Verfügung stellt, oder die im Jahr 2012 vorgestellte „FinQloud“ der NASDAQ OMX Group, die für die Anforderungen des Finanzmarktes konzipiert ist und von Amazon Web Services betrieben wird (im Jahr 2014 befindet sich diese in einer Restrukturierungsphase).318 d) Regionale Clouds und weitere Unterteilungen Für weitere Unterteilungen lässt sich beispielsweise in Bezug auf die Reichweite eines Cloud-Dienstes (etwa ein SaaS-Angebot, das sich inhaltlich an Nutzer eines Landes, einer bestimmten Region oder Stadt richtet) oder den Standort von Ressourcen auf verschiedene begriffliche Ausprägungen von „Regional Clouds“ (wie etwa European Cloud, German Cloud) verweisen.319 Vor dem Hintergrund von Fragen des Datenschutzes und der Datensicherheit in weltweiten Clouds werden aus Vertrauensgesichtspunkten in Deutschland zahlreiche Clouds, deren Ressourcen sich ausschließlich auf 315 Fraunhofer FOKUS, ISPRAT-Studie, S. 22; ENISA, Security & Resilience in Governmental Clouds, S. 56. 316 Heckmann / von Lucke / Hennrich / Maisch, C3-Studie, S. 18. 317 Höllwarth, Cloud Migration, S. 156; vgl. Metzger / Reitz / Villar, Cloud Computing, S. 19; Praxisbeispiele sind die AWS Gov-Cloud (US), http://aws.amazon. com / de / govcloud-us / (Stand: 1.7.2015), oder Google Apps for Government, http:// www.google.com / intl / am / enterprise / apps / government / (Stand: 1.7.2015). 318 ENISA, Critical Cloud Computing, S. 11; https://www.nyse.com/technology (Stand: 1.7.2015); http://www.ft.com/cms/s/0/f3678d34-b1f1-11e3-b891-00144feabd c0.html (Stand: 1.7.2015). 319 Vgl. Höllwarth, Cloud Migration, S. 155 f.
82
B. Die Grundlagen von Cloud Computing
deutschem Hoheitsgebiet befinden, mit explizitem Hinweis auf diesen Standort beworben.320 Weitere Differenzierungen sind anhand verschiedenster Anknüpfungsmerkmale möglich. Entsprechend groß ist daher auch die Bandbreite der in der Praxis wiederzufindenden Bezeichnungen, die im Rahmen dieser Grundlagendarstellung nicht wiedergegeben werden kann. Im Ergebnis lassen sich aber sämtliche gewählten Bezeichnungen auf die Grundformen der Public und Private Cloud, gegebenenfalls auf eine der genannten Mischformen zurückführen.
VII. Die geographischen Dimensionen von Cloud Computing Im medialen Fokus stehen meist die global dimensionierten Cloud-Services großer „IT-Player“. Weltweite Datenwolken sind jedoch keineswegs repräsentativ für Cloud Computing. Vielmehr sind sie nur eine von vielen Facetten und Erscheinungsformen. Charakterisiert wird Cloud Computing gerade nicht durch die geographische Verteilung der zugrunde liegenden Infrastruktur, sondern durch technische Charakteristika (wie gepoolte Ressourcen, eine hohe Skalierbarkeit und Elastizität) sowie durch flexible Abrechnungs- und Nutzungsmodelle.321 Diese Merkmale kann grundsätzlich auch eine Infrastruktur aufweisen, die sich lediglich an einem einzigen Standort befindet oder über wenige Standorte verteilt ist. Zahlreiche Datenwolken abseits der „Branchenriesen“ sind daher auch von deutlich kleinerer Ausprägung. Die Vorteile einer standortübergreifenden Datenverarbeitung sind bereits aus klassischen IT-Outsourcing-Szenarien bekannt. So kann es sich aus geographischen Redundanzaspekten anbieten, IT-Systeme an einer „failoversite“ bereitzuhalten (bei hinreichender Entfernung ist ein Standort unabhängig von kritischen Ereignissen wie Feuer, Stromausfall, Versagen der USV, Unterbrechung von Datenleitungen, Bandbreitenengpässe bei Lastspitzen, andere Elementarschäden oder Naturkatastrophen).322 Bei einer weltweiten Nutzergemeinde kann die Datenverarbeitungsgeschwindigkeit erhöht wer320 Vgl. Bräutigam / Thalhofer, in: Bräutigam, IT-Outsourcing und Cloud-Comput ing, Teil 14 Rn. 19; Heckmann, Cloud „made in Germany“ als Vertrauensgarant, http://www.lto.de / recht / hintergruende / h / datenschutz-cloud-made-in-germany-alsvertrauensgarant / (Stand: 1.7.2015). 321 Vgl. hierzu oben unter B.IV. 322 Diese Aspekte sind gerade im Rahmen der allgemeinen Daten- und Informationssicherheit auf Rechenzentrumsebene zu berücksichtigen, siehe unten unter C.V.3.a)aa)(1).
VII. Die geographischen Dimensionen von Cloud Computing 83
den, indem Datenpakete zur Verkürzung von Paketlaufzeiten an den jeweils nächstliegenden Standorten verarbeitet werden.323 In globalen Infrastrukturen können zugleich Ressourcen, die in einer Zeitzone zur Nachtzeit wenig ausgelastet sind, anderen Zeitzonen zur Verfügung gestellt werden, um Lastspitzen des dortigen Tagesgeschäfts abzudecken (Ressourcenzuteilung nach dem „follow the sun“-Gedanken).324 Aufgrund der hohen Kosten waren Betriebsszenarien mit geographischer Verteilung in konventionellen ITOutsourcing-Szenarien in der Regel bei kritischen Diensten wiederzufinden, deren Nichtverfügbarkeit zu erheblichen Umsatz- und Gewinneinbußen führte. Werden Cloud-Services unter Rückgriff auf ein globales RessourcenNetzwerk erbracht, das weltweit über mehrere Rechenzentrumsstandorte verteilt ist, so ist hierin die größtmögliche Ausprägung von Cloud Computing zu sehen. Ob global verteiltes Rechnen die „Reinform“ von Cloud Computing darstellt,325 ist vor dem Hintergrund des weiten begrifflichen Verständnisses326 von Cloud Computing und zahlreicher Anbieter, deren Infrastruktur sich ausschließlich in einem Land befindet, abzulehnen. Die globale Komponente ist – nach allen Definitionsansätzen – kein Charakteristikum von Cloud Computing. Die Existenz weltweiter Datenwolken führt aber vor Augen, dass Daten in einer globalisierten Weltwirtschaft grenzüberschreitend verarbeitet werden können und Datenströme in der Regel nicht vor politischen Ländergrenzen oder Rechtsräumen haltmachen.327
323 Durch eine verteilte Bearbeitung der Suchanfragen gelingt es etwa Google, die Ergebnisse (bzw. bereits die automatischen Vervollständigungsvorschläge) binnen Sekundenbruchteilen zu übermitteln. 324 „Follow the sun“ ist eine in der Praxis wiederzufindende Bezeichnung für Tätigkeiten und Abläufe, die auf verschiedene Standorte weltweit verteilt sind, damit Tätigkeiten bestenfalls rund um die Uhr und somit quasi der Sonne folgend ausgeführt werden können. 325 BfDI, 23. TB, S. 63. 326 Siehe hierzu oben unter B.IV. 327 COM(2012) 529, S. 17; BfDI, 23. TB, S. 63; vgl. Voss, ZD 2014, 217; vgl. Scholz, in: Simitis, BDSG, § 3a Rn. 12a.
C. Zentrale Herausforderungen von Cloud Computing an den Rechtsrahmen für Datenschutz I. Einleitung – Das Spannungsfeld zwischen Cloud Computing und Datenschutz In einem digitalen, von einem zunehmend allgegenwärtigen Rechnen geprägten Zeitalter ermöglicht es der Stand der technologischen Entwicklung, Daten in einem noch nie dagewesenen Ausmaß an verschiedensten Orten zu verarbeiten und einer unbegrenzten Anzahl an Personen zugänglich zu machen.328 Cloud Computing und der Einsatz moderner Technologien enthalten an einen Rechtsrahmen überall dort Herausforderungen, wo dieser den gegenwärtigen Stand der technologischen Entwicklung noch nicht zu berücksichtigen hatte.329 Auf verfassungsrechtlicher Ebene ist beispielsweise der Telekommunikationsverkehr bereits durch das Fernmeldegeheimnis (Art. 10 Abs. 1 Var. 3 GG) geschützt.330 Personenbezogene Informationen unterfallen dagegen dem Schutzbereich des Rechts auf informationelle Selbstbestimmung, das im Volkszählungsurteil331 aus dem Allgemeinen Persönlichkeitsrecht nach Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG hergeleitet wurde. Im Jahr 2008 hat das BVerfG hieraus zudem das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme abgeleitet, um neuartigen Gefährdungen der Persönlichkeit zu begegnen, die aus der Allgegenwärtigkeit moderner Informationstechnik und der zentralen Bedeutung informationstechnischer Systeme für die Lebensführung von Bürgern resultieren.332 Öffentliche Auftraggeber haben bei der Beauftragung privater Anbieter aber auch die Grenzen des Art. 33 Abs. 4 GG in Bezug auf die Ausübung hoheitsrechtlicher Befugnisse zu beachten.333 Auf einfachgesetzlicher Ebene wird allein im Kontext von Cloud Computing auf zahlreiche rechtliche Aspekte und Problemstellungen in Fragen 328 Vgl. KOM(2010) 609, S. 2; Hoffmann-Riem, JZ 2012, 1081 ff.; siehe unten unter C.IV.1. 329 Vgl. KOM(2012) 11, S. 1. 330 Jarass, in: Jarass / Pieroth, GG, Art. 10 Rn. 5. 331 BVerfGE 65, 1 (41 ff.). 332 BVerfG, Urt. v. 27.2.2008 – 1 BvR 370 / 07 und 1 BvR 595 / 07. 333 Ausführlich Heckmann / von Lucke / Hennrich / Maisch, C3-Studie, S. 30 ff.
I. Einleitung – Spannungsfeld zwischen Cloud Computing und Datenschutz 85
des Vertragsrechts334, Internationalen Privatrechts,335 Urheberrechts,336 Straf- und Strafprozessrechts,337 Sozialrechts,338 Bilanz- und Steuerrechts339 oder bei der Einhaltung bereichsspezifischer Sonderregelungen verwiesen.340 Von besonders hoher Praxisrelevanz sind jedoch die Herausforderungen an den Datenschutz. Insoweit setzt das BDSG – neben den Landesdatenschutzgesetzen und spezialgesetzlichen Regelungen – dem Einsatz von Informa tionstechnologien einen Rahmen, um die Beeinträchtigung schutzwürdiger Belange bei der Verarbeitung personenbezogener Daten zu verhindern.341 Allerdings kann die hieraus folgende datenschutzrechtliche Verantwortlichkeit eines Nutzers, wie der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Rheinland-Pfalz treffend hervorhebt, gerade nicht in die Wolke verlagert werden.342 Die Ausübung der datenschutzrechtlichen Verantwortlichkeit erweist sich bei Cloud Computing vor allem deswegen als Herausforderung, da das verteilte Rechnen auf eine datenschutzrechtliche Kernstruktur trifft, die konzeptionell noch den Zeiten von Großrechnern entstammt und von einer Beherrschbarkeit und Kontrolle ausgeht, die bei modernen Datenverarbeitungsformen an Grenzen gelangt.343 Da es zugleich ein Hemmnis für jeden Fortschritt wäre, wenn sich technologische Innovationen stets an existieren334 Pohle / Ammann, K&R 2009, 625 (626 ff.); Wicker, MMR 2012, 783 ff.; RothNeuschild, ITRB 2012, 67 ff.; Bräutigam / Thalhofer, in: Bräutigam, IT-Outsourcing und Cloud-Computing, Teil 14 Rn. 127 ff. 335 Sujecki, K&R 2012, 312 ff.; Nordmeier, MMR 2010, 151 ff. 336 Bierekoven, ITRB 2010, 42 ff.; Bisges, MMR 2012, 574 ff.; Rössel, CR 2013, 229 ff.; Bisges, GRUR 2013, 146 ff.; Lehmann / Giedke, CR 2013, 681 ff.; Paul / Niemann, in: Hilber, Handbuch Cloud Computing, Teil 3. 337 Gercke, CR 2010, 345 ff.; Härting, ITRB 2011, 242 f.; Kroschwald / Wicker, in: Taeger, IT und Internet – mit Recht gestalten, S. 733 ff.; Kroschwald / Wicker, CR 2012, 758 ff.; Conrad / Fechtner, CR 2013, 137 ff.; Rammos / Vonhoff, CR 2013, 265 ff.; Trüg / Mansdörfer, in: Hilber, Handbuch Cloud Computing, Teil 7. 338 Hornung / Sädtler, DuD 2013, 148 ff.; Rammos / Vonhoff, CR 2013, 265 ff. 339 Giebichenstein, BB 2011, 2218 ff.; Sinewe / Frase, BB 2011, 2198 ff.; Backu, ITRB 2011, 184 ff. 340 Im Überblick etwa Bräutigam / Thalhofer, in: Bräutigam, IT-Outsourcing und Cloud-Computing, Teil 14 Rn. 1 ff.; Borges / Brennscheidt, in: Borges / Schwenk, Daten- und Identitätsschutz in Cloud Computing, E-Government und E-Commerce, S. 43 ff.; Niemann / Paul, K&R, 2009, 444 ff.; Pohle / Ammann, CR 2009, 273 ff.; Pohle / Ammann, K&R 2009, 625 ff.; Duisberg, in: Trust in IT, S. 49 ff. 341 Gola / Schomerus, BDSG, Einleitung Rn. 1. 342 LfDI Rheinland-Pfalz, 23. TB, S. 16. 343 LfD Baden-Württemberg, 30. TB, S. 45; Schultze-Melling, in: Taeger / Gabel, BDSG, § 9 Rn. 104; Wedde, in: Däubler / Klebe / Wedde / Weichert, BDSG, § 9 Rn. 30; Niemann / Hennrich, CR 2010, 686; Plath, in: Plath, BDSG, § 11 Rn. 48; zur Abgrenzung gegenüber klassischem IT-Outsourcing siehe oben unter B.IV.5.
86 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
den datenschutzrechtlichen Vorgaben als „Blaupause“ zu orientieren hätten, ist ein Spannungsfeld quasi „vorprogrammiert“. Aus Sicht eines wirksamen und effektiven Datenschutzes ist es daher konsequent, in Cloud Computing eine der gegenwärtig größten Herausforderungen an den Datenschutz zu sehen.344 Im Folgenden werden die typischen und praxisrelevanten „Berührungspunkte“ zwischen Cloud Computing und dem BDSG als geltendem Rechtsrahmen erörtert. Ein Blick wird dabei auch auf die Entwurfsfassung einer Datenschutz-Grundverordnung (DS-GVO-E)345 geworfen. Bereichsspezifische Sonderregelungen (anbieterseitig etwa Fragen der Anwendbarkeit datenschutzrechtlicher Spezialregelungen des TKG oder des TMG),346 Landesdatenschutzgesetze sowie die EG-Datenschutz-Richtlinie sind nicht Gegenstand der Bearbeitung und werden nur ergänzend herangezogen.
II. Das anzuwendende Datenschutzrecht bei einem „Rechnen in Datenwolken“ 1. Einleitung Während die technische Umsetzung einer Cloud-Infrastruktur in der größtmöglichen Ausprägung eine globale Dimension aufweisen kann, entspringen rechtliche Aspekte territorial begrenzten Rechtsräumen. Fragen des anzuwendenden Rechts stellen sich daher nicht nur aus dem Blickwinkel des deutschen Datenschutzrechts, sondern sind in allen Rechtsgebieten wiederzufinden, die durch die grenzüberschreitende Nutzung eines Cloud-Services berührt werden. Greift ein deutsches Unternehmen auf einen ausländischen Anbieter zurück, können bereits die allgemeinen zivilrechtlichen Kollisionsregelungen des internationalen Privatrechts von Bedeutung sein, wie das auf vertragliche Schuldverhältnisse anzuwendende Recht nach der Rom I-VO oder die für das Deliktsstatut einschlägige Rom II-VO, deren Art. 4 Abs. 1 an den Erfolgsort anknüpft, also an den Ort des Staates, in dem der Schaden eingetreten ist.347 344 LfD
Niedersachsen, 20. TB, S. 54. 11; hierzu ausführlich unten unter C.II.4. 346 Bräutigam / Thalhofer, in: Bräutigam, IT-Outsourcing und Cloud-Computing, Teil 14 Rn. 27 ff.; Heidrich / Wegener, MMR 2010, 803 (805) m. w. N.; Grünwald / Döpkens, MMR 2011, 287 (289); vgl. Schmidt-Bens, Cloud Computing Technolo gien und Datenschutz, S. 21 ff. 347 Strittmatter, in: Niemann / Paul, Rechtsfragen des Cloud Computing, Kap. 7 Rn. 1 ff.; Meents, in: Lehmann / Meents, Handbuch FA IT-Recht, Kap. 7 Rn. 264; vgl. Duisberg, in: Trust in IT, S. 52; Bräutigam / Thalhofer, in: Bräutigam, IT-Outsourcing und Cloud-Computing, Teil 14 Rn. 129. 345 KOM(2012)
II. Anzuwendendes Datenschutzrecht bei einem „Rechnen in Datenwolken“87
Im BDSG zeigt sich ein Spannungsfeld zu modernen Datenverarbeitungsszenarien vor allem im Fall der Anknüpfung an den Ort der Datenverarbeitung. Dieser war bei der klassischen Auslagerung von Hardware in ein externes Rechenzentrum regelmäßig bekannt (vor allem als Bezugspunkt von Verfügbarkeitsregelungen in Service Level Agreements). Dagegen wird bei Cloud Computing die Standortbestimmung durch das verteilte Rechnen an sich sowie durch intransparente Anbieterinformationen zu Standorten oder eingeschalteten Subunternehmern erschwert. 2. Rechtsrahmen – § 1 BDSG Das BDSG gilt neben öffentlichen Stellen des Bundes (§ 1 Abs. 2 Nr. 1 BDSG) und der Länder (§ 1 Abs. 2 Nr. 2 BDSG)348 nach § 1 Abs. 2 Nr. 3 BDSG vor allem für die unter Einsatz von Datenverarbeitungsanlagen erfolgende Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch nicht-öffentliche Stellen, sofern keine persönliche oder familiäre Tätigkeit vorliegt. Nicht-öffentliche Stellen sind sämtliche natürlichen und juristischen Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts (vgl. § 2 Abs. 4 BDSG). Datenschutzrechtlich verantwortlich ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch einen anderen im Auftrag vornehmen lässt („verantwortliche Stelle“, § 3 Abs. 7 BDSG) und mithin über die Zwecke und Mittel der Verarbeitung entscheidet (vgl. Art. 2 lit. d) EG-Datenschutz-Richtlinie).349 a) Territorialitätsprinzip Nach dem Territorialitätsprinzip (bzw. Territorialprinzip), das dem BDSG durchgehend zugrunde liegt und das sich bereits aus dem Kompetenzbereich des Gesetzgebers ableitet, unterliegen sämtliche Verarbeitungen personenbezogener Daten auf dem Gebiet der Bundesrepublik Deutschland grundsätzlich dem Anwendungsbereich des BDSG.350 Es kommt hierbei weder auf die Nationalität noch auf den Sitz einer verantwortlichen Stelle an, sodass auch ausländische Unternehmen bei der Erhebung, Verarbeitung 348 Aufgrund existierender Landesdatenschutzgesetze in allen Bundesländern ist § 1 Abs. 2 Nr. 2 BDSG gegenstandslos, siehe Gola / Schomerus, BDSG, § 1 Rn. 19a. 349 Vgl. Jotzo, MMR 2009, 232 (233). 350 Simitis, in: Simitis, BDSG, § 4b Rn. 8, 22; BT-Drs. 14 / 4329, S. 32; Jotzo, MMR 2009, 232 (233); Rockstroh / Leuthner, ZD 2013, 497 (498); vgl. Gabel, in: Taeger / Gabel, BDSG, § 1 Rn. 48.
88 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
oder Nutzung personenbezogener Daten in Deutschland an das BDSG gebunden sind.351 b) Kollisionsrechtliche Regelungen nach § 1 Abs. 5 BDSG Für die internationale Anwendbarkeit enthält § 1 Abs. 5 BDSG (in Umsetzung von Art. 4 und Art. 17 Abs. 3 2. Spiegelstrich EG-Datenschutz-Richtlinie) die maßgeblichen Kollisionsregelungen.352 Diese unterscheiden danach, ob die Datenverarbeitung in EU / EWR-Staaten oder in Drittstaaten erfolgt. aa) Kollisionsregelung gegenüber EU / EWR-Staaten (§ 1 Abs. 5 S. 1 BDSG) (1) Sitzprinzip Bei der Bestimmung des anwendbaren Datenschutzregimes im Verhältnis zu EU / EWR-Staaten enthält § 1 Abs. 5 S. 1 BDSG eine Ausnahme zum Territorialitätsprinzip. In Umsetzung von Art. 4 EG-Datenschutz-Richtlinie ist das BDSG nicht anzuwenden, sofern eine in der EU oder dem EWR belegene verantwortliche Stelle Daten im Inland erhebt, verarbeitet oder nutzt. Entsprechend der in § 3 Abs. 8 BDSG und § 11 BDSG enthaltenen Wertungen gilt dies auch bei der Einschaltung eines inländischen Auftragnehmers.353 In diesen Fällen richtet sich das anwendbare nationale Recht nicht nach dem Ort der Datenverarbeitung, sondern nach dem Recht desjenigen Ortes, an dem eine verantwortliche Stelle ihren Sitz hat (sog. Sitzprinzip bzw. Sitzlandprinzip).354 Dem Sitzprinzip liegt der Gedanke eines einheitlichen Datenschutzniveaus innerhalb von EU und EWR durch Umsetzung der EG-Datenschutz-Richt linie zugrunde, wonach nationale Datenschutzgesetze grundsätzlich gleichwertigen Schutz bieten.355 Es ermöglicht Unternehmen, das ihnen bekannte nationale Datenschutzrecht zu „exportieren“, wodurch der Datenverkehr zwi351 Simitis, in: Simitis, BDSG, § 4b Rn. 9; zur diesbezüglichen Kollisionsregelung siehe unter C.II.2.b)bb). 352 Dammann, in: Simitis, BDSG, § 1 Rn. 197; Gabel, in: Taeger / Gabel, BDSG, § 1 Rn. 49. 353 Gabel, in: Taeger / Gabel, BDSG, § 1 Rn. 54. 354 BT-Drs. 14 / 4329, S. 31; Gola / Schomerus, BDSG, § 1 Rn. 27; Weichert, in: Däubler / Klebe / Wedde / Weichert, BDSG, § 1 Rn. 16; Plath, in: Plath, BDSG, § 1 Rn. 49. 355 Art.-29-Datenschutzgruppe, WP 56 v. 30.5.2002, S. 7; Gabel, in: Taeger / Gabel, BDSG, § 1 Rn. 54.
II. Anzuwendendes Datenschutzrecht bei einem „Rechnen in Datenwolken“89
schen EU- und EWR-Staaten gefördert und der Binnenmarkt gestärkt wird.356 Hierdurch sollen vor allem Doppelregelungen und Auseinandersetzungen mit verschiedenen einzelstaatlichen Regelungen vermieden werden.357 (2) Niederlassungsprinzip Als Gegenausnahme zu dem Sitzprinzip gelangt das BDSG wieder zur Anwendung, wenn die Datenverarbeitung durch eine inländische Niederlassung einer in einem anderen EU / EWR-Staat belegenen Stelle erfolgt (§ 1 Abs. 5 S. 1 a. E. BDSG, sog. Niederlassungsprinzip).358 Nach Erwägungsgrund 19 EG-Datenschutz-Richtlinie setzt eine Niederlassung im Hoheitsgebiet eines Mitgliedstaates die effektive und tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung voraus. Eine Einrichtung in diesem Sinne wurde unter Rückgriff auf den ehemaligen § 42 Abs. 2 GewO – jetzt § 4 Abs. 3 GewO359 – bei einer gewerblichen Niederlassung bejaht, sofern der Gewerbetreibende einen zum dauernden Gebrauch eingerichteten, ständig oder in regelmäßiger Wiederkehr von ihm benutzten Raum für den Betrieb seines Gewerbes besitzt. Aufgrund des Erfordernisses der Gewerbsmäßigkeit ist diese Definition jedoch enger als Erwägungsgrund 19 EGDatenschutz-Richtlinie und sollte daher zu Recht – gerade vor dem Hintergrund des Normzwecks eines umfassenden Schutzes von Betroffenen – europarechtlich und damit weit ausgelegt werden.360 Als Tätigkeit mit Datenbezug sind nur menschliche Aktivitäten zu verstehen.361 Ein bloßer Serverstandort begründet bei rein ferngesteuertem Betrieb – die Server-Administration erfolgt hierbei „remote“ über Datenleitungen – keine Niederlassung.362 Die Rechtsform der Niederlassung ist nicht maß356 BT-Drs. 14 / 4329, S. 31; Gabel, in: Taeger / Gabel, BDSG, § 1 Rn. 49, 54; Jotzo, MMR 2009, 232 (234 f.); Wybitul, Handbuch Datenschutz im Unternehmen, S. 25 Rn. 51; vgl. Schultze-Melling, in: Bräutigam, IT-Outsourcing und CloudComputing, Teil 5 Rn. 12. 357 Gola / Schomerus, BDSG, § 1 Rn. 27; ausführlich hierzu Dammann, in: Simitis, BDSG, § 1 Rn. 198 ff. 358 Vgl. Gola / Schomerus, BDSG, § 1 Rn. 28; Scheja / Haag, in: Leupold / Glossner, IT-Recht, Teil 5 Rn. 67; Jotzo, Der Schutz personenbezogener Daten in der Cloud, S. 124 ff. 359 BT-Drs. 14 / 4329, S. 31; Gola / Schomerus, BDSG, § 1 Rn. 28. 360 Plath, in: Plath, BDSG, § 1 Rn. 53 ff; vgl. Dammann, in: Simitis, BDSG, § 1 Rn. 203. 361 Dammann, in: Simitis, BDSG, § 1 Rn. 203; Pauly / Ritzer / Geppert, ZD 2013, 423 (424 f.); zu aktuellen Entwicklungen in Bezug auf Tätigkeiten ohne Datenbezug siehe unten unter C.II.3.b). 362 Dammann, in: Simitis, BDSG, § 1 Rn. 203; Plath, in: Plath, BDSG, § 1 Rn. 54; Gabel, in: Taeger / Gabel, BDSG, § 1 Rn. 55; Art.-29-Datenschutzgruppe,
90 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
geblich.363 Allerdings muss die Niederlassung die Datenverarbeitung als verantwortliche Stelle durchführen; Fälle der Datenverarbeitung im Auftrag werden nicht erfasst.364 Nach dem „Google-Urteil“ des EuGH vom 13. Mai 2014 liegen Datenverarbeitungen im Rahmen der Tätigkeit einer Niederlassung aber auch dann vor, wenn diese im Mitgliedstaat für die Förderung des Verkaufs der angebotenen Werbeflächen der Suchmaschine sorgt.365 Das in deutschen und ausländischen Regelungen unterschiedliche begriffliche Verständnis von „Niederlassung“ und „verantwortlicher Stelle“ kann sich für die Rechtsanwendung mitunter als erschwerend erweisen.366 Während das Sitzprinzip mit dem „Export“ nationaler Datenschutzregelungen die Interessen der Wirtschaft und den grenzüberschreitenden Datenverkehr fördert, ist die Ausnahme für Niederlassungen ein Kompromiss zugunsten der Belange von Betroffenen, um Schutzlücken zu vermeiden und um die Rechtssicherheit zu verbessern.367 bb) Kollisionsregelung gegenüber Drittstaaten (§ 1 Abs. 5 S. 2–4 BDSG) Werden personenbezogene Daten durch eine verantwortliche Stelle, die nicht in einem EU-Mitgliedstaat oder in einem EWR-Vertragsstaat belegen ist, im Inland368 erhoben, verarbeitet oder genutzt, findet das BDSG nach § 1 Abs. 5 S. 2 BDSG Anwendung. Zur Gewährleistung bestehender Datenschutzstandards wird wieder an das Territorialitätsprinzip angeknüpft, da ein angemessenes Datenschutzniveau bei den meisten Drittstaaten nicht unterstellt werden kann.369 § 1 Abs. 5 S. 4 BDSG klammert lediglich den Datentransport durch das Inland aus, da das BDSG aufgrund des weiten Verständnisses von Erheben, Verarbeiten und Nutzen anderenfalls auch bei leitungsoder datenträgergebundenem Datentransit anzuwenden wäre.370 WP 179, S. 15; Jotzo, MMR 2009, 232 (235); Kroschwald, ZD 2013, 388 (393); wohl a. A. Becker / Nikolaeva, CR 2012, 170 (173). 363 Siehe Erwägungsgrund 19 EG-Datenschutz-Richtlinie. 364 Dammann, in: Simitis, BDSG, § 1 Rn. 201; Gabel, in: Taeger / Gabel, BDSG, § 1 Rn. 55; zur Auftragsdatenverarbeitung siehe unten unter C.VI. 365 EuGH, Rs. C-131 / 12 v. 13.5.2014, Rn. 55; siehe hierzu unten unter C.II.3.b). 366 Ausführlich Dammann, in: Simitis, BDSG, § 1 Rn. 205 ff. 367 BT-Drs. 14 / 4329, S. 31; Gabel, in: Taeger / Gabel, BDSG, § 1 Rn. 54 f. 368 Zu einem im Inland belegenen Mittel siehe unten unter C.II.3.a)cc)(2) sowie C.II.4.b)bb)(1). 369 Dammann, in: Simitis, BDSG, § 1 Rn. 214 ff.; vgl. Gabel, in: Taeger / Gabel, BDSG, § 1 Rn. 57; im Hinblick auf das dem BDSG zugrunde liegende Territorialprinzip habe § 1 Abs. 5 S. 2 BDSG insoweit nur klarstellende Bedeutung, siehe Gola / Schomerus, BDSG, § 1 Rn. 29 und BT-Drs. 14 / 4329, S. 32; zu dem angemessenen Datenschutzniveau siehe unten unter C.IV.
II. Anzuwendendes Datenschutzrecht bei einem „Rechnen in Datenwolken“91
3. Herausforderungen von Cloud Computing an das anzuwendende Datenschutzrecht Der dargestellte Rechtsrahmen trifft bei Cloud Computing vor allem auf die Herausforderung der Bestimmung des Datenverarbeitungsstandorts in grenzüberschreitenden Datenverarbeitungsszenarien (hierzu sogleich) sowie auf die Herausforderung der intransparenten Strukturen multinationaler Konzerne (hierzu im Anschluss). Auf die rechtsordnungsübergreifende Herausforderung von uneinheitlichen nationalen Datenschutzvorschriften in den Mitgliedstaaten der EU wird in einem gesonderten Abschnitt eingegangen.371 370
a) Die Herausforderung der Bestimmung des Datenverarbeitungsstandorts und dessen territoriale Zuordnung zu einer Jurisdiktion bei grenzüberschreitenden Datenverarbeitungsszenarien Soweit die Bestimmung des anzuwendenden Datenschutzrechts an den Ort der Datenverarbeitung anknüpft, kann einem Cloud-Nutzer als verantwortliche Stelle die territoriale Zuordnung zu einer oder mehreren Jurisdiktionen gerade bei länderübergreifenden Datenwolken sowie bei intransparenten oder fehlenden Anbieterinformationen Schwierigkeiten bereiten.372 aa) Charakteristika dieser Herausforderung (1) V erteiltes, IT-systemunabhängiges und standortübergreifendes Rechnen Im Fall der Anknüpfung an den Ort der Datenverarbeitung begegnet der dargestellte Rechtsrahmen bei Cloud Computing mitunter länderübergreifenden Datenverarbeitungsszenarien. Im Unterschied zu klassischen Betriebsszenarien kann in Zeiten von Cloud Computing und Virtualisierung (hierbei vor allem in Public Clouds) auf dedizierte IT-Systeme nicht mehr eindeutig Bezug genommen werden, um Ort und Zeitpunkt einer Datenverarbeitung zu bestimmen.373 Aufgrund der technischen Komplexität, die sich vor allem 370 Dammann,
in: Simitis, BDSG, § 1 Rn. 238. unten unter C.II.5. 372 Vgl. HmbBfDI, 23. TB, S. 113; SWD(2012) 271, S. 25; BITKOM, Leitfaden Cloud Computing 2010, S. 16. 373 Vgl. Gabel, in: Taeger / Gabel, BDSG, § 11 Rn. 18; Hennrich, CR 2011, 546 (549); Borges / Brennscheidt, in: Borges / Schwenk, Daten- und Identitätsschutz in Cloud Computing, E-Government und E-Commerce, S. 59; Pohle / Ammann, CR 371 Siehe
92 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
hinter groß-dimensionierten IT-System-Clustern verbirgt, ist es bereits für den Anbieter – und somit erst recht für den Nutzer – oftmals nicht ohne weiteres möglich, den genauen Ort und Zeitpunkt einer Datenverarbeitung auf bestimmte IT-Systeme (in einem bestimmten Land) einzugrenzen.374 Derartige Zuordnungen erscheinen lediglich bei einzeln virtualisierten Servern oder bei klein-dimensionierten Infrastrukturen, wie sie teilweise Pri vate Clouds zugrunde liegen, noch als möglich. Auch von Seiten der Datenschutzbehörden wird in der „Orientierungshilfe Cloud Computing“ auf eine schwierige Überprüfbarkeit verwiesen, sofern Daten zeitgleich an zahlreichen geographisch voneinander getrennten Standorten und unter Einschaltung möglicher Unteranbieter verarbeitet werden.375 Dementsprechend sieht beispielsweise auch der Landesbeauftragte für Datenschutz und Informationssicherheit in Nordrhein-Westfalen bei der „Steckdose in der Wolke“ grenzüberschreitend verteilte Rechenzentrumsstandorte und das fehlende Wissen über Ort und Zeitpunkt der Datenverarbeitung als problematisch.376 Im Extremfall kann es bei Cloud Computing, wie andere Datenschutzbehörden hervorheben, einer in Deutschland ansässigen verantwortlichen Stelle gar nicht bekannt sein, an welchem Ort und in welchem Land die Daten verarbeitet werden.377 (2) Datenreplikationen in hochverfügbaren Storage-Clustern Da Datensätze zur Gewährleistung einer schnellen und ausfallfreien Migration (mit Blick auf Verfügbarkeit und Ausfallsicherheit ist dies ein äußerst wichtiger Grund, der für den Einsatz von Virtualisierungstechniken spricht) meist in einem hochverfügbaren Storage-Cluster repliziert werden,378 hat jede Bestimmung von Ort und Zeitpunkt einer Datenverarbeitung auch die Speicherorte replizierter Datensätze zu berücksichtigen. Abhängig von der Dimension der eingesetzten IT-Infrastruktur kann sich dieser Ort im gleichen Rechenzentrum (etwa in einem anderen Brandabschnitt) oder in 2009, 273 (277); Niemann / Paul, K&R, 2009, 444 (448); Spies, MMR 2009, XI (XII); Söbbing, MMR 2008, XII, XIV. 374 LDI NRW, 20. DIB, S. 125; Falck / Haucap / Kühling, Wachstumsorientierte Telekommunikationspolitik, S. 79; Meents, in: Lehmann / Meents, Handbuch FA ITRecht, Kap. 7 Rn. 276; Brennscheidt, Cloud Computing und Datenschutz, S. 187 m. w. N.; zur Virtualisierung siehe oben unter B.III.4; zur Abgrenzung zu klassischem IT-Outsourcing siehe oben unter B.IV.5. 375 Arbeitskreise Technik und Medien der DSK, Orientierungshilfe Cloud Computing, S. 39. 376 LDI NRW, 20. DIB, S. 124. 377 BfDI, 23. TB, S. 63; ULD Schleswig-Holstein, 33. TB, S. 118. 378 Siehe hierzu bereits oben unter B.III.4.a).
II. Anzuwendendes Datenschutzrecht bei einem „Rechnen in Datenwolken“93
einem anderen Rechenzentrum befinden. Eine derartige geographische Re dundanz wird in der Praxis (meist aufgrund der hiermit verbundenen Kosten von hochperformanten Standleitungen) sehr unterschiedlich gehandhabt und kann von einem Rechenzentrum in der gleichen Stadt bis hin zu Standorten in einem anderen Land reichen. (3) I ntransparente Anbieterinformationen und ungleiche Verhandlungskonstellationen Intransparente oder fehlende Anbieterinformationen können im AnbieterNutzer-Verhältnis die Feststellung der zugrunde liegenden Datenverarbeitungsstandorte zusätzlich erschweren. Greift ein Cloud-Anbieter selbst auf Ressourcen Dritter zurück (sowohl zur temporären Überbrückung von Kapazitätsengpässen als auch zur dauerhaften Abdeckung von Grundbedarf),379 ist auch er in Bezug auf die in die Rückgriffskette einbezogenen Ressourcenstandorte auf hinreichend transparente Angaben der eingeschalteten Unteranbieter angewiesen. Im Unterschied zu konventionellen, langfristigen und meist großvolumigen IT-Outsourcing-Szenarien gewähren vor allem Anbieter von hochstandardisierten Public Clouds in der Regel keinen Einblick zu Standorten und dort implementierten Sicherheitskonzepten.380 Meist wird ein Nutzer lediglich die allgemeinen Informationen eines Anbieters (vor allem auf Webseiten) zur Standortbestimmung heranziehen können. Weitergehende Einblicksmöglichkeiten sind, wenn überhaupt, bei Public-Cloud-Szenarien mit einem hohen Auftragsvolumen, bei Private Clouds oder im Falle eines Verhandlungsgleichgewichts im B2B-Bereich noch anzunehmen.381 Soll ein Rückgriff auf Datenwolken aufgrund eines kurzfristigen Bedarfs unverzüglich und ohne weiteren zeitlichen Vorlauf erfolgen, werden weitergehende Informationen gerade bei einem „self-provisioning“ über eine Webseite schon aus zeitlichen Aspekten nicht eingeholt werden können. Zwar ist Anbietern aufgrund möglicher Compliance-Anforderungen eines Nutzers grundsätzlich zu einer hinreichenden Transparenz zu raten. Allerdings stehen einer (allzu) detaillierten Beschreibung der Standorte und dort implementierter technischorganisatorischer Maßnahmen in der Praxis zugleich auch Sicherheits-, Wettbewerbs- oder Geheimhaltungsinteressen der Anbieter entgegen. 379 Exemplarisch hierzu siehe im Rahmen der Praxisbeispiele oben unter B.V.2.b) bb), wonach Dropbox für benötigte Ressourcen auf den S3-Dienst von Amazon Web Services zurückgreift. 380 Vgl. hierzu oben unter B.IV.5. 381 Zu den Verhandlungskonstellationen im Anbieter-Nutzer-Verhältnis siehe unten unter C.VI.5.a); vgl. Hartung / Storm, in: Hilber, Handbuch Cloud Computing, Teil 4 Rn. 231 ff.
94 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
bb) Bewertung dieser Herausforderung Die dargestellten Charakteristika wirken sich vor allem auf die zur Bestimmung des anzuwendenden Datenschutzrechts zugrunde zu legende Abstraktionsebene (hierzu sogleich) sowie auf die datenschutzrechtliche Verantwortlichkeit (hierzu im Anschluss) aus. (1) A uswirkungen auf die Bestimmung des anzuwendenden Datenschutzrechts (a) H öhere Abstraktionsebene bei Standortbestimmung: Berücksichtigung sämtlicher der Datenwolke zugrunde liegenden Standorte Da sich Ort und Zeitpunkt einer Datenverarbeitung bei einem IT-systemunabhängigen und standortübergreifenden Rechnen in den allermeisten Konstellationen nicht mehr eindeutig auf dedizierte IT-Systeme zurückführen lassen,382 bietet es sich zur Standortbestimmung im Rahmen des anzuwendenden Datenschutzrechts an, eine höhere Abstraktionsebene zugrunde zu legen. Hiernach ist auf sämtliche Ressourcen abzustellen, die – an einem oder an mehreren Standorten – den gesamten Ressourcen-Pool eines virtua lisierten IT-System-Clusters bilden. In der Regel sind dies die Serversystemverbünde, auf denen die datenschutzrelevanten Verarbeitungen (vgl. § 3 Abs. 4 BDSG) erfolgen. Reines Netzwerkequipment (wie Router und Switches) oder Loadbalancer können meist außen vor bleiben (in der Regel befinden sie sich aber ohnehin am gleichen Standort, wenn nicht sogar im gleichen Rack). Erstreckt sich die zugrunde liegende Infrastruktur über mehrere Datenverarbeitungsstandorte (einschließlich der Speicherorte replizierter Datensätze), sind grundsätzlich sämtliche Standorte zu berücksichtigen,383 sofern die Datenverarbeitung im konkreten Einzelfall nicht wiederum auf bestimmte Standorte eindeutig eingegrenzt werden kann. Gegenüber einem dedizierten IT-System als Bezugspunkt stellt die Berücksichtigung der jeweiligen Standorte einer Datenwolke eine höhere Abstraktionsebene dar.384 382 Siehe
zuvor unter C.II.3.a)aa)(1). Arbeitskreise Technik und Medien der DSK, Orientierungshilfe Cloud Computing, S. 14; Hennrich, CR 2011, 546 (548); Hartung / Storm, in: Hilber, Handbuch Cloud Computing, Teil 4 Rn. 19; Brennscheidt, Cloud Computing und Datenschutz, S. 189 f. 384 Vgl. auch die Auffassung des NIST unter B.IV.2. 383 Vgl.
II. Anzuwendendes Datenschutzrecht bei einem „Rechnen in Datenwolken“95
Im Rahmen der Praxisbeispiele hat sich gezeigt, dass Anbieter (aus Sicherheitsinteressen) oftmals nur auf einen US-Bundesstaat oder einen EUMitgliedstaat verweisen.385 Eine solch territoriale Bezugnahme stellt gegenüber einem Datenverarbeitungsstandort eine nochmals höhere Abstraktionsebene dar. Zur Bestimmung des anzuwendenden Datenschutzrechts muss es jedoch ausreichen, dass anhand der jeweils zugrunde gelegten Abstraktionsebene die Zuordnung zu einer Jurisdiktion möglich ist. Dies ist ein Unterschied zu der Abstraktionsebene, die im Rahmen der Datensicherheit und Auftragsdatenverarbeitung zugrunde zu legen ist und wonach es auf die an einem Standort konkret implementierten technischen und organisatorischen Maßnahmen ankommt.386 (b) O rientierung an allgemeinen Handlungsempfehlungen für Cloud Computing Zur praktischen Vorgehensweise bei der Bestimmung eines Datenverarbeitungsstandortes empfiehlt sich zunächst eine Orientierung an allgemeinen Handlungsempfehlungen für Cloud Computing. Zur Einhaltung gesetzlicher Anforderungen („Compliance“) sind einem Anbieter nach Ansicht der ENISA387 verschiedene „key legal questions“ zu stellen, die sich vor allem auf dessen Unternehmenssitz, auf den Ort der für Datenverarbeitung und Speicherung verwendeten IT-Systeme, auf die Einschaltung von Subunternehmern sowie auf den Ort der IT-Systeme von Subunternehmern beziehen.388 Auch der BITKOM rät zu einer Feststellung, aus welcher Rechtsordnung Daten entstammen und an welchem Ort sie verarbeitet werden.389 Ein besonderes Augenmerk sollte dabei stets auch auf die Speicherorte replizierter Datensätze (vor allem Backup-Standorte für „failover“-Zwecke) gerichtet werden, die in virtualisierten Infrastrukturen Grundvoraussetzung für jede Hardwareunabhängigkeit sind.390 Sollen Clouds ausschließlich im innereuropäischen Raum genutzt werden, empfehlen die Aufsichtsbehörden für den 385 Siehe
oben unter B.V.2.b)aa)(3) und B.V.4.b)aa). hierzu unten unter C.V (zu Datensicherheit) bzw. unter C.VI (zur Auftragsdatenverarbeitung). 387 Die European Network and Information Security Agency (ENISA) berät die Mitgliedstaaten und Institutionen der EU in Fragen der Netzwerk- und Informationssicherheit und spricht Empfehlungen aus, siehe ENISA, Cloud Computing: Benefits, Risks and Recommendations, S. 2. 388 ENISA, Cloud Computing: Benefits, Risks and Recommendations, S. 82. 389 BITKOM, Leitfaden Cloud Computing 2010, S. 59. 390 Hennrich, CR 2011, 546 (548); zur Virtualisierung siehe oben unter B.III.4.; vgl. exemplarisch hierzu auch die Darstellung zu den Primär- und Backup-Standorten bei Office 365 oben unter B.V.4.b)aa). 386 Siehe
96 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
Datenschutz in der „Orientierungshilfe Cloud Computing“, den Ort der technischen Verarbeitung personenbezogener Daten vertraglich auf EU und EWR zu beschränken, um Cloud-Anbieter und deren Subunternehmer diesbezüglich zu binden.391 Mit Blick auf die dargestellten Herausforderungen von Cloud Computing zeigt sich allerdings, dass sämtliche Handlungsempfehlungen eine Verhandlungsbereitschaft der Anbieter voraussetzen, die sich in hochstandardisierten und hochflexiblen Bereitstellungsszenarien sowie in ungleichen Verhandlungskonstellationen im Anbieter-Nutzer-Verhältnis gar nicht wiederfinden.392 Auch wenn es für die Aufsichtsbehörden „nicht hinnehmbar“ ist, dass Anbieter Auskünfte zu den konkreten Standorten der datenverarbeitenden Infrastruktur verweigern,393 bedarf es in der Praxis dennoch einer sorgfältigen und einzelfallbezogenen Betrachtung, ob bestehenden Empfehlungen überhaupt praxisgerecht nachgekommen werden kann.394 In den Fällen eines flexiblen „self-provisioning“ über Webseiten sowie in ungleichen Verhandlungskonstellationen sind zur Standortbestimmung in aller Regel meist nur die auf Webseiten allgemein bereitgehaltenen Standardinforma tionen eines Anbieters heranzuziehen. (2) Auswirkungen auf die datenschutzrechtliche Verantwortlichkeit Mit Blick auf die datenschutzrechtliche Verantwortlichkeit ist in Bezug auf die Möglichkeit der territorialen Zuordnung eines Datenverarbeitungs standorts zu einer Jurisdiktion unter Zugrundelegung einer höheren Abstraktionsebene wie folgt zu differenzieren. (a) K eine oder nur unzureichende Kenntnis über Datenverarbeitungsstandorte Kann eine verantwortliche Stelle sämtliche Datenverarbeitungsstandorte aufgrund intransparenter Anbieterinformationen nicht hinreichend eingrenzen, sind die anzuwendenden Rechtsvorschriften unklar. Ihrer datenschutzrechtlichen Verantwortung wird sie daher nicht nachkommen können. Gerade in ungleichen Verhandlungskonstellationen, in denen ein kleines Unter391 Arbeitskreise Technik und Medien der DSK, Orientierungshilfe Cloud Computing, S. 14. 392 Siehe zuvor unter C.II.3.a)aa)(3); siehe auch unten unter C.VI.5.a)bb). 393 Arbeitskreise Technik und Medien der DSK, Orientierungshilfe Cloud Computing, S. 14. 394 Vgl. BITKOM, Leitfaden Cloud Computing 2010, S. 60.
II. Anzuwendendes Datenschutzrecht bei einem „Rechnen in Datenwolken“97
nehmen einem der großen Anbieter gegenübersteht, sind weitergehende Detailinformationen eines Anbieters in der Regel nicht zu erlangen.395 (b) Kenntnis über Datenverarbeitungsstandorte Bei territorial eingrenzbaren Datenverarbeitungsstandorten, die – aufgrund einer hinreichenden Anbietertransparenz oder unter Zugrundelegung einer höheren Abstraktionsebene – einer oder mehreren Jurisdiktionen eindeutig zugeordnet werden können, wird eine verantwortliche Stelle die anzuwendenden (nationalen und internationalen) Rechtsvorschriften dagegen in der Regel ermitteln können.396 Aus Sicht des anzuwendenden Datenschutzrechts bietet sich daher eine weitere Unterscheidung zwischen territorial auf eine Jurisdiktion eingrenzbaren Clouds und solchen Datenwolken an, die politische Ländergrenzen und Jurisdiktionen überschreiten. Die beiden nachfolgenden Definitionen können hierfür zugrunde gelegt werden. (aa) Eingrenzbare Datenwolken Eine territorial auf eine Jurisdiktion eingrenzbare Cloud-Infrastruktur ist dadurch gekennzeichnet, dass sich sämtliche der cloud-basierten Datenverarbeitung zugrunde liegenden Hardware-Ressourcen (einschließlich der Ressourcen eingeschalteter Subunternehmer) an einem Standort oder an mehreren Standorten (Rechenzentrum oder Unternehmenssitz) befinden, die entweder durch einen lokalen (etwa innerhalb einer Stadt) oder regionalen Bezug (etwa innerhalb eines Landes oder innerhalb von EU / EWR-Territorium, sog. „EU-Cloud“) eine territoriale Zuordnung zu einem durch politische Ländergrenzen oder anderweitig abgrenzbaren Gebiet – und damit zu einem Rechtsraum (Jurisdiktion) – ermöglichen. Hierfür müssen sämtliche Datenverarbeitungsstandorte, die einer Datenwolke zugrunde liegen (einschließlich der Speicherorte von replizierten Datensätzen), für einen Nutzer durch entsprechende Anbieterinformationen feststellbar und auf eine Jurisdiktion zurückführbar sein. (bb) Jurisdiktionsübergreifende Datenwolken Clouds mit einer territorial auf eine Jurisdiktion nicht eingrenzbaren In frastruktur liegen dagegen vor, wenn sich die der cloud-basierten Datenverarbeitung zugrunde liegende Infrastruktur (einschließlich eingeschalteter 395 Vgl. 396 Vgl.
hierzu unten unter C.VI.5.a)bb). BITKOM, Leitfaden Cloud Computing 2010, S. 60.
98 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
Drittanbieter) an Standorten befindet, die sich einem durch politische Ländergrenzen oder anderweitig abgrenzbaren Gebiet – und damit einem Rechtsraum (Jurisdiktion) – territorial nicht zuordnen lassen. (cc) R echtliche Folgen einer jurisdiktionsübergreifenden Cloud-Infrastruktur Erstreckt sich die Cloud-Umgebung über mehrere Jurisdiktionen, werden regelmäßig Unsicherheiten in Bezug auf das anzuwendende Recht bestehen. Es können Vorschriften eines Drittstaats zur Anwendung gelangen, die der verantwortlichen Stelle gänzlich unbekannt sind (und die inhaltlich, etwa in Bezug auf ein angemessenes Datenschutzniveau,397 nicht geprüft werden können). Werden Daten nicht nur in einer Jurisdiktion, sondern zumindest kurzfristig über mehrere Jurisdiktionen verteilt verarbeitet, wird zu Recht auch auf die Gefahr eines „forum shopping“ – also die Wahl eines für den Anbieter günstigen Rechts – sowie auf Rechtsdurchsetzungsschwierigkeiten bei nicht ausreichenden Beweisen für das Territorialitätsprinzip verwiesen.398 Auf derartige Gefahren in multinationalen Datenverarbeitungsszenarien verweist auch die ENISA, die neben einer fehlenden Anbietertransparenz ein hohes Datenschutzrisiko bei Cloud Computing gerade darin sieht, dass Daten in mehreren Jurisdiktionen gespeichert werden.399 Sofern beispielsweise eine Landesdatenschutzbehörde vor diesem Hintergrund empfiehlt, Cloud-Services nur von solchen Anbietern in Anspruch zu nehmen, die europäischem Datenschutzrecht unterliegen,400 werden wiederum territoriale Zuordnungsmöglichkeiten pauschal vorausgesetzt, die sich bei Cloud Computing aber gerade als zentrale Herausforderung erweisen. (3) Ergebnis Soweit der geltende Rechtsrahmen zur Bestimmung des anzuwendenden Datenschutzrechts an den Datenverarbeitungsort anknüpft, liegt die Annahme zugrunde, dass dieser problemlos feststellbar ist. Für komplexe verteilte Datenverarbeitungsszenarien ist dies nicht mehr zeitgemäß und es bedarf eindeutigerer Anknüpfungspunkte (wie den Sitz einer Stelle).401 397 Siehe
hierzu unter C.IV.2.c). MMR 2009, XI (XII). 399 ENISA, Cloud Computing: Benefits, Risks and Recommendations, S. 46. 400 LfDI Mecklenburg-Vorpommern, 10. TB, S. 48. 401 Vgl. Spies, MMR 2009, XI (XII); allgemein zur Zeitgemäßheit des Datenschutzrechts Reding, ZD 2011, 1 f.; zur Umsetzung im Zuge der EU-Datenschutzreform siehe unten unter C.II.4. 398 Spies,
II. Anzuwendendes Datenschutzrecht bei einem „Rechnen in Datenwolken“99
Damit die Standortfrage nicht im Nebel der Datenwolken verbleibt, ist eine hinreichende Anbietertransparenz Grundlage jeder territorialen Zuordnung.402 Im Rahmen des anzuwendenden Datenschutzrechts erscheint es aber als ausreichend, dass Anbieter (gerade auch mit Blick auf standortbezogene Sicherheitsinteressen) lediglich eine Abstraktionsebene zugrunde legen, anhand derer die Zuordnung zu einer Jurisdiktion möglich ist. Insoweit besteht ein Unterschied zu der Transparenz, wie sie von Seiten der Datenschutzbehörden zu den konkret an einem Standort implementierten technisch-organisatorischen Maßnahmen im Rahmen der Auftragsdatenverarbeitung gefordert wird. Wie sich noch zeigen wird, werden Forderungen nach einer möglichst weitgehenden Transparenz in hochkomplexen Datenverarbeitungsprozessen gar nicht die gewünschte Klarheit schaffen; der technischen Komplexität ist vielmehr durch anerkannte und cloud-spezifische Zertifizierungen zu begegnen.403 cc) Cloud Computing und die Anwendbarkeit des BDSG bei Kenntnis über die Datenverarbeitungsstandorte – Ein Blick auf praxisrelevante Datenverarbeitungsszenarien (1) S icht eines datenschutzrechtlich verantwortlichen Nutzers aus Deutschland Sind die einer Cloud zugrunde liegenden Datenverarbeitungsstandorte bekannt, ist die Anwendbarkeit des BDSG für Nutzungsszenarien einer verantwortlichen Stelle aus Deutschland anhand des jeweils berührten Territoriums zu beurteilen. (a) Datenverarbeitung außerhalb von EU und EWR (Drittstaaten) Übermittelt ein deutsches Unternehmen als verantwortliche Stelle personenbezogene Daten an einen Cloud-Anbieter, dessen Infrastruktur sich erkennbar außerhalb von EU und EWR befindet (beispielsweise in eine Public Cloud, deren Ressourcen sich in den USA befinden), ist das BDSG bereits nach dem in § 1 Abs. 2 BDSG enthaltenen Territorialitätsprinzip anzuwenden. Die Übermittlung bedarf einer Ermächtigungsgrundlage und unterliegt zudem den weiteren Regelungen für internationale Datentransfers.404 402 Vgl.
LfD Thüringen, 9. TB, S. 125. den Herausforderungen von Cloud Computing an die Datensicherheit siehe unter C.V; zu den Herausforderungen im Rahmen der Auftragsdatenverarbeitung siehe unter C.VI. 404 Vgl. Scheja / Haag, in: Leupold / Glossner, IT-Recht, Teil 5 Rn. 203 ff.; Jotzo, MMR 2009, 232 (233); zu den internationalen Datentransfers siehe unten unter C.IV. 403 Zu
100 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
(b) Datenverarbeitung in „EU-Clouds“ Befinden sich sämtliche einer Cloud-Umgebung zugrunde liegenden Ressourcen innerhalb von EU und EWR (beispielsweise in Irland405), gelangt deutsches Datenschutzrecht für eine in Deutschland ansässige verantwort liche Stelle in Bezug auf die Übermittlung von Daten in die Cloud nach § 1 Abs. 2 BDSG zur Anwendung. Auch die (weitere) Datenverarbeitung auf EU / EWR-Territorium unterliegt nicht dem jeweiligen nationalen Datenschutzrecht des EU-Mitgliedstaats oder EWR-Vertragsstaats. In dem genannten Beispiel ist daher nicht irisches Datenschutzrecht, sondern das BDSG nach dem kollisionsrechtlichen Sitzprinzip anzuwenden.406 Erfolgt die Datenverarbeitung dagegen durch eine Niederlassung der verantwort lichen Stelle in einem anderen EU / EWR-Staat (Niederlassungsprinzip), ist im Fall einer spanischen Niederlassung spanisches Datenschutzrecht anzuwenden.407 In Fällen der kumulativen Datenverarbeitung durch eine verantwortliche Stelle aus Deutschland sowie durch eine Niederlassung aus Spanien in einer in Irland belegenen Cloud, ist sowohl deutsches als auch spanisches Datenschutzrecht anzuwenden.408 (c) Datenverarbeitung in Deutschland (einschließlich EU-Stellen) Befinden sich die einer Cloud zugrunde liegenden Ressourcen ausschließlich in Deutschland, gelangt das BDSG bei der Verarbeitung personenbezogener Daten durch eine verantwortliche Stelle aus Deutschland nach § 1 Abs. 2 BDSG zur Anwendung.409 Erfolgt die Datenverarbeitung in Deutschland durch die deutsche Niederlassung einer verantwortlichen Stelle aus EU und EWR, ist das BDSG nach § 1 Abs. 5 S. 1 BDSG (Niederlassungsprinzip) anzuwenden.410 Dagegen unterliegen etwa in Deutschland stattfindende Datenverarbeitungen einer verantwortlichen Stelle aus Spanien dem spanischen Datenschutzrecht (Sitzprinzip).411 405 Irland wird sowohl von Amazon Web Services, siehe oben unter B.V.2.b)aa) (3), als auch von Microsoft, siehe oben unter B.V.4.b)aa), als Standort in Europa angegeben. 406 Vgl. Plath, in: Plath, BDSG, § 1 Rn. 50; zu dem Sitzprinzip siehe oben unter C.II.2.b)aa)(1). 407 Zu dem Niederlassungsprinzip siehe oben unter C.II.2.b)aa)(2). 408 Vgl. Jotzo, MMR 2009, 232 (235). 409 Siehe oben unter C.II.2.a); vgl. auch BITKOM, Leitfaden Cloud Computing 2010, S. 60. 410 Dammann, in: Simitis, BDSG, § 1 Rn. 206; Plath, in: Plath, BDSG, § 1 Rn. 50. 411 Vgl. Dammann, in: Simitis, BDSG, § 1 Rn. 206.
II. Anzuwendendes Datenschutzrecht bei einem „Rechnen in Datenwolken“101
(d) Ergebnis Das BDSG ist auf die Cloud-Nutzung einer verantwortlichen Stelle aus Deutschland unabhängig von der Niederlassung eines Anbieters oder von dem Standort zugrunde liegender IT-Systeme anzuwenden. Hierzu korrespondierend verweist auch die Art.-29-Datenschutzgruppe in ihrer cloudspezifischen Stellungnahme darauf, dass EU-Recht bei Cloud Computing unabhängig von den jeweiligen Merkmalen und Spezifika eines CloudServices immer dann zur Anwendung gelangt, wenn der für die Verarbeitung Verantwortliche im Anwendungsbereich der EG-Datenschutz-Richtlinie niedergelassen ist.412 Intransparente Anbieterinformationen zu Ressourcen standorten und resultierende Schwierigkeiten bei der territorialen Zuordnung zu einer Jurisdiktion sind in Datenverarbeitungskonstellationen europäischer Unternehmen (einschließlich deren europäischer Niederlassungen) daher vor allem dann von Bedeutung, wenn sich die Datenverarbeitung (auch) auf Drittländer erstreckt und an den Datenverarbeitungsstandort anknüpfendes nationales Recht des Drittstaats neben europäischem Recht zur Anwendung gelangt.413 Derartige Datenverarbeitungsszenarien lassen sich in Zeiten weltweit tätiger Cloud-Anbieter und komplexer Subunternehmerketten aber nur bei eindeutigen Anbieterinformationen zu sämtlichen Ressourcenstandorten ausschließen. (2) C loud Computing und die Anwendbarkeit des BDSG bei einer außereuropäischen Stelle (a) § 1 Abs. 5 S. 2 BDSG Werden personenbezogene Daten von einer in einem Drittland niedergelassenen Stelle in Deutschland verarbeitet, ist nach der in § 1 Abs. 5 S. 2 BDSG enthaltenen Kollisionsregelung an den inländischen Ort der Datenverarbeitung anzuknüpfen.414 Die EG-Datenschutz-Richtlinie stellt darüber hinaus noch weitere Anforderungen auf. Danach bedarf es für eine inländische Verarbeitung eines für die Verarbeitung Verantwortlichen, der nicht im Hoheitsgebiet von EU und EWR niedergelassen ist,415 eines Rückgriffs auf automatisierte oder nicht automatisierte Mittel, die im Hoheitsgebiet eines 412 Art.-29-Datenschutzgruppe, WP 196, S. 9; Schröder / Haag, ZD 2012, 495 (496); vgl. Wulf / Burgenmeister, CR 2015, 404 (411). 413 Zu den rechtlichen Folgen jurisdiktionsübergreifender Clouds siehe oben unter C.II.3.a)bb)(2)(b)(cc). 414 Siehe hierzu oben unter C.II.2.b)bb). 415 Zur Niederlassung auf EU / EWR-Hoheitsgebiet siehe Art.-29-Datenschutzgruppe, WP 179, S. 23 f.
102 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
Mitgliedstaats belegen sind (Art. 4 Abs. 1 lit. c) EG-Datenschutz-Richtlinie). Diese Spezifizierung, die bei der Umsetzung der Richtlinie nicht übernommen wurde, ist im Wege einer richtlinienkonformen Auslegung in § 1 Abs. 5 BDSG hineinzulesen.416 (b) Inländische Mittel Schwierigkeiten bestehen bereits, wie ein Rückgriff auf inländische Mittel zu verstehen ist. Dieser Begriff lässt sich sowohl technisch als auch normativ verstehen. (aa) Technische Betrachtung Auf Basis einer technischen Betrachtung ist von einem Rückgriff auf inländische Mittel i. S. d. Richtlinie auszugehen, wenn ein bestimmender Einfluss ausgeübt wird, indem insbesondere aktive Datenerhebungsmittel auf dem Computer eines Nutzers eingesetzt werden (Software, Skripte, aber auch das Sammeln von Informationen durch das Setzen mittels Cookies; ein Mittel kann auch die in iTunes integrierte „Genius-Funktion“ von Apple sein, die einem Nutzer nach Analyse von dessen Musikpräferenzen vergleichbare Musiktitel vorschlägt).417 Auch die Art.-29-Datenschutzgruppe bejaht ein „Mittel“ im Fall der Datenerhebung durch Zugriff auf den Computer eines Nutzers (wie Cookies, Javascript oder andere „Computerberech nungen“).418 Nach diesen Kriterien habe ein Cloud-Anbieter europäische Datenschutzbestimmungen zu beachten, wenn er etwa Privatpersonen zur Eintragung ihrer Privattermine einen Online-Terminplan mit weitergehenden Termin- und Kontaktsynchronisationsdienstleistungen anbietet.419 Ein bestimmender Einfluss auf eine inländische Datenverarbeitungsanlage ist vor allem bei der Nutzung von Servern (etwa zur Speicherung einer Webseite oder anderer Daten) und anderen IT-Systemen in Deutschland anzunehmen.420 Daher ist bei der Nutzung einer Public oder Private Cloud mit zugrunde liegenden Ressourcen in Deutschland von einem Rückgriff auf inländische Mittel auszugehen. 416 Dammann,
in: Simitis, BDSG, § 1 Rn. 217 f.; Plath, in: Plath, BDSG, § 1 Rn. 62. MMR 2009, 232 (236); Plath, in: Plath, BDSG, § 1 Rn. 66; durch das Setzen von Cookies erfolgt zwar keine aktive Steuerung eines Computers, aber eine die Anwendung des BDSG dennoch begründende Kontrolle des Datenflusses – weiterführend siehe Ott, MMR 2009, 158 (160). 418 Art.-29-Datenschutzgruppe, WP 179, S. 26 f. 419 Art.-29-Datenschutzgruppe, WP 179, S. 27. 420 Gabel, in: Taeger / Gabel, § 1 Rn. 59 m. w. N.; Plath, in: Plath, BDSG, § 1 Rn. 66. 417 Jotzo,
II. Anzuwendendes Datenschutzrecht bei einem „Rechnen in Datenwolken“103
(bb) Normative Auslegung Eine rein technische Auslegung gelangt vor allem bei der Erhebung von Daten an Grenzen. Ein Rückgriff auf inländische Mittel wird daher abgelehnt, wenn ein deutscher Nutzer auf einer Webseite, die auf Servern in einem Drittland abgelegt ist, ein Formular oder eine andere Eingabemaske im Rahmen seiner eigenen Entscheidungsfreiheit ausfüllt.421 Da der bestimmende Einfluss von dem Nutzer ausgeht, fehlt es dem Anbieter bereits an einem konkreten Erhebungswillen.422 Wäre der inländische Computer als Mittel i. S. d. Richtlinie zu verstehen, hätte dies anderenfalls die weitreichende Folge einer universellen Anwendung von EU-Recht, auch wenn sich das Angebot gar nicht an europäische Nutzer richtet, sondern nur über das Internet weltweit – und damit auch europäischen Nutzern – zugänglich ist.423 Für einen Rückgriff auf inländische Mittel wird daher zu Recht eine normative Auslegung und Einschränkung anhand des Adressatengedankens für erforderlich gehalten, wonach sich das anzuwendende Datenschutzrecht auch danach bestimmt, an wen ein außereuropäischer Anbieter seine Leistungen richtet.424 Eine derartige Auslegung entspreche zudem den kollisionsrechtlichen Regelungen des Verbraucherschutzrechts, wo sich der Adressatengedanke in Art. 29 EGBGB (jetzt Art. 6 Abs. 2 lit. b) Rom I-VO) wiederfinde.425 Auch wenn es einer einzelfallbezogenen Gesamtbetrachtung bedarf, können etwa die Sprache eines Onlinedienstes oder länderspezifische Domains und IP-Bereiche Hinweise auf einen entsprechenden Willen geben.426 Eine derartige Auslegung führt vor allem mit Blick auf die unerwünschten wirtschaftlichen Folgen einer universellen Rechtsanwendung zu sachgerechteren Ergebnissen.427 (cc) Ergebnis Da einem inländischen Mittel ein weites Begriffsverständnis zugrunde liegt, ist ein bestimmender Einfluss bei einem deutschen Datenverarbeitungs421 Gabel, in: Taeger / Gabel, § 1 Rn. 59 m. w. N.; Jotzo, MMR 2009, 232 (236) m. w. N.; Plath, in: Plath, BDSG, § 1 Rn. 65. 422 Dammann, in: Simitis, BDSG, § 1 Rn. 223. 423 Vgl. Jotzo, MMR 2009, 232 (236); Alich / Nolte, CR 2011, 741 (742); zu den Gefahren einer universellen Anwendung von EU-Recht siehe unten unter C.II.3.a) cc)(2)(c)(aa). 424 Jotzo, MMR 2009, 232 (235 ff.); a. A. wohl Dammann, in: Simitis, BDSG, § 1 Rn. 220. 425 Jotzo, MMR 2009, 232 (236 f.). 426 Jotzo, MMR 2009, 232 (237). 427 Siehe unten unter C.II.3.a)cc)(2)(c)(aa) und C.II.3.a)cc)(2)(c)(bb).
104 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
standort in aller Regel anzunehmen.428 Intransparente Anbieterinformationen können daher dazu führen, dass Daten in Clouds verarbeitet werden, deren Ressourcen sich (auch) in Deutschland befinden. Aufgrund des „strengen“ deutschen und europäischen Rechtsrahmens für Datenschutz oder aufgrund eines Normkonflikts mit dem Recht des Drittlands (als Beispiel wird in der Regel auf die Eingriffsbefugnisse von US-Sicherheitsbehörden nach dem USA PATRIOT Act verwiesen, die für US-Anbieter mit IT-Systemen in Deutschland neben das BDSG treten können)429 kann die Anwendbarkeit des BDSG für eine außereuropäische Stelle eine ungewollte Rechtsfolge einer nicht hinreichenden Standorttransparenz darstellen.430 (c) T eleologische Reduktion des Anwendungsbereichs von § 1 Abs. 5 S. 2 BDSG (im Fall der Verarbeitung personenbezogener Daten ohne Verbindung zur EU) Nach aktueller Gesetzeslage wird nicht dahingehend getrennt, ob personenbezogene Daten von EU-Bürgern oder von Nicht-EU-Bürgern verarbeitet werden. Eine Geltung eingeschränkter Datenschutzgrundsätze wird für möglich gehalten, sofern personenbezogene Daten von nicht in der Union ansässigen Personen auf EU-Territorium verarbeitet werden und sofern auch die verantwortliche Stelle keine Verbindung zur EU aufweist. (aa) S icht der Art.-29-Datenschutzgruppe zu Art. 4 Abs. 1 lit. c) EG-Datenschutz-Richtlinie In Bezug auf die zu § 1 Abs. 5 S. 2 BDSG korrespondierende Kollisionsregelung in Art. 4 Abs. 1 lit. c) EG-Datenschutz-Richtlinie weist die Art.29-Datenschutzgruppe in ihrer Stellungnahme zu dem anwendbaren Recht darauf hin, dass sowohl der in der deutschen Sprachfassung der Richtlinie in Art. 4 Abs. 1 lit. c) verwendete Begriff „Mittel“ als auch der in anderen Sprachfassungen hierfür verwendete Begriff nicht dem in der englischen Sprachfassung verwendeten Begriff „equipment“, sondern vielmehr dem in Art. 2 lit. d) wiederzufindenden Begriff „means“ entspreche.431 Der in der Originalfassung gewählte Begriff „equipment“ sei daher als „means“ zu 428 Zu
(aa).
dem weiten Begriffsverständnis vgl. auch unten unter C.II.3.a)cc)(2)(c)
429 Vgl. LfD Thüringen, 9. TB, S. 125; ausführlich zum USA PATRIOT Act unten unter C.V.3.b). 430 Vgl. Schröder / Haag, ZD 2012, 495 (496); Hornung / Sädtler, CR 2012, 638 (640). 431 Art.-29-Datenschutzgruppe, WP 179, S. 25.
II. Anzuwendendes Datenschutzrecht bei einem „Rechnen in Datenwolken“105
verstehen und weit auszulegen, sodass auch Mittler, technische Mittel oder mittels Fragebögen durchgeführte Datenerhebungen erfasst sein können.432 Eine weite Auslegung führe aber zu einer universellen Anwendung von EU-Recht und habe daher auch unerwünschte Folgen.433 Hierzu zähle vor allem die Frage, ob in mehrphasigen Datenverarbeitungsszenarien EU-Recht nur auf den in EU und EWR erfolgenden Teil anzuwenden ist oder aber auf den Verantwortlichen als solchen (und damit auf sämtliche Phasen einer Datenverarbeitung, auch wenn diese teilweise in Drittländern erfolgen).434 Gerade bei Cloud Computing, wo Ort und Zeitpunkt einer Datenverarbeitung nicht immer bekannt sind und sich zudem ändern können, sowie bei multinationalen Unternehmen komme dieser Frage besondere Bedeutung zu.435 Am Beispiel von in mehreren Ländern weltweit niedergelassenen verantwortlichen Stellen, die Daten in Frankreich verarbeiten (die französischen Vorschriften sind dann von allen Stellen einzuhalten), verweist die Art.-29-Datenschutzgruppe auf wirtschaftliche Auswirkungen und Fragen der Durchsetzbarkeit als unerwünschte Folgen.436 Praktische Erwägungen würden daher für eine weniger strenge Auslegung sprechen, die jedoch nicht akzeptabel sei, da die Grundsätze des Datenschutzes auf einem Grundrecht beruhen.437 Zur Verbesserung des Rechtsrahmens empfiehlt die Art.-29-Datenschutzgruppe die Geltung zusätzlicher Kriterien, um sicherzustellen, dass eine hinreichende Verbindung zum Hoheitsgebiet der EU besteht und dieses nicht für illegale Datenverarbeitungstätigkeiten außereuropäischer Stellen missbraucht werde.438 Sie schlägt einen dienstleistungsorientierten Ansatz vor, der auf ein gezieltes Anvisieren von Einzelpersonen in der EU abstellt und an das Anbieten von Dienstleistungen oder Erzeugnissen anknüpft. Kriterien sieht sie darin, dass der Zugang zu dem Angebot von der Verwendung einer EU-Kreditkarte abhängig gemacht werde oder dass der außereuropäische Anbieter Werbung in der Sprache eines Nutzers oder für Dienstleistungen und Erzeugnisse in der EU übersende. Einen solch dienstleistungsorientierten Ansatz greift, wie sich noch zeigen wird, auch die EUDatenschutzreform auf.439 432 Art.-29-Datenschutzgruppe,
WP 179, S. 25. WP 179, S. 40. 434 Art.-29-Datenschutzgruppe, WP 179, S. 25, 29. 435 Art.-29-Datenschutzgruppe, WP 179, S. 27, 29. 436 Art.-29-Datenschutzgruppe, WP 179, S. 30. 437 Art.-29-Datenschutzgruppe, WP 179, S. 30. 438 Art.-29-Datenschutzgruppe, WP 179, S. 39. 439 Zu der EU-Datenschutzreform vgl. unten unter C.II.4.b)bb)(1)(b). 433 Art.-29-Datenschutzgruppe,
106 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
Zur Verhinderung einer universellen Anwendung von EU-Recht sowie zur gleichzeitigen Wahrung von Grundrechten sieht die Art.-29-Datenschutzgruppe eine Lösung in einem abgeschwächten Verständnis inländischer Mittel.440 Auch wenn ein solcher Ansatz, nach dem gegebenenfalls nur bestimmte Datenschutzgrundsätze anwendbar wären, noch weiterzuentwickeln sei, könnte es sich anbieten, dass ein Rückgriff auf inländische Mittel nur noch dann zum Tragen kommt, wenn auf eine mit der EU hinreichend verknüpfte Infrastruktur zurückgegriffen wird, jedoch keine Daten von in der EU ansässigen Personen verarbeitet werden und auch der für die Verarbeitung Verantwortliche keine Verbindung zur EU aufweist.441 (bb) Sicht des Düsseldorfer Kreises Mit Blick auf die mögliche Benachteiligung europäischer Anbieter in einem globalen Wettbewerb als Folge einer umfassenden Geltung deutschen Datenschutzrechts halten auch die im Düsseldorfer Kreis zusammengeschlossenen obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich eine Relativierung durch eine eingeschränkte Auslegung des Anwendungsbereichs im Wege einer teleologischen Reduktion für möglich, sofern die Verarbeitung personenbezogener Daten von Nicht-EU-Bürgern in EU und EWR nicht eindeutig gegen den „ordre public“ (wie bei Menschenrechtsverletzungen) verstößt.442 (cc) Ergebnis Mit Blick auf § 1 Abs. 5 S. 2 BDSG und Art. 4 Abs. 1 lit. c) EG-Datenschutz-Richtlinie bleibt es, wie der Düsseldorfer Kreis zutreffend hervorhebt, gegenwärtig unklar, ob ein EU / EWR-Bezug von Daten als Voraussetzung stillschweigend zu unterstellen ist.443 Eine außereuropäische Stelle muss daher davon ausgehen, dass das BDSG auch bei der Verarbeitung personenbezogener Daten ohne EU-Bezug anzuwenden ist.
440 Art.-29-Datenschutzgruppe,
WP 179, S. 40. WP 179, S. 40; vgl. oben unter C.II.3.a)cc)(2)(c). 442 Düsseldorfer Kreis, Fallgruppen zur internationalen Auftragsdatenverarbeitung (Handreichung), S. 17; Schröder / Haag, ZD 2012, 495 (496). 443 Düsseldorfer Kreis, Fallgruppen zur internationalen Auftragsdatenverarbeitung (Handreichung), S. 17. 441 Art.-29-Datenschutzgruppe,
II. Anzuwendendes Datenschutzrecht bei einem „Rechnen in Datenwolken“107
b) Die Herausforderung der intransparenten Struktur multinationaler Konzerne als Cloud-Anbieter Die Bestimmung des anzuwendenden Datenschutzrechts kann sich auch im Fall der Anknüpfung an den Sitz oder die Niederlassung eines Unternehmens als Herausforderung erweisen. Gerade die komplexen Konzernstrukturen global tätiger Unternehmen führen in der Regel dazu, dass die konkreten Verantwortungsstrukturen einer Datenverarbeitung für Betroffene, verantwortliche Stellen und Datenschutzbehörden nicht ohne weiteres ersichtlich sind.444 Meist bleibt es unklar, welche Niederlassung in welchem Land welche Aufgaben ausführt. Zudem wird bei einer außereuropäischen Muttergesellschaft in der Praxis zu Recht davon auszugehen sein, dass diese alle maßgeblichen Entscheidungen trifft und entscheidenden Einfluss auf die Datenverarbeitung einer europäischen Niederlassung nimmt.445 Bedarf es zur Bestimmung der konzerninternen Verantwortungsstrukturen weitergehender Informationen, bestehen vergleichbare Schwierigkeiten, wie sie sich bei intransparenten Anbieterinformationen bereits bei der Bestimmung eines Datenverarbeitungsstandorts gezeigt haben.446 Sofern sich eindeutige Verantwortlichkeiten in modernen Datenverarbeitungsszenarien sowie in komplexen Konzernstrukturen aber nur schwer ausmachen lassen, gelangt das Konzept einer datenschutzrechtlich verantwortlichen Stelle an Grenzen.447 Resultierende Rechtsunsicherheiten zeigen sich bei Unternehmen wie Google oder Facebook in der unterschiedlichen Beurteilung des anzuwendenden Rechts durch die juristische Literatur oder Rechtsprechung.448 Im April 2013 hat das OVG Schleswig auf Beschwerden des ULD SchleswigHolstein gegen Beschlüsse des VG Schleswig die Anwendung des BDSG auf Facebook mit Verweis auf die Facebook Ireland Ltd. als verantwortliche Niederlassung noch abgelehnt, denn die Facebook Germany GmbH sei nur in den Bereichen Anzeigenakquise und Marketing für den Facebook-Konzern tätig.449 444 Karg,
ZD 2013, 371. ZD 2013, 371; vgl. Becker / Nikolaeva, CR 2012, 170 (172). 446 Siehe hierzu oben unter C.II.3.a). 447 Vgl. Schultze-Melling, ITRB 2011, 239 (240). 448 Karg, ZD 2013, 371 f. m. w. N. 449 https://www.datenschutzzentrum.de/presse/20130424-facebook-klarnamenovg.htm (Stand: 1.7.2015); OVG Schleswig, Beschluss v. 22.4.2013 – 4 MB 10/13, 4 MB 11/13, ZD 2013, 364 ff. = CR 2013, 536 ff.; VG Schleswig, Beschluss v. 14.2.2013 – 8 B 60/12, ZD 2013, 245 ff. mit Anm. Karg; https://www.datenschutz zentrum.de/artikel/742-Beschwerdebegruendung-im-Verfahren-gegen-die-FacebookInc..html, https://www.datenschutzzentrum.de/artikel/741-Beschwerdebegruendungim-Verfahren-gegen-die-Facebook-Ireland-Ltd..html (jeweils Stand: 1.7.2015). 445 Karg,
108 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
Dagegen wurde im Juni 2013 in einem Verfahren vor dem EuGH zwischen Google, der Niederlassung Google Spain, S.L., und der spanischen Datenschutzbehörde in den Schlussanträgen von Generalanwalt Jääskinen die Frage aufgeworfen, ob eine datenverarbeitende Niederlassung in modernen Datenverarbeitungsszenarien überhaupt noch ein geeigneter Anknüpfungspunkt sein kann.450 In Bezug auf Google Spain, S.L., die für Google in Spanien Werbe- und Marketingaktivitäten ausführt, sei zur Bejahung einer Niederlassung auch das konzernweite Geschäftsmodell eines Suchmaschinenanbieters heranzuziehen, da die EG-Datenschutz-Richtlinie noch einer Zeit entstamme, als „weder das Internet im Sinne des heutigen World Wide Web noch Suchmaschinen existierten“.451 Nach dieser Argumentation des Generalanwalts können auch reine Vertriebsniederlassungen den Anwendungsbereich datenschutzrechtlicher Bestimmungen begründen. Da dies das Niederlassungskonzept ausweiten würde, wurde das Urteil des EuGH nicht nur von den betroffenen Unternehmen mit Spannung erwartet. Mit Urteil vom 13. Mai 2014 hat der EuGH den räumlichen Anwendungsbereich des Datenschutzrechts dann auch ausgeweitet. Die EG-Datenschutz-Richtlinie habe grundsätzlich einen weiten Anwendungsbereich zum Ziel.452 Datenverarbeitungen im Rahmen der Tätigkeit einer Niederlassung liegen daher auch dann vor, „wenn diese die Aufgabe hat, in dem Mitgliedstaat für die Förderung des Verkaufs der angebotenen Werbeflächen der Suchmaschine, mit denen die Dienstleistung der Suchmaschine rentabel gemacht werden soll,“ zu sorgen.453 Zwar hat die Diskussion zu verschiedenen Detailfragen des Urteils gerade erst begonnen.454 Mit Blick auf die Herausforderung der intransparenten Struktur multinationaler Konzerne begegnet das Google-Urteil des EuGH aber bestehenden Rechtsunsicherheiten eines Nutzers in Bezug auf Vertriebsniederlassungen. Dagegen kann für außereuropäische Anbieter bereits eine Vertriebsniederlassung in der EU nunmehr zur Anwendung des Datenschutzrechts eines Mitgliedstaats führen.
450 GA Jääskinen, Rs. C-131 / 12, Schlussanträge v. 25.6.2013; Pauly / Ritzer / Geppert, ZD 2013, 423 ff. 451 GA Jääskinen, Rs. C-131 / 12, Schlussanträge v. 25.6.2013, Rn. 10. 452 EuGH, Rs. C-131 / 12 v. 13.5.2014, Rn. 54. 453 EuGH, Rs. C-131 / 12 v. 13.5.2014, Rn. 55. 454 Vgl. Piltz, K&R 2014, 566 ff.
II. Anzuwendendes Datenschutzrecht bei einem „Rechnen in Datenwolken“109
4. Das anzuwendende Datenschutzrecht nach der EU-Datenschutzreform Die Herausforderungen von Cloud Computing wurden bisher auf Basis des geltenden Rechts erörtert, das größtenteils noch auf klassische IT-Betriebskonstellationen zugeschnitten ist. Da die Kommission bei der Konzeption eines neuen Rechtsrahmens gerade auch die Herausforderungen von Cloud Computing berücksichtigen wollte, wird im Folgenden ein Blick auf die EU-Datenschutzreform geworfen. Der Entwurf einer DatenschutzGrundverordnung455 (DS-GVO-E) wurde Ende Januar 2012 neben einer Richtlinie456 zur Datenverarbeitung im Bereich von Strafverfolgung und Gefahrenabwehr von der Kommission vorgestellt. a) Hintergründe der Datenschutzreform und Cloud-Computing-Strategie der Kommission Ein neuer Rechtsrahmen für den Schutz personenbezogener Daten ist Teil der Ende 2009 von dem Europäischen Rat angenommenen Agenda eines Mehrjahresprogramms für den Zeitraum 2010–2014, dem nach der schwedischen Ratspräsidentschaft benannten Stockholmer Programm.457 Vor dem Hintergrund der globalen Herausforderungen eines raschen technologischen Wandels und eines grenzenlosen Informationsaustauschs verwies die Kommission bereits in dem zur Umsetzung des Stockholmer Programms vorzulegenden Aktionsplan auf eine konsequente Anwendung des Grundrechts auf Datenschutz, damit sich ein europäischer Raum der Freiheit, der Sicherheit und des Rechts entwickeln kann.458 Zugleich wurde eine umfassende Novellierung des Rechtsrahmens für den Datenschutz ins Auge gefasst.459 In einer Mitteilung über das „Gesamtkonzept für den Datenschutz in der Europäischen Union“ wies die Kommission Ende 2010 darauf hin, dass es übergreifender Regelungen und eines umfassenden, kohärenten Konzepts bedürfe, um die Einhaltung des Grundrechts auf Schutz personenbezogener Daten in der EU und anderswo zu garantieren.460 Die gegenwärtig geltenden Regelungen seien vor allem deshalb zu modernisieren, da sie noch zu einer Zeit eingeführt wurden, als viele der heute genutzten Online-Dienste und 455 KOM(2012)
11. 10. 457 ABl.EU C 115 v. 4.5.2010, S. 1 ff.; KOM(2010) 171, S. 2. 458 KOM(2010) 171, S. 2 f.; zu dem skizzierten „Raum der Freiheit, der Sicherheit und des Rechts im Dienste der Bürger“ siehe bereits ausführlich KOM(2009) 262. 459 KOM(2010) 171, S. 12. 460 KOM(2010) 609, S. 4; KOM(2012) 11, S. 2. 456 KOM(2012)
110 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
Herausforderungen der technologischen Entwicklung – wie soziale Netzwerke, Cloud Computing, standortgebundene Dienste oder Smart Cards – noch gar nicht existierten.461 Gerade in einer globalisierten Welt mit zahlreichen Cloud-Services bedürfe es insgesamt einer Systemverbesserung.462 Zwar habe die EG-Datenschutz-Richtlinie im Jahr 1995 einen Meilenstein in der Geschichte des Schutzes personenbezogener Daten gesetzt, für die „schöne neue Datenwelt“ und das digitale Zeitalter werde aber nunmehr, so die Kommission, ein tragfähigeres Regelwerk benötigt.463 aa) Die Entwicklung einer Strategie für Cloud Computing Im Vorfeld der Datenschutzreform wurde in verschiedenen Reden zu erkennen gegeben, dass gerade auch die Herausforderungen von Cloud Computing in einem neuen Rechtsrahmen Berücksichtigung finden sollten. So erklärte Neelie Kroes, die Vizepräsidentin der Kommission und Verantwortliche für die „Digitale Agenda“ der EU, im Januar 2011 auf dem Weltwirtschaftsforum in Davos, dass sie Europa nicht nur „cloud-friendly“, sondern „cloud-active“ machen wolle.464 Sie kündigte eine Cloud-Strategie an, in der sowohl der Rechtsrahmen (und hierbei vor allem Fragen des Datenschutzes und der Datensicherheit) als auch technische und wirtschaftliche Aspekte Berücksichtigung finden sollten.465 Kroes betonte in der Folgezeit, dass eine europäische Cloud-Computing-Strategie hochgesteckte Ziele haben müsse.466 Zur Überwindung bestehender Hürden sei ein „strategic and unified approach“ erforderlich.467 Auf eine einheitliche europäische Herangehensweise verwies auch die EU-Justizkommissarin und Vizepräsidentin der Kommission, Viviane Reding, in einer im Mai 2011 gehaltenen Rede.468 Da Cloud Computing durch einen Transfer von personenbezogenen Daten an eine Vielzahl an Destinationen gekennzeichnet sei, soll ein Teil der Lösung in der Entwicklung europäischer Zentren für Cloud Computing bestehen, um sicherzustellen, dass Daten innerhalb der EU oder zumindest in Ländern mit angemessenem 461 MEMO / 12 / 41
v. 25.1.2012, S. 1. 9, S. 12. 463 Kommission, Warum muss der Datenschutz in der EU reformiert werden? (Informationspapier), S. 1; KOM(2012) 9, S. 3. 464 Kroes, SPEECH / 11 / 50, S. 2. 465 Kroes, SPEECH / 11 / 50, S. 2 f. 466 Kroes, SPEECH / 11 / 199, S. 1, „European Cloud Computing Strategy needs to aim high“. 467 Kroes, SPEECH / 12 / 238, S. 2. 468 Reding, SPEECH / 11 / 349, S. 3. 462 KOM(2012)
II. Anzuwendendes Datenschutzrecht bei einem „Rechnen in Datenwolken“111
Datenschutzniveau verarbeitet werden. Auch Dienste, die EU-Bürgern von außerhalb der EU angeboten werden, sollen nach ihrer Ansicht künftig den datenschutzrechtlichen Bestimmungen der EU unterliegen. Ende Januar 2012, erneut auf dem Weltwirtschaftsforum in Davos und nur einen Tag nachdem die Kommission den Entwurf der DS-GVO vorgestellt hatte, erklärte Kroes, dass sie entschlossen sei, gerade die für kleine Unternehmen bestehenden Hürden (wie Standards, Zertifizierungen, Inter operabilität und „Lock-in“-Gefahr, Datenschutz sowie Rechtssicherheit) zu überwinden.469 Insgesamt sei auf eine weitergehende Harmonisierung und Integration hinzuwirken, die vor allem der IT-Beschaffung durch öffentliche Auftraggeber zugutekommen soll und langfristig zu gemeinsamen Ausschreibungen führen kann. Industrie und öffentliche Institutionen lud sie ein, in einem „European Cloud Partnership“ zusammenzukommen. bb) Cloud Computing „Public Consultation“ der Kommission Zur Ermittlung der spezifischen Herausforderungen von Cloud Computing führte die Kommission zwischen Mitte Mai und Ende August 2011 eine öffentliche Umfrage durch, deren Ergebnisse im Dezember 2011 in einem Abschlussbericht („Cloud Computing: Public Consultation Report“) veröffentlicht wurden.470 Sie erhielt insgesamt 538 Antworten, wovon 230 auf Unternehmen, 182 auf Einzelpersonen, 33 auf öffentliche Stellen und 93 auf sonstige Stellen (etwa Forschungseinrichtungen) entfielen.471 Es habe sich gezeigt, dass der Umgang mit Cloud Computing auf Basis des bestehenden Rechtsrahmens mit erheblichen Rechtsunsicherheiten verbunden sei.472 In länderübergreifenden Datenverarbeitungsszenarien sahen rund 90 % der antwortenden Unternehmen und Einzelpersonen vor allem bei Haftungsfragen erhebliche Rechtsunsicherheiten.473 In Bezug auf Fragen des anzuwendenden Rechts – einschließlich diesbezüglicher Unterschiede je Rechtsgebiet (wie Vertragsrecht, Deliktsrecht, Datenschutzrecht) – wurden Unsicherheiten vor allem auf Seiten von Einzelpersonen (und nur bei der Hälfte der teilnehmenden Unternehmen) festgestellt.474 Auf dieser Seite bestand daher auch ein Bedürfnis nach Checklisten oder Musterverträgen.475 Geteilt waren die Antworten in Bezug auf die unterschiedliche Umsetzung 469 Kroes,
SPEECH / 12 / 38, S. 2. Cloud Computing: 471 Kommission, Cloud Computing: 472 Kommission, Cloud Computing: 473 Kommission, Cloud Computing: 474 Kommission, Cloud Computing: 475 Kommission, Cloud Computing: 470 Kommission,
Public Public Public Public Public Public
Consultation Consultation Consultation Consultation Consultation Consultation
Report, Report, Report, Report, Report, Report,
S. 1. S. 1. S. 7. S. 1. S. 2. S. 3.
112 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
der EG-Datenschutz-Richtlinie in das nationale Recht der Mitgliedstaaten, die von Cloud-Anbietern wiederholt als Hemmnis genannt wurde, wenngleich eine große Zahl an „Weiß-nicht“-Antworten auf Unsicherheiten hindeuten soll.476 Neben diesem Handlungsbedarf wird vor dem globalen Hintergrund von Cloud Computing vor allem auf internationale Übereinkünfte in Bezug auf Zertifizierungen, Datenschutz und Sicherheit verwiesen.477 Öffentliche Stellen sollen dazu beitragen, Standards bei Sicherheit, Interoperabilität und Datenportabilität zu setzen und deren Verbreitung zu fördern.478 cc) Strategiepapier der Kommission zu Cloud Computing Ende September 2012 veröffentlichte die Kommission das angekündigte Strategiepapier zu dem künftigen Umgang mit Cloud Computing („Freisetzung des Cloud-Computing-Potenzials in Europa“).479 Die allgemeinen Kostenvorteile und die wirtschaftliche Attraktivität einer bedarfsgerechten Nutzung von beinahe unbegrenzten IT-Ressourcen sollen selbst kleine Unternehmen in die Lage versetzen, sich auf immer größeren Märkten zu betätigen.480 Eingesparte IT-Ausgaben können zusammen mit neuen digitalen Geschäftspraktiken zu Produktivitätssteigerungen, Wachstum und neuen Arbeitsplätzen führen.481 Damit sich Cloud Computing in allen Wirtschaftsbereichen zügig verbreiten kann, verweist die Kommission auf bestehenden Handlungsbedarf und benennt als „key areas“ den rechtlich fragmentierten digitalen Binnenmarkt,482 vertragsrechtliche Schwierigkeiten (vor allem in Bezug auf Datenzugang, Portabilität, Änderungskontrolle, Eigentum an Daten, Haftungsfragen bei Nicht-Verfügbarkeit oder Datenverlust) sowie den bestehenden Normendschungel (vor allem technische Standards für Inter operabilität und Portabilität).483 Die Kommission betont, dass allgemein zugängliche Public Clouds europäischen Standards nicht nur in regulatorischer Hinsicht zu entsprechen hätten, sondern auch wettbewerbsfähig, offen und sicher sein müssten.484 Zwar sollen öffentliche Stellen durch diese Zielvorgabe nicht davon abgehalten werden, sensible Datenkategorien in dedizier476 Kommission, Cloud Computing: Public Consultation Report, S. 3 f.; vgl. hierzu auch unten unter C.II.5. 477 Kommission, Cloud Computing: Public Consultation Report, S. 7. 478 Kommission, Cloud Computing: Public Consultation Report, S. 7. 479 COM(2012) 529. 480 COM(2012) 529, S. 2; ausführlich zu den Vorteilen SWD(2012) 271, S. 2 ff. 481 COM(2012) 529, S. 2. 482 Siehe hierzu auch unter C.II.5. 483 COM(2012) 529 EN, S. 5; COM(2012) 529, S. 6. 484 COM(2012) 529 EN, S. 6; COM(2012) 529, S. 6.
II. Anzuwendendes Datenschutzrecht bei einem „Rechnen in Datenwolken“113
ten Private Clouds zu verarbeiten; grundsätzlich müsse aber auch Cloud Computing durch öffentliche Stellen, soweit möglich, dem Wettbewerb unterliegen.485 Die Umsetzung der Ziele der „Digitalen Agenda“ hält die Kommission für unverzichtbar, um Europa „cloud-friendly“ zu gestalten.486 Europa müsse aber auch „cloud-active“ sein, damit sich ein Klima der Sicherheit und des Vertrauens entwickeln kann, um die Verbreitung von Cloud Computing zu fördern.487 Vertrauenserhöhende Maßnahmen sollen mit der Festlegung geeigneter, zertifizierungsfähiger Normen beginnen, auf die in Vertrags- und Geschäftsbedingungen Bezug genommen werden kann und anhand derer Unternehmen und öffentliche Stellen entscheiden könnten, ob eine CloudLösung den jeweiligen Compliance-Anforderungen gerecht werden würde.488 Die Kommission betont in diesem Zusammenhang die Rolle von öffentlichen Stellen, die aufgrund des öffentlichen Ausschreibungen zugrunde liegenden Auftragsvolumens nicht nur zur Verbreitung offener Technologien und sicherer Plattformen beitragen können, sondern durch den Einsatz von vertrauenswürdigen Cloud-Lösungen gerade auch kleine und mittelständische Unternehmen zu derartigen Leistungen ermutigen können.489 Ein „Lichten des Normendschungels“ („cutting through the jungle of standards“) empfiehlt die Kommission als erste Schlüsselaktion, um Lockin-Gefahren zu begegnen sowie um Interoperabilität und Portabilität durch Verbreitung unabhängiger Standards und cloud-spezifischer Zertifizierungen zu ermöglichen.490 Hierzu beabsichtigt sie vor allem die Förderung von zuverlässigen und vertrauenswürdigen Cloud-Angeboten, wie sie von dem Europäischen Institut für Telekommunikationsnormen (ETSI)491 in Bezug auf Sicherheit, Interoperabilität, Portabilität und Reversibilität entwickelt werden.492 Das Vertrauen in Cloud-Dienste soll auch dadurch gestärkt werden, dass technische Spezifikationen im Bereich der Informations- und Kommunikationstechnologie auf EU-Ebene anerkannt werden (vor allem in Verbindung mit der Verordnung zur europäischen Normung493) und dass in Zusammenarbeit mit der ENISA und anderen Institutionen die freiwillige 485 COM(2012)
529 EN, S. 6; COM(2012) 529, S. 6 f. 529 EN, S. 9; COM(2012) 529, S. 10; siehe hierzu auch SWD(2012) 271, S. 25 f. 487 COM(2012) 529 EN, S. 9; COM(2012) 529, S. 11. 488 COM(2012) 529 EN, S. 9; COM(2012) 529, S. 11. 489 COM(2012) 529, S. 11. 490 COM(2012) 529 EN, S. 10; COM(2012) 529, S. 11 f.; SWD(2012) 271, S. 26 ff. 491 European Telecommunications Standards Institute (ETSI). 492 COM(2012) 529, S. 12; vgl. auch COM(2012) 529 EN, S. 10. 493 KOM(2011) 315. 486 COM(2012)
114 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
Entwicklung EU-weiter Zertifizierungsverfahren für Cloud Computing (gerade mit Blick auf den Datenschutz) unterstützt wird.494 Als zweite Schlüsselaktion wird die Entwicklung sicherer und fairer Vertragsbedingungen hervorgehoben, da gerade kleine Unternehmen meist keine Verhandlungsmacht hätten und komplexen Service Level Agreements mit umfangreichen Haftungsausschlüssen nach dem „take-it-or-leave-it“Prinzip ausgesetzt seien.495 Insoweit seien zivil- und handelsrechtliche Hemmnisse zu beseitigen, jedoch könnten geeignete Maßnahmen gerade auch Datenschutzvereinbarungen zugutekommen (Musterverträge für Cloud Computing Service Level Agreements, Standardvertragsklauseln).496 Auf diese von der Kommission zu Recht besonders hervorgehobenen Aspekte wird vorliegend im Rahmen der Ausführungen zu internationalen Datentransfers und zur Auftragsdatenverarbeitung noch besonders eingegangen.497 Da die Kommission eine Führungsrolle bei der Verbreitung von sicherem Cloud Computing gerade auf Seiten öffentlicher Stellen sieht, umfasst die dritte Schlüsselaktion sowohl die Unterstützung bestehender nationaler Initiativen als auch die Einrichtung einer Europäischen Cloud-Partnerschaft.498 Abschließend verweist die Kommission auf Cloud-Computing-Strategien in den USA, Japan, Kanada, Australien und anderen südasiatischen Ländern und bekräftigt die Notwendigkeit von Dialog und Abstimmung – auch auf multilateraler Ebene, wie im Rahmen von WTO und OECD –, damit sich in grenzübergreifenden Datenverarbeitungsszenarien vor allem technische Standards entwickeln können.499 b) Bewertung des geplanten Rechtsrahmens für das anzuwendende Datenschutzrecht aa) Anwendung auf die für die Datenverarbeitung Verantwortlichen in der Union – Art. 3 Abs. 1 DS-GVO-E Nach Art. 3 Abs. 1 DS-GVO-E soll die Verordnung bei der Verarbeitung personenbezogener Daten zur Anwendung gelangen, soweit die Verarbeitung im Rahmen der Tätigkeiten einer Niederlassung eines für die Verarbeitung Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt. 494 COM(2012)
529, S. 12. 529 EN, S. 11; COM(2012) 529, S. 13; SWD(2012) 271, S. 30 ff. 496 COM(2012) 529, S. 14. 497 Siehe unten unter C.IV (zu internationalen Datentransfers) sowie unter C.VI. (zur Auftragsdatenverarbeitung). 498 COM(2012) 529, S. 16. 499 COM(2012) 529, S. 18. 495 COM(2012)
II. Anzuwendendes Datenschutzrecht bei einem „Rechnen in Datenwolken“115
Der Begriff der Niederlassung entspricht dabei dem bisherigen Verständnis.500 Nach Erwägungsgrund 19 DS-GVO-E soll die Verordnung unabhängig davon zur Anwendung gelangen, ob die Verarbeitung innerhalb oder außerhalb der Union stattfindet.501 Ganz in diesem Sinne wurde Art. 3 Abs. 1 DS-GVO-E in der Entwurfsfassung des Europäischen Parlaments vom 12. März 2014 auch dahingehend erweitert, dass die Verordnung „unabhängig davon, ob die Verarbeitung in der Union erfolgt,“ Anwendung finden soll.502 Dieser Vorschlag hat in die Fassung von Art. 3 Abs. 1 DSGVO-E, den der Rat der EU als allgemeine Ausrichtung vom 11. Juni 2015 vorgelegt hat, zwar keinen Eingang gefunden.503 Erwägungsgrund 19 ist jedoch unverändert geblieben.504 Abzuwarten bleiben nun die anstehenden Trilog-Verhandlungen. Grundsätzlich ist es zu begrüßen, dass der Verordnungsentwurf an der Niederlassung des für die Verarbeitung Verantwortlichen in der Union anknüpft. Vor dem Hintergrund der dargestellten Herausforderungen erscheint dies in hochstandardisierten und standortübergreifenden Datenverarbeitungsszenarien als ein geeigneter Anknüpfungspunkt, da ein Nutzer von den konkreten technischen Umständen der Datenverarbeitung meist keine Kenntnis hat. Dagegen wird die Bestimmung der konkreten Verantwortungsstrukturen einer Datenverarbeitung auch weiterhin durch die intransparenten Strukturen multinationaler Konzerne erschwert.505 Zugleich entfällt durch das gewählte Rechtsinstrument einer Verordnung, die im Unterschied zu einer Richtlinie ohne weiteren Umsetzungsakt verbindlich ist (vgl. Art. 288 Abs. 2 AEUV), die nach gegenwärtigem Recht für Datenverarbeitungen innerhalb von EU und EWR kollisionsrechtlich zugrunde gelegte Konstruktion von Sitzprinzip und Niederlassungsprinzip.506 Auch dies stellt eine praktische Erleichterung dar und erhöht – sowohl für Anbieter als auch für Nutzer – die Rechtssicherheit. bb) Anwendung der EU-Vorschriften auf für die Datenverarbeitung Verantwortliche in Drittländern – Art. 3 Abs. 2 DS-GVO-E Nach Art. 3 Abs. 2 DS-GVO-E soll die Verordnung auch auf die Verarbeitung personenbezogener Daten von in der Union ansässigen betroffenen 500 Vgl.
Erwägungsgrund 19 DS-VO-E sowie oben unter C.II.2.b)aa)(2). Hornung, ZD 2012, 99 (102). 502 EP, Entschließung v. 12.3.2014, 2013 / 2188(INI), P7_TA-PROV(2014)0212. 503 Rat der EU, Vorschlag für eine DS-GVO v. 11.6.2015, 9565 / 15, S. 76. 504 Rat der EU, Vorschlag für eine DS-GVO v. 11.6.2015, 9565 / 15, S. 11. 505 Zu dieser Herausforderung siehe oben unter C.II.3.b). 506 Siehe oben unter C.II.2.b)aa). 501 Vgl.
116 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
Personen durch einen nicht in der Union niedergelassenen für die Verarbeitung Verantwortlichen Anwendung finden, wenn die Datenverarbeitung dem Angebot von Waren oder Dienstleistungen an diese Personen in der Union oder der Beobachtung des Verhaltens dient. Nach Erwägungsgrund 21 DSGVO-E soll die Beobachtung des Verhaltens daran festzumachen sein, ob durch Datenverarbeitungstechniken die Internetaktivitäten einer Person derart nachvollzogen werden können, dass einer Person ein Profil zugeordnet werden kann, das die Grundlage für sie betreffende Entscheidungen bildet oder anhand dessen ihre persönliche Vorlieben, Verhaltensweisen oder Gepflogenheiten analysiert oder vorausgesagt werden sollen. Die erste Alternative des Angebots von Waren oder Dienstleistungen wird in den Erwägungsgründen dagegen nicht aufgegriffen.507 Nach der Entwurfsfassung des Europäischen Parlaments vom 12. März 2014 soll das Anbieten von Waren oder Dienstleistungen unabhängig davon gelten, „ob der betroffenen Person eine Zahlung zu leisten ist“. Zudem wird die „Beobachtung des Verhaltens“ durch die „Überwachung dieser betroffenen Personen“ ersetzt. Erwägungsgrund 21 wird entsprechend angepasst und in Bezug auf die Anknüpfungspunkte weiter verschärft.508 Auch nach der vom Rat der EU als allgemeine Ausrichtung vom 11. Juni 2015 vorgelegten Fassung soll das Anbieten von Waren oder Dienstleistungen unabhängig davon gelten, „ob von diesen betroffenen Personen eine Zahlung zu leisten ist.“509 Der Rat der EU hält dagegen weiterhin an der „Beobachtung des Verhaltens“ von betroffenen Personen fest, schränkt dies jedoch dahingehend ein, „soweit ihr Verhalten in der Europäischen Union erfolgt.“510 (1) E U-Bürger als Leistungsadressat bei Waren oder Dienstleistungen Mangels weitergehender Präzisierung verbleibt es unklar, wann eine Leistung dem Angebot von Waren oder Dienstleistungen an einen EUBürger dient.511 Resultierenden Rechtsunsicherheiten kann zumindest mit einem Blick auf allgemein in Betracht kommende Anknüpfungskriterien sowie auf die teilweise vergleichbare Auslegungsfrage, wann eine inländi507 Vgl. Erwägungsgrund 20 DS-VO-E, KOM(2012) 9, S. 13; Hornung, ZD 2012, 99 (102). 508 Zu diesem Absatz siehe EP, Entschließung v. 12.3.2014, 2013 / 2188(INI), P7_TA-PROV(2014)0212. 509 Rat der EU, Vorschlag für eine DS-GVO v. 11.6.2015, 9565 / 15, S. 76. 510 Rat der EU, Vorschlag für eine DS-GVO v. 11.6.2015, 9565 / 15, S. 76. 511 Vgl. Hornung, ZD 2012, 99 (102).
II. Anzuwendendes Datenschutzrecht bei einem „Rechnen in Datenwolken“117
sche Datenerhebung i. S. v. Art. 4 EG-Datenschutz-Richtlinie vorliegt, begegnet werden. Auch cloud-spezifische Indizien können in die Betrachtung einzubeziehen sein. (a) Allgemein in Betracht kommende Anknüpfungskriterien Eine Bejahung einer derartigen Ausrichtung auf EU-Bürger erscheint vor allem bei der Verwendung länderspezifischer Country-Code-Top-Level-Domains (ccTLD512), wie „.de“ für Deutschland oder „.fr“ für Frankreich, bei Webseiteninhalten in einer Landessprache (die EU-Territorium eindeutig zugeordnet werden kann) oder anhand anderer eindeutiger Indizien (wie beispielsweise die in einem Webshop bestehende Versandmöglichkeiten von Waren in die EU; Preisauszeichnung in Euro oder in einer anderen EU / EWR-Währung; Werbeaktivitäten in der EU in Printmedien oder im Fernsehen; EU-Bürger als spezifische Adressaten von Online-Werbung) als möglich.513 Schwierigkeiten werden bei generischen Top-Level-Domains (TLD) – sowohl unsponsored TLD’s (wie „.com“, „.net“, „.org“) als auch sponsored TLD’s (wie „.aero“, „.travel“, „.museum“) – bestehen, die selbst keinen Rückschluss auf EU / EWR-Hoheitsgebiet zulassen. Sofern Dienste über eine App von einem Smartphone oder einem Tablet genutzt werden, wird eine Domain aber schon nicht mehr als Indiz herangezogen werden können. Bei weltweit verbreiteten Sprachen werden zur Bejahung einer Ausrichtung auf die EU weitere Indizien heranzuziehen sein, da sich anderenfalls jedes Warenangebot eines US-Anbieters fast immer auch an Personen aus dem Vereinigten Königreich richtet. (b) Ü bertragung i. R. v. Art. 4 Abs. 1 lit. c) EG-Datenschutz-Richtlinie anzulegender Kriterien Soweit Art. 3 Abs. 2 DS-GVO-E auf das Angebot von Waren oder Dienstleistungen an EU-Bürger abstellt, finden sich sowohl der von der Art.-29-Datenschutzgruppe zur Verbesserung des Regelungsgehalts von Art. 4 Abs. 1 lit. c) EG-Datenschutz-Richtlinie vorgeschlagene dienstleistungsorientierte Ansatz als auch der Vorschlag einer normativen Auslegung inländischer „Mittel“ anhand des Adressatengedankens wieder. Die insoweit bereits dargestellten Anknüpfungskriterien lassen sich grundsätzlich übertragen.514 Köhler / Arndt / Fetzer, Recht des Internet, S. 6 Rn. 18. Jotzo, MMR 2009, 232 (237); Hartung / Storm, in: Hilber, Handbuch Cloud Computing, Teil 4 Rn. 20. 514 Zu den jeweiligen Kriterien siehe oben unter C.II.3.a)cc)(2)(c)(aa) sowie unter C.II.3.a)cc)(2)(b)(bb). 512 Vgl. 513 Vgl.
118 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
(c) Ü berlegungen zum Adressatengedanken bei Cloud Computing Zur Bejahung einer Leistungsausrichtung an EU-Bürger können auch cloud-spezifische Indizien in Betracht zu ziehen sein. Auf IaaS-Ebene können anbieterseitige Beschreibungen zu der Trassierung von Datenleitungen zu den Rechenzentren (wie vor allem zu Backbones und Carrier-Netzen) indizielle Wirkung haben, sofern etwa niedrige Latenzen bei den Paketlaufzeiten aus und nach Europa als besonderer Vorteil hervorgehoben werden. Ob in einem Verweis auf direkte Leitungsverbindungen zu europäischen Netzknoten und Peering-Points ein Indiz gesehen werden kann, wird einzelfallbezogen zu betrachten sein, da gerade bei den großen Netzknoten (wie DE-CIX in Frankfurt, AMS-IX in Amsterdam und LINX in London)515 auch zahlreiche außereuropäische Carrier angeschlossen sind, sodass auch nur eine „Durchfuhr“ von Daten vorliegen kann. Wird ein Cloud-Service eines außereuropäischen Anbieters dahingehend beworben, dass auf Rechenzentrumsebene den Strompreisanpassungen durch die EEG-Umlage entgegengewirkt werden kann, wird eine solche eindeutige Bezugnahme auf eine in Deutschland gegenwärtig vieldiskutierte Thematik für eine Ausrichtung an einen EU-Bürger sprechen. Auch die Hervorhebung europäischer Zertifizierungen und Gütesiegel sowie die Benennung EU-spezifischer Normen oder Standards (gerade in Fragen der Interoperabilität) können als Indiz in Betracht kommen. Auf SaaS- oder PaaS-Ebene wird eine EU-Ausrichtung im Sinne des Adressatengedankens vor allem bei einer speziellen Software mit eindeutigem Bezug zu europäischem Hoheitsgebiet (z. B. Fachanwendungen, Buchführung oder Lohn- und Gehaltsabrechnung entsprechend den Vorschriften eines Mitgliedsstaats) oder bei EU-spezifischen Add-Ins, Schnittstellen oder Spracheinstellungsoptionen zu bejahen sein. Ebenenübergreifend kann etwa die Bewerbung einer Private Cloud mit Verweis auf europäische Datenschutz- und Datensicherheitsanforderungen ein eindeutiges Indiz für eine Ausrichtung an einen EU-Bürger darstellen. Auch die Hervorhebung europäischer Referenzkunden (etwa auf der Webseite eines Anbieters) lässt einen Rückschluss auf einen entsprechenden Anbieterwillen zu, wonach die Leistung sich gerade auch an europäische Nutzer richten soll.
515 Deutscher Commercial Internet Exchange (DE-CIX); Amsterdam Internet Exchange (AMS-IX); London Internet Exchange (LINX).
II. Anzuwendendes Datenschutzrecht bei einem „Rechnen in Datenwolken“119
(d) Z wischenfazit – Weitere Präzisierung der heranzuziehenden Kriterien Möglichen Rechtsunsicherheiten, wann eine Leistung dem Angebot von Waren oder Dienstleistungen an einen EU-Bürger dient, kann anhand der zuvor dargestellten Kriterien begegnet werden. Allerdings wird eine Gesamtbetrachtung verschiedenster Indizien einem rechtlich unerfahrenen EUBürger nicht immer möglich sein. Es bedarf daher einer weiteren Präzisierung von Kriterien, um die Rechtssicherheit eines EU-Bürgers (und hierbei vor allem auch im Hinblick auf hochstandardisierte Cloud-Nutzungsszenarien) zu verbessern und um einer universellen Anwendung europäischer Datenschutzbestimmungen entgegenzuwirken.516 Ein derartiger Kriterienkatalog erhöht zugleich die Rechtssicherheit für außereuropäische Anbieter von Waren- oder Dienstleistungen. Ein Bedürfnis nach möglichst eindeutigen Kriterien folgt bereits aus dem Gedanken von „IT as a Service“, damit auch in Bezug auf das anzuwendende Datenschutzregime möglichst keine Fragen offen bleiben. (e) Drei- oder Mehrpersonenverhältnisse Dem Anbieten von Waren oder Dienstleistungen liegt zwischen CloudAnbieter und Cloud-Nutzer in der Regel ein Zweipersonenverhältnis zugrunde.517 In der IT-Outsourcing-Praxis (und gerade bei Cloud Computing, wenn Anbieter bedarfsbasiert auf Subunternehmer zurückgreifen) finden sich aber auch Drei- oder Mehrpersonenverhältnisse wieder. Mitunter kann dies in äußerst komplexen Leistungsbeziehungen und Anbieterketten resultieren. Zu Recht wird hervorgehoben, dass der geplante Anwendungsbereich der DS-GVO bereits solche Konstellationen nicht erfasse, in denen ein in der EU ansässiges Unternehmen seine Kundendaten in der Cloud eines außereuropäischen Anbieters verarbeite.518 Die unternehmensspezifische Leistung des Cloud-Anbieters diene in aller Regel nicht dem Angebot von Waren oder Dienstleistungen an EU-Bürger als Endkunden, sondern allein dem Datenverarbeitungszweck des Unternehmens.519 In einem derartigen Dreipersonenverhältnis unterfalle daher nur die Datenübermittlung des EU-Un516 Vgl. die Vorschläge der Art.-29-Datenschutzgruppe oben unter C.II.3.a)cc)(2) (c)(aa). 517 Hornung / Sädtler, CR 2012, 638 (640). 518 Hornung / Sädtler, CR 2012, 638 (640). 519 Hornung / Sädtler, CR 2012, 638 (640); vgl. auch Spies, MMR 2009, XI (XII), der unternehmensbezogene Angebote jedoch auf Cloud Computing verallgemeinert.
120 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
ternehmens europäischem Datenschutzrecht, nicht aber die Verarbeitung durch den außereuropäischen Cloud-Anbieter.520 Grundsätzlich wird ein internationaler Schutz von Betroffenenrechten nur durch international geltende Normen oder durch eine universelle Anwendbarkeit europäischer Datenschutzvorschriften bei jeglichem EU-Bezug gewährleistet werden können. Weltweite Datenschutzstandards stellen in einer globalisierten Datenwelt die wohl umfassendste Lösung dar. Mangels politischer Realisierungsmöglichkeiten müssen sie jedoch als Idealvorstellung verbleiben. Der universellen Anwendbarkeit von EU-Recht stehen wiederum die bereits von der Art.-29-Datenschutzgruppe benannten unerwünschten Folgen (wirtschaftliche Auswirkungen, Fragen der Durchsetzbarkeit) entgegen.521 Im Rahmen des politisch und wirtschaftlich gewollten Spielraums wird der Schutz eines Betroffenen zumindest dadurch gewährleistet, dass das EU-Unternehmen in Bezug auf die Datenübermittlung vor allem an die Vorschriften zu internationalen Datentransfers gebunden ist.522 (2) Rückgriff auf inländische Mittel Nach dem gegenwärtigen Stand der DS-GVO-Entwurfsfassung werden inländische „Mittel“ für die Bestimmung des räumlichen Anwendungsbereichs kein Anknüpfungspunkt sein. In der Stellungnahme zu dem Verordnungsentwurf verweist daher auch der Bundesrat darauf hin, dass inländische Datenverarbeitungen (wie etwa die Erstellung und Veröffentlichung von Bildaufnahmen von Straßen und Gebäuden im Rahmen eines Geodatendienstes), die von in der EU nicht niedergelassenen Stellen durchgeführt werden, vom räumlichen Anwendungsbereich nicht erfasst seien, da kein Zweck i. S. v. Art. 3 Abs. 2 DS-GVO-E vorliege.523 Um Rechtsunsicherheiten und Schutzlücken zu vermeiden, sollte daher auch die Datenverarbeitung durch ein Mittel auf EU / EWR-Hoheitsgebiet die Anwendung der DS-GVO eröffnen. Aufgrund des weiten Begriffsverständnisses, das i. R. v. Art. 4 Abs. 1 lit. c) EG-Datenschutz-Richtlinie zu einer universellen Anwendung europäischen Datenschutzrechts führt, kann sich eine eingeschränkte Auslegung im Fall der Verarbeitung personenbezogener Daten von Nicht-EU-Bürgern – wie von der Art.-29-Datenschutzgruppe und dem Düsseldorfer Kreis mit Blick auf die wirtschaftlichen und praktischen Auswirkungen bereits befürwortet – anbieten.524 Auch könnte 520 Hornung / Sädtler,
CR 2012, 638 (640). hierzu oben unter C.II.3.a)cc)(2)(c)(aa). 522 Zu internationalen Datentransfers siehe ausführlich unter C.IV. 523 BR-Drs. 52 / 12 (2), S. 8 f. 524 Siehe oben unter C.II.3.a)cc)(2)(c)(aa). 521 Siehe
II. Anzuwendendes Datenschutzrecht bei einem „Rechnen in Datenwolken“121
auf inländische Mittel nur subsidiär zurückgegriffen werden, sofern andere – gegebenenfalls noch zu entwickelnde525 – Kriterien nicht zum Tragen kommen.526 (3) Aufsicht außereuropäischer Anbieter und Rechtsdurchsetzung Offen verbleibt auch die Frage der Aufsicht von außereuropäischen Anbietern, die dem Anwendungsbereich der DS-GVO unterfallen. Aufgrund der völkerrechtlichen Souveränität von Staaten werden europäische Datenschutzbehörden Aufsichts-, Ermittlungs- und Rechtsdurchsetzungsbefugnisse im Ausland nur nach Maßgabe zwischenstaatlicher Verträge wahrnehmen können, die bislang aber nicht existieren.527 Außereuropäische Anbieter werden wiederum denjenigen Pflichten nicht nachkommen können, die eine Mitwirkung der Aufsichtsbehörde erfordern (wie Art. 28 Abs. 3, Art. 29, Art. 31 f., Art 34 und Art. 37 DS-GVO-E).528 Für das Mitwirkungserfordernis könnte eine Lösung darin bestehen, dass die Verordnung für außereuropäische Anbieter eine zuständige europäische Datenschutzbehörde bestimmt. Grundsätzlich bedarf die Wahrnehmung sämtlicher Kontroll- und Durchsetzungsbefugnisse in einem Drittland jedoch einer Ausführung durch die jeweiligen nationalen Behörden des Drittlands nach Maßgabe zwischenstaatlicher Verträge. Denkbare Konzepte sind im Hinblick auf die Durchsetzungsbefugnisse grundsätzlich vergleichbar mit der von US-Behörden vorzunehmenden Kontrolle der Selbstzertifizierung eines US-amerikanischen Unternehmens im Rahmen der „Safe-Harbor-Vereinbarung“ (auch wenn, wie sich noch zeigen wird, eine wirksame Durchsetzung bei Safe Harbor aus europäischer Sicht mit Schwierigkeiten verbunden ist und zwischenstaatliche Verträge insoweit die bisherigen Erfahrungen mit Blick auf einen zu entwickelnden Durchsetzungsmechanismus berücksichtigen sollten).529 Den Idealfall stellt auch in diesem Kontext grundsätzlich ein international geltender Rechtsrahmen für den Datenschutz dar, der aus politischen Gründen aber auf absehbare Zeit nicht zu erwarten ist.
525 Zur Präzisierung von Kriterien vgl. oben unter C.II.3.a)cc)(2)(c)(aa) sowie unter C.II.4.b)bb)(1)(d). 526 Art.-29-Datenschutzgruppe, WP 179, S. 40. 527 DSK, Stellungnahme DS-GVO-E v. 11.6.2012, S. 5; Hornung / Sädtler, CR 2012, 638 (640). 528 Hornung / Sädtler, CR 2012, 638 (640). 529 Zu der „Safe-Harbor-Vereinbarung“ siehe ausführlich unten unter C.IV.3.d)aa).
122 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
(4) S tellungnahme – Licht und Schatten bei der Anwendung der DS-GVO auf außereuropäische Stellen Die Bindung außereuropäischer Anbieter an europäisches Datenschutzrecht war nach den im Vorfeld der Datenschutzreform getätigten Äußerungen zu den Herausforderungen des technischen Fortschritts und der Globalisierung sowie zu dem Handlungsbedarf bei Cloud Computing zu erwarten.530 Nach Reding soll vor allem das Vertrauen des Einzelnen gestärkt werden, um diesen zur Nutzung von Cloud-Services weiter zu ermutigen.531 Aus Sicht eines EU-Bürgers erscheint die Anknüpfung an das Angebot von Waren oder Dienstleistungen sowie an die Beobachtung eines Verhaltens daher grundsätzlich als ein Schritt in die richtige Richtung. In einer digital immer engmaschiger vernetzten Welt richten sich zahlreiche Leistungen außereuropäischer Anbieter erkennbar (auch) an Nutzer in Europa. Zahlreiche Cloud-Services US-amerikanischer Anbieter wären daher an europäischem Datenschutzrecht zu messen. Oftmals ist aber bereits die Herkunft eines Anbieters nicht eindeutig (etwa mangels „Impressum“ oder vergleichbarer Angaben auf einer Webseite, insbesondere wenn eine diesbezügliche Verpflichtung in einem Drittstaat nicht existiert). In Zeiten, in denen ein Rückgriff auf die Cloud zum Standard wird und eine Nutzung von jedem Ort binnen Sekunden über PC, Tablet oder Smartphone initiiert werden kann, wäre es aber ein Hemmnis, wenn Verbraucher trotz eindeutiger Leistungsausrichtung zunächst die Herkunft eines Anbieters und mögliche Fragen des anwendbaren Datenschutzrechts zu klären hätten. Derartige Prüf szenarien widersprechen dem mit Cloud Computing eingeleiteten Wandel zu einem standardmäßigen Rückgriff auf Datenwolken grundlegend. Dass europäisches Datenschutzrecht auf außereuropäische Anbieter anzuwenden ist, deren Leistungen sich erkennbar an EU-Bürger richten, entspricht auch den kollisionsrechtlichen Regelungen des Verbraucherschutzrechts im Internatio nalen Privatrecht (vgl. Art. 6 Abs. 2 lit. b) Rom I-VO, wonach ein Vertrag dem Recht des Staates unterliegt, in dem der Verbraucher seinen gewöhnlichen Aufenthalt hat, sofern der Unternehmer die Tätigkeit des Unternehmers auf diesen Staat ausrichtet).532 Eine weitere Präzisierung der Kriterien, die zur Bejahung einer Leistungsausrichtung an EU-Bürger heranzuziehen sind, wird in hochstandardisierten Cloud-Nutzungsszenarien sowohl für Anbieter als auch für Nutzer Abgrenzungsschwierigkeiten verringern und die Rechtssicherheit weiter erhöhen. Zur Vermeidung von Schutzlücken kann zudem auch im Rahmen der 530 Vgl.
oben unter C.II.4.a). SPEECH / 11 / 349, S. 3. 532 Vgl. oben unten C.II.3.a)cc)(2)(b)(bb). 531 Reding,
II. Anzuwendendes Datenschutzrecht bei einem „Rechnen in Datenwolken“123
DS-GVO ein Rückgriff auf inländische Mittel – wenngleich in eingeschränkter Auslegung – in Betracht zu ziehen sein, um außereuropäische Anbieter in derartigen Datenverarbeitungskonstellationen an die DS-GVO zu binden. Schwierig gestaltet sich vor allem die Aufsicht von außereuropäischen Anbietern sowie Fragen der Rechtsdurchsetzung. Insoweit erfordern globale Datenverarbeitungsszenarien mehr denn je einen weltweit einheitlichen und wirksamen Rechtsrahmen. Diese Ideallösung muss aufgrund der politischen Dimension aber derzeit ein Gedankenspiel bleiben. 5. Die rechtsordnungsübergreifende Herausforderung von uneinheitlichen nationalen Datenschutzvorschriften in den Mitgliedstaaten a) Die Rechtszersplitterung als Hindernis bei der Cloud-Service-Erbringung Obwohl eine Harmonisierung der EU-weit geltenden nationalen Datenschutzgesetze bereits durch die EG-Datenschutz-Richtlinie vorangetrieben wurde,533 existieren in sämtlichen Mitgliedstaaten weiterhin voneinander divergierende, uneinheitliche Regelungen.534 Unterschiede in der Umsetzung der Richtlinie, unterschiedliche Auslegungen durch nationale Aufsichtsbehörden sowie die Vielzahl an Datenschutzvorschriften erschweren aber jeden Umgang mit personenbezogenen Daten.535 Nach Auffassung der Kommission beeinträchtigen die mit einem zersplitterten Rechtsrahmen verbundenen Unsicherheiten nicht nur den Schutz des Einzelnen. Die unnötigen Kosten und der administrative Verwaltungsaufwand werden vielmehr als grundsätzliches Hemmnis für die Entwicklung eines digitalen Binnenmarkts und für grenzüberschreitende Aktivitäten von Unternehmen angesehen.536 Bei Cloud-Anbietern sieht die Kommission Schwierigkeiten bei der EUweiten Bereitstellung einer einheitlichen und kosteneffizienten Lösung, wenn sie mit 28 uneinheitlichen Datenschutzregelungen der einzelnen Mitgliedstaaten konfrontiert sind.537 Auch in dem Abschlussbericht zu der von 533 Vgl. Erwägungsgrund 8 EG-Datenschutz-Richtlinie; Kühling / Biendl, CR 2014, 150 (151). 534 KOM(2012) 9, S. 7; Brennscheidt, Cloud Computing und Datenschutz, S. 48 m. w. N. 535 Vgl. BITKOM / VOICE, Empfehlungen für den Cloud Computing-Standort Deutschland, S. 9. 536 KOM(2012) 9, S. 7; Kommission, Wie nützt die EU-Datenschutzreform den europäischen Unternehmen? (Informationspapier), S. 1. 537 COM(2012) 529, S. 9; SWD(2012) 271, S. 25; KOM(2012) 9, S. 7; Kroes, SPEECH / 12 / 238, S. 3; so auch BITKOM / VOICE, Empfehlungen für den Cloud
124 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
der Kommission im Jahr 2011 durchgeführten „Public Consultation on Cloud Computing“ wurde festgehalten, dass – von insgesamt 538 Antworten – etwa die Hälfte aller Befragten die Unterschiede in der nationalen Umsetzung der EG-Datenschutz-Richtlinie als ein Hindernis für ein grenzüberschreitendes Cloud Computing innerhalb der EU ansehen.538 Da gerade kleine und mittlere Unternehmen kein Personal hätten, um das Ausmaß an Vorschriften und deren Unterschiedlichkeiten bewerten zu können, erfordere ein digitaler Binnenmarkt mehr Transparenz und eine weitere Harmonisierung.539 Auch große Anbieter wie Microsoft würden das Fehlen eines „true digital single market“ bemängeln, da es unterschiedliche nationale Vorschriften zunehmend erschweren, Leistungen kosteneffizient in ganz Europa anzubieten.540 Zudem bestehe die Gefahr eines „jurisdiction shopping“, sofern einzelne nationale Datenschutzregelungen weniger strenge Anforderungen enthalten.541 Damit sich das Potential von Cloud Computing europaweit entfalten kann, sei die „Fragmentierung des digitalen Binnenmarkts aufgrund unterschiedlicher nationaler rechtlicher Rahmenbedingungen“ durch einen starken und einheitlichen Rechtsrahmen zu beseitigen.542 b) Ein einheitlicher Rechtsrahmen durch die EU-Datenschutzreform Als EU-weit einheitlicher Rechtsrahmen bezweckt die DS-GVO einen hohen Harmonisierungsgrad und die Schaffung eines digitalen Binnenmarkts.543 Im Unterschied zu einer Richtlinie beansprucht das gewählte Rechtsinstrument einer Verordnung in sämtlichen Mitgliedstaaten unmittelbare Geltung (vgl. Art. 288 Abs. 2 AEUV). Da es unabhängig von dem Ort der Niederlassung eines Cloud-Anbieters in der EU zur Anwendung gelangen soll, sieht die Kommission zu Recht eine „good general basis“ für die künftige Entwicklung von Cloud Computing.544 Selbst in komplexen Leistungsbeziehungen, wie bei der Einschaltung einer Kette von Anbietern, Computing-Standort Deutschland, S. 9; nach dem EU-Beitritt Kroatiens am 1. Juli 2013 sind es mittlerweile 28 Mitgliedstaaten. 538 Kommission, Cloud Computing: Public Consultation Report, S. 4; siehe auch oben unter C.II.4.a)bb). 539 Kommission, Cloud Computing: Public Consultation Report, S. 5. 540 Microsoft, Response to the Commission’s Public Consultation on Cloud Computing, S. 2. 541 SWD(2012) 271, S. 26. 542 COM(2012) 529, S. 6, 9. 543 Reding, ZD 2012, 195 (196); Kommission, Wie stärkt die Datenschutzreform der EU den Binnenmarkt? (Informationspapier), S. 2; vgl. Eckhardt, CR 2012, 195 (203). 544 SWD(2012) 271, S. 26.
II. Anzuwendendes Datenschutzrecht bei einem „Rechnen in Datenwolken“125
seien nunmehr maßgeschneiderte Lösungen möglich.545 Durch einen sog. „One-Stop-Shop“ erfolge auch bei der Rechtsdurchsetzung eine Vereinheitlichung, da die zuständige Datenschutzbehörde hiernach die Behörde an dem Unternehmenssitz ist.546 Dies kann sich gerade bei Cloud Computing als vorteilhaft erweisen, damit wirtschaftliche Vorteile nicht durch rechtliche Fragestellungen relativiert werden. Pointiert verweist etwa Neelie Kroes auf die Unsicherheit potentieller Cloud-Nutzer, denen sich oftmals die Frage stelle, „whether they will need a law degree to sign up for a contract with confidence.“547 Die Beseitigung des Flickenteppichs nationaler Regelungen wird dynamischen und flexiblen Nutzungsmodellen bei den meisten Datenverarbeitungsszenarien (für spezielle Szenarien enthält auch die DS-GVO-E Öffnungsklauseln) zugute kommen und langfristig auch die von der Kommission ins Auge gefasste Entwicklung europäischer Zentren für Cloud Computing fördern.548 Auch wenn ein weltweit einheitlicher Rechtsrahmen in globalen Datenverarbeitungsszenarien zwar den Idealfall darstellen würde (aus politischen Gründen aber gegenwärtig nicht zu realisieren ist), wird Europa mit der DS-GVO jedenfalls mit einer Stimme nach außen auftreten und europäi sche Datenschutzstandards besser exportieren können.549 Außereuropäische Unternehmen (und hierbei vor allem marktführende US-Anbieter) können sich faktisch gezwungen sehen, europäische Anforderungen „by design“ zu berücksichtigen, um Wettbewerbsnachteile gegenüber europäischen Anbietern zu vermeiden. Anbietern jeder Herkunft bietet ein EU-weit einheitlicher Rechtsrahmen jedenfalls eine konzeptionelle Planungssicherheit, um Leistungen auf den gesamten europäischen Markt abzustimmen, sodass wirtschaftlich unrentable Insellösungen für einzelne Mitgliedstaaten entfallen können. Ein EU-weit einheitliches Regelwerk kann auch auf Legislativaktivitäten in Drittstaaten größeren Einfluss haben. Nach Ansicht von EUKommissarin Reding zeige jedenfalls das hohe Interesse der USA an dem Verordnungsentwurf, „dass sich die Erkenntnis durchsetzt, dass die Grundregeln des digitalen Datenschutzes auf bestem Weg sind, in Europa formuliert zu werden.“550 Bedenken, wonach die hohe Abstraktion der DS-GVO einen großen Spielraum bei der Auslegung und Anwendung zulässt und in Deutschland 545 SWD(2012)
271, S. 26. ZD 2012, 195 (197). 547 Kroes, SPEECH / 12 / 238, S. 2. 548 Siehe oben unter C.II.4.a)aa); zu den Öffnungsklauseln der DS-GVO-E siehe Hornung, ZD 2012, 99 (100). 549 Vgl. Reding, ZD 2012, 195 (196). 550 Reding, ZD 2012, 195 (196). 546 Reding,
126 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
zu einer Absenkung des vorhandenen Datenschutzniveaus führen kann,551 ändern in Zeiten, in denen Europa auch digital am Zusammenwachsen ist, nichts an dem grundsätzlichen Bedürfnis nach einer EU-weit einheitlichen Regelung. Da die geplante DS-GVO – trotz diskussionswürdiger Aspekte wie der praktischen Durchführung des Rechts auf Vergessenwerden und auf Löschung (Art. 17 DS-GVO-E) – einen grundsätzlich soliden Rechtsrahmen mit ausreichendem Datenschutzniveau darstellt, sind mögliche vereinzelte Absenkungen des Schutzniveaus (im Vergleich zu bestehenden nationalen Regelungen) letztendlich auch ein Kompromiss zugunsten eines EU-weit einheitlichen, modernen Regelwerks. Die weitere Entwicklung bleibt abzuwarten. Nachdem im November 2011 eine vorläufige Entwurfsfassung der DS-GVO im Internet auftauchte, kritisierte der für den Datenschutz zuständige Richter des BVerfG umgehend den Verlust der Kontrollfunktion und die Unanwendbarkeit nationaler Grundrechte.552 Auch der Bundesrat ist der Auffassung, dass die Kommission mit der vorgeschlagenen Entwurfsfassung ihre Kompetenzen weit überschritten habe und sich dies nicht im Einklang mit dem Subsidiaritätsprinzip nach Art. 5 Abs. 3 EUV befinde.553 Gerade die Datenverarbeitung der öffentlichen Verwaltung der Mitgliedstaaten soll nicht in die Rechtsetzungskompetenz der EU fallen.554 Auch das hohe Abstraktionsniveau der Verordnung sowie die Kompetenz der Kommission, delegierende Rechtsakte zu erlassen, wurden kritisiert.555 Dagegen erscheint nach Auffassung der Kommission eine solche Subsidiaritätsrüge – mit Verweis auf die Europäisierung des Datenschutzrechts im Onlinebereich und die intensive Rechtsprechungstätigkeit des EuGH – als geradezu „absurd“.556
III. Der Personenbezug von Daten 1. Einleitung Das BDSG ist sachlich nur bei der Verarbeitung von personenbezogenen Daten anzuwenden (vgl. § 1 Abs. 2 BDSG). Von öffentlichen und nicht-öffentlichen Stellen werden heutzutage aber ganz unterschiedliche Datenkategorien verarbeitet. Ein vergleichender Blick auf die dem BayDSG unterlie551 DSK,
Stellungnahme DS-GVO-E v. 11.6.2012, S. 2 f. Zeitung v. 9.1.2012, „Ein Abschied von den Grundrechten“; Hornung, ZD 2012, 99 (100). 553 BR-Drs. 52 / 12, S. 1. 554 BR-Drs. 52 / 12, S. 3. 555 BR-Drs. 52 / 12, S. 4. 556 Reding, ZD 2012, 195 (196). 552 Süddeutsche
III. Der Personenbezug von Daten127
gende Datenverarbeitungspraxis bayerischer Kommunen zeigt, dass sich in kommunalen IT-Outsourcing-Szenarien vor allem Meldedaten, Finanzdaten, Sozialdaten und Standesamtdaten wiederfinden.557 Während ein Personenbezug hierbei „auf der Hand“ liegt, kann dies bei anderen Datensätzen Schwierigkeiten bereiten. Da dem deutschen und europäischen Recht (durch die Gleichstellung von „bestimmt“ und „bestimmbar“) ein begrifflich weites Verständnis zugrunde liegt,558 sind sowohl in Datenverarbeitungsszenarien der öffentlichen Hand als auch im unternehmerischen Umfeld nur wenige Datensätze als reine Sachdaten ohne Personenbezug zu qualifizieren. Auf Seiten von Unternehmen ist ein Personenbezug vor allem bei Lohn- und Gehaltsdaten, Geschäftsdokumenten, Kundenschreiben, elektronischen Adressbüchern oder bei E-Mails zu bejahen.559 Gleiches gilt für Datensätze, die für cloud-basierte CRM-Lösungen oder Adressverwaltungen verwendet werden.560 Aufgrund der Schlüsselfunktion für die Anwendbarkeit des BDSG ist das Vorliegen oder Nichtvorliegen von personenbezogenen Daten gerade auch bei Auslagerungsszenarien in eine Cloud und mithin für die Frage der datenschutzkonformen Nutzung einer IaaS-, PaaS- oder SaaSLeistung durch den Cloud-Nutzer von entscheidender Bedeutung.561 2. Rechtsrahmen – Personenbezogene Daten (§ 3 Abs. 1 BDSG) Nach § 3 Abs. 1 BDSG sind personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Juristische Personen, Personengesellschaften oder Vereine sind bewusst nicht erfasst.562 Ist eine Bezugnahme zu den hinter einer juristischen Person oder Personengesellschaft stehenden natürlichen Personen möglich, wird ein Personenbezug aber grundsätzlich zu bejahen sein.563 Heckmann / von Lucke / Hennrich / Maisch, C3-Studie, S. 125. den Unterschieden zu US-amerikanischem Recht siehe Schwartz, ZD 2011,
557 Vgl. 558 Zu
97 f.
559 Vgl. Heidrich / Wegener, MMR 2010, 803 (805); zu Arbeitnehmerdaten Gaul / Köhler, BB 2011, 2229 (2230). 560 Splittgerber / Rockstroh, BB 2011, 2179 (2180). 561 Zur Abgrenzung zu dem TKG und TMG siehe Boos / Kroschwald / Wicker, ZD 2013, 205 ff., die bei der Nutzung von IaaS und SaaS richtigerweise Inhaltsdaten sehen, auf die das BDSG anzuwenden ist. 562 Gola / Schomerus, BDSG, § 3 Rn. 11; Dammann, in: Simitis, BDSG, § 3 Rn. 17. 563 Gola / Schomerus, BDSG, § 3 Rn. 11a; Weichert, in: Däubler / Klebe / Wedde / Weichert, BDSG, § 3 Rn. 9; differenzierend Dammann, in: Simitis, BDSG, § 3 Rn. 44, wonach Angaben über eine Personengesellschaft einen Personenbezug aufweisen, wenn diese auf die Verhältnisse von natürlichen Personen als Gesellschafter
128 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
a) Bestimmtheit Eine Bestimmtheit liegt vor, wenn Daten den Namen oder andere Identifikationsmerkmale einer konkreten natürlichen Person (wie E-Mail-Adresse oder biometrische Daten) enthalten, sodass sich aus dem unmittelbaren Zusammenhang eine konkrete Bezugnahme herstellen lässt.564 Der einleitende Verweis auf die bayerische Verwaltungspraxis und auf typische Datenbestände von Unternehmen hat gezeigt, dass zahlreiche Datensätze bereits den Namen einer natürlichen Person enthalten und demnach als personenbezogen zu qualifizieren sind.565 b) Bestimmbarkeit Deutlich schwieriger gestaltet sich die Beurteilung eines Personenbezugs im Rahmen der Alternative der Bestimmbarkeit, die seit längerem lebhafter Diskussionsgegenstand ist.566 aa) Absoluter Personenbezug Nach dem Verständnis des absoluten Personenbezugs, das vor allem von den Datenschutzbehörden vertreten wird, soll bereits jede objektiv bestehende Möglichkeit der Bestimmbarkeit einer Person zur Bejahung eines Personenbezugs ausreichen.567 Da Dritte hiernach in die Betrachtung einzubeziehen sind, kommt es auf rein subjektive Intentionen oder auf das bei einer verantwortlichen Stelle vorhandene Zusatzwissen nicht an.568 In der Konsequenz ist quasi das „gesamte Weltwissen“ einzubeziehen, wie das LG Berlin in einer Entscheidung (in der dem absoluten Verständnis nicht gefolgt wird) trefflich hervorhebt.569 Ein weites Verständnis nimmt auch die Art.-29-Datenschutzgruppe bei der Auslegung der EG-Datenschutz-Richtlinie an, wonach mit Verweis auf deren Erwägungsgrund 26 alle Mittel zu berücksichtigen sind, die vernünftigerweise entweder von dem für die Verarbeitung Bezug nehmen, was aber bei Daten einer „Ein-Mann-GmbH“ nicht zwangsläufig anzunehmen ist. 564 Gola / Schomerus, BDSG, § 3 Rn. 10; Dammann, in: Simitis, BDSG, § 3 Rn. 22; Heckmann, jurisPK-Internetrecht, Kap. 9 Rn. 134. 565 Siehe zuvor unter C.III.1. 566 Vgl. Gerlach, CR 2013, 478; Karg, ZD 2012, 255 (256); Voigt, MMR 2009, 377 (378). 567 Weichert, in: Däubler / Klebe / Wedde / Weichert, BDSG, § 3 Rn. 15. 568 Vgl. Weichert, in: Däubler / Klebe / Wedde / Weichert, BDSG, § 3 Rn. 15. 569 LG Berlin, Urt. v. 31.1.2013 – 57 S 87 / 08, CR 2013, 471 (473).
III. Der Personenbezug von Daten129
Verantwortlichen oder von einem Dritten eingesetzt werden können, um die betreffende Person zu bestimmen.570 Lediglich rein hypothetische Möglichkeiten sollen bei einer „vernünftigen“ Betrachtung außen vor bleiben.571 bb) Relativer Personenbezug Nach dem vorherrschenden Verständnis eines relativen Personenbezugs ist allein auf die einer datenverarbeitenden Stelle normalerweise und bei verhältnismäßigem Aufwand zur Verfügung stehenden Kenntnisse, Mittel und Möglichkeiten abzustellen.572 Das Wissen Dritter wird in die Betrachtung nicht miteinbezogen. Berücksichtigt wird allein das Zusatzwissen, über das die verantwortliche Stelle selbst verfügt (bzw. mit nicht unverhältnismäßigem Aufwand beschaffen kann), um eine natürliche Person identifizieren zu können.573 cc) Auswirkungen an dem Beispiel von dynamisch vergebenen IP-Adressen Die unterschiedlichen Ergebnisse werden bei dynamisch vergebenen IPAdressen deutlich.574 Da IP-Adressen in aller Regel standardmäßig in den Server-Logfiles gespeichert werden,575 ist es mit Blick auf die datenschutzrechtliche Verantwortlichkeit und hieran anknüpfende Pflichten von weitreichender Bedeutung, ob diese als personenbezogene Daten zu qualifizieren sind. Objektiv betrachtet ist dies für den Serverbetreiber selbst bei dynamisch vergebenen IP-Adressen der Fall, da vor allem das Wissen des jewei570 Art.-29-Datenschutzgruppe, WP 136, S. 23; vgl. Karg, MMR-Aktuell 2011, 315811; Karg, ZD 2012, 255 (256) m. w. N. 571 Art.-29-Datenschutzgruppe, WP 136, S. 17; nach Ansicht des LG Berlin, Urt. v. 31.1.2013 – 57 S 87 / 08, CR 2013, 471 (473) ist der Ausschluss hypothetischer Möglichkeiten ein Indiz für ein relatives Verständnis. 572 Gola / Schomerus, BDSG, § 3 Rn. 10; Plath / Schreiber, in: Plath, BDSG, § 3 Rn. 15; Kühling / Seidel / Sivridis, Datenschutzrecht, S. 81 f.; Dammann, in: Simitis, BDSG, § 3 Rn. 32 ff.; Meyerdierks, MMR 2009, 8 (9); Kroschwald, ZD 2014, 75 (76). 573 Dammann, in: Simitis, BDSG, § 3 Rn. 33 ff.; Heckmann, jurisPK-Internetrecht, Kap. 9 Rn. 135. 574 Ausführlich zu IPv4 siehe Meyerdierks, MMR 2009, 8 (9 ff.); Voigt, MMR 2009, 377 ff.; zu IPv6 siehe Brosch / Hennrich, jurisAnwZert ITR 21 / 2011, Anm. 2; Wegener / Heidrich, CR 2011, 479 ff.; Krüger / Maucher, MMR 2011, 433 ff.; Freund / Schnabel, MMR 2011, 495 ff.; Gerlach, CR 2013, 478 ff. 575 IP-Adressen werden etwa bei dem weit verbreiteten Apache-Webserver standardmäßig protokolliert, Brosch / Hennrich, jurisAnwZert ITR 21 / 2011, Anm. 2 Fn. 25.
130 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
ligen Access-Providers zu Verbindungsdaten und Bestandsdaten (für die Dauer der Speicherung) in die Betrachtung einzubeziehen ist.576 Nach dem relativen Verständnis liegen dagegen grundsätzlich keine personenbezogenen Daten vor, sofern nicht der Serverbetreiber bei verhältnismäßigem Aufwand wiederum selbst über ein Zusatzwissen verfügt, das eine Identifizierung ermöglicht (dies wird vor allem bei Betreibern von Webshops oder von sozialen Netzwerken anzunehmen sein, die gespeicherte Bestandsdaten einer IP-Adresse zuordnen können).577 dd) Neuere Entwicklungen und EU-Datenschutzreform Die relative Theorie des Personenbezugs gilt in Deutschland als herrschend.578 Um einen effektiven Datenschutz in allgegenwärtigen Datenverarbeitungsszenarien zu gewährleisten, in denen Identifizierungs- und Zusammenführungsmöglichkeiten stetig zunehmen (und die unter dem Stichwort „Big Data“579 bereits in ganz anderen Dimensionen diskutiert werden), soll sich das objektive, absolute Verständnis im Vordringen befinden.580 Für ein derartiges Verständnis spreche auch das Gebot einer richtlinienkonformen Auslegung unter Berücksichtigung von Erwägungsgrund 26 der EGDatenschutz-Richtlinie.581 Dagegen folgte etwa das LG Berlin dem relativen Ansatz, da das absolute Verständnis zu einer uferlosen und unpraktikablen Ausdehnung des Datenschutzes führe, die vom Gesetzgeber nicht gewollt sei.582 Nach der Datenschutzreform sind personenbezogene Daten alle Informatio nen, die sich auf eine betroffene Person beziehen (Art. 4 Nr. 2 DS-GVO-E). Dies ist jede bestimmte natürliche Person oder jede natürliche Person, die direkt oder indirekt mit Mitteln bestimmt werden kann, die der für die Verarbeitung Verantwortliche oder jede sonstige natürliche oder juristische Person nach allgemeinem Ermessen aller Voraussicht nach einsetzen würde (vgl. Art. 4 Nr. 1 DS-GVO-E). 576 Weichert, in: Däubler / Klebe / Wedde / Weichert, BDSG, § 3 Rn. 14; vgl. auch Brosch / Hennrich, jurisAnwZert ITR 21 / 2011, Anm. 2; Wegener / Heidrich, CR 2011, 479 (483) m. w. N. 577 Vgl. Venzke, ZD 2011, 114 (115); Wegener / Heidrich, CR 2011, 479 (483); Brosch / Hennrich, jurisAnwZert ITR 21 / 2011, Anm. 2 m. w. N. 578 Vgl. Gerlach, CR 2013, 478 (479); Stiemerling / Hartung, CR 2012, 60 (63); Wegener / Heidrich, CR 2011, 479 (483); Voigt, MMR 2009, 377 (379) m. w. N. 579 Zu „Big Data“ siehe etwa Weichert, ZD 2013, 251 ff.; Zieger / Smirra, MMR 2013, 418 ff.; Roßnagel, ZD 2013, 562 ff.; Helbing, K&R 2015, 145 ff. 580 Vgl. Voigt, MMR 2009, 377 (379) m. w. N. 581 Karg, MMR-Aktuell 2011, 315811. 582 LG Berlin, Urt. v. 31.1.2013 – 57 S 87 / 08, CR 2013, 471 (473).
III. Der Personenbezug von Daten131
Ein objektives Verständnis lässt sich hieraus insoweit herleiten, dass Erwägungsgrund 23 DS-GVO-E dem Erwägungsgrund 26 EG-DatenschutzRichtlinie entspricht, der nach Auffassung der Art.-29-Datenschutzgruppe auch schon bisher für ein objektives Verständnis gesprochen habe.583 Elemente eines relativen Verständnisses lassen sich dagegen Erwägungsgrund 23 DS-GVO-E entnehmen, wonach für die Bestimmbarkeit alle Mittel zu berücksichtigen sind, die nach allgemeinem Ermessen und aller Voraussicht nach zur Identifizierung der Person genutzt werden. Gleiches gilt für Erwägungsgrund 24 DS-GVO-E, wonach Online-Kennungen wie IPAdressen oder Cookie-Kennungen eine Profilbildung ermöglichen können, mit der Folge, dass „Kennnummern, Standortdaten, Online-Kennungen oder sonstige Elemente nicht zwangsläufig und unter allen Umständen als personenbezogene Daten zu qualifizieren sind“.584 Diese Einschränkung erscheint sachgerecht, da sich ein rein objektives Verständnis gerade bei IP-Adressen für Serverbetreiber als zu weitgehend erweist.585 Das Europäische Parlament hat am 12. März 2014 auch in dem vorliegenden Kontext zahlreiche Änderungen an dem Kommissionsentwurf vorgenommen. Art. 4 Nr. 1 und Nr. 2 DS-GVO-E wurden als einheitliche Definition von „personenbezogenen Daten“ zusammengefasst. Zudem wurden an dieser Definition sowie an den Erwägungsgründen 23 und 24 zahlreiche Umformulierungen vorgenommen.586 Gerade in Erwägungsgrund 23 scheint sich dabei ein relativer Ansatz zu verfestigen. Nach der Entwurfsfassung des Europäischen Parlaments sollen hiernach bei der Prüfung der Frage, ob Mittel nach allgemeinem Ermessen aller Voraussicht nach zur Identifizierung der Person genutzt werden, alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei sowohl die zum Zeitpunkt der Verarbeitung verfügbare Technologie als auch die technologische Entwicklung zu berücksichtigen sind. Da eine eindeutige Definition des relativen Personenbezugs aber auch der Entwurfsfassung des Europäischen Parlaments nicht zu entnehmen ist, wird die weitere Entwicklung der Datenschutzreform abzuwarten sein. Die vom Rat der EU als allgemeine Ausrichtung vom 11. Juni 2015 vorgelegte Fassung greift jedenfalls die Änderungsvorschläge des Europäischen Parlaments grundsätzlich auf. Es finden sich sowohl die einheitliche Defi-
583 Stiemerling / Hartung, CR 2012, 60 (64); Art.-29-Datenschutzgruppe, WP 136, S. 23; siehe oben unter C.III.2.b)aa). 584 Gerlach, CR 2013, 478 (479). 585 Siehe zuvor unter C.III.2.b)cc). 586 EP, Entschließung v. 12.3.2014, 2013 / 2188(INI), P7_TA-PROV(2014)0212.
132 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
nition von personenbezogenen Daten als auch die Textfassung von Erwägungsgrund 23 wieder.587 Im Vergleich zu dem bisher herrschenden relativen Verständnis im Sinne des BDSG wird nach der Datenschutzreform (soweit derzeit absehbar) ein weitergehendes Verständnis einer Bestimmbarkeit anzunehmen sein, das aber in Bezug auf die nach allgemeinem Ermessen zur Identifizierung zur Verfügung stehenden Technologien relative Merkmale aufweist. Da sich gerade die Aufsichtsbehörden für eine möglichst absolute Auslegung einsetzen werden, wird sich die bisherige Diskussion zu einem Personenbezug sehr wahrscheinlich fortsetzen. Jede Beurteilung einer Bestimmbarkeit – dies zeigt sich gerade an Erwägungsgrund 23 in der Entwurfsfassung des Europäischen Parlaments – wird dabei vor allem im Lichte der technischen Entwicklung erfolgen müssen. Gerade die durch Cloud Computing flexibel verfügbare „Ressourcen-Power“ trägt dazu bei, dass sich jede Grenze fortlaufend verschiebt. 3. Die Herausforderung von datenschutzneutralen Verarbeitungsmöglichkeiten in einer Cloud durch Datenveränderung Die Datenkategorie personenbezogener Daten ist bei den meisten CloudNutzungsszenarien von zentraler Bedeutung.588 Da sämtliche Datenbestände stetig wachsen, wird es für eine verantwortliche Stelle immer schwieriger, personenbezogene von nicht-personenbezogenen Daten zu trennen. Im Falle eines erheblichen Aufwands kann dies die wirtschaftlichen Vorteile flexibler und bedarfsgerechter Cloud-Nutzungen relativieren. Datenschutzrechtliche Anforderungen sind daher im Zweifel stets zu berücksichtigen, sofern nicht wiederum durch eine Datenveränderung datenschutzneutrale Verarbeitungsmöglichkeiten herbeigeführt werden können. Im Kontext des Personenbezugs von Daten wird im Folgenden allein auf diese zentrale Herausforderung an den Rechtsrahmen eingegangen. 4. Bewertung Als Datenveränderungsmethode, um den Personenbezug aufzuheben und die Anwendung des BDSG auszuschließen, kommen grundsätzlich die 587 Rat
der EU, Vorschlag für eine DS-GVO v. 11.6.2015, 9565 / 15, S. 13, 77. oben unter C.III.1; Karger / Sarre, in: Taeger / Wiebe, Inside the Cloud, S. 434; Gaul / Köhler, BB 2011, 2229 (2230); Reindl, in: Taeger / Wiebe, Inside the Cloud, S. 442; Niemann / Hennrich, CR 2010, 686 (687). 588 Vgl.
III. Der Personenbezug von Daten133
nonymisierung oder Pseudonymisierung in Betracht.589 Durch reversible A Verschlüsselungstechniken könnte der Personenbezug dabei lediglich für die Dauer der Verschlüsselung aufgehoben werden.590 Für besondere Arten personenbezogener Daten (§ 3 Abs. 9 BDSG), die den restriktiven Voraussetzungen nach § 28 Abs. 6–9 BDSG unterliegen und regelmäßig nur innerhalb von EU und EWR zu verarbeiten sind, könnte Cloud Computing in Drittstaaten hierdurch überhaupt erst zulässig werden.591 a) Nutzerseitige Datenveränderung außerhalb der Cloud Bei einer nutzerseitigen Verschlüsselung außerhalb der Cloud wird davon ausgegangen, dass allein der Nutzer Schlüsselinhaber ist und einem CloudAnbieter der Schlüssel nicht bekannt ist. Sind nutzerseitig mehrere Personen in die Datenverarbeitung involviert, wird unterstellt, dass das zugrunde liegende Schlüsselmanagement ausschließlich diesen Personenkreis erfasst. aa) Anonymisierung – § 3 Abs. 6 BDSG Nach § 3 Abs. 6 BDSG ist Anonymisieren das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. Es ist zu unterscheiden, ob eine Zuordnungsmöglichkeit „nicht mehr“ besteht (1. Alternative) oder faktisch mit einem „unverhältnismäßig großen Aufwand“ (2. Alternative) verbunden ist. (1) Absolute, „echte“ Anonymisierung Eine Zuordnungsmöglichkeit im Sinne der 1. Alternative besteht nicht mehr, wenn ein personenbezogenes Datum durch ein neutrales Kennzeichen irreversibel ersetzt wird und diejenigen Daten, die eine Bestimmbarkeit oder Re-Anonymisierung wieder herbeiführen können, gelöscht werden.592 In der Praxis existieren hierfür sehr unterschiedliche Anonymisierungsmethoden (Ersetzung erfolgt beispielsweise durch allgemeine aggregierte Merkmale 589 Plath / Schreiber,
in: Plath, BDSG, § 3 Rn. 56. Leitfaden Cloud Computing 2010, S. 69; Schmidt-Bens, Cloud Computing Technologien und Datenschutz, S. 74. 591 Stiemerling / Hartung, CR 2012, 60 (62). 592 Dammann, in: Simitis, BDSG, § 3 Rn. 204; Gola / Schomerus, BDSG, § 3 Rn. 44; Splittgerber / Rockstroh, BB 2011, 2179 (2180). 590 BITKOM,
134 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
oder entfällt gänzlich durch Auslassung ersetzender Kennzeichen).593 Ist eine Identifizierung vollständig ausgeschlossen, liegen – sowohl nach dem absoluten als auch nach dem relativen Verständnis des Personenbezugs – keine personenbezogenen Daten mehr vor.594 (2) Faktische, „unechte“ Anonymisierung Nach § 3 Abs. 6 Alt. 2 BDSG liegt eine Anonymisierung trotz theoretisch bestehender Zuordnungsmöglichkeit vor, wenn der Zuordnung ein unverhältnismäßig großer Aufwand an Zeit, Kosten und Arbeitskraft entgegensteht. Von einer derart faktischen Anonymisierung ist auszugehen, wenn eine erneute Datenerhebung mit weniger Aufwand verbunden wäre oder wenn der mit der Wiedererlangung des ursprünglichen Informationsgehalts verbundene Aufwand den Informationswert der Daten so wesentlich übersteigt, dass Zuordnungsversuche vernünftigerweise gar nicht erst unternommen werden.595 Die Umstände der Datenverarbeitungssituation sowie der Stand der Technik sind hierbei objektiv und einzelfallbezogen zu betrachten.596 Aufgrund der Schwierigkeiten, die mit einer einzelfallbezogenen Betrachtung stets verbunden sind, wird gerade bei großen und nicht eindeutig kategorisierbaren Datensätzen aus Gründen der Rechtssicherheit im Zweifel von personenbezogenen Daten auszugehen sein.597 Diese Schwierigkeiten bestehen erst recht, wenn es nach dem objektiven Verständnis des Personenbezugs auf das gesamte, einer speichernden Stelle direkt oder indirekt zur Verfügung stehende Zusatzwissen ankommt und allein hypothetische, die Grenze des Vernünftigen übersteigende Möglichkeiten außen vor bleiben sollen.598 Datenschutzneutrale Verarbeitungsmöglichkeiten werden daher in aller Regel nur bei einem relativen Verständnis des Personenbezugs bestehen. Hiernach ist allein auf die Möglichkeiten der speichernden Stelle (etwa ein 593 Zu den unterschiedlichen Anonymisierungsmethoden siehe Dammann, in: Simitis, BDSG, § 3 Rn. 205 ff. 594 Weichert, in: Däubler / Klebe / Wedde / Weichert, BDSG, § 3 Rn. 49; Plath / Schreiber, in: Plath, BDSG, § 3 Rn. 58; Gola / Schomerus, BDSG, § 3 Rn. 44; Kühling / Seidel / Sivridis, Datenschutzrecht, S. 83; Heckmann, jurisPK-Internetrecht, Kap. 9 Rn. 138 ff. m. w. N.; Stiemerling / Hartung, CR 2012, 60 (63). 595 Kühling / Seidel / Sivridis, Datenschutzrecht, S. 83; Dammann, in: Simitis, BDSG, § 3 Rn. 25. 596 Vgl. Gola / Schomerus, BDSG, § 3 Rn. 44; zum Stand der Technik vgl. unten unter C.III.4.a)bb). 597 Vgl. Heckmann, jurisPK-Internetrecht, Kap. 9 Rn. 140 a. E. 598 Weichert, in: Däubler / Klebe / Wedde / Weichert, BDSG, § 3 Rn. 47; vgl. Heckmann, jurisPK-Internetrecht, Kap. 9 Rn. 140 m. w. N.; vgl. oben unter C.III.2.b)aa).
III. Der Personenbezug von Daten135
Cloud-Storage-Anbieter) anhand des verfügbaren Zusatzwissens abzustellen, sodass eine faktische Anonymität vorliegt, falls eine Re-Anonymisierung einen unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft erfordert.599 (3) Einsatzbereich bei Cloud Computing Der Einsatzbereich von absolut und faktisch anonymisierten Daten ist bei Cloud Computing auf einige wenige Datenverarbeitungsszenarien beschränkt (etwa Weiterverarbeitung anonymisierter Statistiken in einer cloud-basierten Office-Anwendung).600 Meist bedarf es unveränderter Datensätze, um einen Dienst überhaupt sinnvoll nutzen zu können (vor allem bei cloud-basierten Adressbüchern, CRM-Diensten oder der Nutzung von Office-Anwendungen für Kundenschreiben oder Serienbriefe). Auch bei der bloßen Speicherung von Daten in der Cloud sollen Daten den ursprünglichen Informationsgehalt gerade beibehalten (beispielsweise wenn ein Außendienstmitarbeiter die unterwegs bearbeiteten Daten in der Cloud speichert, damit diese von anderen Mitarbeitern des Unternehmens oder von ihm selbst jederzeit und mit dem vollständigen Informationsgehalt weiterverarbeitet werden können).601 bb) Pseudonymisierung und Verschlüsselung (1) Pseudonymisierung – § 3 Abs. 6a BDSG Pseudonymisieren ist das Ersetzen des Namens und anderer Identifika tionsmerkmale durch ein Kennzeichen, um die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren (§ 3 Abs. 6a BDSG). Nach dem allgemeinen Sprachverständnis ist unter „Pseudonym“ das Auftreten unter einem erfundenen Namen, einem Decknamen oder einem Künstlernamen zu verstehen.602 Es lassen sich verschiedene Arten von Pseudonymen, wie selbstgenerierte Pseudonyme oder Referenzpseudonyme, voneinander unterscheiden.603 Im Unterschied zu anonymisierten Daten kann das Pseu 599 Vgl. Gola / Schomerus, BDSG, § 3 Rn. 44; Dammann, in: Simitis, BDSG, § 3 Rn. 196, 200. 600 Vgl. BITKOM, Leitfaden Cloud Computing 2010, S. 69; Schmidt-Bens, Cloud Computing Technologien und Datenschutz, S. 75. 601 Vgl. die oben unter B.V.4.b)dd) dargestellte Synchronhaltung von Dokumenten über die iCloud. 602 Scholz, in: Simitis, BDSG, § 3 Rn. 213 m. w. N.; Kühling / Seidel / Sivridis, Datenschutzrecht, S. 85. 603 Hierzu ausführlich Scholz, in: Simitis, BDSG, § 3 Rn. 220 ff.; Gola / Schomerus, BDSG, § 3 Rn. 47.
136 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
donym jedoch über Referenzdatenbestände oder andere Zuordnungsfunktionen aufgelöst und einer natürlichen Person zugeordnet werden.604 Eine Pseudonymisierung führt daher nicht zu einer absoluten, sondern lediglich zu einer faktischen Anonymität.605 Pseudonymisierte Daten unterfallen somit in der Regel nur bei einem relativem Verständnis des Personenbezugs nicht dem BDSG, sofern Re-Identifizierungsmöglichkeiten anhand von Referenzdatenbeständen oder anderen Zuordnungsfunktionen in einer konkreten Verarbeitungssituation nach dem Stand der Technik auf Seiten der speichernden Stelle unwahrscheinlich oder gänzlich ausgeschlossen sind.606 Im Unterschied zu faktisch anonymisierten Daten soll bei der Verwendung von Pseudonymen jedoch ein erhöhtes Aufdeckungsrisiko bestehen, da sich Angriffe auf die Zuordnungsregel (etwa Brute-Force-Angriffe) oder Verkettungsmöglichkeiten bei Verwendung desselben Pseudonyms in verschiedenen Zusammenhängen meist nicht ausschließen lassen.607 Ist die Zuordnungsfunktion nicht besonders geschützt, soll der Personenbezug von Pseudonymen in den meisten Verarbeitungskonstellationen heutzutage nicht verneint werden können.608 (2) Verschlüsselung von Daten Datenschutzneutrale Verarbeitungsmöglichkeiten werden bei Cloud Computing vor allem in dem Einsatz von reversiblen Verschlüsselungstechniken gesehen, sofern Daten vor dem Transport und der Speicherung in der Cloud durch den Nutzer verschlüsselt werden und bis zum Zeitpunkt der Entschlüsselung (nach Abruf aus der Wolke) weder von dem Cloud-Anbieter noch von einem Dritten ohne erheblichen Aufwand entschlüsselt werden können.609
604 Gola / Schomerus, BDSG, § 3 Rn. 46; Kühling / Seidel / Sivridis, Datenschutzrecht, S. 85; Weichert, in: Däubler / Klebe / Wedde / Weichert, BDSG, § 3 Rn. 51 f.; Scholz, in: Simitis, BDSG, § 3 Rn. 215 m. w. N. 605 Vgl. Kühling / Seidel / Sivridis, Datenschutzrecht, S. 85. 606 Vgl. zuvor unter C.III.4.a)aa)(2); Scholz, in: Simitis, BDSG, § 3 Rn. 217 ff.; Kroschwald, ZD 2014, 75 (77); Hartung / Storm, in: Hilber, Handbuch Cloud Computing, Teil 4 Rn. 28. 607 Scholz, in: Simitis, BDSG, § 3 Rn. 217b; bei Brute-Force-Angriffen wird durch massive Rechenleistung versucht, den passenden „key“ zu ermitteln, Hon / Millard / Walden, Cloud of Unknowing, S. 218 Fn. 75. 608 Scholz, in: Simitis, BDSG, § 3 Rn. 217b, 219c. 609 Vgl. Köhler / Arndt / Fetzer, Recht des Internet, S. 324 Rn. 973 f.; BITKOM, Leitfaden Cloud Computing 2010, S. 69.
III. Der Personenbezug von Daten137
(a) Rechtliche Einordnung reversibler Verschlüsselungstechniken Bei verschlüsselten Daten ist der ursprüngliche Informationsgehalt für die Dauer der Verschlüsselung nicht mehr als Klartext, sondern nur noch als chiffrierter Text vorhanden.610 Hierfür stehen sehr unterschiedliche Verfahren zur Verfügung, die sich grob in symmetrische, asymmetrische und hybride Verschlüsselungssysteme einteilen lassen und die sich vor allem durch die Art und Anzahl an „Schlüsseln“611 unterscheiden, die für Ver- und Entschlüsselung jeweils erforderlich sind. In der Praxis gelangen Verschlüsselungstechniken vor allem bei dem Transport (Transportverschlüsselung) oder der Speicherung von Daten zum Einsatz.612 Rechtlich ist die durch den Einsatz von reversiblen Verschlüsselungstechniken bewirkte Datenveränderung der Anonymisierung und Pseudonymisierung zuzuordnen.613 Allerdings liegt kein Fall der absoluten Anonymität i. S. v. § 3 Abs. 6 Alt. 1 BDSG vor, da der Schlüsselinhaber den Datensatz jederzeit wieder entschlüsseln kann und Daten damit nicht irreversibel verändert werden.614 Aufgrund einer existierenden Zuordnungsregel handelt es sich bei verschlüsselten Datensätzen typischerweise um pseudonymisierte Daten.615 Datenschutzneutrale Verarbeitungsmöglichkeiten bestehen daher vor allem bei einem relativen Verständnis einer Bestimmbarkeit anhand der Kenntnisse und Identifizierungsmöglichkeiten der speichernden Stelle.616 Was bei dem Einsatz von Verschlüsselungstechniken in Bezug auf den ReIdentifizierungsaufwand zu berücksichtigen ist, wird im Folgenden zunächst allgemein und sodann im Lichte der Besonderheiten von Cloud Computing dargestellt.
610 Vgl.
BSI, IT-Grundschutz-Kataloge, 13. EL, 4 (Glossar). Folgenden wird zur Vereinfachung immer auf den „Schlüssel“ abgestellt. Grundsätzlich ist einzelfallbezogen zu differenzieren, welche Art von Verschlüsselung zugrunde liegt und wie viele Schlüssel (public keys, private keys) zur Ver- und Entschlüsselung erforderlich sind. 612 Ausführlich Stiemerling / Hartung, CR 2012, 60 ff.; zu Einsatzbereichen vgl. unten unter C.III.4.a)bb)(2)(c). 613 Stiemerling / Hartung, CR 2012, 60 (63). 614 Kühling / Seidel / Sivridis, Datenschutzrecht, S. 85; Stiemerling / Hartung, CR 2012, 60 (63); irreversible Veränderungen (wie ein Hashing) können zu einer absoluten Anonymität führen. Mit Blick auf „datenschutzneutrale Nutzungsmöglichkeiten“ einer Cloud wird vorliegend von einer Reversibilität ausgegangen. 615 Art.-29-Datenschutzgruppe, WP 136, S. 21. 616 Siehe oben unter C.III.2.b)bb); Spies, MMR-Aktuell 2011, 313727. 611 Im
138 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
(b) Der Re-Identifizierungsaufwand bei Verschlüsselungstechniken (aa) Allgemeines zu dem Re-Identifizierungsaufwand Bei dem Einsatz von Verschlüsselungstechniken ist der Re-Identifizierungsaufwand anhand der Entschlüsselungsmöglichkeiten (vor allem unter Berücksichtigung von Verschlüsselungstechnik, Schlüssellänge, Schlüsselmanagement, Dauer der Verschlüsselung, den Kosten einer Re-Identifizierung sowie dem Stand der Technik) zu beurteilen.617 Da es sich bei Fragen der Kryptografie und allgemeiner Verschlüsselungstechniken um eine komplexe Materie handelt, kann auf einzelne Verschlüsselungsmethoden, Verschlüsselungssysteme oder konkrete Praxisbeispiele vorliegend nicht eingegangen werden. Grundsätzlich ist davon auszugehen, dass sämtliche Verschlüsselungstechniken keinen absoluten Schutz bieten und Entschlüsselungsmöglichkeiten aufgrund des technischen Fortschritts bereits in wenigen Jahren anders zu bewerten sein können. Im Zuge der Auswertung der von Edward Snowden enthüllten Dokumente hat sich ab dem Spätsommer 2013 gezeigt, dass Sicherheitsbehörden wie die US-amerikanische NSA oder das britische GCHQ die meisten gängigen Verschlüsselungssysteme mit massiven Rechenressourcen oder über „Hintertüren“ umgehen können.618 Ob ein Entschlüsselungsaufwand als unverhältnismäßig anzusehen ist, wird sich im Beurteilungszeitpunkt auch nach den aktuellen Sicherheitsempfehlungen richten, wie sie in den IT-Grundschutz-Katalogen des BSI oder in anderen Empfehlungen als „best practice“ enthalten sind.619 Auch das Risiko eines externen Hacking-Angriffs, die Wahrscheinlichkeit einer Schlüsselpreisgabe durch eine Person sowie indirekte Identifizierungsmöglichkeiten (bei einem objektiven Verständnis der Bestimmbarkeit) sind in die Betrachtung einzubeziehen.620 Von einem unverhältnismäßigen Aufwand wird jedenfalls dann nicht mehr auszugehen sein, wenn sich der Schlüssel bereits in den Händen eines unbefugten Dritten befindet oder wenn dieser schon „geknackt“ wurde.621 Daher wird ein erhöhtes Aufdeckungsrisiko auch dann anzunehmen sein, wenn der eingesetzte Algorithmus als nicht besonders sicher gilt. 617 Vgl. Art.-29-Datenschutzgruppe, WP 136, S. 18; Dammann, in: Simitis, BDSG, § 3 Rn. 36; Stiemerling / Hartung, CR 2012, 60 (64); Hon / Millard / Walden, Cloud of Unknowing, S. 218. 618 Vgl. http://www.heise.de/security/meldung/NSA-und-GCHQ-Grossangriff-aufVerschluesselung-im-Internet-1950935.html v. 6.9.2013 (Stand: 1.7.2015). 619 Vgl. etwa BSI, IT-Grundschutz-Kataloge, 13. EL, M 2.46 zu geeignetem Schlüsselmanagement; aus Anbietersicht vgl. BSI, Sicherheitsempfehlungen für Cloud Computing Anbieter, S. 40. 620 Art.-29-Datenschutzgruppe, WP 136, S. 22. 621 Dammann, in: Simitis, BDSG, § 3 Rn. 36.
III. Der Personenbezug von Daten139
Bei mehrjährigen Einsatzszenarien (etwa zwecks Datensicherung oder Aufbewahrung) sind auch die aus dem technologischen Fortschritt resultierenden Identifizierungsmöglichkeiten zu beachten, da gegenwärtig als sicher geltende Verschlüsselungsalgorithmen schon binnen weniger Jahre grundlegend anders zu bewerten sein können.622 Anzumerken ist, dass selbst Anpassungen an den Stand der Technik nur dann Sinn ergeben, wenn der verschlüsselte Datensatz nicht bereits zuvor (als Kopie) in die Hände eines unbefugten Dritten gelangt ist. Anderenfalls würde selbst eine dem technischen Stand entsprechende Neuverschlüsselung in 5 oder 10 Jahren nicht verhindern, dass dieser Dritte sämtliche bereits zu einem früheren Zeitpunkt erlangten Datensätze, die auch technisch eben „nur“ einem früheren Verschlüsselungsstand entsprechen, im Laufe der Zeit mit immer höherer Wahrscheinlichkeit decodieren kann. (bb) D er Re-Identifizierungsaufwand im Lichte von „cloud power“, Datenreplikationen, Snapshots und verteilter Datenverarbeitungen Zentraler Aspekt jeder cloud-spezifischen Bewertung eines Re-Identifizierungsaufwands sind die durch Cloud Computing in beinahe unbegrenztem Umfang, flexibel, bedarfsgerecht und kostengünstig zur Verfügung stehenden Ressourcen. Da „cloud power“ gerade auch zum „Knacken“ verschlüsselter Datensätze (etwa für Brute-Force-Attacken) genutzt werden kann, hat sich durch Cloud Computing gerade das Einzelpersonen zur Verfügung stehende Ressourcen-Potential massiv erhöht.623 Auch ist zu berücksichtigen, dass Datensätze in virtualisierten Umgebungen meist (mehrfach) repliziert werden.624 Bereits auf Seiten des die CloudUmgebung administrierenden Anbieters ist daher an sämtlichen Speicher orten von Zugriffsmöglichkeiten auf (unverschlüsselte oder verschlüsselte) Datensätze auszugehen. Sollten unbefugte Dritte die Zugangsdaten zu einer virtuellen Maschine erlangen, ist nicht auszuschließen, dass diese etwa durch einen Snapshot ein vollständiges Abbild aller Daten und Verzeichnisse anfertigen.625 Unter 622 Vgl. Art.-29-Datenschutzgruppe, WP 136, S. 18; Hansen, DuD 2012, 407 (409); Spies, MMR-Aktuell 2011, 313727; Stiemerling / Hartung, CR 2012, 60 (65); Kroschwald, ZD 2014, 75 (78). 623 Vgl. Hon / Millard / Walden, Cloud of Unknowing, S. 218 Fn. 75; zu BruteForce-Angriffen siehe Fn. 607. 624 Zu der Virtualisierung und der Datenreplikation in dem zugrunde liegenden Storage siehe oben unter B.III.4. 625 Zu Snapshots vgl. oben B.III.4.
140 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
Ausnutzung hochperformanter Datennetze kann dieses Abbild (einschließlich der verschlüsselten Datensätze) meist zügig an einen anderen Ort (etwa zu Entschlüsselungsversuchen) kopiert werden. Auf der anderen Seite kann sich eine verteilte, fragmentierte Speicherung von Daten aber auch als vorteilhaft erweisen, wenn dies die Zusammenführung des gesamten Datensatzes erschwert.626 Eine verteilte Speicherung kann sowohl innerhalb des einer Cloud zugrunde liegenden RessourcenVerbunds als auch beispielsweise in einem hybriden Cloud-Modell erfolgen. Bei letzterem können gerade sensible Daten in einer Private Cloud verbleiben, während andere Daten in einer Public Cloud verarbeitet werden.627 Anerkannte „best practices“ für den Einsatz von Verschlüsselungstechniken – wie regelmäßige Schlüsselwechsel, Beschränkungen des Schlüsseleinsatzes auf einen Einsatzzweck oder eine sichere Aufbewahrung628 – erweisen sich vor allem in wiederkehrenden Speicherungsszenarien als aufwendig. Es besteht ein Risiko, dass Sicherheitsempfehlungen nicht konsequent befolgt werden. Sind mehrere Personen in das Schlüsselmanagement eingebunden, erhöht sich zugleich die Gefahr, dass ein Schlüssel in die Hände unbefugter Dritter gelangt. (cc) E rgebnis zu dem Re-Identifizierungsaufwand bei Verschlüsselungstechniken Jede Sicherheitsbewertung stellt aufgrund des rapiden technologischen Fortschritts immer nur eine Momentaufnahme dar. Neubewertungen können in immer kürzeren Zeitabschnitten erforderlich werden. Zahlreichen verantwortlichen Stellen wird dabei bereits das für die Beurteilung eines ReIdentifizierungsaufwands erforderliche Know-how in aller Regel fehlen. Das massive Ressourcenpotential, das in Public Clouds der allgemeinen Öffentlichkeit bedarfsgerecht, flexibel, kostengünstig und in beinahe unbegrenztem Umfang zur Verfügung steht, setzt bei der Bewertung einer Unverhältnismäßigkeit neue Maßstäbe. Diese (eigenen) Rechenkapazitäten stehen aber beispielsweise auch Cloud-Storage-Anbietern als speichernde Stelle zur Verfügung. In Bezug auf Entschlüsselungsmöglichkeiten wird es daher immer schwieriger, eine Trennlinie zwischen Verhältnismäßigkeit und Unverhältnismäßigkeit zu ziehen. 626 Vgl. Hansen, DuD 2012, 407 (409); BITKOM, Leitfaden Cloud Computing 2010, S. 69. 627 Hansen, DuD 2012, 407 (409); zur Hybrid Cloud siehe oben unter B.VI.3.a). 628 Vgl. BSI, Sicherheitsempfehlungen für Cloud Computing Anbieter, S. 40.
III. Der Personenbezug von Daten141
Ein unverhältnismäßiger Entschlüsselungsaufwand kann jedenfalls nicht auf Dauer angenommen werden. Selbst bei komplexen kryptographischen Verfahren wird im Laufe der Zeit eine Entschlüsselungsmöglichkeit nicht auszuschließen sein. Da aufwendige Verschlüsselungsverfahren gerade bei einer Nutzung über mobile Endgeräte oft nicht in Betracht kommen, greifen Nutzer – wenn überhaupt – meist auf weniger sichere Verschlüsselungsverfahren mit entsprechend reduzierter „Haltbarkeit“ zurück. Zur Gewährleistung eines effektiven und zeitlich unbegrenzten Datenschutzes soll es nicht vertretbar sein, dass die mit zeitlichen Aspekten verbundenen Ungewissheiten einer Entschlüsselungsmöglichkeit zu Lasten eines Betroffenen gehen, zumal regelmäßig Feststellungs- und Beweisschwierigkeiten auftreten, ob ein Aufwand (noch) als unverhältnismäßig anzusehen ist.629 Faktoren wie der Stand der Technik oder die Menge an verfügbaren Cloud-Ressourcen haben auf das zeitliche Verständnis eines effektiven Datenschutzes jedenfalls erheblichen Einfluss und bei dem Einsatz von Verschlüsselungstechniken nicht nur die Maßstäbe modifiziert, die für eine Unverhältnismäßigkeit anzulegen sind, sondern auch die Eintrittswahrscheinlichkeit einer künftigen Entschlüsselungsmöglichkeit (weiter) vorverlagert. In diesem Lichte lassen sich verschlüsselte personenbezogene Daten, wenn überhaupt, nur in immer engeren, zeitlich relativen Beurteilungszeiträumen als nicht-personenbezogen qualifizieren. Zwar bleiben fernliegende Entschlüsselungsmöglichkeiten einer speichernden Stelle hiernach außen vor. Meist werden einer datenschutzneutralen Verarbeitungsmöglichkeit jedoch allgemeine Schwierigkeiten bei der Beurteilung eines Re-Identifizierungsaufwands im Wege stehen. In langfristigen Auslagerungsszenarien sowie bei einem auch hinsichtlich von Entschlüsselungsmöglichkeiten zeitlich absoluten Verständnis eines dauerhaften, unbegrenzten Datenschutzes bestehen daher keine datenschutzneutralen Verarbeitungsmöglichkeiten außerhalb des BDSG. Eine Datenverschlüsselung erhöht aber die allgemeine Datenund Informationssicherheit gegenüber unverschlüsselten Daten (auch in der Anlage zu § 9 BDSG wird auf eine dem technischen Stand entsprechende Verschlüsselungstechnik verwiesen; eine Anwendbarkeit des BDSG und damit ein Personenbezug werden vorausgesetzt).
629 Spies,
MMR-Aktuell, 313727.
142 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
(c) E insatzbereich reversibel verschlüsselter Daten bei Cloud Computing Im Hinblick auf die Herausforderung einer datenschutzneutralen Verarbeitungsmöglichkeit außerhalb des BDSG ist weiterhin zu berücksichtigen, dass durch Verschlüsselungstechniken reversibel veränderte Daten nicht in allen Cloud-Szenarien sinnvoll eingesetzt werden können. (aa) Cloud-Storage Im Falle einer nutzerseitigen Verschlüsselung ist die IaaS-Unterform „Storage as a Service“ (StaaS) von hoher Praxisrelevanz. Hierbei wird lediglich Speicherplatz als „remote storage“ genutzt, ohne dass die Daten anderweitig in der Cloud verarbeitet werden.630 Da Daten für reine Speicherzwecke zu keinem Zeitpunkt in unverschlüsselter Form vorliegen müssen, kann die Verschlüsselung quasi bis zu der nutzerseitigen Dechiffrierung nach „Abruf“ aus der Cloud auch praktisch angewendet werden.631 (bb) Weitergehende Datenverarbeitungszwecke (mit Rechenoperationen) α) Unverschlüsselte Daten im Zeitpunkt der Verarbeitung Wird eine Cloud nicht nur zur bloßen Speicherung von Daten, sondern für weitergehende Datenverarbeitungszwecke genutzt (wie die Auswertung von Datenbeständen oder die Datenveränderung durch Rechenoperationen), werden auch reversibel verschlüsselte Daten zumindest im jeweiligen Verarbeitungszeitpunkt unverschlüsselt vorliegen müssen.632 Gerade bei der Nutzung von CRM-Lösungen oder von Office-Anwendungen aus der Cloud ist das Vorhandensein „lesbarer“ Datensätze grundlegende Voraussetzung für eine sinnvolle Dienstnutzung.633 Der Einsatzbereich von verschlüsselten Daten ist daher vor allem in Cloud-Storage-Zwecken zu sehen, obwohl Cloud Computing der Ansatz zugrunde liegt, sämtliche IT-Nutzungsszenarien – und nicht nur die Speicherung von Daten – in Datenwolken auszulagern. 630 Siehe
oben unter B.V.2.a). BSI, Sicherheitsempfehlungen für Cloud Computing Anbieter, S. 39; Jotzo, Der Schutz personenbezogener Daten in der Cloud, S. 67 f.; Hartung / Storm, in: Hilber, Handbuch Cloud Computing, Teil 4 Rn. 30. 632 Vgl. Stiemerling / Hartung, CR 2012, 60 (62); Köhler / Arndt / Fetzer, Recht des Internet, S. 325 Rn. 975. 633 Vgl. oben unter C.III.4.a)aa)(3). 631 Vgl.
III. Der Personenbezug von Daten143
β) Homomorphe Verschlüsselung Homomorphe Verschlüsselungstechniken sollen es künftig ermöglichen, auch an verschlüsselten Daten Berechnungen durchzuführen.634 So könnten beispielsweise bei Patientendaten die Messwerte von Puls oder Blutdruck verarbeitet werden, ohne dass Datensätze (und damit auch die dort enthaltenen Identifikatoren über einen Patienten) im Zeitpunkt der Verarbeitung entschlüsselt vorliegen müssen.635 Eine voll homomorphe Verschlüsselung hat daher das Potential, den Einsatzbereich von nutzerseitig verschlüsselten Daten gerade auch auf solche Datenverarbeitungsszenarien zu erweitern, die gegenwärtig noch unverschlüsselte, „lesbare“ Daten erfordern. Mitunter werden voll homomorphe Verschlüsselungstechniken daher auch als der „Heilige Gral“ der Kryptographie und der Sicherheit bei Cloud Computing angesehen.636 Ein derartiger Vergleich lässt aber erahnen, dass sich die Suche nach geeigneten Algorithmen für voll homomorphe Berechnungen als nicht einfach darstellt. Gegenwärtig befindet sich die homomorphe Kryptografie noch überwiegend in der experimentellen Phase.637 Beliebige und komplexe Rechenoperationen sind noch nicht möglich und bisher für Addition und Multiplikation entwickelte Algorithmen haben sich als sehr rechenintensiv und damit als langsam und ineffizient erwiesen.638 Homomorphe Verschlüsselungstechniken werden in einem standardisierten Cloud-Umfeld daher erst dann sinnvoll zum Einsatz gelangen können, wenn sowohl eine akzeptable Verarbeitungsgeschwindigkeit als auch komplexe Berechnungen gewährleistet sind. Ob und wann sich diese Verschlüsselungstechniken überhaupt als „massentauglich“ erweisen werden, wird die künftige Entwicklung zeigen. Da sich im Zuge der Enthüllungen von Edward Snowden im Spätsommer 2013 gezeigt hat, dass gerade Geheimdienste die meisten gängigen Verschlüsselungssysteme umgehen können, werden selbst homomorphe Verschlüsselungstechniken immer nur relativ in Bezug 634 Simonite, Sicheres Computing für die Cloud, abrufbar unter http://www.heise. de/tr/artikel/Sicheres-Computing-fuer-die-Cloud-1021071.html v. 16.6.2010 (Stand: 1.7.2015). 635 Simonite / Boeing, Mehr Sicherheit für Datenwolken, abrufbar unter http:// www.heise.de/tr/artikel/Mehr-Sicherheit-fuer-Datenwolken-1324650.html v. 18.8.2011 (Stand: 1.7.2015). 636 Simonite, Sicheres Computing für die Cloud, a. a. O. (Fn. 634); Simonite / Boeing, Mehr Sicherheit für Datenwolken, a. a. O. (Fn. 635), die auf eine Aussage von Lauter, einer Forscherin bei Microsoft, verweisen. 637 Simonite, Sicheres Computing für die Cloud, a. a. O. (Fn. 634); Schmidt-Bens, Cloud Computing Technologien und Datenschutz, S. 74. 638 Simonite, Sicheres Computing für die Cloud, a. a. O. (Fn. 634); Kerschbaum, WI 2011, 129 (130); Hansen, DuD 2012, 407 (409).
144 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
auf den technischen Aufwand einer Entschlüsselungsmöglichkeit als datenschutzkonforme Verarbeitungsmöglichkeit in Betracht kommen.639 (d) Ergebnis zu der Verschlüsselung von Daten Der Einsatzbereich von Verschlüsselungstechniken ist nutzerseitig vor allem in der IaaS-Unterform von Storage-as-a-Service wiederzufinden. Da zahlreiche Nutzungsszenarien einer Cloud (ganz im Sinne von „IT aus der Steckdose“) über bloße Storage-Zwecke aber weit hinausgehen, bedarf es in aller Regel unverschlüsselter Datensätze, um einen Dienst überhaupt sinnvoll nutzen zu können. Derart „lesbare“ Datensätze sind an dem BDSG zu messen, sofern es sich um unverschlüsselte personenbezogene Daten handelt.640 Da sich personenbezogene Daten in den meisten Auslagerungsszenarien in eine Cloud wiederfinden, werden datenschutzrechtliche Anforderungen in der Regel zu beachten sein. cc) Ergebnis zu nutzerseitig veränderten Daten außerhalb der Cloud Mit Blick auf die Herausforderungen eines standardmäßigen Rückgriffs auf Datenwolken und dem hieraus folgenden Bedürfnis nach Verarbeitungsmöglichkeiten außerhalb des Anwendungsbereichs datenschutzrechtlicher Bestimmungen ist bereits der Einsatzbereich von nutzerseitig anonymisierten, pseudonymisierten oder verschlüsselten Daten lediglich auf einige wenige Datenverarbeitungsszenarien begrenzt, die Cloud Computing aber nicht allgemein repräsentieren. Der Einsatz homomorpher Verschlüsselungstechniken ist noch nicht absehbar. Da nach dem absoluten Verständnis der Bestimmbarkeit einer natürlichen Person selbst theoretische Zuordnungsmöglichkeiten von Dritten ausreichen und lediglich rein hypothetische Identifizierungsmöglichkeiten unberücksichtigt bleiben,641 verbleiben Verarbeitungsmöglichkeiten außerhalb des Anwendungsbereichs datenschutzrechtlicher Bestimmungen, wenn überhaupt, nur nach dem relativen Verständnis. Gerade die durch Cloud Computing der Allgemeinheit zur Verfügung stehenden, massiven Ressourcen („cloud power“) können dabei jede Bewertung der unter verhältnismäßigem Aufwand zur Verfügung stehenden Kenntnisse sowie den Re-Identifizierungsaufwand bei dem Einsatz von Verschlüsselungstechniken modifizieren. 639 Zu dem Re-Identifizierungsaufwand und den Möglichkeiten von Sicherheitsbehörden siehe oben unter C.III.4.a)bb)(2)(b). 640 Vgl. Köhler / Arndt / Fetzer, Recht des Internet, S. 325 Rn. 975; zum Personenbezug siehe oben unter C.III.2. 641 Siehe oben unter C.III.2.b)aa).
III. Der Personenbezug von Daten145
b) Verschlüsselung in der Cloud Bisher wurde von einer nutzerseitigen Verschlüsselungsmöglichkeit außerhalb der Cloud ausgegangen. Die Verschlüsselung kann aber auch erst in der Cloud erfolgen. So werden Daten beispielsweise von Cloud-Anbietern – in der Regel aufgrund interner Datensicherheitsvorschriften oder aufgrund der Voreinstellungen einer eingesetzten Virtualisierungslösung – zum Transport innerhalb der Cloud-Infrastruktur oder zur Speicherung in den StorageClustern verschlüsselt.642 Diese Verschlüsselung erfolgt unabhängig davon, ob ein Nutzer unverschlüsselte oder bereits verschlüsselte Datensätze in die Cloud transferiert hat. In diesen Fällen hat allein der Anbieter (oder ein eingeschalteter Subunternehmer) Kenntnis von dem Schlüssel. Er kann die Daten jederzeit entschlüsseln, insbesondere wenn der Nutzer mit der Dienstnutzung einen Datenverarbeitungsprozess initiiert. Aus Sicht eines Nutzers bestehen daher im Fall der Verschlüsselung in der Cloud keine datenschutzneutralen Verarbeitungsmöglichkeiten außerhalb des sachlichen Anwendungsbereichs des BDSG, da bereits der Transfer unverschlüsselter personenbezogener Daten in die Cloud an dem BDSG zu messen ist. 5. Lösungsmöglichkeiten – Überlegungen zu einem künftigen Rechtsrahmen Personenbezogene Daten sind allgegenwärtig. Vor der Nutzung einer IaaS-, PaaS- oder SaaS-Leistung wird diese Datenkategorie gerade bei großen, ungeprüften Datenbeständen anzunehmen sein. Der hohen Praxisrelevanz wird ein künftiger Rechtsrahmen vor allem durch Aspekte von „privacy by design“643 Rechnung tragen müssen, um zeitintensive Prüfungen zu vermeiden. Idealerweise werden datenschutzrechtliche Compliance-Anforderungen eines Nutzers bereits bei der Konzeption einer Leistung berücksichtigt, sodass es fast schon dahinstehen kann, wie „weit“ ein Personenbezug zu verstehen ist. In Zeiten einer gestiegenen datenschutzrechtlichen Sensibilisierung von Nutzern kann sich dies unter Vertrauensgesichtspunkten als Wettbewerbsvorteil erweisen. Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen finden sich auch in Art. 23 DS-GVO-E wieder. Adressiert wird der für die Verarbeitung Verantwortliche, da – nach der Grundkonzeption des Datenschutzrechts – einer Verpflichtung von Anbietern, die Daten nicht als ver642 Vgl. Hansen, DuD 2012, 407 (410), wonach Apple trotz verschlüsselter Speicherung in der iCloud auf Daten zugreifen kann, sofern die Schlüsselkontrolle bei Apple verbleibt. 643 Vgl. hierzu grundlegend Schulz, CR 2012, 204 ff.
146 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
antwortliche Stelle verarbeiten, nicht nur kollidierende Grundrechte aus Art. 12 GG und Art. 14 GG entgegenstehen können, sondern sich gerade auch technologische (Weiter-)Entwicklungen nur schwer prognostizieren lassen.644 Datenschutzfreundliche Verarbeitungs- und Nutzungsmöglichkeiten sind in standardisierten Datenverarbeitungsszenarien jedoch von Anbietern zu implementieren. Daher kommt einer freiwilligen Implementation – etwa als Wettbewerbsvorteil gegenüber Mitbewerbern – eine hohe Bedeutung zu. Dies setzt aber grundlegend voraus, dass der vorhandene, klassischen IT-Outsourcing-Zeiten entstammende Rechtsrahmen novelliert wird, damit er sich in modernen Datenverarbeitungsszenarien auch als praktisch handhabbar erweist. Aus Gründen einer Technologieneutralität muss ein Rechtsrahmen zugleich ein Abstraktionsniveau aufweisen, das einem immer rascheren Wandel (wie der Stand der Technik bei Verschlüsselungsmöglichkeiten) standhält, der nicht zuletzt aufgrund der durch Cloud Computing verfügbaren Ressourcen als „cloud power“ weiter beschleunigt wird. Um dem Potential von „IT as a Service“ mit datenschutzfreundlichen Verarbeitungs- und Nutzungsmöglichkeiten gerecht zu werden, kann es sich weiterhin anbieten, in Bezug auf personenbezogene Daten – entsprechend der Unterscheidung von besonderen Arten personenbezogener Daten (vgl. § 3 Abs. 9 BDSG) – weiter zu differenzieren. Strenge Maßstäbe könnten etwa für Arbeitnehmerdaten oder für besondere Datensätze der öffentlichen Verwaltung gelten. Für Speicherzwecke könnten dagegen erleichterte Maßstäbe bei dem Einsatz bestimmter Verschlüsselungsverfahren anzulegen sein.645 Auch in Bezug auf den Nutzerkreis könnte zwischen Unternehmen, der öffentlichen Verwaltung und sonstigen Stellen weiter differenziert werden. Anbietern kann dies die Möglichkeit eröffnen, sich auf spezifische Compliance-Anforderungen zu spezialisieren. Ein weites, absolutes Verständnis eines Personenbezugs könnte überdies dort eingegrenzt werden, wo Betroffenenrechte nicht berührt werden. Die Definition personenbezogener Daten wäre hiernach auf realistische Zusammenführungszwecke zu begrenzen.646 Aus Sicht von Infrastruktur-Anbietern besteht das Bedürfnis, dass die serverseitig als Nutzungsdaten standardmäßig protokollierten IP-Adressen nur bei realistischen Zusammenführungszwecken als personenbezogen zu behandeln sind. In Zeiten, in denen derartige Datensätze immer weiter zuSchulz, CR 2012, 204 (207). diese Richtung gehen auch Kühling / Biendl, CR 2014, 150 (155 f.), die für die Einführung einer Kategorie „verschlüsselter Daten“ plädieren, die – bei entsprechend robuster Verschlüsselung – für Dritte als anonym und damit datenschutzrechtlich als privilegiert behandelt werden könnten. 646 Hon / Millard / Walden, Cloud of Unknowing, S. 228. 644 Ausführlich 645 In
IV. Internationale Datentransfers147
nehmen, bedarf es einer angemessenen, differenzierenden und praktikablen Betrachtung. Bereits dargestellte Entwicklungen im Zuge der EU-Datenschutzreform, wonach Kennnummern nicht zwangsläufig und unter allen Umständen als personenbezogene Daten zu qualifizieren sind (Erwägungsgrund 24 DS-GVO-E),647 sind nicht zuletzt mit Blick auf die Wettbewerbsinteressen europäischer Anbieter gegenüber Drittlandsanbietern ein Schritt in die richtige Richtung.
IV. Internationale Datentransfers 1. Einleitung – Globale Datenwolken und Datenströme in einem digitalen Zeitalter Der internationale Datenverkehr ist eine unmittelbare Folge der Globalisierung und weltweiten technologischen Entwicklung.648 In einem digitalen Zeitalter bilden globale Datenströme das technische Rückgrat einer globalisierten Weltwirtschaft. Datentransfers an Empfänger in New York, San Francisco, Rio de Janeiro, Tokio, Peking, Shanghai, Singapur oder Johannesburg sind digitaler Alltag. Datenverarbeitungen in globalen Clouds machen hierbei weder an deutschen noch an europäischen Grenzen halt.649 Eine hohe Praxisrelevanz von „cross border transfers“ an Destinationen in den USA folgt aus der allgegenwärtigen Präsenz und Marktdominanz von US-Cloud-Anbietern. Weltweite Größen der IT-Branche (wie Amazon, Apple, Facebook, Google, Microsoft oder salesforce.com) unterhalten neben dem Unternehmenssitz zahlreiche Rechenzentren auf US-Territorium.650 Da breitbandige Datennetze den konkreten Ort einer Datenverarbeitung zunehmend in den Hintergrund treten lassen,651 können in Frankfurt oder London erhobene Daten in einem nie zuvor dagewesenen Umfang gerade auch in den USA gespeichert werden, um von anderen Nutzern in Europa oder Asien weiterverarbeitet zu werden. Kurze Übertragungswege mit niedrigen Paketlaufzeiten sind meist nur noch bei latenzkritischen Datenübertragungen von Bedeutung. Technische Gründe, die gegen eine Datenverarbeitung außerhalb von EU und EWR sprechen, nehmen fortschreitend ab. Ob sich die einer Cloud zugrunde liegende Infrastruktur daher in den USA oder in Eu647 Siehe
oben unter C.III.2.b)dd). RDV 2000, 212; grundlegend Ellger, Datenschutz im grenzüberschreitenden Datenverkehr, S. 53 ff. 649 Vgl. BfDI, 23. TB, S. 63; Reding, ZD 2012, 195 (196). 650 Niemann / Hennrich, CR 2010, 686 (687); Plath, in: Plath, BDSG, § 11 Rn. 52; vgl. Scholz, in: Simitis, BDSG, § 3a Rn. 12a. 651 Siehe hierzu oben unter B.II.1. 648 Klug,
148 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
ropa befindet, macht für die meisten alltäglichen Nutzungsszenarien aus technischer Sicht (fast) keinen Unterschied mehr. Aus politischen Ländergrenzen und nationalen Rechtsordnungen folgt allerdings ein Unterschied rechtlicher Natur. Mit der Zulässigkeit interna tionaler Datenverarbeitungsszenarien sind in der Datenschutzpraxis daher regelmäßig Herausforderungen verbunden. Exemplarisch hierzu verweist der Hessische Datenschutzbeauftragte in dem Tätigkeitsbericht für das Jahr 2012 auf arbeitsintensive und sehr komplexe Fragestellungen auf dem Gebiet des internationalen Datenverkehrs und sieht gerade auf Seiten von Unternehmen einen erheblichen Beratungsbedarf.652 Er hält fest, dass die Beurteilung der Zulässigkeit einer Datenverarbeitung an einer außereuro päischen Destination oftmals aufwendiger Ermittlungen bedarf und zudem „mit technischen Fragen, wie etwa dem Thema Cloud Computing, verbunden“ sei.653 Hierzu wiederum verweist beispielsweise die Art.-29-Datenschutzgruppe in ihrer Stellungnahme zu Cloud Computing auf den Aspekt eines regelmäßig fehlenden festen Datenverarbeitungsstandorts sowie auf das diesbezüglich zumindest „in Echtzeit“ nur selten vorhandene Wissen eines Nutzers.654 Bereits dies zeigt, dass die im Rahmen des anwendbaren Datenschutzrechts erörterten Herausforderungen (verteiltes, IT-System- und standortübergreifendes Rechnen sowie intransparente Anbieterinformationen) auch bei internationalen Datentransfers von Bedeutung sind und diejenigen Herausforderungen ergänzen, die Cloud Computing an den Rechtsrahmen für internationale Datentransfers im Übrigen enthält.655 Insoweit stellt sich die Frage, inwieweit der gegenwärtige Rechtsrahmen für internationale Datentransfers den Herausforderungen eines globalisierten, digitalen und von Datenwolken durchzogenen Zeitalters überhaupt gewachsen ist. 2. Der allgemeine Rechtsrahmen für internationale Datentransfers (§§ 4b, 4c BDSG) Während sich § 1 Abs. 5 BDSG mit der kollisionsrechtlichen Vorfrage befasst, ob das BDSG überhaupt anzuwenden ist, finden sich im Fall der Anwendbarkeit und bei Nicht-Eingreifen vorrangiger, bereichsspezifischer656 652 HessDSB,
41. TB, S. 33. 41. TB, S. 33. 654 Art.-29-Datenschutzgruppe, WP 196, S. 21. 655 Zu Herausforderungen an das anzuwendende Datenschutzrecht siehe oben unter C.II.3. 656 Sektorspezifische und nach § 1 Abs. 3 S. 1 BDSG vorrangige Regelungen sind etwa § 35 SGB I, § 77 SGB X für Sozialdaten oder § 92 TKG, vgl. Gabel, in: Taeger / Gabel, § 4b Rn. 7; Kazemi / Leopold, Datenschutzrecht in der anwaltlichen Beratung, S. 399 f. Rn. 884. 653 HessDSB,
IV. Internationale Datentransfers149
Normen die Regelungen für die Zulässigkeit der Übermittlung personenbezogener Daten in das Ausland in §§ 4b, 4c BDSG wieder.657 Datenverarbeitungen durch Cloud-Anbieter (oder durch weitere Unteranbieter) im inner- und außereuropäischen Raum sind daher grundsätzlich an diesem Rechtsrahmen zu messen.658 An Datentransfers im innereuropäischen Raum werden dabei keine weiteren Anforderungen geknüpft. Die im Rahmen eines Regel-Ausnahme-Verhältnisses enthaltenen besonderen Anforderungen für Datenübermittlungen an Destinationen außerhalb von EU und EWR (sog. „Drittstaatentransfers“) treten als zusätzliche Anforderungen neben die allgemeinen Anforderungen der jeweiligen Rechtsgrundlage für eine Datenübermittlung.659 a) Freier Datenverkehr im Anwendungsbereich des EU-Rechts (§ 4b Abs. 1 BDSG) Noch kein Drittstaatentransfer liegt in den Fällen des § 4b Abs. 1 BDSG vor. Dieser regelt im Anwendungsbereich des Rechts der Europäischen Gemeinschaften die von der EG-Datenschutz-Richtlinie erfassten Datenübermittlungen innerhalb von EU und EWR sowie an Organe und Einrichtungen der Europäischen Gemeinschaften.660 Aufgrund des von der Richtlinie bezweckten freien Datenverkehrs und des harmonisierten Datenschutzniveaus unterliegen diese Datenübermittlungen grundsätzlich keinen weiteren Anforderungen.661 Wie bei inländischen Datenübermittlungen ist die Zulässigkeit allein nach den Erlaubnistatbeständen des BDSG (insbesondere §§ 28 bis 30a BDSG) oder den entsprechenden Normen in bereichsspezifischen Sonderreglungen zu beurteilen.662
657 Gabel,
in: Taeger / Gabel, § 4b Rn. 8. Technik und Medien der DSK, Orientierungshilfe Cloud Computing, S. 14; vgl. Schantz, in: Wolff / Brink, Datenschutzrecht, § 4b Rn. 1. 659 Gabel, in: Taeger / Gabel, § 4b Rn. 1, 9; Arbeitskreise Technik und Medien der DSK, Orientierungshilfe Cloud Computing, S. 14; Kazemi / Leopold, Datenschutzrecht in der anwaltlichen Beratung, S. 400 Rn. 884; vgl. Düsseldorfer Kreis, Beschluss v. 11. / 12.9.2013. 660 Nach Inkrafttreten des Vertrags von Lissabon (Abl.EU v. 17.12.2007, 2007 / C 306 / 01; konsolidierte Fassungen Abl.EU v. 30.3.2010, 2010 / C 83 / 01 und 2010 / C 84 / 01) ist das „Recht der Europäischen Gemeinschaften“ vorzugsweise als dynamischer Verweis auf den jeweils geltenden Stand des EU-Rechts zu verstehen, zu der Auslegungsfrage vgl. Kazemi / Leopold, Datenschutzrecht in der anwaltlichen Beratung, S. 401 f. Rn. 887; Kühling / Seidel / Sivridis, Datenschutzrecht, S. 129. 661 Vgl. Gola / Schomerus, BDSG, § 4b Rn. 2; Gabel, in: Taeger / Gabel, § 4b Rn. 10. 662 Gola / Schomerus, BDSG, § 4b Rn. 3. 658 Arbeitskreise
150 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
b) Grundsätzliches Übermittlungsverbot bei Drittstaatentransfers (§ 4b Abs. 2 S. 2 BDSG) Nach § 4b Abs. 2 S. 1 BDSG gilt Absatz 1 zunächst entsprechend für Datenübermittlungen an die dort genannten Stellen im Rahmen von Tätigkeiten außerhalb des Rechts der Europäischen Gemeinschaften und der EG-Datenschutz-Richtlinie. Mit „Datenübermittlungen an sonstige ausländische oder über- und zwischenstaatliche Stellen“ erfasst diese Vorschrift aber auch die internationalen Datentransfers in Staaten außerhalb von EU und EWR. Zur Sicherung des in Deutschland und dem innereuropäischen Raum existierenden Datenschutzniveaus enthält § 4b Abs. 2 S. 2 BDSG den Grundsatz, dass eine Übermittlung zu unterbleiben hat, soweit der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat. Ein derart schutzwürdiges Betroffeneninteresse ist insbesondere dann anzunehmen, wenn bei einer ausländischen Stelle ein angemessenes Datenschutzniveau nicht gewährleistet ist. c) Die Angemessenheit des Datenschutzniveaus (§ 4b Abs. 3 BDSG) Nach § 4b Abs. 3 BDSG ist die Angemessenheit des Schutzniveaus unter Berücksichtigung aller Umstände zu beurteilen, die bei einer Datenübermittlung von Bedeutung sind.663 In Übernahme der Kriterien aus Art. 25 Abs. 2 EG-Datenschutz-Richtlinie sollen bei dieser Beurteilung insbesondere die Art der Daten, die Zweckbestimmung, die Dauer der geplanten Verarbeitung, das Herkunfts- und Endbestimmungsland, die für den betreffenden Empfänger geltenden Rechtsnormen sowie für ihn geltende Standesregeln und Sicherheitsmaßnahmen herangezogen werden (vgl. § 4b Abs. 3 BDSG).664 Die Verantwortung für die Zulässigkeit der Übermittlung trägt dabei die übermittelnde Stelle (vgl. § 4b Abs. 5 BDSG). Aufgrund ihrer Kenntnisse von den Umständen und Hintergründen soll sie eine Datenübermittlung grundsätzlich am besten einschätzen und bewerten können.665 Der übermittelnden Stelle obliegt es daher, sowohl die Einhaltung der allgemeinen Voraussetzungen einer Datenübermittlung als auch das Vorliegen eines angemessenen Schutzniveaus zu beurteilen.666 Von einem angemessenen Schutzniveau auf Seiten eines Datenempfängers ist regelmäßig auszugehen, wenn den Grundsätzen der EG-Datenschutz663 Vgl.
auch Erwägungsgrund 56 EG-Datenschutz-Richtlinie. S. 34; Gabel, in: Taeger / Gabel, § 4b Rn. 21; Gola / Schomerus, BDSG, § 4b Rn. 10; Scheja / Haag, in: Leupold / Glossner, IT-Recht, Teil 5 Rn. 205; Erd, DuD 2011, 275 (276). 665 Simitis, in: Simitis, BDSG, § 4b Rn. 89; Gola / Schomerus, BDSG, § 4b Rn. 18. 666 Gola / Schomerus, BDSG, § 4b Rn. 18; Simitis, in: Simitis, BDSG, § 4b Rn. 91. 664 BT-Drs. 14 / 4329,
IV. Internationale Datentransfers151
Richtlinie im Wesentlichen entsprochen wird.667 Ein identisches oder gleichwertiges Schutzniveau setzt der Begriff eines „angemessenen“ Schutzniveaus allerdings nicht voraus.668 Eine begriffliche Beurteilungshilfe bietet ein Arbeitspapier der Art.-29-Datenschutzgruppe zur Anwendung von Art. 25 und Art. 26 der EG-Datenschutz-Richtlinie.669 Da es sich hierbei um die korrespondierenden Normen zu §§ 4b, 4c BDSG handelt, kann das Arbeitspapier entsprechend herangezogen werden. d) Angemessenheitsentscheidung der Kommission Ein angemessenes Datenschutzniveau kann für ein Drittland auch von der Kommission (auf Grundlage von Art. 25 Abs. 6 EG-Datenschutz-Richtlinie und nach dem Verfahren gemäß Art. 31 Abs. 2 EG-Datenschutz-Richtlinie) für alle Mitgliedstaaten verbindlich festgestellt werden.670 Der Adäquanz entscheidung liegen umfassende materielle und verfahrensrechtliche Bewertungen der innerstaatlichen Rechtsvorschriften und internationalen Verpflichtungen des jeweiligen Drittlands zugrunde.671 Bisher folgte die Kommission dabei stets den jeweils vorausgegangenen Bewertungen der Art.-29-Datenschutzgruppe.672 Ein angemessenes Datenschutzniveau wurde hiernach für Andorra,673 Argentinien,674 die Färöer,675 Guernsey,676 die Isle 667 Gabel,
in: Taeger / Gabel, § 4b Rn. 21. in: Taeger / Gabel, § 4b Rn. 21. 669 Scheja / Haag, in: Leupold / Glossner, IT-Recht, Teil 5 Rn. 205; Art.-29-Datenschutzgruppe, WP 12. 670 Gola / Schomerus, BDSG, § 4b Rn. 14; a. A. Simitis, in: Simitis, BDSG, § 4b Rn. 66, der die „Angemessenheitsliste“ als Entscheidungshilfe und nicht als Entscheidungsersatz versteht, da eine übermittelnde Stelle grundsätzlich die Besonderheiten des Einzelfalls zu berücksichtigen habe. 671 Heckmann, in: Hill / Schliesky, Innovationen im und durch Recht, S. 97 (108). 672 Simitis, in: Simitis, BDSG, § 4b Rn. 65. 673 Beschluss der Kommission v. 19.10.2010 gemäß der Richtlinie 95 / 46 / EG des Europäischen Parlaments und des Rates über die Angemessenheit des Datenschutzniveaus in Andorra (2010 / 625 / EU, Abl.EU L 277 v. 21.10.2010, S. 27 ff.). 674 Entscheidung der Kommission v. 30.6.2003 gemäß der Richtlinie 95 / 46 / EG des Europäischen Parlaments und des Rates über die Angemessenheit des Datenschutzniveaus in Argentinien (2003 / 490 / EG, Abl.EU L 168 v. 5.7.2003, S. 19 ff.). 675 Beschluss der Kommission v. 5.3.2010 gemäß der Richtlinie 95 / 46 / EG des Europäischen Parlaments und des Rates über die Angemessenheit des Schutzniveaus, den das färöische Gesetz über die Verarbeitung personenbezogener Daten bietet (2010 / 146 / EU, ABl.EU L 58 v. 9.3.2010, S. 17 ff.). 676 Entscheidung der Kommission v. 21.11.2003 über die Angemessenheit des Schutzes personenbezogener Daten in Guernsey (2003 / 821 / EG, ABl.EU L 308 v. 25.11.2003, S. 27 f.). 668 Gabel,
152 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
of Man,677 Israel,678 Jersey,679 Kanada,680 Neuseeland,681 die Schweiz682 sowie für Uruguay683 festgestellt.684 Daneben existieren Abkommen der EU mit Australien und den USA zur Verarbeitung von personenbezogenen Daten, die in Fluggastdatensätzen (Passenger Name Records, PNR) enthalten sind.685 Zum Aufspüren der Finanzierung des Terrorismus dürfen US-Behörden zudem nach Maßgabe des SWIFT-Abkommens auf Zahlungsverkehrsdaten zugreifen.686 Mit den USA wurde überdies die Sonderregelung der 677 Entscheidung der Kommission v. 28.4.2004 über die Angemessenheit des Schutzes personenbezogener Daten auf der Insel Man (2004 / 411 / EG, ABl.EU L 151 v. 30.4.2004, S. 51 ff.); Berichtigung der Entscheidung 2004 / 411 / EG der Kommission v. 28.4.2004 über die Angemessenheit des Schutzes personenbezogener Daten auf der Insel Man (ABl.EU L 208 v. 10.6.2004, S. 47 f.). 678 Beschluss der Kommission v. 31.1.2011 gemäß der Richtlinie 95 / 46 / EG des Europäischen Parlaments und des Rates über die Angemessenheit des Datenschutzniveaus im Staat Israel im Hinblick auf die automatisierte Verarbeitung personenbezogener Daten (2011 / 61 / EU, ABl.EU L 27 v. 1.2.2011, S. 39 ff.). 679 Beschluss der Kommission v. 8.5.2008 gemäß der Richtlinie 95 / 46 / EG des Europäischen Parlaments und des Rates über die Angemessenheit des Datenschutzniveaus in Jersey (2008 / 393 / EG, ABl.EU L 138 v. 28.5.2008, S. 21 ff.). 680 Entscheidung der Kommission v. 20.12.2001 gemäß der Richtlinie 95 / 46 / EG des Europäischen Parlaments und des Rates über die Angemessenheit des Datenschutzes, den das kanadische Personal Information Protection and Electronic Documents Act bietet (2002 / 2 / EG, ABl.EG L 2 v. 4.1.2002, S. 13 ff.); Entscheidung der Kommission v. 6.9.2005 über die Angemessenheit des Schutzes der personenbezogenen Daten, die in den Passenger Name Records enthalten sind, welche der Canada Border Services Agency übermittelt werden (2006 / 253 / EG, ABl.EU L 91 v. 29.3.2006, S. 49 ff.). 681 Durchführungsbeschluss der Kommission v. 19.12.2012 gemäß der Richtlinie 95 / 46 / EG des Europäischen Parlaments und des Rates über die Angemessenheit des Datenschutzniveaus in Neuseeland (2013 / 65 / EU, ABl.EU L 28 / 12 v. 30.1.2013, S. 12 ff.). 682 Entscheidung der Kommission v. 26.7.2000 gemäß der Richtlinie 95 / 46 / EG des Europäischen Parlaments und des Rates über die Angemessenheit des Schutzes personenbezogener Daten in der Schweiz (2000 / 518 / EG, ABl.EG L 215 v. 25.8.2000, S. 1 ff.). 683 Durchführungsbeschluss der Kommission v. 21.08.2012 gemäß der Richtlinie 95 / 46 / EG des Europäischen Parlaments und des Rates über die Angemessenheit des Datenschutzniveaus in der Republik Östlich des Uruguay im Hinblick auf die automatisierte Verarbeitung personenbezogener Daten (2012 / 484 / EU, ABl.EU L 227 v. 23.08.2012, S. 11 ff.). 684 Sämtliche Feststellungen der Kommission – einschließlich der mit Australien und den USA getroffenen Abkommen zur Verarbeitung von PNR-Datensätzen und der Abkommen mit den USA zu Safe Harbor und SWIFT sind abrufbar unter: http:// ec.europa.eu/justice/data-protection/document/international-transfers/adequacy/index _en.htm (Stand: 1.7.2015). 685 Siehe Fn. 684. Für Kanada siehe bereits Fn. 680 zu PNR-Datensätzen. 686 Abkommen zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verarbeitung von Zahlungsverkehrsdaten und deren Übermitt-
IV. Internationale Datentransfers153
„Safe-Harbor-Vereinbarung“ getroffen, die aufgrund der hohen Praxisrelevanz gerade bei Cloud Computing sowie einer beständigen Kritik in einem eigenen Abschnitt noch gesondert erörtert wird.687 e) Ausnahmetatbestände nach § 4c BDSG § 4c BDSG enthält gesetzliche Ausnahmetatbestände, die eine Datenübermittlung in ein Drittland rechtfertigen können, auch wenn kein angemessenes Schutzniveau festgestellt wurde. Der in Absatz 1 enthaltene Katalog an Ausnahmetatbeständen (insbesondere die Einwilligung nach § 4c Abs. 1 Nr. 1 BDSG) wird bei Cloud Computing in der Konstellation des Rückgriffs auf einen Cloud-Anbieter in aller Regel nicht in Betracht kommen.688 Von besonderer Praxisrelevanz ist aber die in § 4c Abs. 2 BDSG vorgesehene Möglichkeit, einzelne Übermittlungen oder bestimmte Arten von Übermittlungen personenbezogener Daten von der zuständigen Aufsichtsbehörde genehmigen zu lassen.689 Die verantwortliche Stelle hat dabei ausreichende Garantien zum Schutz des Persönlichkeitsrechts vorzuweisen, die sich insbesondere aus Vertragsklauseln oder verbindlichen Unternehmensregelungen ergeben können (§ 4c Abs. 2 S. 1 BDSG a. E.). Im Kontext der jeweiligen cloud-spezifischen Bewertung werden die als Vertragsklauseln besonders praxisrelevanten EU-Standardvertragsklauseln sowie verbindliche Unternehmensregelungen noch näher dargestellt.690 3. Herausforderungen von Cloud Computing an den Rechtsrahmen für internationale Datentransfers Der dargestellte Rechtsrahmen trifft bei Cloud Computing – entsprechend zu den diesbezüglichen Erörterungen im Rahmen des anzuwendenden Datenschutzrechts – zunächst auf die Herausforderung der Bestimmung einer Empfangsdestination in grenzüberschreitenden Datenverarbeitungsszenarien. Im Anschluss hieran werden die Herausforderungen von flexiblen und bedarfsgerechten Nutzungsszenarien an Vertragsklauseln als ausreichende lung aus der Europäischen Union an die Vereinigten Staaten von Amerika für die Zwecke des Programms zum Aufspüren der Finanzierung des Terrorismus (ABl.EU L 195 v. 27.7.2010, S. 5 ff.). 687 Ausführlich zu Safe Harbor siehe unten unter C.IV.3.d)aa). 688 Reindl, in: Taeger / Wiebe, Inside the Cloud, S. 447; Schmidt-Bens, Cloud Computing Technologien und Datenschutz, S. 58; Brennscheidt, Cloud Computing und Datenschutz, S. 168; zu den Ausnahmetatbeständen der DS-GVO-E Hornung / Sädtler, CR 2012, 638 (643). 689 Vgl. Schmidt-Bens, Cloud Computing Technologien und Datenschutz, S. 58. 690 Siehe unten unter C.IV.3.b)bb)(1) sowie unter C.IV.3.b)cc)(1).
154 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
Garantien eines angemessenen Schutzniveaus, von globalen Unterauftragsverhältnissen sowie von transatlantischen Datentransfers in die USA auf Basis der „Safe-Harbor-Vereinbarung“ erörtert. a) Die Herausforderung der Bestimmung einer Empfangsdestination und deren territoriale Zuordnung bei grenzüberschreitenden Datenverarbeitungsszenarien Nach dem zuvor skizzierten Rechtsrahmen setzen sowohl die erste Weichenstellung, ob eine inner- oder außereuropäische Datenübermittlung vorliegt, als auch (im Fall eines internationalen Datentransfers) die Beurteilung eines angemessenen Datenschutzniveaus oder das Vorliegen einer Adäquanz entscheidung der Kommission voraus, dass sich die Empfangsdestination feststellen und einem Staatsgebiet zuordnen lässt. Maßgeblicher Anknüpfungspunkt ist hierbei der Ort der Datenverarbeitung und nicht die Nationalität oder der Sitz eines datenverarbeitenden Unternehmens.691 Bereits im Rahmen des anzuwendenden Datenschutzrechts hat es sich gezeigt, dass die Feststellung des konkreten Datenverarbeitungsortes in verteilten Verarbeitungsszenarien mit Schwierigkeiten verbunden sein kann.692 Derartige Verarbeitungsszenarien zählen auch im Rahmen der internationalen Datentransfers zu den zentralen Herausforderungen an den hierfür geltenden Rechtsrahmen. So hebt beispielsweise der Berliner Beauftragte für Datenschutz und Informationsfreiheit hervor, dass sich eine verantwortliche Stelle davon überzeugen können muss, dass eine Datenverarbeitung nicht in einem Drittland ohne angemessenes Datenschutzniveau (wie USA, China oder Japan) erfolgt, auch wenn dies die Ortsunabhängigkeit von Cloud Computing beschränke.693 Fehlende feste Datenverarbeitungsstandorte sowie ein diesbezüglich „in Echtzeit“ nur selten vorhandenes Wissen eines Nutzers sieht auch die Art.-29-Datenschutzgruppe in ihrer Stellungnahme zu Cloud Computing, wie bereits einleitend erwähnt, als problematisch in Bezug auf internationale Datenübermittlungen.694 Zu Fragen der territorialen Zuordnung einer Datenverarbeitung können die Erörterungen im Rahmen des anzuwendenden Datenschutzrechts entsprechend herangezogen werden.695 Auch für internationale Datentransfers erscheint es dabei als ausreichend, wenn anhand der verfügbaren AnbieterSimitis, in: Simitis, BDSG, § 4b Rn. 9. hierzu oben unter C.II.3.a). 693 BlnBDI, JB 2008, S. 16, 17; vgl. Niemann / Hennrich, CR 2010, 686 (687 f.). 694 Art.-29-Datenschutzgruppe, WP 196, S. 21; siehe oben unter C.IV.1. 695 Siehe oben unter C.II.3.a). 691 Vgl.
692 Siehe
IV. Internationale Datentransfers155
informationen die Zuordnung zu einem Staatsgebiet zumindest unter Zugrundelegung einer höheren Abstraktionsebene möglich ist. b) Flexible und bedarfsgerechte Nutzungsszenarien als Herausforderung an Vertragsklauseln als ausreichende Garantien eines angemessenen Schutzniveaus aa) Charakteristika dieser Herausforderung Im Unterschied zu konventionellen IT-Outsourcing-Szenarien begegnet Cloud Computing dem gegenwärtigen Rechtsrahmen mit bedarfsgerechten Nutzungsszenarien und flexiblen Abrechnungsmodellen. In seiner Idealform erfordert das Konzept von „IT as a Service“ daher auch in Drittlandskonstellationen einfach handhabbare Rechtsinstrumente zur Gewährleistung ausreichender Garantien für ein angemessenes Datenschutzniveau. Im Fokus der folgenden Bewertung stehen insoweit die praxisrelevanten EU-Standardvertragsklauseln sowie verbindliche Unternehmensregelungen (vgl. § 4c Abs. 2 S. 1 BDSG a. E.). bb) EU-Standardvertragsklauseln (1) R echtsrahmen – Kennzeichnende Elemente von Standardvertragsklauseln Nach § 4c Abs. 2 S. 1 BDSG a. E. beziehungsweise nach dem letzten Halbsatz von Art. 26 Abs. 2 EG-Datenschutz-Richtlinie können sich ausreichende Garantien insbesondere aus entsprechenden Vertragsklauseln ergeben. Bei der Konzeption der EG-Datenschutz-Richtlinie sollten jedoch internationale Standardisierungsbemühungen sowie Erfahrungen, wonach zwischen Vertragsparteien individuell vereinbarte Vertragsklauseln oftmals verschiedenartige Datenschutzdefizite aufwiesen, nicht unberücksichtigt bleiben.696 Die Kommission wurde daher in Art. 26 Abs. 4 EG-DatenschutzRichtlinie ermächtigt, zu befinden, dass bestimmte Standardvertragsklauseln ausreichende Garantien gemäß Art. 26 Abs. 2 der Richtlinie bieten. Auf dieser Grundlage hat die Kommission bisher drei Standardvertragswerke verabschiedet, die als ausreichende Garantie eines angemessenen Datenschutzniveaus eine Datenübermittlung an einen Empfänger in einem Drittland rechtfertigen können.697 zu den Hintergründen Simitis, in: Simitis, BDSG, § 4c Rn. 47 ff. Gola / Schomerus, BDSG, § 4c Rn. 12 ff.; Simitis, in: Simitis, BDSG, § 4c Rn. 50; Scheja / Haag, in: Leupold / Glossner, IT-Recht, Teil 5 Rn. 219. 696 Ausführlich 697 Siehe
156 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
Zwei Standardvertragswerken liegt eine „controller to controller“-Konstellation zugrunde. Es handelt sich um die im Jahr 2001 beschlossenen „Standardvertragsklauseln für die Übermittlung von personenbezogenen Daten in Drittländer“ („Standardvertragswerk I“)698 sowie um hierzu alternative Standardvertragsklauseln („Standardvertragswerk II“)699 aus dem Jahr 2004, die als wirtschaftlich vorteilhafter angesehen werden, da sie den Interessen der Praxis besser gerecht werden.700 Nach Ansicht deutscher Datenschutzbehörden bedarf das Standardvertragswerk aus dem Jahr 2004 jedoch ergänzender Regelungen für Arbeitnehmerdaten.701 Die Konstellation der Auftragsdatenverarbeitung („controller to processor“) liegt dagegen den „Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsver arbeiter in Drittländern“ („Standardvertragswerk III“)702 aus dem Jahr 2001 zugrunde. Dieses Standardvertragswerk wurde im Februar 2010703 angepasst, um den Bedürfnissen global tätiger Unternehmen, dem allgemeinen Globalisierungstrend bei Datenverarbeitungen sowie der zunehmenden Einschaltung von Unterauftragnehmern in Drittstaaten Rechnung zu tragen.704 Bei allen Standardvertragswerken handelt es sich um umfangreiche Vertragstexte, die aus einem Hauptteil und weiteren Anhängen bestehen.705 Sie 698 Entscheidung der Kommission v. 15.6.2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer nach der Richtlinie 95 / 46 / EG (2001 / 497 / EG, ABl.EG L 181 v. 4.7.2001, S. 19). 699 Entscheidung der Kommission v. 27.12.2004 zur Änderung der Entscheidung 2001 / 497 / EG bezüglich der Einführung alternativer Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer (2004 / 915 / EG, ABl.EG L 385 v. 29.12.2004, S. 74). 700 Gola / Schomerus, BDSG, § 4c Rn. 12; Kuner / Hladjk, RDV 2005, 193 (200). 701 Däubler, in: Däubler / Klebe / Wedde / Weichert, BDSG, § 4c Rn. 18a; Scheja / Haag, in: Leupold / Glossner, IT-Recht, Teil 5 Rn. 219; Gola / Schomerus, BDSG, § 4c Rn. 12. 702 Entscheidung der Kommission v. 27.12.2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95 / 46 / EG (2002 / 16 / EG, ABl.EG L 6 v. 10.1.2002, S. 52). 703 Beschluss der Kommission v. 5.2.2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95 / 46 / EG (2010 / 87 / EU, ABl.EU L 39 v. 12.2.2010, S. 5). 704 Simitis, in: Simitis, BDSG, § 4c Rn. 50 a. E.; Gola / Schomerus, BDSG, § 4c Rn. 13; Moos, CR 2010, 281 ff.; zu dem Reformbedarf siehe auch Erwägungsgründe Nr. 7 und 16 des Beschluss der Kommission v. 5.2.2010, a. a. O. (Fn. 703). 705 Simitis, in: Simitis, BDSG, § 4c Rn. 52; vgl. Scheja / Haag, in: Leupold / Glossner, IT-Recht, Teil 5 Rn. 220; vgl. den Inhalt der jeweiligen Kommissionsentscheidung zu den Standardvertragswerken I-III.
IV. Internationale Datentransfers157
können sowohl zwischen zwei Unternehmen als auch multilateral zwischen mehreren Unternehmen zum Einsatz gelangen.706 Die Standardvertragsklauseln kennzeichnet, dass sie verbindliche, den Anforderungen von Art. 26 Abs. 2 EG-Datenschutz-Richtlinie entsprechende Datenschutzgrundsätze enthalten.707 Für Vertragsparteien soll grundsätzlich kein Spielraum für Verhandlungen bestehen.708 Gelangen Standardvertragsklauseln in unveränderter Form zum Einsatz, wird von einer ausreichenden Garantie i. S. v. Art. 26 Abs. 2 EG-Datenschutz-Richtlinie (bzw. § 4c Abs. 2 BDSG) ausgegangen und es entfällt – aufgrund der europarechtlichen Bindungswirkung der jeweiligen Kommissionsentscheidung – die Genehmigungspflicht durch die zuständige deutsche Aufsichtsbehörde.709 Im Rahmen ihrer Kontrolltätigkeiten nach § 38 BDSG können Aufsichtsbehörden allerdings weiterhin die Vorlage eines Standardvertrags verlangen.710 Aufsichtsbehördliche Interventionsmöglichkeiten sind zudem auch in den Standardvertragsklauseln selbst enthalten.711 Im Falle von Modifizierungen an den Standardvertragsklauseln oder bei Verwendung selbst entworfener Vertragsklauseln kann nicht mehr von einer ausreichenden Garantie ausgegangen werden.712 Der Einsatz derartiger Vertragsklauseln bedarf grundsätzlich der aufsichtsbehördlichen Genehmigung, da nur geringfügige, insbesondere einen Betroffenen begünstigende Abweichungen von den Aufsichtsbehörden überhaupt als zulässig angesehen werden.713 (2) Cloud-spezifische Bewertung von Standardvertragsklauseln Der Einsatz der Standardvertragsklauseln der Kommission kann sich grundsätzlich auch im Kontext von Cloud Computing anbieten.714 Beide verbindet 706 Scheja / Haag,
in: Leupold / Glossner, IT-Recht, Teil 5 Rn. 222. in: Simitis, BDSG, § 4c Rn. 51. 708 Standardvertragsklauseln I, Art. 1, Erwägungsgrund 3; vgl. Simitis, in: Simitis, BDSG, § 4c Rn. 51 m. w. N. 709 Vgl. Gola / Schomerus, BDSG, § 4c Rn. 14 m. w. N.; Simitis, in: Simitis, BDSG, § 4c Rn. 51; Reindl, in: Taeger / Wiebe, Inside the Cloud, S. 447. Die aufsichtsbehördliche Verwaltungspraxis in anderen Mitgliedstaaten kann hiervon jedoch abweichen, vgl. Gabel, in: Taeger / Gabel, BDSG, § 4c Rn. 22; Scheja / Haag, in: Leupold / Glossner, IT-Recht, Teil 5 Rn. 217, 222. 710 Gabel, in: Taeger / Gabel, BDSG, § 4c Rn. 22. 711 Ausführlich Simitis, in: Simitis, BDSG, § 4c Rn. 57 f. 712 Gola / Schomerus, BDSG, § 4c Rn. 14. 713 Gola / Schomerus, BDSG, § 4c Rn. 14 m. w. N.; Gabel, in: Taeger / Gabel, BDSG, § 4c Rn. 27; Scheja / Haag, in: Leupold / Glossner, IT-Recht, Teil 5 Rn. 218. 714 Vgl. Köhler / Arndt / Fetzer, Recht des Internet, S. 327 Rn. 981. 707 Simitis,
158 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
bereits der Gedanke einer Standardisierung. Allerdings fragt sich, ob der Einsatz dieses Rechtsinstruments auch bei einer flexiblen und bedarfsgerechten Nutzung von Datenwolken sinnvoll ist. (a) Zeitlicher und wirtschaftlicher Aufwand Bei den Standardvertragswerken der Kommission handelt es sich um mehrseitige Dokumente, an denen Modifizierungen oder Änderungen regelmäßig der aufsichtsbehördlichen Genehmigung bedürfen.715 In „IT as a Service“-Szenarien werden Standardvertragsklauseln daher nur dann in Betracht kommen, wenn mit dem Einsatz gerade kein erheblicher zeitlicher und wirtschaftlicher Aufwand verbunden ist. Letzteres wird vor allem dann der Fall sein, wenn ein Anbieter entsprechende Verträge (gegebenenfalls als Bestandteil eines umfangreichen IT-Service-Vertrags) standardmäßig bereits bereithält, die keine Modifikationen aufweisen und in deren Anhang Angaben zu dem technisch-organisatorischen Maßnahmenkonzept des Anbieters enthalten sind. Ein Praxisbeispiel für den Einsatz von Standardvertragsklauseln ist die entsprechende Möglichkeit, die Microsoft etwa bei Office 365 anbietet.716 Sofern dem Einsatz von Standardvertragsklauseln jedoch ein zeitlicher und wirtschaftlicher Aufwand entgegensteht, widerspricht dies flexiblen und bedarfsgerechten Nutzungsmodellen bereits vom Grundsatz her.717 Ein erheblicher Aufwand besteht meist bei hochkomplexen Cloud-Szenarien, die sich über mehrere Standorte erstrecken und in die zahlreiche Subunternehmer eingeschaltet sind, sodass es regelmäßig einer Vielzahl an Verträgen bedarf.718 Wirtschaftlich betrachtet wird sich der Einsatz von Standardvertragsklauseln in diesen Fällen erst ab einem gewissen „business case“ beziehungsweise bei langfristigen Vertragslaufzeiten und wiederkehrenden, vom Bedarf her gleichbleibenden Nutzungsszenarien als sinnvoll erweisen. Ein „business case“ mit gewichtigem Auftragsvolumen wird vielen Einsatzszenarien und Bedürfnissen kleiner und mittelständischer Unternehmen sowie vor allem der wirtschaftlich attraktiven, flexiblen, bedarfsgerechten und kurzfristigen Nutzung einer Cloud-Leistung „für wenige Euro“ aber gerade nicht zugrunde liegen. 715 Siehe
zuvor C.IV.3.b)bb)(1).
716 https://products.office.com / de-de / business / office-365-trust-center-eu-model-
clauses-faq (Stand: 1.7.2015). 717 Vgl. Hennrich, CR 2011, 546 (552); BITKOM, Leitfaden Cloud Computing 2010, S. 72. 718 Niemann, in: Niemann / Paul, Rechtsfragen des Cloud Computing, Kap. 5 Rn. 85.
IV. Internationale Datentransfers159
(b) Anpassungsmöglichkeiten auf Seiten eines Cloud-Anbieters Mit Blick auf das technische und organisatorische Konzept eines CloudAnbieters werden Standardvertragsklauseln zugleich nur dann zum Einsatz gelangen können, wenn ein Cloud-Anbieter auch dazu in der Lage ist, die technischen Leistungskonfigurationen und internen Organisationsstrukturen an die Anforderungen der Standardvertragsklauseln anzupassen. Gerade bei technisch und rechtlich hochstandardisierten Cloud-Umgebungen (vor allem Public Clouds, aber auch vorkonfigurierten Private Clouds „in a box“) kann dies im Nachhinein mit einem erheblichen Aufwand verbunden sein. In diesem Fall kann anbieterseitig bereits das Interesse fehlen, dass neben den eigenen Vertragsbedingungen die Standardvertragsklauseln der Kommission überhaupt zum Einsatz gelangen sollen. (c) A ufsichtsbehördliche Ansicht der ergänzenden Berücksichtigung von § 11 Abs. 2 BDSG entsprechenden Anforderungen (am Beispiel der „Orientierungshilfe Cloud Computing“) Einem flexiblen Einsatz steht grundsätzlich auch die Auffassung der deutschen Aufsichtsbehörden für den Datenschutz entgegen, wonach Standardvertragsklauseln die spezifischen Regelungen der Auftragsdatenverarbeitung nicht vollständig abbilden würden. Dementsprechend findet sich auch in der „Orientierungshilfe Cloud Computing“719 ein Verweis, wonach ein Nutzer die Anforderungen von § 11 Abs. 2 BDSG durch Anlagen zu dem Standardvertrag, durch ergänzende geschäftsbezogene Klauseln oder durch separate vertragliche Regelungen entsprechend zu regeln habe, ohne dabei von dem Inhalt der Standardvertragsklauseln abzuweichen, da Modifizierungen oder einschränkende Regelungen anderenfalls die Genehmigungspflicht auslösen.720 Ein diesen Anforderungen entsprechender Vertrag rechtfertige dann 719 Die Orientierungshilfe Cloud Computing der Arbeitskreise Technik und Medien der DSK wird, in der im jeweiligen Zeitpunkt gültigen Version, neben weiteren cloud-spezifischen Entschließungen (DSK, Datenschutzkonforme Gestaltung und Nutzung von Cloud-Computing, S. 2) vor allem in den veröffentlichen Tätigkeits- und Jahresberichten von Bundes- und Landesdatenschutzbehörden in Bezug genommen (exemplarisch BayLfD, 25. TB, S. 53; BlnBDI, JB 2011, S. 39 ff.; BlnBDI, JB 2012, S. 145; HessDSB, 40. TB, S. 172 ff.; LfDI Mecklenburg-Vorpommern, 10. TB, S. 48; LfD Thüringen, 9. TB, S. 125.) und gilt als aufsichtsbehörd liche Sichtweise. 720 Arbeitskreise Technik und Medien der DSK, Orientierungshilfe Cloud Computing, S. 16; vgl. auch oben unter C.IV.3.b)bb)(1); diese aufsichtsbehördliche Sichtweise wird auch in Empfehlungen von Interessenverbänden berücksichtigt, siehe etwa EuroCloud Deutschland_eco, Leitfaden Cloud Computing, S. 12.
160 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
aber die Datenübermittlung nach § 28 Abs. 1 S. 1 Nr. 2 BDSG und der hiernach vorzunehmenden Interessenabwägung.721 Bereits vor dem Hintergrund der Verbindlichkeit einer Kommissionsentscheidung für alle Mitgliedstaaten und der damit bezweckten Harmonisierungswirkung wird zu Recht betont, dass die deutschen Aufsichtsbehörden diesen Standpunkt „kritisch hinterfragen“ sollten.722 Ein derartiges Hinterfragen gilt gerade auch mit Blick auf Cloud Computing, da jede Ergänzung eines Standardvertrags flexible und bedarfsgerechte Cloud-Nutzungsszena rien im Fall eines zusätzlichen Aufwands vor eine weitere Hürde stellt. Die Praxisferne dieses Standpunkts zeigt sich bei Cloud Computing vor allem an den erheblichen praktischen Schwierigkeiten im Zusammenhang mit der Einhaltung der Anforderungen nach § 11 Abs. 2 BDSG (wie im Rahmen der Auftragsdatenverarbeitung noch ausführlich erörtert wird).723 Es wird deutlich, dass die technische Entwicklung in der „Orientierungshilfe Cloud Computing“ nicht angemessen berücksichtigt wird, sondern bloß Auffassungen wiederholt werden, die aus Zeiten des konventionellen IT-Outsourcings entstammen und die sich in flexiblen und bedarfsgerechten IT-Nutzungsszenarien in aller Regel bereits rein faktisch nicht abbilden lassen. Der aufsichtsbehördliche Standpunkt untermauert vielmehr die mit derartigen CloudNutzungsszenarien verbundenen Herausforderungen an den gegenwärtigen Rechtsrahmen. (d) Ergebnis – Notwendigkeit eines differenzierten Umgangs Ein möglicher zeitlicher und wirtschaftlicher Aufwand, die Bereitschaft eines Anbieters sowie aufsichtsbehördliche Anforderungen verdeutlichen, dass jede sachgerechte Bewertung der Standardvertragsklauseln im Kontext von Cloud Computing einer differenzierten Betrachtung bedarf. Dagegen haben Empfehlungen des Düsseldorfer Kreises, der „Orientierungshilfe Cloud Computing“ sowie der Art.-29-Datenschutzgruppe scheinbar ausschließlich Konstellationen mit einem entsprechend hohen Auftragsvolumen oder einer vorhandenen Anbieterbereitschaft im Blick, sofern bei Zweifeln an der Einhaltung der Safe-Harbor-Grundsätze pauschal ein Rückgriff auf Standardvertragsklauseln oder verbindliche Unternehmensregelungen empfohlen wird.724 Eine derartige Empfehlung sollte zumindest unter dem Vorbehalt der Wirtschaftlichkeit sowie einer entsprechenden Anbieterbereit721 Arbeitskreise Technik und Medien der DSK, Orientierungshilfe Cloud Computing, S. 16; zu § 28 Abs. 1 S. 1 Nr. 2 BDSG siehe unten unter C.VII. 722 Gola / Schomerus, BDSG, § 4c Rn. 12. 723 Siehe hierzu ausführlich unten unter C.VI.5. 724 Siehe unten unter C.IV.3.d)aa)(4)(b)(aa).
IV. Internationale Datentransfers161
schaft stehen, da mit deren Umsetzung die Vorteile kurzfristiger und hochflexibler Cloud-Nutzungsszenarien für die meisten Marktteilnehmer wieder relativiert werden. cc) Verbindliche Unternehmensregelungen („Binding Corporate Rules“) (1) Rechtsrahmen (a) Kennzeichnende Elemente Verbindliche Unternehmensregeln – in der Praxis gemäß dem auf euro päischer Ebene gängigen englischen Begriff meist als „Binding Corporate Rules“ (BCR) bezeichnet725 – sind als freiwillige Selbstregulierungsmaßnahme ein weiteres Rechtsinstrument zur Sicherstellung eines angemessenen Datenschutzniveaus.726 Entscheidend ist der verbindliche Charakter des selbstauferlegten Regelwerks und nicht die hierfür gewählte Bezeichnung.727 Als ausreichende Garantie für ein angemessenes Datenschutzniveau sind „verbindliche Unternehmensregelungen“ in § 4c Abs. 2 BDSG ausdrücklich erwähnt, der insoweit über Art. 26 Abs. 2 EG-Datenschutz-Richtlinie („entsprechende Vertragsklauseln“) begrifflich hinausgeht. BCR gelangen vor allem in internationalen Konzernen oder Unternehmensgruppen zum Einsatz, um den ungehinderten Austausch personenbe zogener Daten auch mit Konzerngesellschaften und Teilunternehmen zu ermöglichen, die in Staaten ohne angemessenes Datenschutzniveau niedergelassen sind.728 Bei der Verwendung von BCR bedarf es keiner datenschutzrechtlichen Einzelverträge, die anderenfalls zwischen jedem konzernangehörigen Unternehmen als verantwortliche Stelle und jedem in einem 725 Vgl. BfDI, Personaldatenfluss im internationalen Konzern, http://www.bfdi. bund.de/DE/Datenschutz/Themen/Arbeit_Bildung/PersonalArbeitnehmerdatenArtike l/PersonaldatenflussInternKonzern.html?nn=5217060 (Stand: 1.7.2015); Büllesbach, Transnationalität und Datenschutz, S. 19. 726 Simitis, in: Simitis, BDSG, § 4c Rn. 59; Schröder, Haftung für Verstöße gegen Privacy Policies und Codes of Conduct, S. 199; Heckmann, jurisPK-Internetrecht, Kap. 9 Rn. 628. 727 Simitis, in: Simitis, BDSG, § 4c Rn. 65; von dem Bussche, in: Plath, BDSG, § 4c Rn. 40; teilweise wird vertreten, dass bloße „Wohlverhaltenserklärungen“, wie sie unter dem Stichwort „codes of conduct“ wiederzufinden sind, nicht ausreichen sollen, siehe Däubler, in: Däubler / Klebe / Wedde / Weichert, BDSG, § 4c Rn. 21. 728 BT-Drs. 14 / 4329, S. 35; Grapentin, CR 2009, 693 ff.; Simitis, in: Simitis, BDSG, § 4c Rn. 59; von dem Bussche, in: Plath, BDSG, § 4c Rn. 38; Scheja / Haag, in: Leupold / Glossner, IT-Recht, Teil 5 Rn. 221; Heil, DuD 2009, 228; Filip, ZD 2013, 51 f.; Büllesbach, Transnationalität und Datenschutz, S. 20.
162 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
Drittland niedergelassenen Konzernunternehmen abzuschließen wären.729 Wirtschaftliche Vorteile werden aber auch in dem Einsparpotential bei Personal- und Überwachungskosten sowie in dem gesteigerten Vertrauen bei Kunden und Arbeitnehmern gesehen.730 BCR sollen gerade in den letzten Jahren „massiv an Bedeutung gewonnen“ haben.731 Entspricht das Regelwerk inhaltlich den wesentlichen Grundsätzen der EG-Datenschutz-Richtlinie, ist ein angemessenes Schutzniveau grundsätzlich anzunehmen.732 Da zugleich aber auch die konzerninternen Begebenheiten einer Datenverarbeitung zu berücksichtigen sind, hat die Art.-29-Datenschutzgruppe in verschiedenen Arbeitspapieren zu den inhaltlichen Bestandteilen und Grundsätzen von BCR mehrere Umsetzungshilfen, eine Muster-Checkliste für Anträge und Genehmigungen sowie Antworten zu „Häufig gestellten Fragen“ veröffentlicht.733 Die praktische Umsetzbarkeit dieser Arbeitspapiere ist allerdings nicht unumstritten.734 In der individuellen Gestaltungsmöglichkeit und Berücksichtigung unternehmensspezifischer Datenverarbeitungsumstände wird zugleich ein Vorteil gegenüber dem Einsatz von Standardvertragsklauseln gesehen.735 Während Änderungen an den Standardvertragsklauseln grundsätzlich die aufsichtsbehördliche Genehmigungspflicht auslösen, lassen Aufsichtsbehörden inhalt liche Abweichungen von den Schutzgarantien der Standardvertragsklauseln bei dem Einsatz von BCR auch dann zu, wenn durch die in den BCR getroffenen Regelungen oder organisatorischen Maßnahmen eine hinreichende Kompensation erfolgt.736 (b) Genehmigungspflicht Es ist zwischen den Aufsichtsbehörden seit langem umstritten, ob BCR genehmigungsbedürftige Datenschutzgarantien nach § 4c Abs. 2 S. 1 BDSG 729 Filip, ZD 2013, 51 f.; Scheja / Haag, in: Leupold / Glossner, IT-Recht, Teil 5 Rn. 221. 730 Schröder, Haftung für Verstöße gegen Privacy Policies und Codes of Conduct, S. 199. 731 Filip, ZD 2013, 51 (52). 732 Gola / Schomerus, BDSG, § 4c Rn. 15 m. w. N.; Gabel, in: Taeger / Gabel, BDSG, § 4c Rn. 29; von dem Bussche, in: Plath, BDSG, § 4c Rn. 38. 733 Gabel, in: Taeger / Gabel, BDSG, § 4b Rn. 29; Art.-29-Datenschutzgruppe, WP 74, WP 108, WP 153–155. 734 Scheja / Haag, in: Leupold / Glossner, IT-Recht, Teil 5 Rn. 222. 735 Grapentin, CR 2009, 693 (694). 736 Gola / Schomerus, BDSG, § 4c Rn. 15; Grapentin, CR 2009, 693 (694); zu Standardvertragsklauseln siehe oben unter C.IV.3.b)bb)(1).
IV. Internationale Datentransfers163
darstellen oder als Fall von § 4b Abs. 2 BDSG keiner aufsichtsbehördlichen Überprüfung bedürfen. Diejenigen Auffassungen, die eine Genehmigungsbedürftigkeit verbindlicher Unternehmensregelungen als entbehrlich ansehen, stellen dem Wortlaut von § 4b Abs. 2 S. 2 BDSG folgend auf das von der übermittelnden Stelle in Ausübung ihrer Verantwortung nach § 4b Abs. 5 BDSG selbständig zu beurteilende angemessene Datenschutzniveau bei der „Stelle“ in dem Drittland ab (dieses kann sich gerade auch aus BCR ergeben) und sehen eine vergleichbare Regelung zu Art. 25 EG-DatenschutzRichtlinie, wonach es keiner Genehmigung bedarf.737 Für eine Genehmigungspflicht soll dagegen die Auffassung der Kommission sprechen. Nach einer von dem Berliner Beauftragten für Datenschutz und Informationsfreiheit vorgenommenen Darstellung des Streitstands hat die Kommission – nachdem der Düsseldorfer Kreis die unterschiedlichen Auffassungen der deutschen Datenschutzbehörden zuvor an sie herangetragen hatte – auf Art. 26 Abs. 3 EG-Datenschutz-Richtlinie verwiesen, wonach ein Mitgliedstaat die Kommission und andere Mitgliedstaaten über erteilte Genehmigungen zu unterrichten habe.738 Auch wenn eine Genehmigungspflicht nicht ausdrücklich bejaht wurde, sind Datenschutzbehörden nach Auffassung der Kommission jedoch über existierende Regelungen von Unternehmen systematisch zu informieren.739 Die Berliner Datenschutzbehörde, die eine Genehmigungspflicht annahm, sah sich hierdurch in ihrer Auffassung bestätigt, da sich das in Bezug genommene Mitteilungsverfahren nach Art. 26 Abs. 3 der Richtlinie nicht durchführen ließe, ohne dass mitzuteilende Genehmigungen auch erteilt werden.740 Die Behörde verwies zugleich auf eine das Antwortschreiben ergänzende Äußerung der Kommission, wonach diese der einhelligen Auffassung sei, dass Unternehmensregelungen Art. 26 Abs. 2 der Richtlinie (und damit § 4c Abs. 2 BDSG) unterfielen, da Art. 25 Abs. 1 der Richtlinie (und damit § 4b Abs. 2 S. 1 BDSG) nur anwendbar sei, wenn eine datenexportierende Stelle bestimmte recht liche Regelungen im Drittland bereits vorfinde; Art. 26 der Richtlinie sei dagegen anzuwenden, wenn Regelungen von der exportierenden Stelle erst erarbeitet werden.741 Vor diesem Hintergrund erscheint es als überzeugend, dass verbindliche Unternehmensregelungen nach überwiegender Ansicht stets als genehmigungspflichtig angesehen werden und der Aufsichtsbehörde 737 Gola / Schomerus, BDSG, § 4c Rn. 16; ausführlich zu dem Streitstand BlnBDI, JB 2002, S. 149 ff.; siehe auch Filip, ZD 2013, 51 (52); von dem Bussche, in: Plath, BDSG, § 4c Rn. 42. 738 BlnBDI, JB 2003, S. 123. 739 BlnBDI, JB 2003, S. 123. 740 BlnBDI, JB 2003, S. 123; BlnBDI, JB 2002, S. 149 ff. 741 BlnBDI, JB 2003, S. 123.
164 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
vorzulegen sind.742 Richtigerweise soll gerade keine vergleichbare Situation zu der unveränderten Übernahme von EU-Standardvertragsklauseln vorliegen, die keiner Genehmigung bedarf.743 (c) Kooperationsverfahren und „mutual recognition“ Ein Bedürfnis nach einer europaweiten Koordinierung der Anerkennung von BCR entstand mit der Zunahme grenzüberschreitender Datenverarbeitungen und in Zeiten eines europäischen Binnenmarkts aufgrund unterschiedlicher rechtlicher Bewertungen der Aufsichtsbehörden.744 Sofern BCR mehreren europäischen Aufsichtsbehörden vorzulegen waren, hatten europaweit niedergelassene Unternehmen mitunter aufwendige Genehmigungsprozesse zu durchlaufen.745 Die Art.-29-Datenschutzgruppe legte daher im Jahr 2005 ein Kooperationsverfahren fest, das von einer Datenschutzbehörde als federführende Behörde durchgeführt wird, die sich mit dem antragstellenden Unternehmen sowie den anderen beteiligten Datenschutzbehörden abstimmt (Gedanke des „one-stop-shops“).746 Zur Verhinderung eines „forum shopping“ ist die federführende Behörde anhand aussagekräftiger, objektiver Kriterien zu bestimmen.747 Die Teilnahme sämtlicher Datenschutzbehörden an dem Kooperationsverfahren ist aufgrund der fortbestehenden Zuständigkeit nationaler Datenschutzbehörden auf ihrem jeweiligen Hoheitsgebiet allerdings freiwillig.748 Zugleich steht einer einheitlichen, EU / EWR-weiten Anerkennung von BCR entgegen, dass in einzelnen Mitgliedstaaten gegebenenfalls zusätzliche Anforderungen einzuhalten sein können.749 Allein in Deutschland sollen sich die hiernach erforderlichen, weitergehenden Genehmigungen – entsprechend 742 Simitis, in: Simitis, BDSG, § 4c Rn. 66 m. w. N.; Gabel, in: Taeger / Gabel, BDSG, § 4c Rn. 31; von dem Bussche, in: Plath, BDSG, § 4c Rn. 42; vgl. auch BTDrs. 14 / 4329, S. 35. 743 Gabel, in: Taeger / Gabel, BDSG, § 4c Rn. 31; Simitis, in: Simitis, BDSG, § 4c Rn. 66. 744 Vgl. Filip, ZD 2013, 51 (52). 745 Filip, ZD 2013, 51 (52); vgl. Scheja / Haag, in: Leupold / Glossner, IT-Recht, Teil 5 Rn. 221. 746 Art.-29-Datenschutzgruppe, WP 107, S. 1 ff. (eine Muster-Checkliste für Anträge auf Genehmigungen findet sich in WP 108 der Art.-29-Datenschutzgruppe); Gabel, in: Taeger / Gabel, BDSG, § 4c Rn. 32; von dem Bussche, in: Plath, BDSG, § 4c Rn. 43; Filip, ZD 2013, 51 (52 f.). 747 Gabel, in: Taeger / Gabel, BDSG, § 4c Rn. 32; von dem Bussche, in: Plath, BDSG, § 4c Rn. 43; Filip, ZD 2013, 51 (53); als ein aussagefähiges Kriterien zur Wahl der Behörde wird beispielsweise der Sitz der europäischen Zentrale des Unternehmers genannt, siehe Art.-29-Datenschutzgruppe, WP 107, S. 2. 748 Filip, ZD 2013, 51 (53). 749 Art.-29-Datenschutzgruppe, WP 107, S. 5; Filip, ZD 2013, 51 (53).
IV. Internationale Datentransfers165
dem jeweils unterschiedlichen rechtlichen Verständnis von BCR – je nach zuständiger Bundes- oder Landesbehörde unterscheiden.750 Eine weitere Vereinfachung erfolgte im Jahr 2008 durch ein Verfahren der gegenseitigen Anerkennung („mutual recognition procedures“), an dem mittlerweile die Aufsichtsbehörden zahlreicher EU / EWR-Staaten teilnehmen.751 Hiernach werden verbindliche Unternehmensregelungen, die von der federführenden Aufsichtsbehörde als „lead data protection authority“ die Zustimmung erhalten haben, lediglich durch bis zu zwei weitere Aufsichtsbehörden überprüft und nach abgeschlossenem Prüfungsverfahren von sämtlichen teilnehmenden Aufsichtsbehörden anerkannt.752 (2) C loud-spezifische Bewertung von verbindlichen Unternehmensregelungen (a) A nwendungsbereich bei Cloud Computing: Private Clouds BCR kommen bei Cloud Computing zur Sicherstellung eines einheit lichen, angemessenen Datenschutzniveaus vor allem in Bezug auf die länderübergreifenden Datenverarbeitungsszenarien einer Unternehmensgruppe in Betracht.753 Datenverarbeitungen in rein wirtschaftlich verbundenen Unternehmen sind gerade nicht privilegiert (kein sog. Konzernprivileg).754 Mit Blick auf die Cloud Computing kennzeichnenden Bereitstellungsmodelle wird sich der Anwendungsbereich daher vor allem bei unternehmensweiten Private Clouds wiederfinden, die den Mitarbeitern der Unternehmensgruppe exklusiv zur Verfügung stehen.755 Auf diesen Anwendungsbereich verweisen hierzu Filip, ZD 2013, 51 (53 f.) m. w. N. in: Taeger / Gabel, BDSG, § 4c Rn. 32; Filip, ZD 2013, 51 (54); Hennrich / Maisch, jurisAnwZert ITR 15 / 2011, Anm. 2; „mutual recognition procedures“ wurden gegenwärtig von 21 EU / EWR-Staaten anerkannt (Belgien, Bulgarien, Deutschland, Estland, Frankreich, Island, Irland, Italien, Lettland, Liechtenstein, Luxemburg, Malta, Niederlande, Norwegen, Österreich, Slowakei, Slowenien, Spanien, Tschechische Republik, Vereinigtes Königreich, Zypern), http://ec.europa.eu/ justice/data-protection/document/international-transfers/binding-corporate-rules/ mutual_recognition/index_en.htm (Stand: 1.7.2015). 752 Gabel, in: Taeger / Gabel, BDSG, § 4c Rn. 32. 753 Vgl. Reindl, in: Taeger / Wiebe, Inside the Cloud, S. 448; dies können auch die interne Datenverarbeitungsszenarien eines Public-Cloud-Anbieters sein, Köhler / Arndt / Fetzer, Recht des Internet, S. 327 f. Rn. 982. 754 Gola / Schomerus, BDSG, § 27 Rn. 4; Rockstroh / Leuthner, ZD 2013, 497 (499) m. w. N. 755 Vgl. Hornung / Sädtler, CR 2012, 638 (643); zu Private Clouds siehe oben unter B.VI.2. 750 Ausführlich 751 Gabel,
166 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
auch die Datenschutzbehörden in der „Orientierungshilfe Cloud Comput ing“, die BCR insoweit – unter der Voraussetzung einer Rechtsgrundlage sowie einer § 11 Abs. 2 BDSG entsprechenden Vereinbarung756 – als geeignetes Instrument zur Schaffung von ausreichenden Garantien zum Schutz der Persönlichkeitsrechte sehen.757 Die Darstellung des Rechtsrahmens hat gezeigt, dass sich die Aufstellung und Genehmigung von BCR als komplex erweisen kann.758 Trotz der durch „mutual recognition“ herbeigeführten Vereinfachungen wird der mit der konzernweiten Implementierung von BCR verbundene Aufwand als nicht unerheblich angesehen und sollte wirtschaftlich in einem angemessenen Verhältnis zu den Datenexporten stehen.759 Dieser zeitliche und wirtschaftliche Aufwand muss auch den unternehmensweiten Einsatz einer Private Cloud rechtfertigen. (b) Vereinfachungen und Standardisierungen Im Unterschied zu konventionellen IT-Outsourcing-Szenarien folgt bereits aus dem hohen Standardisierungsgrad von Cloud-Services, dass Datenverarbeitungsszenarien schneller und mit zunehmend niedrigerem Aufwand realisiert werden können. Nach zutreffender Ansicht der Kommission kann durch Cloud Computing aber auch die Anzahl an Unternehmen zunehmen, die in derartige Datenverarbeitungsszenarien involviert sind.760 Die Kommission hält es daher grundsätzlich für erforderlich, den rechtmäßigen Datenverkehr in Drittländer, für die kein angemessenes Datenschutzniveau festgestellt wurde, durch eine Straffung und Vereinfachung der diesbezüglichen Regeln sowie durch eine Modernisierung und häufigere Verwendung von Instrumenten wie BCR Rechnung zu tragen.761 Da sich durch die Einführung des Kooperationsverfahrens sowie durch die Anerkennung aufsichtsbehördlicher Entscheidungen im Wege von „mutual recognition“ bereits Vereinfachungen ergeben haben, bedarf eine weitergehende Vereinfachung vor allem einer EU-weit einheitlichen aufsichtsbehördlichen Genehmigung von BCR und einer Standardisierung diesbezüglicher Verfahren.762 756 Vgl.
hierzu oben unter C.IV.3.b)bb)(2)(c). Technik und Medien der DSK, Orientierungshilfe Cloud Computing, S. 18. 758 Siehe oben unter C.IV.3.b)cc)(1); Schmidt-Bens, Cloud Computing Technologien und Datenschutz, S. 68. 759 Gabel, in: Taeger / Gabel, BDSG, § 4c Rn. 32 a. E. m. w. N. 760 KOM(2012) 9, S. 13. 761 KOM(2012) 9, S. 13. 762 Filip, ZD 2013, 51 (60); von dem Bussche, in: Plath, BDSG, § 4c Rn. 47. 757 Arbeitskreise
IV. Internationale Datentransfers167
Mit Blick auf Cloud Computing korrespondiert dies mit der technischen Standardisierung in der Bereitstellung von IT. (c) Processor Binding Corporate Rules Im Jahr 2010 wurden die Standardvertragsklauseln für Auftragsverarbeiter überarbeitet, um der Zunahme von Datenverarbeitungsszenarien, die als Datenverarbeitung im Auftrag ausgestaltet sind, und neuer diesbezüglicher Geschäftsmodelle Rechnung zu tragen.763 Um Daten auch auf Basis von BCR innerhalb einer Unternehmensgruppe im Auftrag verarbeiten zu können, hat die Art.-29-Datenschutzgruppe Mitte 2012 ein Arbeitsdokument zu den Bestandteilen und Grundsätzen verbindlicher unternehmensinterner Datenschutzregelungen für Auftragsverarbeiter sowie im April 2013 ein erläuterndes Dokument vorgelegt.764 Sich hieran inhaltlich orientierende „Processor Binding Corporate Rules“ (PBCR) können seit Anfang 2013 in einem zu der Genehmigung von BCR vergleichbaren Verfahren den Aufsichtsbehörden vorgelegt werden.765 Da bei Cloud Computing das Anbieter-Nutzer-Verhältnis typischerweise der einer Auftragsdatenverarbeitung zugrunde liegenden Konstellation entspricht,766 kommen PBCR vor allem dann in Betracht, wenn für Auftragszwecke die Cloud-Infrastruktur des einer Unternehmensgruppe angehörigen Unternehmens in einem Drittland genutzt werden soll. Vor allem in großen Konzernen finden sich oftmals spezialisierte IT-Dienstleister wieder. Nach der Stellungnahme der Art.-29-Datenschutzgruppe zu Cloud Computing können PBCR es aber auch Kunden des Anbieters ermöglichen, ihre personenbezogenen Daten dem Auftragsverarbeiter anzuvertrauen, da sie sichergehen können, dass „für die innerhalb des Geschäftsbereichs des Anbieters übermittelten Daten ein angemessenes Schutzniveau besteht.“767 Da das aufsichtsbehördliche Genehmigungsverfahren für PBCR demjenigen für BCR vergleichbar ist, stellen sich mit Blick auf einen künftigen Rechtsrahmen auch insoweit die zuvor bereits erläuterten Anforderungen einer weiteren Vereinfachung und Standardisierung.768
763 Art.-29-Datenschutzgruppe, 764 Art.-29-Datenschutzgruppe, 765 Filip,
WP 204, S. 5. WP 195; Art.-29-Datenschutzgruppe, WP 204.
ZD 2013, 51 (59). unten unter C.VI.3. 767 Art.-29-Datenschutzgruppe, WP 196, S. 24. 768 Siehe zuvor unter C.IV.3.b)cc)(2)(b). 766 Siehe
168 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
dd) Vertragsklauseln nach der geplanten EU-Datenschutzreform Von Seiten der Kommission wurde im Vorlauf zu der EU-Datenschutzreform Handlungsbedarf gerade bei Cloud Computing gesehen. In einer Rede aus dem Jahr 2011 betonte etwa Neelie Kroes, dass eine europäische Herangehensweise insoweit auch die globalen Aspekte zu berücksichtigen habe.769 Auch Viviane Reding sah einen Teil der Lösung in der Überarbeitung des Rechtsrahmens zu einem angemessenen Datenschutzniveau, da gerade Provider flexiblere Vertragsklauseln für Drittstaatentransfers und Vereinfachungen forderten.770 Die Übermittlung personenbezogener Daten in Drittländer oder an internationale Organisationen ist nach dem gegenwärtigen Stand der Entwurfsfassung der DS-GVO in Kapitel V (Artt. 40 ff. DS-GVO-E) geregelt. Art. 40 DS-GVO-E enthält dabei den allgemeinen Grundsatz, wonach die Übermittlung oder Weitergabe personenbezogener Daten in ein Drittland oder an eine internationale Organisation nur dann zulässig ist, wenn der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter die in dem Kapitel festgelegten Bedingungen einhalten.771 Datenübermittlungen können hiernach entweder auf der Grundlage eines Angemessenheitsbeschlusses der Kommission (Art. 41 DS-GVO-E) oder auf der Grundlage geeigneter Garantien (Art. 42 DS-GVO-E) zulässig sein. Letztere können sich dabei insbesondere aus Standarddatenschutzklauseln oder Vertragsklauseln (vgl. Art. 42 Abs. 2 DS-GVO-E) sowie aus verbindlichen unternehmensinternen Vorschriften nach Art. 43 DS-GVO-E ergeben. Anderenfalls ist eine Datenübermittlung nur zulässig, sofern ein Ausnahmetatbestand nach Art. 44 DSGVO-E einschlägig ist. Weder die Zustimmung des Betroffenen (Art. 44 Abs. 1 lit. a) DS-GVO-E) noch die weiteren in dem Katalog des Art. 44 DS-GVO-E enthaltenen Ausnahmen werden bei Cloud Computing aufgrund ihres Einzelfallcharakters aber regelmäßig in Betracht kommen.772 (1) D atenübermittlung auf Grundlage eines Angemessenheitsbeschlusses der Kommission (Art. 41 DS-GVO-E) Nach Art. 41 DS-GVO-E kann eine Datenübermittlung auch weiterhin auf Grundlage eines Angemessenheitsbeschlusses der Kommission vorgenommen werden und bedarf keiner weiteren Genehmigung. Allerdings kann 769 Kroes,
SPEECH / 11 / 199, S. 3. SPEECH / 11 / 349, S. 3. 771 Vgl. auch KOM(2012) 11, S. 12. 772 Hornung / Sädtler, CR 2012, 638 (643). 770 Reding,
IV. Internationale Datentransfers169
die Kommission ein angemessenes Schutzniveau nunmehr nicht nur für das Drittland an sich, sondern auch für ein Gebiet oder einen Verarbeitungssektor des Drittlandes beziehungsweise für eine internationale Organisation feststellen (Art. 41 Abs. 1 DS-GVO-E). Auch die in Art. 41 Abs. 2 DSGVO-E niedergelegten Prüfkriterien für eine Angemessenheit sind gegenüber Art. 25 Abs. 2 EG-Datenschutz-Richtlinie deutlich erweitert worden.773 Nach Art. 41 Abs. 5 DS-GVO-E kann die Kommission überdies feststellen, dass kein angemessener Schutz vorhanden ist. In diesem Fall untersagt Abs. 6 – unbeschadet geeigneter Garantien nach Art. 42 bis 44 DS-GVO-E – jedwede Übermittlung. (2) D atenübermittlung auf Grundlage geeigneter Garantien (Art. 42 DS-GVO-E) In Art. 42 DS-GVO-E findet sich die aus Art. 26 Abs. 2 EG-DatenschutzRichtlinie bekannte Systematik wieder, die in § 4c BDSG in deutsches Recht umgesetzt wurde. Hat die Kommission keinen Angemessenheitsbeschluss nach Art. 41 DS-GVO-E erlassen, darf ein für die Verarbeitung Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten in ein Drittland oder an eine internationale Organisation nur dann übermitteln, sofern geeignete Datenschutzgarantien in einem rechtsverbindlichen Instrument vorgesehen wurden. Als geeignete Garantien benennt Art. 42 Abs. 2 lit. a) DS-GVO-E verbind liche unternehmensinterne Vorschriften nach Art. 43 DS-GVO-E. Diese haben mindestens die in Abs. 2 beschriebenen Informationen zu enthalten und können nach Maßgabe des Kohärenzverfahrens nach Art. 58 DS-GVO-E von einer Aufsichtsbehörde genehmigt werden (Art. 43 Abs. 1 DS-GVO-E). Nach der Begründung des Verordnungsentwurfs sind die in Art. 43 DSGVO-E enthaltenen Anforderungen auf die derzeitigen Praktiken und Anforderungen der Aufsichtsbehörden gestützt.774 Als geeignete Garantien werden in Art. 42 Abs. 2 DS-GVO-E weiterhin von der Kommission angenommene Standarddatenschutzklauseln (nach dem Verfahren in Art. 87 Abs. 2 DS-GVO-E), von einer Aufsichtsbehörde angenommene Standarddatenschutzklauseln sowie von einer Aufsichtsbehörde genehmigte Vertragsklauseln genannt. Eine Neuerung ist, dass Standarddatenschutzklauseln nach Maßgabe des in Artt. 57 ff. DS-GVO-E geregelten Kohärenzverfahrens auch von einer Aufsichtsbehörde angenommen und von der Kommission als allgemein gültig festgelegt werden kön773 Vgl.
auch KOM(2012) 11, S. 12. 11, S. 13.
774 KOM(2012)
170 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
nen (Art. 42 Abs. 2 lit. c) i. V. m. Art. 58 Abs. 2 lit. d), Art. 62 Abs. 1 lit. b) DS-GVO-E). Nach dem Entwurf des Europäischen Parlaments vom 12. März 2014 sind von der Kommission angenommene Standarddatenschutzklauseln aus Art. 42 Abs. 2 DS-GVO zunächst entfallen.775 In der als allgemeine Ausrichtung vom Rat der EU vorgelegten Fassung vom 11. Juni 2015 sind von der Kommission angenommene Standarddatenschutzklauseln dagegen wieder in Art. 42 Abs. 2 DS-GVO enthalten.776 Insoweit bleibt die weitere Entwicklung, insbesondere die anstehenden Trilog-Verhandlungen, abzuwarten. Die auf Basis des Kommissionsentwurfs zuvor dargestellte Systematik für internationale Datentransfers hat sich im Grundsatz jedenfalls nicht verändert. Zu begrüßen sind vor allem die Aufnahme von gültigen europäischen Datenschutzsiegeln (Art. 42 Abs. 2 DS-GVO in der Entwurfsfassung des Europäischen Parlaments) beziehungsweise der Verweis auf einen genehmigten Zertifizierungsmechanismus gemäß Art. 39 DS-GVO zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen (Art. 42 Abs. 2 DS-GVO in der vom Rat der EU vorgelegten allgemeinen Ausrichtung vom 11. Juni 2015) als geeignete Garantien zum Schutz personenbezogener Daten, da – wie sich im Rahmen der Auftragsdatenverarbeitung noch zeigen wird – es an eben solchen Zertifizierungen mit spezifischem Fokus auf Datenschutzrecht derzeit noch mangelt, was für jeden sachgerechten Umgang mit flexiblem Cloud Computing eine zentrale Herausforderung darstellt.777 (3) S tellungnahme und Überlegungen zu einem künftigen Rechtsrahmen Angemessenheitsbeschlüsse der Kommission, Standardvertragsklauseln (jetzt Standarddatenschutzklauseln) und verbindliche Unternehmensregelungen bilden auch weiterhin die zentralen Instrumente für internationale Datentransfers. Gegenüber der EG-Datenschutz-Richtlinie sind vor allem die Angemessenheitskriterien weiter spezifiziert worden. Im Unterschied zu Art. 26 Abs. 2 EG-Datenschutz-Richtlinie, der lediglich auf „entsprechende Vertragsklauseln“ abstellt,778 sind nunmehr auch verbindliche unternehmensinterne Regelungen explizit in Art. 43 DS-GVO-E berücksichtigt, wodurch der gestiegenen Bedeutung dieses Rechtsinstruments in der Praxis Rechnung getragen wird.779 775 EP,
Entschließung v. 12.3.2014, 2013 / 2188(INI), P7_TA-PROV(2014)0212. der EU, Vorschlag für eine DS-GVO v. 11.6.2015, 9565 / 15, S. 13, 77. 777 Zu Zertifizierungen siehe ausführlich unten unter C.VI.5.c)bb)(4). 778 Vgl. oben unter C.IV.3.b)cc)(1)(a). 779 Zu der Bedeutung von BCR siehe Filip, ZD 2013, 51 (52). 776 Rat
IV. Internationale Datentransfers171
Mit Blick auf flexible und bedarfsgerechte Cloud-Nutzungsszenarien (als Herausforderung an ausreichende Garantien eines angemessenen Schutzniveaus) steht auch nach der Datenschutzreform ein zeitlicher und wirtschaftlicher Aufwand dem Einsatz von Standardvertragsklauseln und verbindlichen Unternehmensregelungen grundsätzlich entgegen.780 Da es in Zeiten standardisierter IT-Bereitstellungsszenarien gerade auch einer rechtlichen Standardisierung und Vereinfachung bedarf, ist zumindest die Absicht der Kommission zu begrüßen, das Genehmigungsverfahren verbindlicher unternehmensinterner Datenschutzregelungen durch die Datenschutzreform zu vereinfachen und zu straffen.781 Diese sollen anstelle von einer federführenden und zwei „überprüfenden“ Behörden nur noch von einer Datenschutzbehörde beurteilt werden (andere Datenschutzbehörden werden bei Betroffenheit zügig miteinbezogen), deren Genehmigung für die gesamte EU gilt und zusätzliche nationale Genehmigungen entbehrlich macht.782 c) Die Herausforderung globaler Unterauftragsverhältnisse Eng verknüpft mit Standardvertragsklauseln ist die Herausforderung globaler Unterauftragsverhältnisse. Im Kontext weltweiter Datenverarbeitungsszenarien finden sich zahlreiche Verarbeitungskonstellationen und Leistungsketten, in denen ein europäischer Cloud-Anbieter einen oder mehrere Unterauftragnehmer in Drittstaaten einschaltet.783 Auch für diese Datenverarbeitungsrealitäten muss ein Rechtsrahmen geeignete Instrumente zur Herstellung eines angemessenen Datenschutzniveaus bereitstellen. Zwar wurden die „Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern“ („Standardvertragswerk III“) zuletzt im Februar 2010 angepasst, um global tätigen Unternehmen, einem Globalisierungstrend bei Datenverarbeitungen sowie der zunehmenden Einschaltung von Unterauftragnehmern in Drittstaaten Rechnung zu tragen.784 Gerade die praxisrelevante Konstellation der Einschaltung außereuropäischer Unterauftragnehmer durch einen europäischen Cloud-Anbieter als Auftragnehmer ist aber noch immer unberücksichtigt.785 Vor dem Hintergrund der 780 Siehe oben unter C.IV.3.b)bb)(2) zu den Standardvertragsklauseln sowie unter C.IV.3.b)cc)(2) zu BCR. 781 KOM(2012) 9, S. 12. 782 KOM(2012) 9, S. 12; siehe auch oben unter C.IV.3.b)cc). 783 BITKOM / VOICE, Empfehlungen für den Cloud Computing-Standort Deutschland, S. 10. 784 Zu Standardvertragswerk III und der Anpassung aus dem Jahr 2010 siehe oben unter C.IV.3.b)bb)(1). 785 BITKOM, Stellungnahme v. 27.12.2012 zur Cloud-Strategie der Kommission, S. 7.
172 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
vielfältigen Auftragsverhältnisse und Leistungsketten bei Cloud Computing ist der Einsatz von Standardvertragsklauseln vor allem in Bezug auf Unterauftragsverhältnisse noch weiter zu optimieren.786 Bei unklaren Verantwortungsstrukturen einer Datenverarbeitung (vor allem bei komplexen Konzernstrukturen oder Subunternehmerketten) wird es zunehmend schwieriger, „controller to controller“-Konstellationen und „controller to processor“-Konstellationen voneinander abzugrenzen.787 Sofern der Datenimporteur beispielsweise nach Klausel 4 lit. c) von Standardvertragswerk III hinreichende Garantien in Bezug auf die in dem dortigen Anhang 2 beschriebenen technischen und organisatorischen Sicherheitsmaßnahmen zu bieten hat, kommen Zertifizierungen und Audits durch Dritte eine besondere Bedeutung bei Cloud Computing zu.788 d) Transatlantische Datentransfers in die USA – Die Marktdominanz und hohe Beliebtheit von US-Cloud-Anbietern als Herausforderung an einen praxistauglichen Rechtsrahmen aa) Die „Safe-Harbor-Vereinbarung“ als Sonderregelung für Datentransfers in die USA (1) E inleitung – Freiwillige Selbstregulierung des US-Datenempfängers Für transatlantische Datentransfers in die USA kann ein angemessenes Datenschutzniveau auf Seiten eines US-amerikanischen Datenempfängers – neben dem Einsatz von Standardvertragsklauseln oder BCR – auch nach den Voraussetzungen der sogenannten „Safe-Harbor-Vereinbarung“789 gewährleistet sein. Denn im Unterschied zu denjenigen Staaten, für die ein angemessenes Schutzniveau bereits festgestellt worden ist, hat die Kommission eine solche Angemessenheitsentscheidung zu Gunsten der USA nicht getroffen.790 Die Hintergründe hierfür liegen vor allem in den unterschied786 Hornung / Sädtler,
CR 2012, 638 (644). den intransparenten Strukturen multinationaler Konzerne siehe bereits oben unter C.II.3.b). 788 Zu Zertifizierungen siehe unten unter C.VI.5.c)bb)(4). 789 Entscheidung der Kommission v. 26.7.2000 gemäß der Richtlinie 95 / 46 / EG des Europäischen Parlaments und des Rates über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ und der diesbezüglichen „Häufig gestellten Fragen“ (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA (2000 / 520 / EG, ABl.EG L 215 v. 25.8.2000, S. 7). 790 Vgl. Kühling / Seidel / Sivridis, Datenschutzrecht, S. 31; Karger / Sarre, in: Taeger / Wiebe, Inside the Cloud, S. 435; Greer, RDV 2011, 267 (269); Schuppert / von 787 Zu
IV. Internationale Datentransfers173
lichen Vorstellungen von „privacy“ und von einem angemessenen Datenschutzniveau auf US-amerikanischer Seite. Mit einem freien und ungehinderten Informationsaustausch sowie mit einem restriktiven Verständnis staatlicher Regulierung verfolgen die USA wesentliche Grundprinzipien, die europäischen Regelungsansprüchen und Vorstellungen von Datenschutz grundlegend widersprechen.791 Datenschutz ist daher in den USA auch nur bereichs- und branchenspezifisch geregelt und durch zahlreiche Selbstregulierungsgrundsätze gekennzeichnet.792 Aufgrund der traditionell eng verflochtenen Wirtschaftsbeziehungen sind Datenübermittlungen zwischen Europa und den USA jedoch von hoher Bedeutung.793 Ein von der Übermittlung personenbezogener Daten berührtes Handelsvolumen von mehreren Milliarden US-Dollar soll daher auch die Clinton-Administration im Jahr 1997 (zwei Jahre nach Erlass der EG-Datenschutz-Richtlinie) veranlasst haben, den Dialog mit der EU aufzunehmen.794 Zur Vermeidung von Handelshemmnissen und zur Überbrückung der unterschiedlichen Vorstellungen eines angemessenen Datenschutzniveaus hat das US-Handelsministerium (U.S. Department of Commerce) nach langen Verhandlungen mit der Kommission schließlich die Grundsätze eines „sicheren Hafens“ für den Schutz personenbezogener Daten entwickelt.795 Ein angemessenes Schutzniveau ist hiernach auf Seiten eines US-amerikanischen Datenempfängers gewährleistet, wenn sich dieser den ausgehandelten Grundsätzen des „sicheren Hafens“ unterwirft.
Reden, ZD 2013, 210 (212); Gabel, in: Taeger / Gabel, BDSG, § 4b Rn. 23; zu den Staaten mit festgestelltem Schutzniveau siehe oben unter C.IV.2.d). 791 Vgl. Schröder, Haftung für Verstöße gegen Privacy Policies und Codes of Conduct, S. 21 f.; Bergmann, Grenzüberschreitender Datenschutz, S. 118; SchmidtBens, Cloud Computing Technologien und Datenschutz, S. 53 f.; Klug, RDV 2000, 212 (213). 792 Vgl. auch Anhang I Abs.1 der Entscheidung der Kommission v. 26.7.2000 (2000 / 520 / EG, ABl.EG L 215 v. 25.8.2000, S. 7), a. a. O. (Fn. 789); Scheja / Haag, in: Leupold / Glossner, IT-Recht, Teil 5 Rn. 207; ULD Schleswig-Holstein, 34. TB, S. 155; für einen Überblick zu Datenschutz in den USA siehe Lejeune, CR 2013, 755 ff.; zu Selbstregulierungsgrundsätzen siehe Schröder, Haftung für Verstöße gegen Privacy Policies und Codes of Conduct, S. 21 ff.; zu den bereichsspezifischen Regelungen in den USA vgl. Schipper, Instrumente des Datenschutzrechts in der BRD und den USA, S. 104 m. w. N. 793 Vgl. Hennrich / Maisch, jurisAnwZert ITR 15 / 2011, Anm. 2. 794 Marnau / Schlehahn, TClouds Report, Cloud Computing: Legal Analysis, S. 39. 795 Zu den Hintergründen Simitis, in: Simitis, BDSG, § 4b Rn. 70 f.; siehe auch die „U.S.-EU Safe Harbor Overview“ unter http://export.gov / safeharbor / eu / eg_ main_018476.asp (Stand: 1.7.2015).
174 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
(2) R echtsrahmen – Gegenstand und Inhalt der Safe-Harbor-Kommissionsentscheidung (a) D ie Angemessenheit des von den Safe-Harbor-Grundsätzen gewährleisteten Schutzes Am 26. Juli 2000 hat die Kommission, gestützt auf die durch Art. 25 Abs. 6 EG-Datenschutz-Richtlinie eingeräumten Befugnisse, über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ gewährleisteten Schutzes entschieden.796 Nach dieser Entscheidung ist davon auszugehen, dass die Grundsätze des „sicheren Hafens“ zum Datenschutz für alle „unter die Richtlinie 95 / 46 / EG fallenden Tätigkeiten ein im Sinne des Artikels 25 Absatz 2 dieser Richtlinie angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die von der Europäischen Union an in den Vereinigten Staaten niedergelassene Organisationen übermittelt werden.“797 Die vom US-Handelsministerium vorgelegten Grundsätze des „sicheren Hafens“ sind der Kommissionsentscheidung dabei als einer von mehreren Anhängen beigefügt. Sie werden durch „Häufig gestellte Fragen (Frequently Asked Questions, FAQ)“798 ergänzt, die Leitlinien für die Umsetzung enthalten.799 (b) D ie sieben Grundsätze des „sicheren Hafens“ zum Datenschutz Die Grundsätze des „sicheren Hafens“ zum Datenschutz umfassen sieben datenschutzrechtliche Grundprinzipien, die eine US-Organisation im Fall des Beitritts zu berücksichtigen hat.800
796 Entscheidung
der Kommission v. 26.7.2000 (2000 / 520 / EG), a. a. O. (Fn. 789). Abs. 1 der Entscheidung der Kommission v. 26.7.2000 (2000 / 520 / EG), a. a. O. (Fn. 789); neben den als Anhang I beigefügten „Grundsätzen des ‚sicheren Hafens‘ und den als Anhang II beigefügten „Häufig gestellten Fragen“ (FAQ) werden noch weitere Dokumente benannt, die zu berücksichtigen sind. 798 Anhang II der Entscheidung der Kommission v. 26.7.2000 (2000 / 520 / EG), a. a. O. (Fn. 789). 799 Erwägungsgrund 5 der Entscheidung der Kommission v. 26.7.2000 (2000 / 520 / EG), a. a. O. (Fn. 789). 800 Zu den Grundprinzipien siehe auch Erd, K&R 2010, 624 (625); Marnau / Schlehahn, DuD 2011, 311 (312); Schmidt-Bens, Cloud Computing Technologien und Datenschutz, S. 47 f.; Marnau / Schlehahn, TClouds Report, Cloud Computing: Legal Analysis, S. 42 ff. 797 Art. 1
IV. Internationale Datentransfers175
(aa) Informationspflicht („Notice“) Nach dem Grundsatz der Informationspflicht sind Privatpersonen über den Zweck der Erhebung und Verwendung von Daten deutlich erkennbar zu informieren. Betroffene sind zugleich darüber zu unterrichten, wie sie die Organisation bei Fragen und Beschwerden kontaktieren können. Von dem Grundsatz sind aber auch dahingehende Informationen erfasst, ob und welche Daten an Dritte weitergegeben werden und welche Mittel und Wege bestehen, um die Verwendung und Weitergabe der Daten einzuschränken.801 (bb) Wahlmöglichkeit („Choice“) Der Grundsatz der Wahlmöglichkeit besagt, dass einer Privatperson durch verständliche Verfahren ein dahingehender „opt out“ ermöglicht werden muss, ob ihre personenbezogenen Daten an Dritte weitergegeben oder für einen anderen Zweck verwendet werden sollen, der mit dem bei der Datenerhebung oder einer anderen Genehmigung verfolgten Zweck unvereinbar ist. Im Falle von sensiblen Daten – etwa bei Gesundheitsdaten, Daten über eine ethnische Zugehörigkeit, politischen oder religiöse Überzeugungen – bedarf es für derartige Verwendungszwecke gar einer ausdrücklichen Zustimmung („opt in“).802 (cc) Weitergabe („Onward Transfer“) Daten dürfen nur dann an Dritte weitergeben werden, wenn die Grundsätze der Informationspflicht und der Wahlmöglichkeit zur Anwendung gelangen. Zugleich ist sicherzustellen, dass Dritte, die im Auftrag oder auf Anweisung tätig sind, über ein angemessenes Schutzniveau verfügen. Dies ist der Fall, wenn auf Seiten des Dritten ein „sicherer Hafen“ besteht beziehungsweise wenn der Dritte der EG-Datenschutz-Richtlinie unterliegt, von einer anderen Feststellung über ein angemessenes Schutzniveau erfasst ist oder mit der Organisation eine den Safe-Harbor-Grundsätzen entsprechende schriftliche Vereinbarung getroffen hat.803
801 Zu diesem gesamten Absatz siehe Anhang I (zu „Informationspflicht“) der Entscheidung der Kommission v. 26.7.2000 (2000 / 520 / EG), a. a. O. (Fn. 789). 802 Zu diesem gesamten Absatz siehe Anhang I (zu „Wahlmöglichkeit“) der Entscheidung der Kommission v. 26.7.2000 (2000 / 520 / EG), a. a. O. (Fn. 789). 803 Zu diesem gesamten Absatz siehe Anhang I (zu „Weitergabe“) der Entscheidung der Kommission v. 26.7.2000 (2000 / 520 / EG), a. a. O. (Fn. 789).
176 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
(dd) Sicherheit („Security“) Nach dem Grundsatz der Sicherheit hat eine Organisation bei der Verarbeitung von Daten angemessene Sicherheitsvorkehrungen zu treffen, um die Daten etwa vor Verlust, Missbrauch und unbefugtem Zugriff zu schützen.804 (ee) Datenintegrität („Data Integrity“) Die Datenintegrität wird bei Safe Harbor – im Unterschied zu der allgemeinen Daten- und Informationssicherheit – dahingehend verstanden, dass personenbezogene Daten für den beabsichtigten Verwendungszweck erheblich sein müssen.805 Daten dürfen daher nicht in einer Weise verarbeitet werden, die mit dem ursprünglichen Erhebungszweck oder mit dem verfolgten Zweck einer nachträglichen Zustimmung des Betroffenen unvereinbar ist. Zudem ist durch angemessene Maßnahmen in dem für diese Zwecke notwendigen Umfang zu gewährleisten, dass die Daten „hinreichend zuverlässig, genau, vollständig und aktuell sind.“806 (ff) Auskunftsrecht („Access“) Das Auskunftsrecht sieht für Privatpersonen einen Zugang zu den personenbezogenen Daten vor. Zugleich muss es möglich sein, diese Daten korrigieren, ändern oder löschen zu können, wenn sie unrichtig sind. Ausnahmen hiervon bestehen nur dann, wenn die Belastung oder die Kosten für die Gewährung des Zugangs in einem Missverhältnis zu den Nachteilen für den Betroffenen stehen beziehungsweise wenn Rechte anderer Personen verletzt werden.807 (gg) Durchsetzung („Enforcement“) Zu einem effektiven Schutz der Privatsphäre sind nach dem Grundsatz der Durchsetzung Einrichtungen und Mechanismen zu schaffen, die die 804 Anhang I (zu „Sicherheit“) der Entscheidung der Kommission v. 26.7.2000 (2000 / 520 / EG), a. a. O. (Fn. 789). 805 Marnau / Schlehahn, DuD 2011, 311 (312). Bezugspunkt i. S. d. Daten- und Informationssicherheit ist die Unversehrtheit von Daten und die Verhinderung unbefugter Manipulationen, siehe unten unter C.V.2.a). 806 Zu diesem gesamten Absatz siehe Anhang I (unter „Datenintegrität“) der Entscheidung der Kommission v. 26.7.2000 (2000 / 520 / EG), a. a. O. (Fn. 789). 807 Zu diesem gesamten Absatz siehe Anhang I (zu „Auskunftsrecht“) der Entscheidung der Kommission v. 26.7.2000 (2000 / 520 / EG), a. a. O. (Fn. 789); siehe auch Anhang II, FAQ 8.
IV. Internationale Datentransfers177
Einhaltung der Grundsätze des „sicheren Hafens“ gewährleisten und Rechtsbehelfe für Betroffene sowie hinreichend strenge Sanktionen für nicht befolgende Organisationen vorsehen.808 Im Rahmen der hierfür aufgeführten Mindestkriterien werden „leicht zugängliche, erschwingliche und von unabhängigen Stellen durchgeführte“ Beschwerdeverfahren sowie dahingehende Kontrollmaßnahmen genannt, „ob die Bescheinigungen und Behauptungen der Unternehmen über ihre Datenschutzmaßnahmen der Wahrheit entspre chen.“809 FAQ 11 präzisiert den Durchsetzungsgrundsatz insoweit, dass Organisationen ihn auch dann erfüllen können, wenn sie von der Privatwirtschaft entwickelte Datenschutzprogramme befolgen, sich gesetzlich oder durch Rechtsordnung vorgesehenen Kontrollorganen unterwerfen oder mit den EU-Datenschutzbehörden zusammenarbeiten.810 (c) Safe-Harbor-Beitritt einer US-Organisation (aa) S elbstzertifizierung durch öffentliche Verpflichtung zu den Safe-Harbor-Grundsätzen Eine US-amerikanische Organisation kann den Grundsätzen des „sicheren Hafens“ beitreten, indem sie sich eindeutig und öffentlich zu deren Einhaltung verpflichtet und dies auf der Safe-Harbor-Liste811 des US-Handelsministeriums eintragen lässt.812 Die beitretende Organisation kann bestimmen, ob alle oder nur bestimmte Datenkategorien von dem Beitritt erfasst sein sollen.813 Für besondere Datenkategorien, wie etwa Personaldaten („human resources data“), sind zusätzliche Voraussetzungen zu beachten.814 Das Selbstzertifizierungsverfahren ist in Anhang II, FAQ 6 der Kommissionsentscheidung beschrieben.815 Mindestens einmal jährlich ist das Selbstzertifi808 Anhang I (zu „Durchsetzung“) der Entscheidung der Kommission v. 26.7.2000 (2000 / 520 / EG), a. a. O. (Fn. 789). 809 Anhang I, S. 2 (zu „Durchsetzung“) der Entscheidung der Kommission v. 26.7.2000 (2000 / 520 / EG), a. a. O. (Fn. 789); vgl. auch Anhang II, FAQ 7 zu einer anlassunabhängigen Kontrolle sowie FAQ 11 zu Schiedsverfahren und dem Durchsetzungsprinzip. 810 Anhang II, FAQ 11 der Entscheidung der Kommission v. 26.7.2000 (2000 / 520 / EG), a. a. O. (Fn. 789). 811 „Safe Harbor List“, https://safeharbor.export.gov / list.aspx (Stand: 1.7.2015). 812 Art. 1 Abs. 2 lit. a), Abs. 3 der Entscheidung der Kommission v. 26.7.2000 (2000 / 520 / EG), a. a. O. (Fn. 789). 813 Gabel, in: Taeger / Gabel, BDSG, § 4b Rn. 23 m. w. N. 814 Zu Personaldaten siehe Anhang II, FAQ 6, 9 der Entscheidung der Kommission v. 26.7.2000 (2000 / 520 / EG), a. a. O. (Fn. 789); Gabel, in: Taeger / Gabel, BDSG, § 4b Rn. 23. 815 Entscheidung der Kommission v. 26.7.2000 (2000 / 520 / EG), a. a. O. (Fn. 789).
178 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
zierungsschreiben dem US-Handelsministerium neu vorzulegen, damit die Organisation nicht von der Safe-Harbor-Liste gestrichen wird.816 Der vereinbarte Selbstregulierungsmechanismus ist vor allem dadurch gekennzeichnet, dass von Seiten des US-Handelsministeriums nicht geprüft wird, ob das beitretende Unternehmen die Safe-Harbor-Grundprinzipien auch einhält.817 Anschaulich geht dies aus einem im Mai 2013 veröffentlichten Dokument zu dem „Safe Harbor Certification Review Process“ hervor, in dem die auf Seiten des US-Handelsministeriums zuständige International Trade Administration (ITA) die Kriterien beschreibt, die bei der erstmaligen Selbstzertifizierung sowie bei jeder Bestätigung geprüft werden. Im Kern sind dies ausreichende Angaben zu Kontaktinformationen, zuständiger US-Einrichtung, Beschreibung der Aktivitäten, Beitrittsgegenstand (Datenkategorie), URL der „privacy policy“-Webseite, „human resources data“ als Zertifizierungsgegenstand, „affirmative commitment to the U.S.EU Safe Harbor Framework“ in der „privacy policy“, Verifizierung der Safe-Harbor-Erklärung sowie zu dem gewählten unabhängigen Streitbeilegungsmechanismus.818 Ein vergleichender Blick auf die von dem US-Handelsministerium geführte Safe-Harbor-Liste zeigt, dass die ITA mithin nur das Vorhandensein von exakt denjenigen Informationen prüft, die für jedes beigetretene Unternehmen auf der Safe-Harbor-Liste veröffentlicht werden und die sich auch in Anhang II, FAQ 6 der Kommissionsentscheidung wiederfinden.819 (bb) U S-Organisation unterliegt den gesetzlichen Befugnissen einer staatlichen Einrichtung Weitere Voraussetzung der Kommissionsentscheidung ist, dass die datenempfangende Organisation den gesetzlichen Befugnissen einer staatlichen Einrichtung in den USA unterliegt.820 Als Einrichtungen in diesem Sinne benennt Anhang VII die Federal Trade Commission (FTC) und das USVerkehrsministerium.821 Von Bedeutung sind vor allem die Befugnisse nach 816 Anhang II, FAQ 6 der Entscheidung der Kommission v. 26.7.2000 (2000 / 520 / EG), a. a. O. (Fn. 789). 817 Vgl. etwa Spies / Schröder, ZD-Aktuell 2013, 03566, ZD 7 / 2013, ZD Fokus V. 818 Ausführlich U.S. Department of Commerce, Safe Harbor Certification Review Process, S. 1 f. 819 Zur „Safe Harbor List“ siehe a. a. O. (Fn. 811). 820 Art. 1 Abs. 2 lit. b) der Entscheidung der Kommission v. 26.7.2000 (2000 / 520 / EG), a. a. O. (Fn. 789). 821 Anlage und Anhang VII der Entscheidung der Kommission v. 26.7.2000 (2000 / 520 / EG), a. a. O. (Fn. 789).
IV. Internationale Datentransfers179
dem FTC Act.822 Nach dessen Abschnitt 5 ist die FTC unbeschränkt zuständig, verbotene unlautere und irreführende Handelspraktiken zu verfolgen.823 Als Praktiken der Datenerhebung sollen insbesondere fälschlicherweise erklärte Datenschutzpolitiken oder eine behauptete Selbstregulierung gegen den FTC Act verstoßen und die Zuständigkeit begründen.824 Finanzinstitute (einschließlich Banken, Spar- und Darlehenskassen sowie Kreditgenossenschaften), Betreiber öffentlicher Telekommunikationsnetze und zwischenstaatlich tätige Transportunternehmen, Luftverkehrsunternehmen sowie Vieh- und Fleischhändler bzw. Fleischwarenproduzenten unterfallen im Hinblick auf unfaire oder irreführende Handlungen und Praktiken allerdings nicht dem Zuständigkeitsbereich der FTC.825 Datenverarbeitungen in diesen Bereichen sind von dem Geltungsbereich der Kommissionsentscheidung ausgenommen.826 (3) US-Cloud-Anbieter und Safe Harbor Über 3.500 US-amerikanische Organisationen haben bisher von der Möglichkeit Gebrauch gemacht,827 durch eine freiwillige Selbstregulierung „in den Genuss der Vorteile des ‚sicheren Hafens‘ zu kommen“.828 Auf der von dem US-Handelsministerium veröffentlichten Safe-Harbor-Liste829 finden 822 15
U.S.C. §§ 41–58, as amended. 15 U.S.C. § 45 (a) (1): „Unfair methods of competition in or affecting commerce, and unfair or deceptive acts or practices in or affecting commerce, are hereby declared unlawful.“; 15 U.S.C. § 45 (a) (2): „The Commission is hereby empowered and directed to prevent persons, partnerships, or corporations, except (…) [es folgt eine Aufzählung von Ausnahmen], from using unfair methods of competition in or affecting commerce and unfair or deceptive acts or practices in or affecting commerce.“ Vgl. auch Anhang V (Abs. 1 unter „Anwendung des FTC Act auf den Datenschutz“) der Entscheidung der Kommission v. 26.7.2000 (2000 / 520 / EG), a. a. O. (Fn. 789). 824 Anhang V (Abs. 2 unter „Anwendung des FTC Act auf den Datenschutz“) der Entscheidung der Kommission v. 26.7.2000 (2000 / 520 / EG), a. a. O. (Fn. 789). 825 15 U.S.C. § 45 (a) (2); Anhang III (unter „Ausnahmeregelungen des Abschnitts 5“ des FTC Acts) der Entscheidung der Kommission v. 26.7.2000 (2000 / 520 / EG), a. a. O. (Fn. 789). 826 Erwägungsgrund 6 der Entscheidung der Kommission v. 26.7.2000 (2000 / 520 / EG), a. a. O. (Fn. 789). 827 Scheja / Haag, in: Leupold / Glossner, IT-Recht, Teil 5 Rn. 207; „Safe Harbor List“, a. a. O. (Fn. 811), wenngleich hier auch Unternehmen mit abgelaufener Zertifizierung aufgeführt sind, vgl. BT-Drs. 17 / 3375, S. 4. 828 Anhang II, FAQ 6, Antwort zu Frage 1 der Entscheidung der Kommission v. 26.7.2000 (2000 / 520 / EG), a. a. O. (Fn. 789). 829 „Safe Harbor List“, a. a. O. (Fn. 811). 823 Vgl.
180 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
sich neben Amazon,830 Apple,831 Facebook,832 Google833 oder Microsoft834 zahlreiche weitere Unternehmen, die in der weltweiten IT-Branche von maßgeblicher Bedeutung sind. Aufgrund der hohen Beliebtheit von CloudServices dieser Unternehmen ist ein „sicherer Hafen“ für datenschutzrelevante Übermittlungen an US-Datenempfänger von zentraler Bedeutung.835 Zugleich zeigt sich, dass es in Zeiten von Cloud Computing und einer standardisierten Bereitstellung von IT mehr denn je eines sicheren und praxistauglichen Rechtsrahmens für transatlantische Datenübermittlungen an US-Destinationen bedarf. (4) S afe or Unsafe Harbor? – Datenwolkentaugliche Vereinbarung oder Schönwetterabkommen? Datenübermittlungen auf Grundlage von Safe Harbor erscheinen für flexible und bedarfsgerechte Nutzungsszenarien von US-Datenwolken als geradezu ideal, um Daten ohne größeren Aufwand in einen solch „sicheren Hafen“ übermitteln zu können. Allerdings stellt sich nach über einem Jahrzehnt an Safe-Harbor-Praxiserfahrung die Frage, wie sicher die im Wege eines Selbstzertifizierungsmechanismus individuell hergestellten Häfen in den USA wirklich sind. Wie sich im Folgenden zeigen wird, sollen die sieben Grundprinzipien von beigetretenen US-Unternehmen vielfach missachtet worden sein. Kritisiert wird zudem eine nicht hinreichende Durchsetzung durch die FTC. Vor jeder Beurteilung, inwieweit sich das Konzept von Safe Harbor in Zeiten allgegenwärtiger Datenverarbeitungsszenarien in US-Datenwolken weiterhin als praxistauglicher Bestandteil des Rechtsrahmens erweist, muss daher zunächst ein Blick auf bestehende Kritiken an dem Abkommen geworfen werden.
830 „Amazon.com, Inc. and its controlled U.S. subsidiaries, except as noted“, Certification Status: Current, https://safeharbor.export.gov / companyinfo.aspx?id= 27379 (Stand: 1.7.2015). 831 „Apple Inc.“, Certification Status: Current, https://safeharbor.export.gov / com panyinfo.aspx?id=26169 (Stand: 1.7.2015). 832 „Facebook, Inc.“, Certification Status: Current, https://safeharbor.export.gov / companyinfo.aspx?id=28012 (Stand: 1.7.2015). 833 „Google Inc. and its wholly-owned U.S. subsidiaries, except as listed“, Certification Status: Current, https://safeharbor.export.gov / companyinfo.aspx?id=25007 (Stand: 1.7.2015). 834 „Microsoft Corporation and its Controlled U.S. Subsidiaries“, Certification Status: Current, https://safeharbor.export.gov / companyinfo.aspx?id=28552 (Stand: 1.7.2015). 835 Vgl. Schantz, in: Wolff / Brink, Datenschutzrecht, § 4b Rn. 28.
IV. Internationale Datentransfers181
(a) Praxiserfahrungen in dem ersten Jahrzehnt des Abkommens (aa) U msetzungsberichte der Kommissionsdienststellen aus den Jahren 2002 und 2004 Im Mai 2000, zwei Monate vor der Safe-Harbor-Entscheidung836 der Kommission, verwies die Art.-29-Datenschutzgruppe in ihrer Stellungnahme zu dem Datenschutzniveau der Grundsätze des „sicheren Hafens“ auf ein nicht funktionsfähiges System zur Feststellung der Angemessenheit und empfahl verschiedene Verbesserungen.837 Neben zahlreichen Bedenken betonte auch das Europäische Parlament in einer Entschließung zu dem Entscheidungsentwurf, dass Daten in den USA ohne besondere Rechtsschutzgarantien verarbeitet werden.838 Es forderte die Kommission daher auf, eine genaue Überwachung der Anwendung des Systems des „sicheren Hafens“ sicherzustellen und hierzu regelmäßige Berichte vorzulegen.839 Über die Umsetzung der Safe-Harbor-Entscheidung berichtete die Kommission erstmals im Februar 2002.840 Der Bericht befand, dass zahlreiche der 129 Unternehmen, die zu diesem Zeitpunkt „selbst bescheinigen, dass sie die Grundsätze des ‚sicheren Hafens‘ als verbindlich anerkennen, offenbar die geforderte Transparenz hinsichtlich ihrer Gesamtverpflichtung oder hinsichtlich der Inhalte ihrer Datenschutzleitlinien nicht erfüllen.“841 Hervorgehoben wurden vor allem fehlende öffentliche Erklärungen zu dem Safe-Harbor-Beitritt sowie nicht vorhandene Zugangsmöglichkeiten zu den im Rahmen der Selbstzertifizierung angegebenen Datenschutzrichtlinien.842 Auch hätten einige Beschwerdestellen ihre Absicht zur Durchsetzung der Grundsätze des „sicheren Hafens“ nicht öffentlich bekanntgegeben.843 Die Kommission rief betroffene Unternehmen dazu auf, ihre Maßnahmen zu verbessern, und verwies im Übrigen auf übliche Anfangsschwierig keiten.844 836 Entscheidung
der Kommission v. 26.7.2000 (2000 / 520 / EG), a. a. O. (Fn. 789). WP 32, S. 8. 838 Entschließung des EP v. 5.7.2000 (A5-0177 / 2000), ABl.EG C 121 v. 24.4.2001, S. 152 (154). 839 Entschließung des EP v. 5.7.2000, a. a. O. (Fn. 838), S. 152 (156); Klug, RDV 2000, 212 (213 f.). 840 SEK(2002) 196, S. 2, 4. 841 SEK(2002) 196, S. 2 f. 842 SEK(2002) 196, S. 2 f., 9, 12; vgl. Marnau / Schlehahn, TClouds Report, Cloud Computing: Legal Analysis, S. 52. 843 SEK(2002) 196, S. 3, 11. 844 SEK(2002) 196, S. 3, 12. 837 Art.-29-Datenschutzgruppe,
182 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
In einem Kommissionbericht aus dem Jahr 2004 wurden weiterhin fehlende öffentliche Erklärungen einiger US-Unternehmen festgehalten.845 Zugleich stellte der Bericht zahlreiche Verstöße gegen die sieben Safe-HarborGrundsätze fest.846 Untersuchungen der Kommission hätten ergeben, dass in einigen der von Unternehmen eingesetzten Datenschutzrichtlinien die Umstände der Datenverarbeitung – entgegen dem Grundsatz der Informationspflicht – nicht ausreichend und klar beschrieben wurden; mitunter hätten Datenschutzrichtlinien gar mit der Safe-Harbor-Vereinbarung gänzlich unvereinbare Formulierungen enthalten.847 (bb) S afe Harbor: Fact or Fiction? – Die „Galexia-Studie“ aus dem Jahr 2008 Unter dem Titel „The US Safe Harbor – Fact or Fiction?“ sorgte im Jahr 2008 die sog. „Galexia-Studie“ des gleichnamigen australischen Beratungsunternehmens für Aufmerksamkeit.848 Auch sie stellte fest, dass verschiedene Aspekte des „sicheren Hafens“ in der Praxis nicht effektiv funktionierten. Bemängelt wurden insbesondere eine unzureichende Einhaltung der SafeHarbor-Grundsätze („compliance“) sowie falsche und / oder irreführende Informationen („false and / or misleading information“).849 Im Fokus der Untersuchung stand die Einhaltung des Grundsatzes der Durchsetzung durch diejenigen Unternehmen, die zu diesem Zeitpunkt auf der Safe-Harbor-Liste des US-Handelsministeriums aufgeführt waren.850 Die Studie kommt zu dem Ergebnis, dass von 1.700 angeblich Safe-Harborzertifizierten Unternehmen nur 348 Unternehmen dem Grundsatz der Durchsetzung überhaupt entsprochen hätten.851 Es sei daher nicht unwahrscheinlich, dass selbst diese 348 Unternehmen nicht mehr allen Grundsätzen des Abkommens entsprechen würden, sollte eine Überprüfung auch die übrigen sechs – zumal inhaltlich detaillierteren – Grundsätze des Abkommens einbeziehen.852 Von den 348 Unternehmen hätten sich weitere 41 845 SEC(2004)
1323, S. 6. hierzu siehe SEC(2004) 1323, S. 7. 847 SEC(2004) 1323, S. 7. 848 Connolly, Galexia-Studie, S. 1 ff.; siehe auch Erd, K&R 2010, 624 ff.; Marnau / Schlehahn, TClouds Report, Cloud Computing: Legal Analysis, S. 54 ff.; Sander / Kremer, in: Taeger, IT und Internet – mit Recht gestalten, S. 667 f. 849 Connolly, Galexia-Studie, S. 4. 850 Connolly, Galexia-Studie, S. 5; zum Grundsatz der Durchsetzung siehe oben unter C.IV.3.d)aa)(2)(b)(gg); zur „Safe Harbor List“ siehe a. a. O. (Fn. 811). 851 Connolly, Galexia-Studie, S. 5, 8. 852 Connolly, Galexia-Studie, S. 5. 846 Ausführlich
IV. Internationale Datentransfers183
Unternehmen zudem nur in Bezug auf „human resources data“ dem Abkommen unterworfen und bei lediglich 54 der 348 Unternehmen seien alle Datenkategorien Beitrittsgegenstand zu Safe Harbor – dies seien jedoch nur 3 % der 1.597 im Oktober 2008 insgesamt auf der Safe-Harbor-Liste eingetragenen Organisationen.853 Falsche und irreführende Angaben wurden vor allem darin gesehen, dass sich 206 Organisationen weiterhin auf einen Beitritt zu dem Abkommen berufen haben, obwohl ihr „certification status“ nicht mehr „current“ gewesen sei.854 Einige Unternehmen würden eine nicht bestehende Sicherheit dadurch suggerieren, dass sie Formulierungen wie „recipient is a certified signatory to the Act“, „certified by the U.S. Department of Commerce“, „certified by the EU“ verwendeten, obwohl es sich bei Safe Harbor faktisch um eine Selbstzertifizierung handelt.855 Falsche Vorstellungen könne auch das von dem US-Handelsministerium veröffentlichte „Safe Harbor Certification Mark“856 erwecken, das zur „visual manifestation of the commitment (…) within the U.S.-EU Safe Harbor Framework“ genutzt werden kann, da die Graphik keinen Hinweis auf den Selbstzertifizierungscharakter enthalte und ein solcher Hinweis lediglich in dem der Graphik voranzustellenden „we self-certify compliance with“ zum Ausdruck kommen soll.857 Zahlreiche Organisationen würden überdies selbst erstellte Graphiken als „safe harbor seal“ verwenden, in welche das Logo des US-Handelsministeriums in Eigenregie eingearbeitet worden sei.858 Auch seien keine Anzeichen ersichtlich, dass das US-Handelsministerium diese unbefugte Verwendung des eigenen Logos verfolge.859 Eine „privacy policy“ sei im Zeitpunkt der Untersuchung nur bei 966 Organisationen verlinkt gewesen, wobei sich der Inhalt der Datenschutzerklärungen signifikant unterschieden habe und sich teilweise in Erklärungen von 1 bis 3 Sätzen oder in bloßen Verweisen auf die Webseite des USHandelsministeriums erschöpft habe.860 Nach dem Grundsatz der Durchsetzung haben sich Organsiationen für Beschwerdeverfahren „leicht zugänglichen, erschwinglichen und unabhängi853 Connolly,
Galexia-Studie, S. 8; Erd, K&R 2010, 624 (626). Galexia-Studie, S. 8. 855 Connolly, Galexia-Studie, S. 9; Erd, K&R 2010, 624 (626). 856 http://export.gov / safeharbor / eg_main_018362.asp (Stand: 1.7.2015). 857 Connolly, Galexia-Studie, S. 10. 858 Connolly, Galexia-Studie, S. 10 f. 859 Connolly, Galexia-Studie, S. 11. 860 Connolly, Galexia-Studie, S. 12. 854 Connolly,
184 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
gen“ Schiedsstellen zu unterwerfen.861 Nach der Studie habe sich allerdings herausgestellt, dass sich die Inanspruchnahme von zwei Beschwerdestellen, die von insgesamt 209 Organisationen ausgewählt wurden, für einen gewöhnlichen Verbraucher als deutlich zu teuer gestalte.862 So berechne die „American Arbitration Association“ zwischen 120 und 1.200 US-Dollar pro Stunde (bei einer Mindestabrechnung von 4 Stunden), der „Judicial Arbitra tion Mediation Service“ zwischen 350 und 800 US-Dollar pro Stunde (zuzüglich 275 US-Dollar Verwaltungsgebühr).863 Auch TRUSTe sei seit 2008 nicht mehr eine „non-profit organization“ und somit keine unabhängige Schiedsstelle im Sinne des Grundsatzes der Durchsetzung.864 Zu den TRUSTe-Aktionären zähle überdies ein Venture-Capital-Unternehmen, das zugleich ein bedeutender Investor von Facebook sei.865 (cc) Zwischenergebnis Anhand zweier Umsetzungsberichte der Kommission und den Ergebnissen der „Galexia-Studie“ hat sich gezeigt, dass die im Wege eines Selbstzertifizierungsmechanismus individuell hergestellten „sicheren Häfen“ in den USA mitunter verschiedene Defizite aufweisen können und daher nur auf den ersten Blick als sicher erscheinen. Die Ergebnisse der „GalexiaStudie“ decken sich dabei mit den grundsätzlichen Feststellungen der Kommission und verdeutlichen, wo die Defizite in der Umsetzung von Safe Harbor konkret liegen. Anzumerken ist, dass die von einem privatwirtschaftlichen, australischen Unternehmen durchgeführte „Galexia-Studie“ in datenschutzrechtlichen Erörterungen zu Safe Harbor zwar vielfach pauschal in Bezug genommen wird, das Zustandekommen der Ergebnisse sowie die der Studie insgesamt zugrunde liegende Methodik aber auch vorliegend nicht näher überprüft werden können. Sollten in Bezug auf einige Ergebnisse oder hinsichtlich der Methodik Zweifel bestehen (wie von Seiten eines für die Safe-HarborAdministration Verantwortlichen des US-Handelsministeriums geäußert),866 861 Zum Grundsatz der „Durchsetzung“ siehe oben unter C.IV.3.d)aa)(2)(b)(gg); zu Schiedsstellen vgl. FAQ 11, Anhang II der Entscheidung der Kommission v. 26.7.2000 (2000 / 520 / EG), a. a. O. (Fn. 789) sowie die in FAQ 7 (Anlassunabhängige Kontrolle) enthaltene Forderung nach unabhängigen Schiedsstellen. 862 Connolly, Galexia-Studie, S. 14. 863 Connolly, Galexia-Studie, S. 14 f. 864 Connolly, Galexia-Studie, S. 14; TRUSTe ist nach den Angaben der Unternehmenswebseite „the leading global Data Privacy Management company“, http://www. truste.com / about-TRUSTe / (Stand: 1.7.2015). 865 Connolly, Galexia-Studie, S. 14. 866 Greer, RDV 2011, 267 (270).
IV. Internationale Datentransfers185
ändert dies jedoch nichts an der Grundaussage bestehender Umsetzungsdefizite. Selbst von Safe-Harbor-Verfechtern wird zumindest eingeräumt, dass keine Compliance-Initiative perfekt sei und stets die Gefahr bestehe, „dass engagierte Akteure von den Verstößen einiger weniger in Mitleidenschaft gezogen werden.“867 (b) Auswirkungen und Folgen der Kritiken an Safe Harbor Die festgestellten Defizite und Kritiken an Safe Harbor sind nicht folgenlos geblieben. Vor allem die Aufsichtsbehörden haben dies zum Anlass genommen, die Datenübermittlung an einen US-Empfänger an weitere Anforderungen zu knüpfen. (aa) S afe Harbor aus der Sicht der Aufsichtsbehörden für den Datenschutz α) D er Beschluss des Düsseldorfer Kreises vom 28. / 29. April 2010 Mit Beschluss vom 28. / 29. April 2010 sehen die in dem Düsseldorfer Kreis zusammengeschlossenen obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich ein datenexportierendes Unternehmen dazu verpflichtet, die Selbstzertifizierung des Datenimporteurs nach dem Safe-Harbor-Abkommen zu prüfen. Es wird auf das mit dem Abkommen verfolgte Ziel verwiesen, wonach die Safe-Harbor-Zertifizierung die Voraussetzung eines angemessenen Datenschutzniveaus schaffen sollte, um personenbezogene Daten aus Europa an entsprechend selbstzertifizierte US-Unternehmen unter denselben Bedingungen zu übermitteln, wie sie innerhalb von EU und EWR bestehen. „Solange eine flächendeckende Kontrolle der Selbstzertifizierungen US-amerikanischer Unternehmen durch die Kontrollbehörden in Europa und den USA nicht gewährleistet ist“, treffe Unternehmen in Deutschland die Verpflichtung, vor einer Datenübermittlung an ein selbstzertifiziertes US-Unternehmen gewisse Mindestkriterien zu prüfen. Ein Datenexporteur könne sich nicht allein auf eine behauptete Selbstzertifizierung verlassen, sondern müsse sich nachweisen lassen, „dass die SafeHarbor-Selbstzertifizierungen vorliegen und deren Grundsätze auch eingehalten werden.“ Er habe daher mindestens zu klären, ob die behauptete Safe Harbor-Zertifizierung noch gültig sei und sich zudem nachweisen zu lassen, wie der Datenimporteur dem Grundsatz der Informationspflicht nachkomme. Sämtliche Prüfungen dieser Mindestkriterien seien zu doku867 Greer,
RDV 2011, 267 (269).
186 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
mentieren und den Aufsichtsbehörden auf Verlangen nachzuweisen. Bei Zweifeln an der Einhaltung der Safe-Harbor-Kriterien wird die Verwendung von Standardvertragsklauseln oder verbindlichen Unternehmensregeln empfohlen.868 Der Düsseldorfer Kreis hält es grundsätzlich für erforderlich, die Zusammenarbeit zwischen FTC und europäischen Aufsichtsbehörden zu intensivieren, um eine verbesserte Einhaltung der Safe-Harbor-Grundsätze durch US-Unternehmen zu erreichen. Die von dem Abkommen beabsichtigte Rechtssicherheit könne jedenfalls nur dann erreicht werden, wenn dessen Grundsätze in der Praxis auch effektiv durchgesetzt werden.869 β) Orientierungshilfe Cloud Computing In der „Orientierungshilfe Cloud Computing“ verweisen die Arbeitskreise Technik und Medien der Datenschutzbeauftragten des Bundes und der Länder für den Fall der Datenverarbeitung durch einen US-amerikanischen Anbieter auf die fehlende Kontrolle der Selbstzertifizierung sowie auf die von dem Düsseldorfer Kreis geforderten Nachweisverpflichtungen.870 Vor der Verarbeitung von EU-Personaldaten müsse ein Nutzer anhand der Eintragung in der Safe-Harbor-Liste vor allem prüfen, ob sich ein Cloud-Anbieter nach FAQ 9 Frage 4 des Safe-Harbor-Abkommens zur Zusammenarbeit mit europäischen Datenschutzbehörden verpflichtet habe.871 Im Innenverhältnis habe ein Nutzer mit dem Anbieter sicherzustellen, dass er im Fall der Anfrage eines Betroffenen die zur Beantwortung erforderlichen Informationen von dem Anbieter auch erhalte.872 Für den Fall einer Datenverarbeitung im Auftrag befreie eine Safe-Harbor-Zertifizierung nicht von dem Erfordernis, eine § 11 Abs. 2 BDSG entsprechende schriftliche Vereinbarung zu treffen (dies gehe aus der Antwort zu FAQ 10 hervor, wonach vertrag 868 Zu diesem gesamten Absatz siehe Düsseldorfer Kreis, Beschluss v. 28. / 29.4.2010 (Safe Harbor); zu dem Grundsatz der Informationspflicht siehe oben unter C.IV.3.d)aa)(2)(b)(aa); zu dem Beschluss des Düsseldorfer Kreises siehe auch Marnau / Schlehahn, DuD 2011, 311 (314 f.); Wybitul / Patzak, RDV 2011, 11 (14 f.); Erd, K&R 2010, 624; Sander / Kremer, in: Taeger, IT und Internet – mit Recht gestalten, S. 669. 869 Zu diesem Absatz siehe Düsseldorfer Kreis, Beschluss v. 28. / 29.4.2010 (Safe Harbor). 870 Arbeitskreise Technik und Medien der DSK, Orientierungshilfe Cloud Computing, S. 17; zu den geforderten Nachweisverpflichtungen des Düsseldorfer Kreises siehe oben unter C.IV.3.d)aa)(4)(b)(aa)α). 871 Arbeitskreise Technik und Medien der DSK, Orientierungshilfe Cloud Computing, S. 17; zur „Safe Harbor List“ siehe a. a. O. (Fn. 811). 872 Arbeitskreise Technik und Medien der DSK, Orientierungshilfe Cloud Computing, S. 17.
IV. Internationale Datentransfers187
liche Regelungen, die nach dem nationalen Recht eines Datenexporteurs erforderlich sind, durch die Safe-Harbor-Zertifizierung nicht entbehrlich werden).873 Einen Nutzer entbinde eine Safe-Harbor-Zertifizierung auch nicht von der analog § 11 Abs. 2 S. 4 BDSG bestehenden Kontrollpflicht, da die bloße Überprüfung einer Safe-Harbor-Zertifizierung diesbezüglichen Anforderungen nicht genüge.874 Sollten hinsichtlich der Einhaltung von Safe-Harbor-Grundsätzen Zweifel bestehen, wird auch hier der Rückgriff auf Standardvertragsklauseln oder auf verbindliche Unternehmensregelungen empfohlen.875 γ) A rt.-29-Datenschutzgruppe – Stellungnahme zum Cloud Computing (WP 196) Die Art.-29-Datenschutzgruppe ist in ihrer „Stellungnahme 05 / 2012 zum Cloud Computing“ (WP 196) ebenso der Ansicht, „dass allein die Selbstzertifizierung nach dem Safe Harbor Abkommen bei einem gleichzeitigen Fehlen der tatsächlichen Durchsetzung der Datenschutzgrundsätze nicht als ausreichend angesehen werden kann.“876 Datenexportierende Unternehmen sollten sich daher nicht auf Erklärungen eines Datenimporteurs verlassen, sondern „einen Nachweis erhalten, dass die Safe Harbor Selbstzertifizierung vorliegt und einen Nachweis fordern, dass die Grundsätze wirklich befolgt werden.“877 Von Anbietern vorgelegte Standardverträge seien zu überprüfen, ob sie datenschutzrechtlichen Anforderungen (bei der Vergabe von Unteraufträgen etwa in Bezug auf Standorte und andere Informationen über Unterauftragsverarbeiter) entsprechen.878 Da Cloud-Anbieter diese Informationen normalerweise nicht bereithalten würden, empfiehlt auch die Art.29-Datenschutzgruppe einem Datenexporteuer den Rückgriff auf Standardvertragsklauseln oder BCR.879 Mit Blick auf die Besonderheiten von Cloud Computing ist die Art.29-Datenschutzgruppe der Auffassung, „dass die Safe-Harbor-Grundsätze dem Daten-Exporteur nicht die erforderlichen Mittel garantieren“, um fest873 Arbeitskreise Technik und Medien der DSK, Orientierungshilfe Cloud Computing, S. 17. 874 Arbeitskreise Technik und Medien der DSK, Orientierungshilfe Cloud Computing, S. 18; zu den Kontrollen im Rahmen der Auftragsdatenverarbeitung siehe unten unter C.VI.5.c). 875 Arbeitskreise Technik und Medien der DSK, Orientierungshilfe Cloud Computing, S. 17. 876 Art.-29-Datenschutzgruppe, WP 196, S. 21. 877 Art.-29-Datenschutzgruppe, WP 196, S. 21 f. 878 Art.-29-Datenschutzgruppe, WP 196, S. 22. 879 Art.-29-Datenschutzgruppe, WP 196, S. 22.
188 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
stellen zu können, dass auf Seiten eines US-amerikanischen Anbieters Sicherheitsmaßnahmen implementiert sind, die als angemessen im Sinne der EG-Datenschutz-Richtlinie anzusehen sind. Zu Recht wird auf die zahlreichen Sicherheitsrisiken verwiesen, die Cloud Computing an die Datensicherheit enthält und „die durch die bestehenden Safe Harbor Grundsätze nicht ausreichend behandelt werden.“ Zur Bewertung der datenschutzrechtlichen Angemessenheit eines Cloud-Anbieters könne es daher erforderlich sein, auf geeignete Prüfungs-, Standardisierungs- und Zertifizierungssysteme (und damit auf das Fachwissen Dritter) als Garantien zurückzugreifen. Auch könne es sich empfehlen, „die Verpflichtung des Datenimporteurs zu den Safe Harbor Grundsätzen mit zusätzlichen Garantien zu vervollständigen, die die besondere Natur der Cloud berücksichtigen.“880 δ) Weitere Ansichten (exemplarisch) Weichert, der Landesbeauftragte für Datenschutz in Schleswig-Holstein und Leiter des Unabhängigen Landeszentrums für Datenschutz (ULD), sieht die Safe-Harbor-Selbstzertifizierung als nicht ausreichend, um ein Datenschutzniveau zu erreichen, das europäischen Standards entspricht. Der „sichere Hafen“ könne gerade auch bei Cloud Computing kein Mittel sein, um die strengeren europäischen Datenschutzvorschriften zu umgehen. CloudVerträge, die sich an den Maßstäben der Safe-Harbor-Grundsätze orientieren, hält er für unzureichend.881 Von Seiten des ULD wird auch das Desinteresse der FTC an der Kontrolle und Durchsetzung der Safe-Harbor-Grundsätze hervorgehoben.882 Der Beschluss des Düsseldorfer Kreises sei daher „nicht weniger als eine weitgehende Abkehr von der Anerkennung eines angemessenen Schutzniveaus bei Safe Harbor zertifizierten US-Unternehmen.“883 Für Cloud Computing habe diese „Abkehr vom Postulat des sicheren Hafens“ die Konsequenz, dass nunmehr eine erhebliche Hürde für die Nutzung der Dienste von USAnbietern bestehe.884 Auch sei der Beschluss insofern folgerichtig, dass eine verantwortliche Stelle zu beurteilen und zu prüfen habe, ob ein selbstzertifizierter Cloud880 Zu diesem Absatz siehe Art.-29-Datenschutzgruppe, WP 196, S. 22; zu den cloud-spezifischen Risiken an die allgemeine Daten- und Informationssicherheit siehe unter C.V.3.a). 881 Zu diesem Absatz siehe Weichert, DuD 2010, 679 (686). 882 Marnau / Schlehahn, DuD 2011, 311 (314) unter Verweis auf die „GalexiaStudie“ und eine Studie der Université de Namur, Belgien, aus dem Jahr 2004. 883 Marnau / Schlehahn, DuD 2011, 311 (315). 884 Marnau / Schlehahn, DuD 2011, 311 (315).
IV. Internationale Datentransfers189
Anbieter die Grundsätze des Abkommens in einem Maß erfülle, wonach ein angemessenes Datenschutzniveau anzunehmen ist. Die Prüfpflicht sollte sich jedoch nicht bloß auf die Gültigkeit einer Zertifizierung sowie auf die Umsetzung des Grundsatzes der Informationspflicht beschränken, da die umfangreiche Kritik vielmehr eine Prüfung aller sieben Grundsätze des Abkommens und diesbezüglich getroffener Maßnahmen erfordere. Die Umsetzung von Prüfpflichten sei aber gerade bei den marktführenden US-Anbietern schwierig, die konkret implementierte Sicherheitsmaßnahmen häufig aus Wettbewerbsgründen nicht offenlegen. Von einem angemessenen Schutzniveau könne aber bei einer unabhängigen Auditierung oder Zertifizierung auszugehen sein, die von hinreichender Transparenz ist und euro päische Datenschutzstandards berücksichtigt; derart anerkannte Zertifizierungsverfahren seien aber noch zu etablieren.885 ε) S tellungnahme – Dokumentations- und Nachweispflichten in flexiblen Nutzungsszenarien Die von Seiten der Datenschutzbehörden als erforderlich angesehene Prüfung von Mindestkriterien sowie diesbezügliche Dokumentationen und Nachweise sind einem deutschen Unternehmen bei transatlantischen Datenübermittlungen auf Basis von Safe Harbor grundsätzlich anzuraten.886 Im spezifischen Kontext von Cloud Computing stellt sich allerdings die Frage, wie ein normaler Auftraggeber diesen Anforderungen überhaupt praxisgerecht nachkommen soll. Als zusätzliche Hürde sind sie das Gegenteil jedes „IT as a Service“-Gedankens.887 Eine konsequente Befolgung der aufsichtsbehördlichen Anforderungen stellt den Datenverkehr in die USA vor erhebliche praktische Hürden.888 Es besteht die Gefahr, dass ein rechtssicheres, transatlantisches Cloud Computing auf Basis von Safe Harbor nur noch denjenigen Unternehmen möglich ist, die über das für Prüfungs- und Nachweisverpflichtungen erforderliche Know-how selbst verfügen oder hiermit verbundene Aufwendungen wirtschaftlich und praktisch stemmen können. Mit Blick auf Zeit und Aufwand erscheint in hochflexiblen und kurzfristigen Nutzungsszenarien, wenn überhaupt, lediglich eine Überprüfung des gegenwärtigen „registration status“ diesem gesamten Absatz siehe Marnau / Schlehahn, DuD 2011, 311 (315). RDV 2011, 11 (14 f.). 887 Vgl. auch Brennscheidt, Cloud Computing und Datenschutz, S. 166. 888 Gleiches gilt für weitergehende Forderungen, wonach sich die Prüfpflicht nicht allein auf Einhaltung des Grundsatzes der Informationspflicht beschränken sollte, siehe Marnau / Schlehahn, DuD 2011, 311 (315) bzw. oben unter C.IV.3.d)aa) (4)(b)(aa)δ). 885 Zu
886 Wybitul / Patzak,
190 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
auf der von dem US-Handelsministerium geführten Safe-Harbor-Liste889 als eine Handlung, die realistischerweise noch erwartet werden kann. Bereits jede weitergehende Beurteilung, ob die „privacy policy“ des Cloud-Anbieters dem Grundsatz der Informationsplicht genügt, wird gerade ein kleines oder mittelständisches Unternehmen (unter wirtschaftlichen Gesichtspunkten mithin ein Hauptprofiteur der Vorteile von Cloud Computing) in aller Regel nicht ohne externes Know-how – und damit nur mit einem gewissen zeit lichen Vorlauf – feststellen können.890 Das wirtschaftliche Potential von Cloud Computing, das gerade für kleine oder mittelständische Unternehmen mit der Nutzung marktführender US-Datenwolken verbunden ist, wird hierdurch relativiert. Im Anbieter-Nutzer-Verhältnis gehen die Aufsichtsbehörden von Verhandlungskonstellationen aus, die in kostengünstigen Cloud-Nutzungsszenarien gerade nicht vorliegen. Als in weiten Teilen praxisfern erscheint daher die in der „Orientierungshilfe Cloud Computing“ enthaltene Forderung, wonach ein Cloud-Nutzer mit dem Anbieter im Innenverhältnis sicherzustellen habe, dass er die zur Beantwortung der Anfrage eines Betroffenen erforderlichen Informationen erhalte.891 Derartige Möglichkeiten finden sich in den meisten ungleichen Verhandlungskonstellationen gar nicht wieder.892 Vielmehr zeigt sich, dass die Datenschutzbehörden in der Orientierungshilfe Cloud Computing noch immer in konventionellen IT-Outsourcing-Szenarien „denken“ und Verhandlungsmöglichkeiten unterstellen, die sich in modernen Datenverarbeitungsszenarien und hierbei vor allem bei den Public Clouds großer Anbieter für die Mehrzahl der normalen Nutzer gar nicht wiederfinden. Die aufsichtsbehördlichen Anforderungen erscheinen allein im Hinblick auf die festgestellten Safe-Harbor-Umsetzungsdefizite als folgerichtig. Als zusätzliche Hürde kann hierin aber keine adäquate Antwort in Zeiten hochstandardisierter Datenwolken gesehen werden. Vielmehr zeigt sich, dass der Safe-Harbor-Rechtsrahmen insgesamt einer Novellierung bedarf, um der technischen Realität gerecht werdende Antworten zu liefern. Dies wird nicht zuletzt vor dem Hintergrund der Datensicherheit deutlich, da – wie die Art.29-Datenschutzgruppe zutreffend hervorhebt – sich mit Cloud Computing Sicherheitsrisiken verbinden, die durch die Safe-Harbor-Grundsätze aus dem Jahr 2000 „nicht ausreichend behandelt werden“.893 889 „Safe
Harbor List“, a. a. O. (Fn. 811). auch Brennscheidt, Cloud Computing und Datenschutz, S. 166. 891 Siehe oben unter C.IV.3.d)aa)(4)(b)(aa)β). 892 Vgl. oben unter C.IV.3.d)aa)(4)(b)(aa)γ) sowie C.IV.3.d)aa)(4)(b)(aa)δ); siehe auch unten unter C.VI.5.a). 893 Art.-29-Datenschutzgruppe, WP 196, S. 22; siehe oben unter C.IV.3.d)aa)(4) (b)(aa)γ). 890 Vgl.
IV. Internationale Datentransfers191
(bb) Safe Harbor aus Sicht der juristischen Literatur Kritik an dem „sicheren Hafen“ findet sich auch in der juristischen Literatur wieder.894 Nach Simitis habe sich die Kommission wohl aus außenund marktpolitischen Gründen für die Angemessenheit einer Regelung entschieden, „die wegen ihrer offenkundigen Datenschutzdefizite gleich zweifach gegen ebenso zentrale wie verbindliche Grundsätze des Gemeinschaftsrechts verstößt.“895 Das Abkommen sei daher mit der Anbindung des Datenschutzes an die Grundrechte des Betroffenen nach Art. 1 Abs. 1 EGDatenschutz-Richtlinie sowie mit deren Erwägungsgründen Nr. 1, 2 und 10 unvereinbar.896 Darüber hinaus verletze es die Selbstverpflichtung der Kommission, die ihre Entscheidungen insbesondere auch an dem in Art. 8 der EU-Grundrechtecharta enthaltenen Schutz personenbezogener Daten zu messen habe.897 Mit Verweis auf den Beschluss des Düsseldorfer Kreises898 ist Simitis daher der Ansicht, dass die „Safe Harbor Grundsätze nicht einfach hinzunehmen“ seien.899 In Anbetracht der Datenschutzdefizite sei vielmehr einzelfallbezogen zu prüfen, ob das Abkommen überhaupt zur Anwendung gelangen könne, zumal eine Aussetzung von Art. 3 Abs. 1 der Safe-Harbor-Kommissionsentscheidung gedeckt sei.900 Hiernach können die zuständigen Behörden in den Mitgliedstaaten die Datenübermittlung an einen selbstzertifizierten Datenempfänger in den USA aussetzen, wenn die zur Durchsetzung des Abkommens befugte staatliche Einrichtung in den USA die Verletzung von Grundsätzen feststelle oder hierfür eine hohe Wahrscheinlichkeit bestehe.901 Nach einer anderen Ansicht bedarf es insgesamt einer Klärung durch den EuGH, ob die Entscheidung der Kommission nach Art. 25 Abs. 6 EG-Datenschutz-Richtlinie für nationale Stellen wirklich bindend sei.902 Auch Erd sieht nach zehn Jahren Safe-Harbor-Abkommen „kein Grund zum Feiern“, da das Abkommen in der Praxis weitgehend missachtet worden sei.903 Die „Galexia Studie“904, auf deren Ergebnisse sich Erd ausführetwa Däubler, in: Däubler / Klebe / Wedde / Weichert, BDSG, § 4b Rn. 16. in: Simitis, BDSG, § 4b Rn. 78. 896 Simitis, in: Simitis, BDSG, § 4b Rn. 78. 897 Simitis, in: Simitis, BDSG, § 4b Rn. 78. 898 Siehe oben unter C.IV.3.d)aa)(4)(b)(aa)α). 899 Simitis, in: Simitis, BDSG, § 4b Rn. 79. 900 Simitis, in: Simitis, BDSG, § 4b Rn. 79. 901 Siehe Art. 3 Abs. 1 der Entscheidung der Kommission v. 26.7.2000 (2000 / 520 / EG), a. a. O. (Fn. 789). 902 Däubler, in: Däubler / Klebe / Wedde / Weichert, BDSG, § 4b Rn. 16. 903 Erd, K&R 2010, 624. 904 Siehe hierzu oben unter C.IV.3.d)aa)(4)(a)(bb). 894 Siehe
895 Simitis,
192 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
lich bezieht, habe Einblick in das Nicht-Funktionieren des „sicheren Hafens“ gegeben und den kritischen Blick auf die Realität des Abkommens geschärft.905 Da vor allem große Anbieter wie Google oder Facebook auf „Safe Harbor“ verweisen, könne der „nicht informierte Leser“ von einer vermeintlichen Sicherheit ausgehen.906 Diese Sicherheit würde jedoch spätestens dann Misstrauen weichen, wenn der Leser erfahre, dass etwa TRUSTe – das Unternehmen, das die Datenschutzrichtlinien von Facebook prüfe – zugleich ein von einem Facebook-Investor finanziertes Zertifizierungsunternehmen sei.907 (cc) S afe Harbor aus Sicht der Kommission – Mitteilung aus dem November 2013 Wie aus einer Mitteilung an das Europäische Parlament und den Rat von Ende November 2013 hervorgeht, beabsichtigt die Kommission das „SafeHarbor-System sicherer zu machen“, um das Vertrauen beim Datenaustausch zwischen der EU und den USA in Folge der NSA-Überwachungsaffäre wiederherzustellen.908 Sie sieht eine Benachteiligung der Grundrechte von EU-Bürgern vor allem darin, dass sich einige der dem Safe-Harbor-System beigetretenen Unternehmen aufgrund einer mangelnden Transparenz und Durchsetzung nicht an dessen Grundsätze halten würden.909 Auch bestünden Wettbewerbsnachteile europäischer Unternehmen gegenüber denjenigen USWettbewerbern, die in der Praxis die Grundsätze des Abkommens ignorieren.910 Die Unzulänglichkeiten des Safe-Harbor-Systems hätte auch die Reaktion der deutschen Datenschutzbeauftragten zu den NSA-Überwachungsmaßnahmen verdeutlicht, die künftig keine neuen Genehmigungen für Datenübermittlungen in Drittländer erteilen wollten und die eine Prüfung der Aussetzung von Datenübertragungen im Rahmen der Safe-Harbor-Vereinbarung forderten.911
905 Erd,
K&R 2010, 624 (626). K&R 2010, 624 (627). 907 Erd, K&R 2010, 624 (627). 908 COM(2013) 846, S. 7; siehe hierzu auch unten unter C.IV.3.d)bb)(1). 909 COM(2013) 846, S. 7. 910 COM(2013) 846, S. 7 f. 911 COM(2013) 846, S. 8; ausführlich zu der Reaktion der Datenschutzbehörden siehe unten unter C.IV.3.e)aa). 906 Erd,
IV. Internationale Datentransfers193
(dd) S afe Harbor aus Sicht des Europäischen Parlaments – Entschließung vom 12. März 2014 Am 12. März 2014 hat das Europäische Parlament in einer Entschließung zu dem Überwachungsprogramm der NSA Stellung genommen und unter anderem eine Aussetzung von Datenübermittlungen auf Basis von Safe Harbor gefordert. Das Parlament verweist zunächst auf die Zweifel und Bedenken an der Angemessenheit des Safe-Harbor-Systems, die es bereits unmittelbar vor Abschluss des Abkommens in einer Entschließung vom 5. Juli 2000 geäußert hatte. Von der flächendeckenden NSA-Überwachung in der EU seien jedenfalls zahlreiche an dem Safe-Harbor-Programm teilnehmende Unternehmen betroffen. Da der Zugriff durch US-Sicherheitsdienste nicht der Ausnahmeregelung für Gründe der „nationalen Sicherheit“ unterfalle, vertritt das Parlament die Auffassung, dass die Grundsätze des „sicheren Hafens“ EU-Bürgern unter den jetzigen Umständen keinen angemessenen Schutz bieten und dass Datenübermittlungen nach anderen Instrumenten wie Standardvertragsklauseln oder verbindliche Unternehmensregeln erfolgen sollten.912 (c) E in vergleichender Blick über den Atlantik – Ansichten und Entwicklungen in den USA Vor dem Hintergrund der im Grundsatz sehr kritischen europäischen Sichtweise auf Safe Harbor und der jüngsten Forderung nach einer Aussetzung des Abkommens durch das Europäische Parlament soll im Folgenden ein vergleichender Blick über den Atlantik zu dem dortigen Meinungsstand zu Safe Harbor im Kontext von Cloud Computing sowie insbesondere zu der (fehlenden) Durchsetzung durch die FTC geworfen werden. (aa) S afe Harbor und Cloud Computing aus Sicht des US-Handelsministeriums α) S tellungnahme der International Trade Administration zu WP 196 der Art.-29-Datenschutzgruppe – „Clarifications Regarding the U.S.-EU Safe Harbor Framework and Cloud Computing“ In einer im April 2013 veröffentlichten Stellungnahme „Clarifications Regarding the U.S.-EU Safe Harbor Framework and Cloud Computing“ hat die International Trade Administration (ITA) von Seiten des US-Handelsmi912 Zu diesem Absatz siehe EP, Entschließung v. 12.3.2014, 2013 / 2188(INI), P7_TA-PROV(2014)0212.
194 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
nisteriums zu den in WP 196 enthaltenen Auffassungen der Art.-29-Datenschutzgruppe zum Cloud Computing und zu den vergleichbaren Ansichten von Datenschutzbehörden in den EU-Mitgliedstaaten Stellung bezogen.913 Unter anderem wurde hierbei auf die geforderten Nachweispflichten914 eingegangen. Insoweit hält die ITA zunächst grundsätzlich fest, dass weder die Safe-Harbor-Vereinbarung noch die Angemessenheitsentscheidung der Kommission verändert wurden.915 Da die Meinung der Art.-29-Datenschutzgruppe nicht bindend sei und lediglich empfehlenden Charakter („advisory in nature“) habe, könne sie der Kommission auch nicht zugerechnet werden.916 Den von der Art.-29-Datenschutzgruppe geforderten Nachweisen könne anhand der im Internet öffentlich zugänglichen Safe-Harbor-Liste des US-Handelsministeriums nachgekommen werden, da sich hieraus der aktuelle „certification status“ („current“ oder „not current“) feststellen lasse.917 Nach Auffassung der ITA kann eine europäische Aufsichtsbehörde der bindenden Kommissionsentscheidung jedenfalls nicht die Anerkennung versagen, woran sich aller Voraussicht nach auch im Zuge der EU-Datenschutzreform nichts ändern werde.918 β) Anmerkung Die von europäischen Aufsichtsbehörden geforderten Nachweisverpflichtungen haben das US-Handelsministerium zu einer Stellungnahme veranlasst, die sich – dies zeigt der Frage-Antwort-Aufbau – wohl vor allem an (besorgte) US-Anbieter richtet. Mit Verweis auf die Safe-Harbor-Kommissionsentscheidung aus dem Jahr 2000 sowie auf den empfehlenden Charakter von Stellungnahmen der Art.-29-Datenschutzgruppe verweist die ITA aber im Grundsatz bloß auf die geltende Rechtslage.
913 U.S. Department of Commerce – ITA, Clarifications Regarding and Cloud Computing, S. 1 ff.; Spies / Schröder, ZD-Aktuell 2013, 7 / 2013, ZD Fokus V-VI. 914 Siehe oben unter C.IV.3.d)aa)(4)(b)(aa)γ). 915 U.S. Department of Commerce – ITA, Clarifications Regarding and Cloud Computing, S. 2. 916 U.S. Department of Commerce – ITA, Clarifications Regarding and Cloud Computing, S. 3 f. 917 U.S. Department of Commerce – ITA, Clarifications Regarding and Cloud Computing, S. 4 f. 918 U.S. Department of Commerce – ITA, Clarifications Regarding and Cloud Computing, S. 6 f.
Safe Harbor 03566, ZD Safe Harbor Safe Harbor Safe Harbor Safe Harbor
IV. Internationale Datentransfers195
(bb) D ie (fehlende) Durchsetzung durch die FTC – Entwicklungen in den letzten Jahren Als ein wesentlicher Kritikpunkt an Safe Harbor gilt die fehlende Kontrolle der Selbstzertifizierung durch US-amerikanische Behörden. Für die ersten neun Jahre des Abkommens sind keine Aktivitäten der FTC auszumachen, die auf eine effektive Durchsetzung hindeuten.919 Verfahren der FTC mit Safe-Harbor-Bezug finden sich erst ab dem Jahr 2009. Da derartige Verfahren mittlerweile auch die Grundprinzipien des Abkommens zum Gegenstand hatten, fragt sich, inwieweit sich die fehlende Durchsetzung als Kritikpunkt aufrechterhalten lässt. α) E rste Verfahren der FTC zu dem Vorliegen der Selbstzertifizierung an sich Im Jahr 2009 warf die FTC einem kalifornischen Unternehmen – neben dem Vorwurf von Täuschungshandlungen gegenüber ausländischen Verbrauchern nach dem U.S. SAFE WEB Act920 – erstmals vor, sich in Datenschutzbestimmungen auf eine Teilnahme an dem Safe-Harbor-Programm zu berufen, obwohl eine Selbstzertifizierung nie erfolgte.921 Im gleichen Jahr hielt die FTC sechs weiteren Unternehmen vor, sich weiterhin auf „current certifications“ zu berufen, obwohl die jeweilige Safe-Harbor-Selbstzertifizierung bereits ausgelaufen war.922 Gegenstand dieser sieben Verfahren war aber noch das Vorliegen einer Selbstzertifizierung an sich. Mit den datenschutzrechtlichen Grundprinzipien des Safe-Harbor-Abkommens musste sich die FTC dagegen zum ersten Mal in dem Google-Buzz-Vergleich auseinandersetzen. 919 BT-Drs. 17 / 3375, S. 5; Marnau / Schlehahn, TClouds Report, Cloud Comput ing: Legal Analysis, S. 48; Sander / Kremer, in: Taeger, IT und Internet – mit Recht gestalten, S. 667 f. 920 Undertaking Spam, Spyware, And Fraud Enforcement With Enforcers beyond Borders Act (U.S. SAFE WEB Act). 921 FTC File No. 092 3081 („Balls of Kryptonite“); Marnau / Schlehahn, TClouds Report, Cloud Computing: Legal Analysis, S. 48; http://www.ftc.gov / newsevents / press-releases / 2009 / 08 / court-halts-us-internet-seller-deceptively-posing-ukhome (Stand: 1.7.2015). 922 FTC File No. 092 3137 („World Innovators, Inc.“); FTC File No. 092 3138 („ExpatEdge Partners, LLC“); FTC File No. 092 3139 („Onyx Graphics, Inc.“); FTC File No. 092 3140 („Directors Desk LLC“); FTC File No. 092 3141 („Progressive Gaitways LLC“); FTC File No. 092 3142 („Collectify LLC“); Marnau / Schlehahn, TClouds Report, Cloud Computing: Legal Analysis, S. 48; http://www.ftc.gov / newsevents / press-releases / 2009 / 10 / ftc-settles-six-companies-claiming-comply-internatio nal-privacy (Stand: 1.7.2015).
196 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
β) Der Google-Buzz-Vergleich Im Jahr 2011 legten Google und die FTC ein Verfahren um den GoogleDienst „Buzz“ (dieser wurde zugunsten von „Google+“ mittlerweile eingestellt) durch Vergleich bei.923 Nach den eigenen Angaben hat die FTC in diesem Verfahren einem Unternehmen zum ersten Mal überhaupt die Verletzungen von Datenschutzanforderungen nach dem „U.S.-EU Safe Harbor Framework“ vorgeworfen.924 Zugleich wurde durch den Vergleich ein Unternehmen erstmals dazu verpflichtet, ein umfassendes Datenschutzprogramm zu implementieren, um „privacy of consumers’ information“ zu gewährleisten.925 Zugrunde lag der Sachverhalt, wonach Google im Jahr 2010 mit Buzz einen Dienst startete, der den webbasierten Dienst Google Mail (Gmail) um Funktionen eines sozialen Netzwerks erweiterte, indem etwa bestehende Twitter- oder Flickr-Konten mit Buzz verbunden werden konnten.926 Die Identitäten der in Gmail hinterlegten Nutzerkontakte wurden dann in den öffentlichen Buzz-Profilen standardmäßig als „follower“ angezeigt.927 Zugleich standen einer Opt-Out-Möglichkeit schwer auffindbare Benutzereinstellungen entgegen, die selbst bei gewählter Ausstiegsoption einen Nutzer nicht vollumfänglich aus dem sozialen Netzwerk entfernten.928 Nachdem Google wegen dieser Offenlegung von E-Mail-Kontakten zahlreiche Beschwerden erhalten hatte, forderten Datenschützer des US-amerikanischen Electronic Privacy Information Center (EPIC) die FTC auf, ein Untersuchungsverfahren einzuleiten.929 Die FTC sah einen Verstoß gegen das in Abschnitt 5 des FTC Acts enthaltene Verbot unlauterer und irreführender Praktiken.930 Nach der „privacy policy“ von Google hätte es für die Nutzung von persönlichen Informatio923 FTC
File No. 102 3136 („Google, Inc.“).
924 http://www.ftc.gov / news-events / press-releases / 2011 / 03 / ftc-charges-decepti
ve-privacy-practices-googles-rollout-its-buzz v. 30.3.2011 (Stand: 1.7.2015). 925 FTC Press Release v. 30.3.2011, a. a. O. (Fn. 924). 926 http://www.zdnet.de/news/41527104/buzz-erweitert-google-mail-um-socialnetworking-funktionen.htm v. 10.2.2010 (Stand: 1.7.2015); FTC Press Release v. 30.3.2011, a. a. O. (Fn. 924). 927 FTC Press Release v. 30.3.2011, a. a. O. (Fn. 924); Marnau / Schlehahn, TClouds Report, Cloud Computing: Legal Analysis, S. 49. 928 FTC Press Release v. 30.3.2011, a. a. O. (Fn. 924). 929 FTC Press Release v. 30.3.2011, a. a. O. (Fn. 924); http://www.zdnet.de/news/ 41527533/google-buzz-us-datenschuetzer-fordern-untersuchung.htm v. 17.2.2010 (Stand: 1.7.2015). 930 Marnau / Schlehahn, TClouds Report, Cloud Computing: Legal Analysis, S. 49; zu Section 5 FTC Act siehe auch oben unter C.IV.3.d)aa)(2)(c)(bb).
IV. Internationale Datentransfers197
nen zu einem anderen Zweck der vorherigen Zustimmung eines Nutzers bedurft. Durch die standardmäßig ohne Zustimmung erfolgende Veröffentlichung häufiger E-Mail-Kontakte habe Google daher gegen die eigene „privacy policy“ verstoßen.931 In Bezug auf den Umgang mit persönlichen Informationen aus der EU sah die FTC zugleich einen Verstoß gegen die im „U.S.-EU Safe Harbor privacy framework“ enthaltenen Grundsätze der Informationspflicht und Wahlmöglichkeit.932 In dem Vergleich verpflichtete sich Google – unter anderem – ein umfassendes Datenschutzprogramm einzuführen sowie keine falschen Angaben zu einem „privacy, security, or any other compliance program sponsored by the government or any other entity, including, but not limited to, the U.S.-EU Safe Harbor Framework“ zu machen.933 Zugleich wurde vorgesehen, dass unabhängige Dritte alle zwei Jahre und über einen Zeitraum von 20 Jahren Datenschutz-Assessments durchführen.934 γ) Vergleiche der FTC mit Facebook und MySpace Weitere Vergleiche erzielte die FTC mit Facebook935 und MySpace936 in den Jahren 2011 und 2012. Facebook wurde vorgeworfen, Nutzer darüber getäuscht zu haben, dass Informationen in Facebook als privat verbleiben können, obwohl sie wiederholt geteilt werden konnten und damit öffentlich zugänglich waren.937 MySpace wurde vorgehalten, falsche Angaben gemacht zu haben, wie die Informationen von Nutzern verwendet werden.938 Entge931 FTC
Press Release v. 30.3.2011, a. a. O. (Fn. 924). Press Release v. 30.3.2011, a. a. O. (Fn. 924); zu dem Grundsatz der Informationspflicht siehe oben unter C.IV.3.d)aa)(2)(b)(aa), zu dem Grundsatz der Wahlmöglichkeit unter C.IV.3.d)aa)(2)(b)(bb). 933 FTC File No. 102 3136 („Google Inc.“), DOCKET NO. C-4336, Decision and Order, S. 3 f., abrufbar unter http://www.ftc.gov/sites/default/files/documents/cases/2 011/10/111024googlebuzzdo.pdf (Stand: 1.7.2015); zu den Inhalten dieses Datenschutzprogramms siehe auch Schuppert / von Reden, ZD 2013, 210 (215). 934 FTC File No. 102 3136 („Google Inc.“), DOCKET NO. C-4336, Decision and Order, S. 5, a. a. O. (Fn. 933). 935 FTC File No. 092 3184 („Facebook, Inc.“), DOCKET NO. C-4365, Decision and Order, S. 1 ff., abrufbar unter http://www.ftc.gov/sites/default/files/documents/ cases/2012/08/120810facebookdo.pdf (Stand: 1.7.2015). 936 FTC File No. 102 3058 („MySpace LLC“), DOCKET NO. C-4369, Decision and Order, S. 1 ff., abrufbar unter http://www.ftc.gov/sites/default/files/documents/ cases/2012/09/120911myspacedo.pdf (Stand: 1.7.2015). 937 http://www.ftc.gov / news-events / press-releases / 2011 / 11 / facebook-settles-ftccharges-it-deceived-consumers-failing-keep v. 29.11.2011 (Stand: 1.7.2015). 938 http://www.ftc.gov / news-events / press-releases / 2012 / 05 / myspace-settles-ftccharges-it-misled-millions-users-about v. 8.5.2012 (Stand: 1.7.2015). 932 FTC
198 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
gen der in der „privacy policy“ enthaltenen Zusage, wonach die Weitergabe von „personally identifiable information“ nicht ohne vorherige „notice“ erfolgen würde, hätte MySpace die mit jedem Account dauerhaft und eindeutig verknüpfte „friend ID“ dennoch an „advertisers“ weitergegeben, die anhand dieser Informationen den jeweiligen MySpace-Account aufrufen konnten, der in aller Regel den vollen Namen des Nutzers sowie weitere Informationen enthielt.939 Die FTC sah hierin nicht nur eine Verletzung von US-Bundesgesetzen, sondern verwies auch darauf, dass sich MySpace durch die Safe-Harbor-Selbstzertifizierung verpflichtet habe, Nutzer über die Verwendung ihrer Informationen zu informieren.940 Wie zuvor schon Google verpflichteten sich Facebook und MySpace dazu, keine falschen Angaben zu einem „privacy, security, or any other compliance program sponsored by the government or any other entity, including, but not limited to, the U.S.EU Safe Harbor Framework“ zu machen.941 Ebenso wortgleich zu der Verpflichtung von Google sagten sowohl Facebook als auch MySpace die Einführung weitreichender Datenschutzmaßnahmen sowie die Durchführung von Datenschutz-Assessments durch unabhängige Dritte für 20 Jahre zu.942 δ) V ergleiche der FTC mit US-Unternehmen in der ersten Hälfte des Jahres 2014 Im Januar 2014 hat die FTC mit 12 US-Unternehmen – darunter unter anderem drei National-Football-League-Teams, BitTorrent (ein Peer-to-Peer Filesharing-Protocol-Anbieter) und Level 3 Communications (einer der sechs weltweit größten Internet-Service-Provider) – weitere Vergleiche zu dem Vorliegen der Selbstzertifizierung an sich erzielt. Den betroffenen Unternehmen wurde vorgeworfen, in ihren „privacy policies“ oder durch Wiedergabe des „Safe Harbor certification marks“ sich weiterhin auf gültige Safe-Harbor-Selbstzertifizierungen berufen zu haben, obwohl die jährliche Erneuerung ausgeblieben ist.943 939 FTC
Press Release v. 8.5.2012, a. a. O. (Fn. 938). Press Release v. 8.5.2012, a. a. O. (Fn. 938). 941 FTC File No. 092 3184 („Facebook, Inc.“), DOCKET NO. C-4365, Decision and Order, S. 4, a. a. O. (Fn. 935); FTC File No. 102 3058 („MySpace LLC“), DOCKET NO. C-4369, Decision and Order, S. 2, a. a. O. (Fn. 936); zu Google siehe oben unter C.IV.3.d)aa)(4)(c)(bb)β). 942 FTC File No. 092 3184 („Facebook, Inc.“), DOCKET NO. C-4365, Decision and Order, S. 5 f., a. a. O. (Fn. 935); FTC File No. 102 3058 („MySpace LLC“), DOCKET NO. C-4369, Decision and Order, S. 3 f., a. a. O. (Fn. 936). 943 Zu diesem Absatz siehe http://www.ftc.gov / news-events / press-releases / 2014 / 01 / ftc-settles-twelve-companies-falsely-claiming-comply v. 21.1.2014 (Stand: 1.7. 2015). 940 FTC
IV. Internationale Datentransfers199
Weitere Vergleiche wurden im Februar 2014 mit Fantage.com, dem Hersteller eines beliebten Multiplayer-Online-Rollenspiels für Kinder zwischen 6 und 16 Jahren, sowie im Mai 2014 mit dem Bekleidungsunternehmen American Apparel getroffen. Auch hier sollen sich die Unternehmen jeweils fälschlicherweise darauf berufen haben, weiterhin an dem US-EU-SafeHarbor-Programm sowie an dem US-Swiss-Safe-Harbor-Programm teilzunehmen, obwohl die Zertifizierungen nicht erneuert wurden.944 ε) „ Privacy Enforcement and Safe Harbor“ – Stellungnahme von Mitarbeitern der FTC an die Kommission aus dem November 2013 Mitarbeiter der FTC haben im November 2013 die von Viviane Reding eingeräumte Möglichkeit einer Stellungnahme zu der Umsetzung von Safe Harbor genutzt, um die Diskussion mit den europäischen Kollegen fortzusetzen sowie um einen weiteren Dialog über mögliche Verbesserungen des Abkommens zu erreichen.945 Dabei wurde insbesondere auch auf die gegenwärtige Durchsetzung von Safe Harbor eingegangen. Grundsätzlich wird in der Stellungnahme ein ständiger Wille der FTC zu einer wachsamen Durchsetzung hervorgehoben. Da sie in den ersten 10 Jahren des Abkommens keinerlei Verweise oder Verfahrensabgaben von europäi schen Behörden erhalten habe (und auch in den vergangenen Jahren bloß einige wenige eingingen), hätte die FTC mögliche Verletzungen des Abkommens schließlich aus eigener Initiative proaktiv untersucht. Hierdurch habe sie Kenntnis von Safe-Harbor-Verletzungen erlangt, die sodann Grundlage der mit Google, Facebook und MySpace erzielten Vergleiche wurden. Diese Vergleiche würden sowohl für die Durchsetzbarkeit von Safe-Harbor-Zertifizierungen als auch für die Auswirkungen einer fehlenden Compliance stehen. Google, Facebook und MySpace hätten sich jeweils verpflichtet, ein umfangreiches „privacy program“ zu implementieren und sich unabhängigen Untersuchungen zu unterziehen, die der FTC regelmäßig gemeldet werden.946 944 FTC File No. 142 3026 („Fantage.com, Inc.“), DOCKET NO. C-4469, Decision and Order, S. 1 ff., abrufbar unter http://www.ftc.gov/system/files/documents/ cases/140625fantagedo.pdf (Stand: 1.7.2015); FTC File No. 142 3036 („American Apparel, Inc.“), DOCKET NO. C-4459, Decision and Order, S. 1 ff.; abrufbar unter http://www.ftc.gov/system/files/documents/cases/140625americanappareldo.pdf (Stand: 1.7.2015). 945 FTC, Comments of FTC Staff on Safe Harbor Review v. 12.11.2013, S. 1 ff.; bei den Ansichten der FTC-Mitarbeiter handelt es sich nicht zwangsläufig um Ansichten der FTC oder eines ihrer Commissioner. 946 Zu diesem gesamten Absatz siehe FTC, Comments of FTC Staff on Safe Harbor Review v. 12.11.2013, S. 3.
200 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
Zudem wird darauf verwiesen, dass die FTC sämtliche in den Vergleichen erzielten Verpflichtungen jederzeit durchsetzen könne. So habe beispielsweise Google eine Rekordstrafe in Höhe von 22,5 Millionen US-Dollar gezahlt, um den Vorwurf zu beseitigen, Verpflichtungen verletzt zu haben.947 Safe Harbor sei in den Händen der FTC ein bedeutendes Instrument zum Schutz von Daten, die aus der EU in die USA übermittelt werden. Der Abschnitt zur Durchsetzung des Safe-Harbor-Abkommens wird dabei mit den Worten von Commissioner Julie Brill geschlossen: „In an era where we face many threats to privacy, Safe Harbor has been an effective solution, not the problem.“948 ζ) Stellungnahme Die fehlende Kontrolle der Selbstzertifizierung durch US-amerikanische Kontrollbehörden galt von europäischer Seite lange Zeit als zentraler SafeHarbor-Kritikpunkt. Nach mittlerweile mehreren Verfahren mit Safe-HarborBezug lässt sich dies nicht mehr undifferenziert aufrechterhalten. Gerade die zahlreichen Vergleiche aus dem Jahr 2014 bekräftigen zumindest in Bezug auf das Vorliegen der Selbstzertifizierung an sich einen entsprechenden Durchsetzungswillen der FTC. Langfristig bleibt es jedoch abzuwarten, ob dieses Handeln nicht bloß auf die zu diesem Zeitpunkt bestehenden politischen Spannungen im Rahmen der NSA-Affäre zurückzuführen ist. In dem Google-Buzz-Verfahren ist die FTC zum ersten Mal auch einem Verstoß gegen zwei Safe-Harbor-Grundsätze nachgegangen, auch wenn diese nur in Bezug auf Daten aus der EU verletzt waren (hauptsächlicher Verfahrensgegenstand war das Verbot unlauterer und irreführender Praktiken nach Section 5 FTC Act). Da die Verletzung von Safe-Harbor-Grundprinzipien auch in den Verfahren gegen Facebook und MySpace nicht alleiniger Verfahrensgegenstand war, wird es langfristig zu Recht abzuwarten sein, wie die FTC mit Konstellationen umgehen wird, in denen ausschließlich Safe-Harbor-Grundsätze verletzt werden.949 Zugleich wird in den mit Google, Facebook und MySpace erzielten Vergleichen wohl noch keine flächendeckende Kontrolle zu sehen sein, auch wenn hiervon zumindest eine gewisse Signalwirkung und Warnfunktion an selbstzertifizierte US-Unternehmen ausgeht.950 947 FTC,
Comments of FTC Staff on Safe Harbor Review v. 12.11.2013, S. 4. Comments of FTC Staff on Safe Harbor Review v. 12.11.2013, S. 4. 949 Marnau / Schlehahn, TClouds Report, Cloud Computing: Legal Analysis, S. 51; a. A. wohl Greer, RDV 2011, 267 (271). 950 Die erzielten Vergleiche und diesbezügliche Informationen sind auf der Webseite der FTC jedenfalls verlinkt: http://business.ftc.gov/legal-resources/2840/35 948 FTC,
IV. Internationale Datentransfers201
Die von FTC-Mitarbeitern an die Kommission adressierte Stellungnahme aus dem November 2013 verdeutlicht dagegen sehr anschaulich die USamerikanische Sicht eines im Grundsatz effektiven und funktionierenden Abkommens. Das zu europäischen Ansichten in weiten Teilen konträre Verständnis ist wohl nicht zuletzt auch auf die historisch bedingten Unterschiede der beiden Rechtsordnungen in Bezug auf „privacy“ und auf Aspekte einer effektiven Durchsetzung zurückzuführen.951 Jeder transatlantische Dialog zu künftigen Verbesserungen an dem Abkommen wird daher vor allem diesem unterschiedlichen Grundverständnis von einem effektiven und funktionierenden Abkommen zunächst Rechnung tragen müssen. (d) E rgebnis – Safe Harbor als geltender Rechtsrahmen auch für Cloud Computing Praxiserfahrungen, Umsetzungsdefizite und Kritiken haben verdeutlicht, dass ein „sicherer Hafen“ nicht pauschal mit einer Selbstzertifizierung assoziiert werden kann. Neben einem politischen Umdenken952 können sich bereits heute Auswirkungen auf die allgemeine Daten- und Informationssicherheit ergeben, sofern hierdurch die Beurteilung von allgemeinen Sicherheitsaspekten oder bestimmten Compliance-Anforderungen beeinflusst wird.953 Gleichwohl ist die Kommissionsentscheidung aus dem Jahr 2000 geltendes Recht. Zwar verdeutlichen die langen, der Entscheidung vorausgegangenen Verhandlungen, dass es sich hierbei um einen politischen Kompromiss zur Überbrückung der historisch gewachsenen Unterschiede zweier Rechtssysteme handelt.954 Als geltende Vereinbarung bilden die Grundsätze des „sicheren Hafens“ aber einen zentralen Bestandteil des Rechtsrahmens für Datenübermittlung in die USA und gewährleisten ein angemessenes Schutz(Stand: 1.7.2015); eine Übersicht der „Federal Trade Commission Enforcement of Safe Harbor Commitments“ findet sich aber beispielsweise auch auf den SafeHarbor-Webseiten der dem US-Handelsministerium zugehörigen International Trade Administration wieder, http://export.gov/build/groups/public/@eg_main/@safeharbor/ documents/webcontent/eg_main_052211.pdf (Stand: 1.7.2015), abrufbar unter http:// export.gov/safeharbor/eg_main_018244.asp (Stand: 1.7.2015). 951 Zu den Unterschieden der beiden Rechtsordnungen siehe einleitend oben unter C.IV.3.d)aa)(1). 952 Marnau / Schlehahn, DuD 2011, 311 (316); vgl. auch oben unter C.IV.3.d)aa) (4)(b)(dd). 953 Vgl. Hennrich, CR 2011, 546 (552); Hennrich / Maisch, jurisAnwZert ITR 15 / 2011, Anm. 2. 954 Vgl. Simitis, in: Simitis, BDSG, § 4b Rn. 70 f.; Greer, RDV 2011, 267 (273); Kühling / Seidel / Sivridis, Datenschutzrecht, S. 31; Marnau / Schlehahn, TClouds Report, Cloud Computing: Legal Analysis, S. 58.
202 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
niveau i. S. v. Art. 25 Abs. 2 EG-Datenschutz-Richtlinie (bzw. § 4b Abs. 3 BDSG).955 Daten müssen daher auch bei Cloud Computing grundsätzlich auf Basis von Safe Harbor an Datenempfänger in den USA übermittelt werden können.956 Ansichten, die Safe Harbor bei Cloud Computing als unzureichend ansehen,957 stehen jedenfalls im Widerspruch zu geltendem Recht.958 Auch nach den aufsichtsbehördlichen Stellungnahmen (Düsseldorfer Kreis, Art.29-Datenschutzgruppe, Orientierungshilfe Cloud Computing) sind Datenübermittlungen aus Safe-Harbor-Basis gerade nicht unzulässig, sondern unterliegen nur weiteren Prüf- und Dokumentationspflichten.959 Liegen diese weiteren Voraussetzungen vor, können personenbezogene Daten selbst nach der aufsichtsbehördlichen Sichtweise auf Basis von Safe Harbor an einen US-Datenempfänger übermittelt werden. Ob und inwieweit eine verantwortliche Stelle aus Deutschland diesen weiteren Voraussetzungen gerecht wird,960 ist stets einzelfallbezogen zu prüfen. bb) Vorschläge für eine Verbesserung des Safe-Harbor-Rechtsrahmens zur Wiederherstellung von Vertrauen im Zuge der NSA-Überwachungsaffäre In Folge der Enthüllungen von Edward Snowden aus dem Juni 2013 rückte auch das Safe-Harbor-Abkommen in den Fokus der Aufmerksamkeit. Zur Wiederherstellung von Vertrauen in transatlantischen Datenübermittlungen haben unter anderem die Kommission, die Art.-29-Datenschutzgruppe und das Europäische Paralament verschiedene Verbesserungsvorschläge gemacht. (1) Vorschläge der Kommission aus dem November 2013 Die Kommission hat Ende November 2013 auf die Wichtigkeit der Wiederherstellung von Vertrauen im Datenverkehr zwischen Europa und den 955 Siehe oben unter C.IV.3.d)aa)(2)(a); Hartung / Storm, in: Hilber, Handbuch Cloud Computing, Teil 4 Rn. 239. 956 Vgl. Köhler / Arndt / Fetzer, Recht des Internet, S. 327 Rn. 980; so auch U.S. Department of Commerce – ITA, Clarifications Regarding Safe Harbor and Cloud Computing, S. 2. 957 Weichert, DuD 2010, 679 (686), siehe oben unter C.IV.3.d)aa)(4)(b)(aa)δ). 958 Niemann / Hennrich, CR 2010, 686 (688); behördliches Handeln könnte daher gegebenenfalls Anlass für ein Vertragsverletzungsverfahren gegen den jeweiligen Mitgliedstaat (Art. 258 AEUV) geben. 959 Vgl. Schuppert / von Reden, ZD 2013, 210 (211); zu den aufsichtsbehördlichen Ansichten siehe oben unter C.IV.3.d)aa)(4)(b). 960 Hieran zweifelnd Kühling / Biendl, CR 2014, 150 (153 f.).
IV. Internationale Datentransfers203
USA verwiesen, das durch die Enthüllungen zu den US-Überwachungsprogrammen Schaden genommen habe.961 Die Übermittlung personenbezogener Daten sei ein integraler Bestandteil der transatlantischen Handelsbeziehungen und sei zwischen strategischen Partnern gerade für soziale Netzwerke oder für Cloud Computing von zentraler wirtschaftlicher Bedeutung.962 Zur Wiederherstellung von Vertrauen und zur Gewährleistung eines wirksamen Datenschutzes hat die Kommission – neben der Reform der EUDatenschutzvorschriften, einer Stärkung der Datenschutzgarantien im Bereich der strafrechtlichen Zusammenarbeit, einer Berücksichtigung europäischer Belange im Rahmen laufender US-Reformprozesse sowie Initiativen zur Förderung von Datenschutznormen auf internationaler Ebene – insbesondere eine Stärkung von Safe Harbor befürwortet, da der status quo des Abkommens aufgrund der festgestellten Schwachstellen jedenfalls nicht beibehalten werden könne und eine Aussetzung oder Aufhebung des Abkommens wiederum den wirtschaftlichen Interessen der teilnehmenden Unternehmen schade.963 Sämtliche Verbesserungen sollten sich vor allem auf die strukturellen Mängel bei der Transparenz und Durchsetzung, auf die wesentlichen Safe-Harbor-Grundsätze sowie auf die Ausnahmen für die nationale Sicherheit beziehen.964 (2) V erbesserungsvorschläge der Art.-29-Datenschutzgruppe zu Safe Harbor Die Art.-29-Datenschutzgruppe hat im April 2014 in einem Schreiben an Viviane Reding sämtliche Vorschläge der Kommission zur Wiederherstellung von Vertrauen im Datenverkehr zwischen der EU und den USA begrüßt. Die vorgeschlagenen Verbesserungen zu Safe Harbor seien aufgrund der politischen Bedeutung des Abkommens gerade in Zeiten der Enthüllungen zu den Überwachungsmaßnahmen von US-Sicherheitsbehörden von hoher Wichtigkeit.965 Zahlreiche weitergehende Empfehlungen der Art.-29-Datenschutzgruppe sind in einem mehrseitigen Anhang zu dem Schreiben enthalten. Hiernach wird beispielsweise angeregt, dass sich sämtliche Anforderungen des Abkommens künftig in den Grundprinzipien wiederfinden sollten, da die gegenwärtige Zerstreuung auf die Grundprinzipien und auf die FAQ die 961 COM(2013)
846, S. 2, 6. 846, S. 2. 963 COM(2013) 846, S. 8. 964 COM(2013) 846, S. 8. 965 Art.-29-Datenschutzgruppe, Schreiben v. 10.4.2014 zu Safe Harbor, S. 1. 962 COM(2013)
204 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
Identifizierung und Einhaltung der Anforderungen erschwere.966 Zur Verbesserung der Transparenz wird zum Beispiel auch eine Liste derjenigen Organisationen vorgeschlagen, deren Selbstzertifizierung nicht mehr gültig ist.967 cc) Vorlage an den EuGH zur Verbindlichkeit der Safe-Harbor-Kommissionsentscheidung durch den irischen High Court in Dublin Der Österreicher Max Schrems, Gründer der Initiative „Europe-v-Facebook“, die Facebook verschiedene Verstöße gegen europäische Datenschutzgrundsätze vorwirft, hatte Ende 2013 eine Untätigkeitsklage gegen den Irischen Datenschutzbeauftragten erhoben. Dieser soll vor dem Hintergrund von NSA-Überwachung und PRISM eine behauptete Beeinträchtigung von Datenschutzrechten durch Datenweitergaben an Facebook Inc. in den USA nicht weiter untersucht haben.968 Hierauf hat der irische High Court in Dublin Mitte Juni 2014 dem EuGH die Frage nach der Verbindlichkeit des Safe-Harbor-Kommissionsbeschlusses aus dem Jahr 2000 im Hinblick auf Art. 7, Art. 8 und Art. 47 der EU-Grundrechte-Charta vorgelegt. Zugleich stellt das Gericht die Frage, ob eine Datenschutzbehörde anderenfalls Ermittlungen im Lichte der faktischen Entwicklungen seit der Kommissionsentscheidung aus dem Jahr 2000 durchzuführen habe.969 Der weitere Verfahrensverlauf sowie die Entscheidung des EuGH wird aufgrund der hohen Bedeutung von Safe Harbor in transatlantischen Datentransfers von verschiedenen Seiten interessiert beobachtet werden. dd) Gedanken zu einem künftigen Rechtsrahmen für transatlantische Datentransfers; „EU-Safe-Harbour“ Vor dem Hintergrund der hohen Praxisrelevanz von Datentransfers an US-amerikanische Datenempfänger erscheint ein neues Datenschutzabkommen mit den USA langfristig als unausweichlich.970 Aufgrund des unterschiedlichen Verständnisses von Datenschutz in Europa und den USA sowie vor dem Hintergrund der aktuellen Entwicklungen im Zuge der Enthüllungen von Edward Snowden zu den Spähaktivitäten der NSA ist die weitere politische Entwicklung derzeit aber nicht absehbar. 966 Art.-29-Datenschutzgruppe,
Schreiben v. 10.4.2014 zu Safe Harbor, S. 3. Schreiben v. 10.4.2014 zu Safe Harbor, S. 4. 968 https://www.datenschutzzentrum.de/artikel/213-ULD-begruesst-Safe-HarborVorlage-wegen-Facebook-beim-EuGH.html (Stand: 1.7.2015). 969 http://www.europe-v-facebook.org/Order_ADJ.pdf (Stand: 1.7.2015). 970 So grundsätzlich auch der Deutsche Anwaltverein, Stellungnahme 43 / 2011, S. 3. 967 Art.-29-Datenschutzgruppe,
IV. Internationale Datentransfers205
Als vielversprechend erscheint auch der Gedanke eines sicheren Hafens in der EU. Bereits im Vorfeld der Datenschutzreform hat EU-Justizkommissarin Viviane Reding in Erwägung gezogen, einen Mechanismus in der EU zu schaffen, wonach sich Anbieter in Drittstaaten auf freiwilliger Basis den Datenschutzbestimmungen der EU unterwerfen können.971 Ein solcher Mechanismus könne mit Zertifizierungen, Garantien für ein Auditing und Maßnahmen der Durchsetzbarkeit verbunden werden und langfristig in einem „EU Safe Harbour“-System resultieren.972 Der Erfolg eines solchen Systems wird aber nicht nur von dessen Akzeptanz abhängen. Wie bereits im Kontext der geplanten Ausdehnung des Anwendungsbereichs der DSGVO auf Verantwortliche in Drittländern erörtert,973 wird es vor allem entscheidend sein, ob den im internationalen Kontext schwierigen Fragen der Rechtsdurchsetzung durch internationale Abkommen oder durch andere Sanktionsmechanismen beigekommen werden kann. e) Weitere Auswirkungen der Überwachungsaktivitäten der NSA auf internationale Datentransfers in die USA aa) Reaktion der Datenschutzkonferenz – Pressemitteilung vom 24. Juli 2013 Die im Juni 2013 durch Edward Snowden bekannt gewordenen Überwachungsaktivitäten der US-amerikanischen NSA haben sehr bald zu einer Reaktion der Aufsichtsbehörden für den Datenschutz geführt. Nach einer Pressemitteilung vom 24. Juli 2013 hält die Konferenz der Datenschutzbeauftragten des Bundes und der Länder angesichts der umfassenden und anlasslosen Überwachungsmaßnahmen die Kommissionsentscheidungen zu Safe Harbor und die Standardvertragsklauseln mit hoher Wahrscheinlichkeit für verletzt.974 Auch wenn die Safe-Harbor-Grundsätze für Erfordernisse der nationalen Sicherheit oder zur Durchführung von Gesetzen begrenzt werden können, würde dies umfassende und ansatzlose Zugriffe nicht rechtfertigen.975 Auch bei Standardvertragsklauseln müsse der Datenimporteur zusichern, dass keine nationalen Rechtsvorschriften die in den Klauseln enthal971 Reding, 972 Reding,
SPEECH / 11 / 349, S. 3. SPEECH / 11 / 349, S. 3; vgl. Heckmann, jurisPK-Internetrecht, Kap. 9
Rn. 635. 973 Zu Aspekten der Rechtsdurchsetzung vgl. oben unter C.II.4.b)bb)(3). 974 DSK, Pressemitteilung v. 24.7.2013; Spies, ZD 2013, 535 (536). 975 DSK, Pressemitteilung v. 24.7.2013; zur Begrenzung der Grundsätze siehe Anhang II der Entscheidung der Kommission v. 26.7.2000 (2000 / 520 / EG), a. a. O. (Fn. 789).
206 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
tenen Garantien beeinträchtigen.976 In den USA scheine aber auf Seiten der Geheimdienste eine Generalermächtigung für den Zugriff auf personenbezogene Daten zu bestehen.977 Solange diese Befugnisse nicht abschließend geklärt seien, „werden die Aufsichtsbehörden für den Datenschutz keine neuen Genehmigungen für die Datenübermittlung in Drittstaaten (zum Beispiel auch zur Nutzung bestimmter Cloud-Dienste) erteilen und prüfen, ob solche Datenübermittlungen auf der Grundlage des Safe-Harbor-Abkommens und der Standardvertragsklauseln auszusetzen sind.“978 Die Kommission wird aufgefordert, die Aussetzung ihrer Entscheidungen zu Safe Harbor und den Standardvertragsklauseln zu prüfen.979 bb) Stellungnahme Die Reaktion der Datenschutzkonferenz sorgte aufgrund der wirtschaft lichen Bedeutung von Datentransfers in die USA für Beunruhigung. Hierdurch entstandene Rechtsunsicherheiten haben sich jedoch bei einem genauen Blick auf die geltende Rechtslage als weitgehend unbegründet erwiesen. Die erklärte Absicht, vorerst keine Genehmigungen mehr erteilen zu wollen, täuscht vor allem darüber hinweg, dass Datenübermittlungen auf Basis von Safe Harbor oder von EU-Standardvertragsklauseln grundsätzlich keiner Genehmigung bedürfen.980 Auch stehen Aussetzungen des Safe-Harbor-Abkommens oder der Standardvertragsklauseln grundsätzlich nicht den Datenschutzbehörden, sondern den Gerichten oder dem Gesetzgeber zu.981 Auswirkungen können sich daher vielmehr bei der Genehmigung verbindlicher Unternehmensregelungen zeigen, die aufgrund komplexer, zeit- und kostenaufwendiger Genehmigungsprozesse in der Praxis aber nicht von zentraler Bedeutung sind und bei Cloud Computing vor allem im Kontext von Private Clouds zum Einsatz gelangen.982 976 DSK,
Pressemitteilung v. 24.7.2013. Pressemitteilung v. 24.7.2013. 978 DSK, Pressemitteilung v. 24.7.2013; Spies, ZD 2013, 535 (536); Rockstroh / Leuthner, ZD 2013, 497 (500); im Oktober 2014 fand dieser Standpunkt auch Eingang in die Version 2.0 der Orientierungshilfe Cloud Computing – siehe Arbeitskreise Technik und Medien der DSK, Orientierungshilfe Cloud Computing, S. 21. 979 DSK, Pressemitteilung v. 24.7.2013. 980 Siehe oben unter C.IV.3.b)bb)(1) zu Standardvertragsklauseln sowie unter C.IV.3.d)aa)(2) zu Safe Harbor; vgl. Niemann, in: Niemann / Paul, Rechtsfragen des Cloud Computing, Kap. 5 Rn. 96. 981 Niemann, in: Niemann / Paul, Rechtsfragen des Cloud Computing, Kap. 5 Rn. 97. 982 Spies, ZD 2013, 535 (538); zu der Genehmigungspflicht von BCR siehe oben unter C.IV.3.b)cc)(1)(b), zu dem Einsatz im Kontext von Private Clouds siehe oben unter C.IV.3.b)cc)(2)(a). 977 DSK,
V. Allgemeine Daten- und Informationssicherheit (§ 9 BDSG)207
V. Allgemeine Daten- und Informationssicherheit (§ 9 BDSG) 1. Einleitung Jede Form der Auslagerung von IT-Infrastruktur und Applikationen berührt die Grundsätze der allgemeinen Daten- und Informationssicherheit. Neben den bekannten, klassischen Risiken sind bei Cloud Computing vor allem die besonderen Charakteristika und Ausprägungen des verteilten Rechnens zu berücksichtigen.983 Die Gewährleistung von Vertraulichkeit, Verfügbarkeit, Integrität, Authentizität, Transparenz und Revisionssicherheit sehen daher auch die Aufsichtsbehörden für den Datenschutz als die zentrale Herausforderung bei Cloud Computing.984 Da diese Schutzziele von datenverarbeitenden Stellen in allen Phasen eines Outsourcing-Projekts zu berücksichtigen sind, zählen Datensicherheitsbedenken auch zu den häufigsten Vorbehalten gegenüber Cloud Computing.985 Die NSA-Überwachungsaffäre hat dabei gerade bei Unternehmen das Bewusstsein für reale Angriffsszenarien und für eine wirksame Daten- und Informationssicherheit geschärft.986 Ein vertrauensschaffender Umgang mit Sicherheitsaspekten ist daher ein zentraler Erfolgsfaktor für Cloud Computing. 2. Rechtsrahmen a) Schutzziele der Daten- und Informationssicherheit Die Daten- und Informationssicherheit umfasst im gegenwärtigen Verständnis die Gesamtheit an technischen und organisatorischen Maßnahmen, die zur Gewährleistung der Schutzziele von Vertraulichkeit, Verfügbarkeit und Integrität erforderlich sind (vgl. die in § 2 Abs. 2 BSIG enthaltene Legaldefinition).987 Die Vertraulichkeit umfasst dabei im Kern, dass jeder 983 Vgl. Arbeitskreise Technik und Medien der DSK, Orientierungshilfe Cloud Computing, S. 23 ff.; BlnBDI, JB 2011, S. 41. 984 LDI NRW, 20. DIB, S. 125; LfD Bremen, 33. JB, S. 34; Arbeitskreise Technik und Medien der DSK, Orientierungshilfe Cloud Computing, S. 23 f.; Weichert, DuD 2010, 679 (680). 985 Siehe bereits oben unter A.II; vgl. auch Fraunhofer SIT, Vergleich der Sicherheit traditioneller IT-Systeme und Public Cloud Computing Systeme, S. 2. 986 KPMG / Bitkom Research, Cloud-Monitor 2014, S. 30; siehe hierzu bereits oben unter A.I. 987 Vgl. Heckmann, jurisPK-Internetrecht, Kap. 9 Rn. 672; Schultze-Melling, in: Bräutigam, IT-Outsourcing und Cloud-Computing, Teil 5 Rn. 96; Hennrich, CR 2011, 546 (548 f.); Gaycken / Karger, MMR 2011, 3 (6); Pohle / Ammann, CR 2009,
208 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
unbefugte Zugriff auf Daten (etwa durch Zugriffs- und Berechtigungskonzepte oder dem Einsatz von Verschlüsselungstechniken) auszuschließen ist.988 Die Verfügbarkeit bezieht sich dagegen auf die Erreichbarkeit und Funktionalität von IT-Systemen.989 Die Integrität soll die Unversehrtheit von Daten sicherstellen und unbefugte Modifikationen oder Informationsveränderungen verhindern.990 Diese Schutzziele sind jedoch keineswegs abschließend. In Datenverarbeitungsszenarien können beispielsweise auch die Authentizität, Prüfbarkeit und Revisionssicherheit von Bedeutung sein.991 b) Technische und organisatorische Daten- und Informationssicherheit nach § 9 BDSG und dessen konkretisierender Anlage In das BDSG werden die Grundsätze der Daten- und Informationssicherheit vor allem über § 9 BDSG einbezogen und durch dessen nicht abschließende Anlage weiter konkretisiert.992 Nach § 9 S. 1 BDSG haben öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag Daten erheben, verarbeiten oder nutzen, diejenigen technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften des BDSG und dabei insbesondere die in der Anlage zu § 9 BDSG genannten Anforderungen zu gewährleisten. Dieser inhaltlich weit zu verstehende Sammelbegriff kann grundsätzlich alle Maßnahmen umfassen, die zur Gewährleistung einer Datensicherheit in Betracht kommen.993 Welche Maßnahmen dies im Einzelfall sind, richtet sich nach individuellen Schutzund Sicherheitszielen.994 Nach § 9 S. 2 BDSG sind Maßnahmen nur erforderlich, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. 273 (277); Kramer / Meints, in: Hoeren / Sieber / Holznagel, Multimedia-Recht, Teil 16.5 Rn. 3 ff. 988 Heckmann, MMR 2006, 280 (281 f.); Kramer / Meints, in: Hoeren / Sieber / Holznagel, Multimedia-Recht, Teil 16.5 Rn. 3; Hansen, DuD 2012, 407 (409). 989 Vgl. Schultze-Melling, in: Bräutigam, IT-Outsourcing und Cloud-Computing, Teil 5 Rn. 97; Kramer / Meints, in: Hoeren / Sieber / Holznagel, Multimedia-Recht, Teil 16.5 Rn. 3; Hennrich, CR 2011, 546 (549)¸ Heckmann, MMR 2006, 280 (281). 990 Hennrich, CR 2011, 546 (549); Heckmann, MMR 2006, 280 (281); SchultzeMelling, in: Bräutigam, IT-Outsourcing und Cloud-Computing, Teil 5 Rn. 97; Kramer / Meints, in: Hoeren / Sieber / Holznagel, Multimedia-Recht, Teil 16.5 Rn. 3. 991 Vgl. Kramer / Meints, in: Hoeren / Sieber / Holznagel, Multimedia-Recht, Teil 16.5 Rn. 4; Heckmann, MMR 2006, 280 (281 f.). 992 Heckmann, jurisPK-Internetrecht, Kap. 9 Rn. 672; Ernestus, in: Simitis, BDSG, § 9 Rn. 2. 993 Schultze-Melling, in: Taeger / Gabel, BDSG, § 9 Rn. 20. 994 Gola / Schomerus, BDSG, § 11 Rn. 18b.
V. Allgemeine Daten- und Informationssicherheit (§ 9 BDSG)209
In der konkretisierenden Anlage zu § 9 BDSG wird als geeignete Maßnahme in Nr. 1 zunächst die Zutrittskontrolle angeführt. Diese soll sicherzustellen, dass Unbefugten der körperliche Zutritt zu Datenverarbeitungsanlagen verwehrt wird, mit denen personenbezogene Daten verarbeitet oder genutzt werden. In Betracht kommen vor allem allgemeine Gebäudesicherheitsmaßnahmen (z. B. Gelände- und Gebäudeüberwachung durch Videotechnik), bauliche Maßnahmen (wie eine Einteilung in Sicherheitszonen) sowie Zutrittskontrollmaßnahmen (wie visuelle Personenkontrolle, Einsatz von Berechtigungs- und Türschlüsselkarten).995 Die Zugangskontrolle (Nr. 2 der Anlage zu § 9 BDSG) soll verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. Bezugspunkt ist im Gegensatz zur Zutrittskontolle nach Nr. 1 nicht der körperliche Zugang zu IT-Systemen, sondern der unbefugte Zugang zu ITSystemen und dort installierten Anwendungen über Schnittstellen, die für die berechtigte Nutzung vorgesehen sind (die Zugriffskontrolle nach Nr. 3 bezieht sich dagegen auf den Zugriff eines grundsätzlich Berechtigten außerhalb seiner Berechtigung). Geeignete Maßnahmen können beispielsweise Berechtigungsprüfungen, wirksame Passwortrichtlinien, Blickschutzfilter, Datenverschlüsselungen oder der Einsatz von Firewalls darstellen.996 Die Zugriffskontrolle (Nr. 3 der Anlage zu § 9 BDSG) soll sicherstellen, dass berechtigte Nutzer eines Datenverarbeitungssystems ausschließlich auf die von ihrer Zugriffsberechtigung umfassten Daten zugreifen können und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Realisiert wird die Zugriffskontrolle vor allem durch Rechteverwaltungen (Zugriffsbefugnisse, Zugriffsberechtigungen und Zugriffsarten), wie sie über Betriebssysteme und Verzeichnisdienste bereitgestellt werden, sowie durch Authentisierungs-, Identifikations- und Protokollierungsmaßnahmen.997 Die Weitergabekontrolle (Nr. 4 der Anlage zu § 9 BDSG) soll gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung, bei ihrem Transport oder bei ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, sowie die Überprü995 Vgl. Gola / Schomerus, BDSG, § 9 Rn. 22; Schultze-Melling, in: Bräutigam, IT-Outsourcing und Cloud-Computing, Teil 5 Rn. 100; ausführlich Ernestus, in: Simitis, BDSG, § 9 Rn. 68 ff. 996 Zu diesem Absatz siehe Schultze-Melling, in: Bräutigam, IT-Outsourcing und Cloud-Computing, Teil 5 Rn. 100; Gola / Schomerus, BDSG, § 9 Rn. 23; ausführlich Ernestus, in: Simitis, BDSG, § 9 Rn. 90, 97 f. 997 Zu diesem Absatz siehe Gola / Schomerus, BDSG, § 9 Rn. 24; Ernestus, in: Simitis, BDSG, § 9 Rn. 108 f.
210 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
fung und Feststellung sicherstellen, an welche Stellen eine Übermittlung personenbezogener Daten vorgesehen ist. Dies kann bei einer netzbasierten Weitergabe vor allem durch eine Datenverschlüsselung sowie durch eine Trennung von lokalen und öffentlichen Netzen erreicht werden.998 Die Eingabekontrolle (Nr. 5 der Anlage zu § 9 BDSG) soll die nachträgliche Überprüfung und Feststellung sicherstellen, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. In Betracht zu ziehen sind vor allem automatische und für den Nutzer nicht zugängliche Protokollierungsmaßnahmen.999 Die Auftragskontrolle (Nr. 6 der Anlage zu § 9 BDSG) soll gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend der Weisungen des Auftraggebers verarbeitet werden können. Erforderliche Maßnahmen sind vor allem eine sorgfältige Auswahl eines Auftragnehmers, eine Überprüfung, ob die bei der Datenverarbeitung beschäftigten Personen des Auftragnehmers auf das Datengeheimnis nach § 5 BDSG verpflichtet sind, eindeutige vertragliche Abreden, Weisungserteilungen, Regelungen in Bezug auf die Verantwortlichkeit sowie Kontrollmaßnahmen.1000 Die Verfügbarkeitskontrolle (Nr. 7 der Anlage zu § 9 BDSG) bezweckt den Schutz von personenbezogenen Daten gegen zufällige Zerstörungen oder Verlust. Es bedarf daher eines allgemeinen Datensicherheitskonzepts sowie allgemeiner Sicherungsmaßnahmen (wie redundante Stromzuführungen und USV, Brandschutzkonzepte oder Geo-Redundanz).1001 Zuletzt soll das Trennungsgebot (Nr. 8 der Anlage zu § 9 BDSG) sicherstellen, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Die Datenseparierung erfordert keine physische Trennung auf unterschiedlichen IT-Systemen oder Datenträgern, da eine logische Trennung innerhalb eines IT-Systems, wie beispielsweise eine soft998 Vgl. Schultze-Melling, in: Bräutigam, IT-Outsourcing und Cloud-Computing, Teil 5 Rn. 100; Gola / Schomerus, BDSG, § 9 Rn. 25; Ernestus, in: Simitis, BDSG, § 9 Rn. 127. 999 Gola / Schomerus, BDSG, § 9 Rn. 26; Schultze-Melling, in: Bräutigam, ITOutsourcing und Cloud-Computing, Teil 5 Rn. 100; ausführlich Ernestus, in: Simitis, BDSG, § 9 Rn. 144 f. 1000 Zu diesem Absatz siehe Ernestus, in: Simitis, BDSG, § 9 Rn. 155; Gola / Schomerus, BDSG, § 9 Rn. 27; Schultze-Melling, in: Bräutigam, IT-Outsourcing und Cloud-Computing, Teil 5 Rn. 100; vgl. hierzu auch die Ausführungen im Rahmen der Auftragsdatenverarbeitung unter C.VI. 1001 Zu diesem Absatz siehe Gola / Schomerus, BDSG, § 9 Rn. 28; Schultze-Melling, in: Bräutigam, IT-Outsourcing und Cloud-Computing, Teil 5 Rn. 100; Ernestus, in: Simitis, BDSG, § 9 Rn. 159.
V. Allgemeine Daten- und Informationssicherheit (§ 9 BDSG)211
wareseitige Mandantentrennung oder eine über unterschiedliche Zugriffsregelungen bewirkte Trennung, ausreichen kann.1002 Nach S. 3 der Anlage zu § 9 BDSG ist eine dem Stand der Technik entsprechende Verschlüsselung1003 zugleich eine im Rahmen von S. 2 Nr. 2 bis 4 (Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle) in Betracht zu ziehende Maßnahme. c) Die Daten- und Informationssicherheit außerhalb des BDSG Auch außerhalb des BDSG finden sich die Grundsätze der Daten- und Informationssicherheit in zahlreichen Normen wieder. Auf Verfassungsebene umfasst der Schutzbereich des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (als besondere Ausprägung des allgemeinen Persönlichkeitsrechts nach Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG) sowohl die Vertraulichkeit von Daten als auch die Integrität eines IT-Systems vor Ausforschung, fremden Zugriffen, Infiltration sowie manipulativen oder ausforschenden Zugriffen.1004 Im Gesellschaftsrecht wurde etwa durch das „Gesetz zur Kontrolle und Transparenz im Unternehmensbereich“ (KonTraG) § 91 AktG um einen Absatz ergänzt, der den Vorstand einer Aktiengesellschaft verpflichtet, geeignete Maßnahmen zu treffen und insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden (vgl. § 91 Abs. 2 AktG).1005 Diese unmittelbar nur Aktiengesellschaften treffende Pflicht hat auf andere Gesellschaftsformen Ausstrahlungswirkung und trifft vor allem auch den Geschäftsführer einer GmbH.1006 Ein wesentlicher Bestandteil dieser gesellschaftsrechtlichen Risikopräventionspflicht ist vor allem eine wirksame IT-Sicherheit.1007 1002 Schultze-Melling, in: Bräutigam, IT-Outsourcing und Cloud-Computing, Teil 5 Rn. 100; Gola / Schomerus, BDSG, § 9 Rn. 29; a. A. wohl Ernestus, in: Simitis, BDSG, § 9 Rn. 163, der zumindest bei Datenbanken auch eine physische Trennung als erforderlich ansieht. 1003 Zu Verschlüsselungstechnologien siehe oben unter C.III.4.a)bb). 1004 Heckmann, jurisPK-Internetrecht, Kap. 9 Rn. 672; Hennrich, CR 2011, 546 (548); Heckmann, in: Hill / Schliesky, Innovationen im und durch Recht, S. 97 (103); Jarass, in: Jarass / Pieroth, GG, Art. 2 Rn. 45. 1005 Stögmüller, in: Leupold / Glossner, IT-Recht, Teil 6 Rn. 368. 1006 Schultze-Melling, in: Bräutigam, IT-Outsourcing und Cloud-Computing, Teil 5 Rn. 102; Stögmüller, in: Leupold / Glossner, IT-Recht, Teil 6 Rn. 368; BT-Drs. 13 / 9712, S. 15; Spindler, MüKo (AktG), § 91 Rn. 42. 1007 Schultze-Melling, in: Bräutigam, IT-Outsourcing und Cloud-Computing, Teil 5 Rn. 102; Stögmüller, in: Leupold / Glossner, IT-Recht, Teil 6 Rn. 368.
212 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
Die Grundsätze der Daten- und Informationssicherheit finden sich aber auch in § 13 Abs. 4 TMG für die personenbezogenen Daten von TelemedienNutzern oder in §§ 91 ff. und § 109 TKG für Telekommunikationsdaten wieder. Für die Finanzdienstleistungsindustrie sind Regelungen in § 25a KWG, § 33 WpHG oder § 16 InvG enthalten. Das für eine ordnungsgemäße Geschäftsorganisation nach § 25a KWG erforderliche angemessene und wirksame Risikomanagement wird beispielsweise durch Rundschreiben der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) an alle deutschen Kreditund Finanzdienstleistungsinstitute präzisiert, in denen sich die Schutzziele der Daten- und Informationssicherheit im Rahmen der technisch-organisatorischen Ausstattung wiederfinden.1008 Auf Grundlage von §§ 146 ff. AO ist die Daten- und Informationssicherheit auch Bezugspunkt der Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS).1009 Für Aktiengesellschaften, die an einer US-amerikanischen Börse notiert sind, folgt die Verpflichtung eines internen Kontrollsystems aus Section 404 „SarbanesOxley Act“ (SOX).1010 Die Herausforderungen, die Cloud Computing an die allgemeine Daten- und Informationssicherheit enthält, lassen sich daher auf eine Vielzahl anderer Rechtsgebiete übertragen. 3. Herausforderungen von Cloud Computing an die Daten- und Informationssicherheit Als zentrale Herausforderung von Cloud Computing an die Grundsätze der allgemeinen Daten- und Informationssicherheit wird im Folgenden zunächst auf die technischen und organisatorischen Risiken auf den Ebenen einer IT-Sicherheitsarchitektur eingegangen. Hieran anschließend wird aufgrund der Praxisrelevanz und medialen Aufmerksamkeit auf die Zugriffsbefugnisse von US-Sicherheitsbehörden nach dem USA PATRIOT Act eingegangen.
1008 BaFin, Rundschreiben 10 / 2012 (BA) v. 14.12.2012 – Mindestanforderungen an das Risikomanagement – MaRisk, AT 7.2 (Technisch-organisatorische Ausstattung), http://www.bafin.de/SharedDocs/Downloads/DE/Rundschreiben/dl_rs1210_ma risk_pdf_ba.pdf?__blob=publicationFile&v=5 (Stand: 1.7.2015). 1009 Kersten / Reuter / Schröder, IT-Sicherheitsmanagement, S. 2; diese Grundsätze sind abrufbar unter http://www.bundesfinanzministerium.de/Content/DE/Downloads/ BMF_Schreiben/Weitere_Steuerthemen/Betriebspruefung/015.pdf (Stand: 1.7.2015). 1010 Section 404 abrufbar unter http://thomas.loc.gov / cgi-bin / query / z?c107:H.R. 3763.ENR: (Stand: 1.7.2015).
V. Allgemeine Daten- und Informationssicherheit (§ 9 BDSG)213
a) Technische und organisatorische Risiken auf den Ebenen einer IT-Sicherheitsarchitektur Das Konzept einer technischen und organisatorischen Datensicherheit begegnet bei Cloud Computing sowohl klassischen Angriffsszenarien als auch den Risiken cloud-typischer Charakteristika (wie der Virtualisierung oder standortübergreifender Datenverarbeitung).1011 Die folgende Darstellung der Gefährdungslage und der typischen technischen und organisatorischen Maßnahmen orientiert sich an dem Schichtenmodell einer IT-Sicherheitsarchitektur, wie es den anerkannten IT-Grundschutz-Katalogen des BSI zugrunde liegt und das nach Infrastruktur, IT-Systemen, Netzen und Anwendungen differenziert.1012 aa) Infrastruktur- / Rechenzentrumsebene (Sicherheit von Gelände und Gebäude) Auf der untersten Ebene einer IT-Sicherheitsarchitektur finden sich die grundlegenden Infrastrukturkomponenten wieder. Server und IT-Systeme sind in professionellen Betriebsszenarien meist in einem oder in mehreren Rechenzentren (oder in einer vergleichbaren Einrichtung an dem Unternehmenssitz) untergebracht, die demnach, wie es das BSI recht anschaulich beschreibt, „die technische Basis von Cloud Computing“ bilden.1013 (1) G efährdungslage und typische technische und organisatorische Maßnahmen Zur Gewährleistung eines sicheren und störungsfreien Betriebs von ITSystemen an einem Rechenzentrumsstandort bedarf es technischer und organisatorischer Maßnahmen, die dem grundlegenden Schutz des Gebäudes als Sicherheitsumgebung dienen.1014 Hierzu zählen allgemeine Maßnahmen der Gebäude- und Geländesicherheit (wie Videoüberwachung, Bewegungssensoren, Sicherheitspersonal und infrastrukturelle Maßnahmen zum Schutz des Gebäudes gegen Elementarschäden wie Sturm, Starkregen, Hochwasser 1011 Vgl. Arbeitskreise Technik und Medien der DSK, Orientierungshilfe Cloud Computing, S. 23 ff. 1012 Vgl. die allgemeine Gliederung nach Schichten unter B1-B5 in BSI, ITGrundschutz-Kataloge, 13. EL; für eine Untergliederung nach IaaS, PaaS und SaaS siehe Hartung / Storm, in: Hilber, Handbuch Cloud Computing, Teil 4 Rn. 147 ff. 1013 BSI, Sicherheitsempfehlungen für Cloud Computing Anbieter, S. 28. 1014 Vgl. Arbeitskreise Technik und Medien der DSK, Orientierungshilfe Cloud Computing, S. 31.
214 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
und andere Fälle höherer Gewalt1015), Zugangs- und Zutrittskontrollmaßnahmen zu dem Gebäude und den Datenetagen, eine redundante und unterbrechungssichere Auslegung aller essentiellen Versorgungskomponenten (wie Stromzuführungen, USV-Anlagen und Notstromaggregate, Datenleitungen sowie Anbindungen an Carrier-Netze), Brandschutzmaßnahmen (wie Brandschutzabschnitte, Brandmeldeanlage, Brandfrühwarnsysteme, Brandbekämpfungs- und Löschsysteme, regelmäßige Brandschutzübungen durch das Sicherheitspersonal) sowie Kühlung und Klimatisierung.1016 Bei besonders hohen Sicherheitsanforderungen kann auch eine geographische Standort redundanz in Betracht zu ziehen sein, wonach die datenverarbeitende Infrastruktur auf voneinander entfernte Rechenzentren verteilt wird.1017 (2) C olocation und Serverhousing als klassisches Praxisbeispiel auf Rechenzentrumsebene Nur große Unternehmen können eine derartige Sicherheitsumgebung oder ein nach Branchenstandards zertifiziertes Rechenzentrum selbst betreiben. Meist wird aus Kostengründen auf einen spezialisierten, externen Rechenzentrumsbetreiber zurückgegriffen. Insoweit ist die Bereitstellung von Rechenzentrumsfläche sowie von grundlegenden Versorgungsleistungen, um Server und andere IT-Systeme (wie Bladecenter, Router, Switches, Firewalls) in der Sicherheitsumgebung eines Rechenzentrums zu betreiben, begrifflich als „Colocation“ (bzw. „Housing“ oder „Serverhousing“) bekannt.1018 Innerhalb eines Rechenzentrums werden alle IT-Systeme in der Regel in entsprechenden Serverschränken (Racks) untergebracht, in denen redundante Strom- und Datennetzzuführungen zur Verfügung stehen.1019 Die Bereitstellung von Rechenzentrumsfläche wird gewöhnlich um Netzanbindungen (meist durch Carrier als Drittanbieter) und vielfältige weitergehende Managed Services (Managed Hosting) auf den unterschiedlichen 1015 Siehe Gefährdungskatalog höhere Gewalt, BSI, IT-Grundschutz-Kataloge, 13. EL, G 1. 1016 BSI, Sicherheitsempfehlungen für Cloud Computing Anbieter, S. 28 f.; Arbeitskreise Technik und Medien der DSK, Orientierungshilfe Cloud Computing, S. 31; BSI, IT-Grundschutz-Kataloge, 13. EL, B 2; Bräutigam / Thalhofer, in: Bräutigam, IT-Outsourcing und Cloud-Computing, Teil 14 Rn. 42; Hartung / Storm, in: Hilber, Handbuch Cloud Computing, Teil 4 Rn. 150. 1017 BSI, Sicherheitsempfehlungen für Cloud Computing Anbieter, S. 29; vgl. Heckmann / von Lucke / Hennrich / Maisch, C3-Studie, S. 76, 102. 1018 Vgl. Küchler, in: Bräutigam, IT-Outsourcing und Cloud-Computing, Teil 1 Rn. 231; Petri, in: Simitis, BDSG, § 11 Rn. 33. 1019 Siehe oben unter C.V.3.a)aa); bei dem sog. „Towerhousing“ erfolgt die Unterbringung auf Regalen.
V. Allgemeine Daten- und Informationssicherheit (§ 9 BDSG)215
Ebenen einer IT-Sicherheitsarchitektur ergänzt, die der Verbesserung und weiteren Erhöhung der Betriebssicherheit dienen und von First-, Secondoder Third-Level-Supporttätigkeiten bis hin zu Monitoring, Storage oder Backup- und Disaster-Recovery-Lösungen reichen können.1020 Auf diesem Weg kann bei einer Störung oder einem Ausfall der ordnungsgemäße Betrieb durch das vor Ort vorhandene Personal eines Rechenzentrumsdienstleisters ohne weitere Verzögerung wiederhergestellt werden, zumal bestimmte Tätigkeiten von dem auslagernden Unternehmen nicht immer im Wege der Fernwartung durchgeführt werden können und technisches Personal oftmals aus Distanzgründen nicht zeitnah an dem Rechenzentrums standort erscheinen kann. Eine schnelle und jederzeitige Wiederherstellung der Betriebsfähigkeit ist in der Praxis gerade bei geschäftskritischen Applikationen unter dem Gesichtspunkt von „Business Continuity“ von hoher Bedeutung. (3) Bewertung Die auf Rechenzentrumsebene in Betracht zu ziehenden Sicherheitsmaßnahmen sind aus klassischen Colocation-Szenarien bekannt und auch Bezugspunkt der Zutrittskontrolle nach Nr. 1 der Anlage zu § 9 BDSG.1021 Die Standortsicherheit ist überdies zentraler Bestandteil anerkannter Zertifizierungen (wie ISO 27001).1022 Herausforderungen enthält Cloud Comput ing daher vor allem in Szenarien, in denen IT-Systeme über mehrere oder nicht genau bekannte Standorte verteilt sind. Da sämtliche Standorte auf das Vorhandensein geeigneter Sicherheitsmaßnahmen zu überprüfen sind, bedarf es aus Sicht eines Nutzers sowohl einer ausreichenden Standortkenntnis als auch realistischer Kontrollmöglichkeiten (etwa anhand von Zertifikaten unabhängiger Stellen) zu den anbieterseitig implementierten Maßnahmen.1023 Auch die „Orientierungshilfe Cloud Computing“ sowie Tätigkeitsberichte der Landesdatenschutzbehörden verweisen auf die fehlende Transparenz und den resultierenden Kontrollverlust über die Umstände und Sicherheitsstandards der Datenverarbeitung, sofern sich sämtliche Ressourcen im Einfluss1020 Ausführlich Küchler, in: Bräutigam, IT-Outsourcing und Cloud-Computing, Teil 1 Rn. 146 ff., 238 ff. 1021 Heckmann / von Lucke / Hennrich / Maisch, C3-Studie, S. 76; siehe oben unter C.V.2.b). 1022 Zu ISO / IEC 27001 siehe unten unter C.VI.5.c)bb)(4)(a). 1023 Arbeitskreise Technik und Medien der DSK, Orientierungshilfe Cloud Computing, S. 30; zu der Bestimmung des Datenverarbeitungsstandortes siehe oben unter C.II.3.a); zu realistischen Kontrollmöglichkeiten siehe im Rahmen der Auftragsdatenverarbeitung unten unter C.VI.5.c)bb)(2).
216 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
bereich des Anbieters befinden.1024 Als problematisch für die Sicherstellung einer ausreichenden Datensicherheit werden aber auch international unterschiedliche Qualitätsstandards für Datensicherheit und Datenschutz angesehen.1025 Richtigerweise soll einer fehlenden Transparenz auch aus Sicht der Aufsichtsbehörden vor allem dadurch begegnet werden, dass nur Leistungen von zertifizierten und auditierten Anbietern in Anspruch genommen werden.1026 Anbieterseitige Veröffentlichungen zu dem „Sicherheitsumfeld“ sowie an einen Nutzer gerichtete Richtlinien für eine sichere und datenschutzkonforme Datenverarbeitung können zu einer verbesserten Transparenz beitragen.1027 bb) IT-System-Ebene und Systemvirtualisierung (Sicherheit der Server, Router, Switches und anderer IT-Systeme; Sicherheit virtueller IT-System-Umgebungen) (1) G efährdungslage und typische technische und organisatorische Maßnahmen Auf IT-System-Ebene finden sich die einer Cloud zugrunde liegenden Hardware-Ressourcen wieder. Zum Schutz der Vertraulichkeit, Verfügbarkeit und Integrität von Daten sind vor allem Zugriffsbeschränkungen, eine sichere Grundkonfiguration, ein Patchmanagement, eine revisionssichere Protokollierung, Verschlüsselungen, Host Firewalls, Host-based IntrusionDetection-Systeme, Virenschutz oder andere Standardmaßnahmen zum Schutz von IT-Systemen in Betracht zu ziehen, wie sie in Sicherheitsempfehlungen für Cloud Computing oder in den IT-Grundschutz-Katalogen des BSI enthalten sind.1028 In heutigen Server-Betriebsszenarien gelangen Virtualisierungstechnologien meist standardmäßig zum Einsatz. Ressourcen werden hierbei unabhängig von der zugrunde liegenden Hardware bereitgestellt und gerade in Pub1024 Arbeitskreise Technik und Medien der DSK, Orientierungshilfe Cloud Computing, S. 28 f.; BlnBDI, JB 2011, S. 41 f.; LfDI Rheinland-Pfalz, 23. TB, S. 16. 1025 LDA Brandenburg, 15. TB, S. 35 f. 1026 Arbeitskreise Technik und Medien der DSK, Orientierungshilfe Cloud Computing, S. 39. 1027 Arbeitskreise Technik und Medien der DSK, Orientierungshilfe Cloud Computing, S. 39. 1028 BSI, Sicherheitsempfehlungen für Cloud Computing Anbieter, S. 30 f.; Arbeitskreise Technik und Medien der DSK, Orientierungshilfe Cloud Computing, S. 31; Heckmann / von Lucke / Hennrich / Maisch, C3-Studie, S. 77; ausführlich BSI, IT-Grundschutz-Kataloge, 13. EL, B 3; vgl. auch Hartung / Storm, in: Hilber, Handbuch Cloud Computing, Teil 4 Rn. 151.
V. Allgemeine Daten- und Informationssicherheit (§ 9 BDSG)217
lic Clouds von mehreren organisatorisch nicht miteinander verbundenen Nutzern gleichzeitig genutzt („multi-tenancy“).1029 Es besteht daher vor allem die Gefahr einer nicht-hinreichenden Datentrennung und Isolation.1030 Mit Blick auf die Gefahren einer möglichen Vermengung von Daten, Diensten und eindeutigen Kundenzuordnungen sehen auch die Aufsichtsbehörden für den Datenschutz in der Virtualisierung und Ressourcenteilung in Public Clouds die Gewährleistung von Vertraulichkeit, Integrität und Verfügbarkeit mangels Kontrollierbarkeit, Transparenz und Beeinflussbarkeit als schwer bis gar nicht erfüllbar.1031 Aufgrund der vielfältigen Funktionen und Manipulationsmöglichkeiten von virtuellen IT-Systemen verweist auch das BSI in den IT-Grundschutz-Katalogen auf neue organisatorische und technische Gefährdungen sowie vor allem auf das technische Versagen virtualisierter Umgebungen.1032 Beispielhaft für diese Gefährdungslage stehen die fehlerhafte Administration von Zugangs- und Zugriffsrechten, eine fehlerhafte Zuordnung der Ressourcen des zugrunde liegenden SAN (Storage Area Network), eine unsachgemäße Verwendung von Snapshots virtueller ITSysteme sowie ein Ausfall von Komponenten der virtuellen Umgebung.1033 Auch können sich Angreifer und Opfer grundsätzlich auf denselben Datenverarbeitungssystemen befinden.1034 Zudem ist nicht gänzlich ausgeschlossen, dass virtuelle Maschinen, die sich auf demselben IT-System befinden, ausspioniert werden oder dass auf diese unbefugt zugegriffen wird.1035 Als „besonders schützenswert“ wird daher zu Recht die Administration der Ressourcen durch den Hypervisor angesehen.1036 Da der administrative Zugang zu virtuellen Maschinen in der Regel über öffentliche Kommunikationsnetze erfolgt, sind auch die Datenschutzbehörden der Auffassung, dass aus Gesichtspunkten der Integrität und Vertraulichkeit ein durchdachtes Rechte- und Rollenkonzept zu entwickeln ist.1037 Da ein Nutzer daran ge1029 Zur Virtualisierung siehe oben unter B.III.4; zu Public Clouds siehe oben unter B.VI.1. 1030 Leupold, in: Leupold / Glossner, IT-Recht, Teil 4 Rn. 26. 1031 LDA Brandenburg, 16. TB, S. 36 f.; LDI NRW, 20. DIB, S. 125; Arbeitskreise Technik und Medien der DSK, Orientierungshilfe Cloud Computing, S. 28. 1032 BSI, IT-Grundschutz-Kataloge, 13. EL, B 3.304. 1033 BSI, IT-Grundschutz-Kataloge, 13. EL, B 3.304. 1034 LDI NRW, 20. DIB, S. 125. 1035 Arbeitskreise Technik und Medien der DSK, Orientierungshilfe Cloud Computing, S. 28; vgl. BITKOM, Leitfaden Cloud Computing 2010, S. 68. 1036 Arbeitskreise Technik und Medien der DSK, Orientierungshilfe Cloud Computing, S. 31 (der Hypervisor wird hier als Cloud-Operator bezeichnet); vgl. Heidrich / Wegener, MMR 2010, 803; Leupold, in: Leupold / Glossner, IT-Recht, Teil 4 Rn. 27. 1037 Arbeitskreise Technik und Medien der DSK, Orientierungshilfe Cloud Computing, S. 33.
218 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
hindert wird, direkt auf die Hardware-Ebene durchzugreifen, könne eine solche Isolation aber auch die Etablierung einer sicheren Umgebung begünstigen.1038 Die Aufsichtsbehörden empfehlen, auf veröffentlichte Benutzerrichtlinien eines Anbieters zur Sicherheit der virtuellen Systemlandschaft zu achten.1039 Das BSI empfiehlt die Umsetzung des Bausteins zur Virtualisierung (B 3.304) und verweist zugleich darauf, dass virtuelle IT-Systeme (virtuelle Maschinen) mit Hilfe der Bausteine aus den IT-Grundschutz-Katalogen (vor allem auf den Schichten „IT-Systeme“ und „Anwendungen“) grundsätzlich in der gleichen Weise wie physische IT-Systeme zu modellieren sind.1040 (2) Bewertung Die typischen technischen und organisatorischen Maßnahmen zur Absicherung physischer IT-Systeme sind aus konventionellen Betriebsszenarien grundsätzlich bekannt und auf virtuelle IT-Systeme entsprechend zu übertragen. Zur ordnungsgemäßen Bewertung der technischen und organisatorischen Gefährdungslage bei dem Einsatz von Virtualisierungstechnologien (insbesondere hinsichtlich der Ressourcenzuordnung und Verwaltung durch den Hypervisor) bedarf es auch auf dieser Ebene einer hinreichenden Anbietertransparenz zu konkret implementierten Maßnahmen und dem allgemeinen Sicherheitskonzept. Hierauf verweisen auch die Datenschutzbehörden, da ein Nutzer mangels eigener Zugriffsmöglichkeiten auf die Hardware anderenfalls nicht nachvollziehen kann, auf welchen Systemen und an welchen Orten Daten verarbeitet werden oder ob hierfür (auch) auf die Ressourcen anderer Anbieter zurückgegriffen wird.1041 Für den Fall, dass einer derartigen Transparenz Sicherheitsinteressen eines Anbieters oder die hohe Komplexität sämtlicher implementierten Maßnahmen entgegenstehen, muss der Nachweis eines ausreichenden Datensicherheitskonzepts anhand entsprechender Zertifizierungen und Prüfberichte möglich sein.1042 Sofern der Einsatz einer zertifizierten Virtualisierungssoftware nach der „Orientierungshilfe Cloud Computing“ sowohl die Transparenz als auch die allgemeine Sicherheit erhöhen und zusätzliches Vertrauen schaffen soll, ist aber 1038 Arbeitskreise Technik und Medien der DSK, Orientierungshilfe Cloud puting, S. 31. 1039 Arbeitskreise Technik und Medien der DSK, Orientierungshilfe Cloud puting, S. 32. 1040 BSI, IT-Grundschutz-Kataloge, 13. EL, B 3.304. 1041 Arbeitskreise Technik und Medien der DSK, Orientierungshilfe Cloud puting, S. 27; vgl. BlnBDI, JB 2011, S. 41. 1042 Zu Zertifizierungen siehe im Rahmen der Auftragsdatenverarbeitung unter C.VI.5.c).
ComComComunten
V. Allgemeine Daten- und Informationssicherheit (§ 9 BDSG)219
entgegenzuhalten, dass derart cloud-spezifische Zertifizierungen, die explizit (auch) als Nachweis für die Anforderungen von Datenschutz und Datensicherheit konzipiert wurden, in weiten Teilen noch zu entwickeln sind.1043 cc) Netzwerkebene (1) G efährdungslage und typische technische und organisatorische Maßnahmen Die IT-Systeme einer Cloud sind auch gegen netzbasierte Gefahren abzusichern (das BSI erwartet aufgrund der in Clouds verfügbaren Ressourcen vor allem eine Zunahme von DDoS-Angriffen).1044 Neben ausreichenden Bandbreiten und redundanten Anbindungskonzepten sind daher vor allem allgemeine Maßnahmen zum Netz- und Systemmanagement, Intrusion-Detection-Systeme oder der Einsatz von Firewalls zu berücksichtigen.1045 Auch die Datenschutzbehörden sehen die Verfügbarkeit der Kommunikationsverbindungen als wesentlichen Aspekt netzbasierter Maßnahmen und empfehlen zudem, personenbezogene Daten zur Gewährleistung der Vertraulichkeit auch für den Transport zu verschlüsseln (Ende-zu-Ende-Verschlüsselun gen).1046 (2) Bewertung Auf Netzwerkebene sind ausreichende Bandbreiten und redundante Netzanbindungen auch weiterhin grundlegend für eine möglichst hohe Ausfallsicherheit. Mit Blick auf das gerade auch Angreifern als „cloud power“ flexibel verfügbare, massive Ressourcenpotential, hat sich durch Cloud Computing der allgemeine Schutzbedarf auf Netzwerkebene weiter erhöht. Zugleich sind die netzwerkseitigen Gefahrenlagen bei dem Einsatz von 1043 Arbeitskreise Technik und Medien der DSK, Orientierungshilfe Cloud Computing, S. 32; zu Zertifizierungen siehe ausführlich im Rahmen der Auftragsdatenverarbeitung unten unter C.VI.5.c)bb)(4). 1044 Distributed Denial of Service (DDoS) Angriffe, vgl. BSI, JB 2010, S. 27. 1045 Vgl. BSI, Sicherheitsempfehlungen für Cloud Computing Anbieter, S. 32 f.; Heckmann / von Lucke / Hennrich / Maisch, C3-Studie, S. 77; Arbeitskreise Technik und Medien der DSK, Orientierungshilfe Cloud Computing, S. 32; Bräutigam / Thalhofer, in: Bräutigam, IT-Outsourcing und Cloud-Computing, Teil 14 Rn. 44; Wedde, in: Däubler / Klebe / Wedde / Weichert, BDSG, § 9 Rn. 41; ausführlich BSI, IT-Grundschutz-Kataloge, 13. EL, B 4. 1046 Arbeitskreise Technik und Medien der DSK, Orientierungshilfe Cloud Computing, S. 32; vgl. BSI, Sicherheitsempfehlungen für Cloud Computing Anbieter, S. 32; Reindl, in: Taeger / Wiebe, Inside the Cloud, S. 450.
220 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
virtuellen Netzwerken aber gerade auch innerhalb der virtuellen Umgebungen (etwa durch den Einsatz virtueller Firewalls) zu berücksichtigen. Da die Administration nur noch per Software erfolgt, ist hierbei eine hohe Sorgfalt erforderlich. Aus Sicht eines datenschutzrechtlich verantwortlichen Nutzers bedarf es auch auf dieser Ebene einer IT-Sicherheitsarchitektur vor allem einer hinreichenden Anbietertransparenz beziehungsweise einer entsprechenden Zertifizierung durch Dritte, um eine Sicherheitsbewertung überhaupt treffen zu können. dd) Anwendungs- / Software-Ebene (1) G efährdungslage und typische technische und organisatorische Maßnahmen Auf Anwendungsebene verdeutlicht bereits die Bandbreite der Bausteine, die sich in den IT-Grundschutz-Katalogen des BSI wiederfindet (unter anderem zu Webservern, Datenbanken, Exchange-Systemen, SAP-Systemen, Internet-Nutzung),1047 die sehr unterschiedliche und komplexe Gefährdungslage. Gerade bei PaaS oder SaaS kommt der zentralen Bereitstellung durch einen Cloud-Anbieter eine zusätzliche Bedeutung zu. Auch die Datenschutzbehörden verweisen in der „Orientierungshilfe Cloud Computing“ neben nicht wirksam geschützten Zugangsmöglichkeiten (wie Webinterfaces, clientseitige Applikationen) auf solch grundsätzliche Abhängigkeiten von einem Anbieter.1048 Allgemein werden auf dieser Ebene einer IT-Sicherheitsarchitektur vor allem ein regelmäßiges Update- und Patch-Management, ein funktionierendes Rechtemanagement, Aspekte von Isolation und Sandboxing, durchgeführte Testverfahren oder implementierte Maßnahmen gegen Schadsoftware zu berücksichtigen sein.1049 (2) Bewertung Nach der „Orientierungshilfe Cloud Computing“ sollen der Grundsatz der Datensparsamkeit (§ 3a BDSG), die vorherige Information oder Zustimmung eines Nutzers bei Änderungen an der PaaS-Umgebung sowie allgemeine Kontroll- und Regelungsmöglichkeiten für datenschutzkonforme Nutzungsmöglichkeiten bei der Entwicklung einer PaaS-Anwendung von 1047 BSI,
IT-Grundschutz-Kataloge, 13. EL, B 5. Technik und Medien der DSK, Orientierungshilfe Cloud Computing, S. 36 f. 1049 Heckmann / von Lucke / Hennrich / Maisch, C3-Studie, S. 78; Bräutigam / Thalhofer, in: Bräutigam, IT-Outsourcing und Cloud-Computing, Teil 14 Rn. 45. 1048 Arbeitskreise
V. Allgemeine Daten- und Informationssicherheit (§ 9 BDSG)221
Bedeutung sein und eine ausreichende Transparenz sowie einen „wohl informierten Kunden“ voraussetzen.1050 Derartige Idealvorstellungen einer Cloud finden sich in der gegenwärtigen Praxis, gerade bei Anbietern aus Drittstaaten, aber nur selten wieder. Grundsätzlich erfordern die Schutzziele der Daten- und Informationssicherheit eine sichere und ordnungsgemäß funktionierende Anwendung. Da sich ein Nutzer bei nicht vorhandenen Customizing-Spielräumen und minimalen Einflussmöglichkeiten auf den Betrieb der Anwendung in einer großen Abhängigkeit von dem SaaS-Anbieter befindet, ist nach Auffassung der Datenschutzbehörden auch auf dieser Ebene eine ausreichende Transparenz das wichtigste Schutzziel.1051 Jede ordnungsgemäße Bewertung wird zugleich durch die Komplexität und Vielzahl an Anwendungen erschwert und setzt meist ein besonderes Know-how voraus. ee) Ebenenübergreifende, allgemeine Gefahren Verschiedene Gefahren können die Einhaltung der Schutzziele der Datenund Informationssicherheit auf allen Ebenen einer IT-Sicherheitsarchitektur gefährden. Hierzu zählen vor allem die Sicherheitslücken bei einem Provider oder auf den Übertragungswegen, Brute-Force-Angriffe auf Passwörter, der Aufbau von Botnetzen, Schadsoftware, allgemeine Computerkriminalität, eine fehlende Interoperabilität, vorsätzliches oder fahrlässiges Handeln von Mitarbeitern (vor allem mit Blick auf deren Zugriffsrechte), nicht ausreichende Personalschulungen, ein fehlendes Leistungsmonitoring sowie allgemeine Sicherheitsmängel der gesamten IT-Infrastruktur.1052 Von besonderer Relevanz bei Cloud Computing sind, wie im Folgenden näher dargestellt, administrative Schnittstellen, eine Anbieterabhängigkeit, eine Nichtverfügbarkeit von Leistungen, Datenvervielfältigungen sowie Aspekte der Löschung von Daten.
1050 Arbeitskreise Technik und Medien der DSK, Orientierungshilfe Cloud Computing, S. 33. 1051 Arbeitskreise Technik und Medien der DSK, Orientierungshilfe Cloud Computing, S. 36. 1052 Arbeitskreise Technik und Medien der DSK, Orientierungshilfe Cloud Computing, S. 25 f.; Heckmann / von Lucke / Hennrich / Maisch, C3-Studie, S. 78 f.; Schulz, in: Taeger / Wiebe, Inside the Cloud, S. 412; BITKOM, Leitfaden Cloud Computing 2010, S. 68.
222 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
(1) Administrative Schnittstellen Für eine wirksame Daten- und Informationssicherheit sind vor allem die administrativen Schnittstellen zur Nutzung eines Cloud-Services von grundlegender Bedeutung, da Manipulationen oder eine nicht ausreichende Sicherheit dazu führen können, dass ein unbefugter Dritter gegebenenfalls einen Vollzugriff auf die jeweilige Cloud-Umgebung und alle dort gespeicherten Datensätze erhält.1053 Jede Sicherheitsbewertung einer Schnittstelle hat sich immer an dem jeweiligen technischen Stand zu orientieren, da gerade massive „cloud power“ auch insoweit kontinuierlich zu Veränderungen führt.1054 (2) A nbieterabhängigkeit („vendor lock-in“), Portabilität und Insolvenz eines Anbieters Eine Anbieterabhängigkeit liegt vor, wenn die Leistung aufgrund eines spezifischen Leistungszuschnitts oder bei fehlender Standardisierung und Portabilität in der bestehenden Form faktisch von keinem anderen Anbieter (ohne unverhältnismäßigen Migrationsaufwand) erbracht werden kann.1055 Anbieter kann dies gegebenenfalls dazu veranlassen, das Leistungsentgelt zu einem späteren Zeitpunkt neu zu definieren.1056 Eine fehlende Portabilität und ein „lock-in“ im klassischen Sinn kann einen Nutzer gerade bei der Insolvenz des Anbieters oder bei der Einstellung von Diensten vor erheb liche Schwierigkeiten stellen.1057 (3) Verfügbarkeit eines Cloud-Services und der Leitungswege Sofern in Folge des mit Cloud Computing verknüpften Wandels ITLeistungen künftig quasi wie Strom aus der Steckdose zur Verfügung stehen 1053 Hansen,
DuD 2012, 407 (409). hierzu oben unter C.III.4.a)bb)(2)(b)(bb). 1055 Ausführlich ENISA, Cloud Computing: Benefits, Risks and Recommendations, S. 25 f.; LDI NRW, 20. DIB, S. 125; BSI, Lagebericht der IT-Sicherheit in Deutschland 2011, S. 39; BSI, JB 2010, S. 27; Fickert, in: Taeger / Wiebe, Inside the Cloud, S. 422; Hartung / Storm, in: Hilber, Handbuch Cloud Computing, Teil 4 Rn. 213 ff.; Maisch, Informationelle Selbstbestimmung in Netzwerken, S. 107. 1056 Eine Reaktion auf den Vorwurf, dass Anbieter gezielt einen „vendor lock-in“ herbeiführen, war das „Open Cloud Manifesto“, das große Cloud-Anbieter jedoch nicht unterzeichnet haben; siehe hierzu BMWi, Aktionsprogramm Cloud Computing, S. 22. 1057 ENISA, Cloud Computing: Benefits, Risks and Recommendations, S. 26; vgl. Fickert, in: Taeger / Wiebe, Inside the Cloud, S. 422; ausführlich zur Insolvenz eines Cloud-Anbieters Peters / Haarmeyer / Hartung, in: Leupold / Glossner, IT-Recht, Teil 4 Rn. 165 ff. 1054 Vgl.
V. Allgemeine Daten- und Informationssicherheit (§ 9 BDSG)223
und auf Seiten eines Nutzers idealerweise nur noch „thin clients“ zum Einsatz gelangen, kommt der Verfügbarkeit der externen Ressourcen und Leitungswege eine zentrale Bedeutung zu.1058 (4) V ervielfältigung und Verteilung von Daten aufgrund von breitbandigen Datenleitungen und schnellen Glasfaserverbindungen Breitbandige Datenleitungen und schnelle Glasfaserverbindungen zwischen Rechenzentrumsstandorten ermöglichen es, selbst große Datenmengen binnen kürzester Zeit an andere Standorte zu verschieben.1059 Dies kann insbesondere auch ganze Snapshots eines virtuellen Systems betreffen.1060 Eine Vervielfältigung und Verteilung von Daten liegt aber auch generellen Datenreplikationskonzepten zugrunde, wie sie sich gerade in Hochverfügbarkeits-Clustern bei dem Einsatz von Virtualisierungstechniken (etwa in zugrunde liegenden Storage-Systemen) wiederfinden.1061 Diese technischen Möglichkeiten und deren weitere Entwicklungen stellen die Grundsätze einer wirksamen Daten- und Informationssicherheit bei Cloud Computing vor Herausforderungen. (5) Die Löschung von Daten bei einem verteilten Rechnen Verteilte Datenspeicherungskonzepte stellen auch die Löschung von Daten vor Herausforderungen, zumal der konkrete Speicherort selbst für Anbieter oftmals nicht ohne weiteres ersichtlich ist.1062 In der Praxis erweist es sich als erschwerend, dass vor allem die Datenschutzbehörden weiterhin den klassischen IT-Outsourcing-Szenarien entstammenden Maßstab eines endgültigen Unkenntlichmachens von Daten anlegen,1063 der in aller Regel nur sehr aufwendig umzusetzen ist. Physische Systeme werden meist mehrfach mit zufälligen Zahlen und Zeichen, etwa mittels der auch vom BSI 1058 Vgl. Arbeitskreise Technik und Medien der DSK, Orientierungshilfe Cloud Computing, S. 29 f.; Leupold, in: Leupold / Glossner, IT-Recht, Teil 4 Rn. 32; BSI, JB 2010, S. 27; zu der Parallele zu elektrischem Strom siehe oben unter A.I, zu thin clients unter B.II.2.c). 1059 Siehe hierzu bereits oben unter B.II.4; vgl. BlnBDI, JB 2011, S. 41. 1060 Zu Snapshots siehe bereits oben unter B.III.4.a) sowie unter C.V.3.a)bb)(1). 1061 Vgl. oben unter B.III.4. 1062 Siehe oben unter C.II.3.a)aa)(1). 1063 Arbeitskreise Technik und Medien der DSK, Orientierungshilfe Cloud Computing, S. 27; Hansen, DuD 2012, 407 (409); LfD Bremen, 33. JB, S. 34; BlnBDI, JB 2011, S. 41.
224 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
grundsätzlich empfohlenen Freeware „DBAN“1064, überschrieben. Bei hohen Sicherheitsanforderungen werden Datenträger aber oftmals noch mechanisch zerstört. Da gerade in Public Clouds großer Anbieter, in denen auf einer Festplatte Daten vieler Kunden nebeneinander gespeichert sind, eine solche Löschung rein praktisch ausgeschlossen ist, verbleiben Rechtsunsicherheiten, die letztendlich wohl nur durch ein neues, zeitgemäßes Verständnis einer Löschung von Daten beseitigt werden können.1065 Insoweit sind für virtuelle Systemumgebungen praxisgerechte Kriterien und Verfahren zum Nachweis einer Löschung zu entwickeln, die auch in modernen Datenverarbeitungsszenarien und bei einer gemeinsamen Nutzung von Ressourcen zum Nachweis einer Löschung akzeptabel sind. Beispielsweise könnte ein zertifiziertes und in Audits regelmäßig überprüftes Verfahren zum automatisierten Überschreiben für die von einem Nutzer gespeicherten Daten ausreichen. Derartige Ansätze bedürfen natürlich noch einer weiteren Verfeinerung. ff) Ergebnis – Neue Konzepte zur Gewährleistung der Daten- und Informationssicherheit bei Cloud Computing und modernen Formen der Datenverarbeitung Cloud Computing verändert den Gegenstand der Daten- und Informationssicherheit. Die Darstellung der auf den Ebenen einer IT-Sicherheitsarchitektur in Betracht zu ziehenden Maßnahmen hat verdeutlicht, dass vor allem Virtualisierungstechnologien, standortübergreifende Datenverarbeitungsszenarien sowie das flexibel verfügbare, massive Ressourcenpotential neue Maßstäbe bei der Bewertung der Schutzziele setzen.1066 Daneben sind zahlreiche ebenenübergreifenden Gefahren bei jeder Sicherheitsbewertung zu berücksichtigen. Die Identifikation geeigneter technischer und organisatorischer Maßnahmen wird hierdurch gerade bei technisch komplexen Cloud-Infrastrukturen erschwert. Nutzer, die insoweit kein besonderes Know-how aufweisen, werden in aller Regel überfordert sein.1067 Eine fehlende Anbietertransparenz kann zudem jeder ordnungsgemäßen Weitergabe- und Auftragskontrolle (Nr. 4, 6 der Anlage zu § 9 BDSG) entgegenstehen.1068 Sofern dem 1064 Darik’s Boot and Nuke (DBAN), http://www.dban.org/ (Stand: 1.7.2015); https://www.bsi-fuer-buerger.de/BSIFB/DE/MeinPC/RichtigLoeschen/richtigloeschen _node.html (Stand: 1.7.2015). 1065 Vgl. Niemann / Hennrich, CR 2010, 686 (692); siehe auch unten unter C. VI.5.f)dd). 1066 Vgl. Gabel, in: Taeger / Gabel, BDSG, § 11 Rn. 18; Hennrich, CR 2013, 546 (548). 1067 Vgl. LDI NRW, 21. DIB, S. 2.
V. Allgemeine Daten- und Informationssicherheit (§ 9 BDSG)225
Maßnahmenkatalog der Anlage zu § 9 BDSG noch konventionelle, auf räumlich abtrennbare Speicherorte und auf dedizierte IT-Systeme ausgelegte Vorstellungen einer Datenverarbeitung zugrunde liegen,1069 muss diese Konzeption in verteilten, dezentralen und hochperformant vernetzten Systemumgebungen an Grenzen gelangen.1070 In modernen und standardisierten Datenverarbeitungsszenarien kommt vielmehr anerkannten Zertifizierungen, Audits durch unabhängige Dritte, geeigneten technischen Sicherungsmaßnahmen anhand von Branchenstandards sowie Aspekten von „privacy by design“ eine besondere Bedeutung zu.1071 Den Herausforderungen einer solchen Bereitstellung von IT wird ein Rechtsrahmen nur durch eine vergleichbare rechtliche Standardisierung und entsprechenden Instrumenten begegnen können.1072 1068
Liegt einer Cloud eine professionelle IT-Sicherheitsarchitektur zugrunde und wird diese auch von einem Anbieter mit ausreichender Erfahrung und Know-how betrieben, kann aber bereits heute die Daten- und Informationssicherheit höher sein, als wenn vergleichbare Maßnahmen von einem (oft weniger erfahrenen) Unternehmen im Eigenbetrieb implementiert werden.1073 gg) Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) Der im Dezember 2014 von der Bundesregierung beschlossene Entwurf für ein IT-Sicherheitsgesetz verfolgt das Ziel, die Sicherheit informationstechnischer Systeme in Deutschland signifikant zu verbessern und den Schutz der Verfügbarkeit, Integrität und Vertraulichkeit datenverarbeitender Systeme an die gestiegene Bedrohungslage anzupassen.1074 Als Querschnittsthema ist der Gesetzesentwurf zugleich ein zentraler Bestandteil der „Digitalen Agenda 2014–2017“ der Bundesregierung.1075 1068 Reindl, in: Taeger / Wiebe, Inside the Cloud, S. 450; vgl. Schultze-Melling, in: Taeger / Gabel, BDSG, § 9 Rn. 104; zu Kontrollen im Rahmen der Auftragsdatenverarbeitung siehe unten unter C.VI.5.c). 1069 Schultze-Melling, in: Taeger / Gabel, BDSG, § 9 Rn. 104; Heckmann, jurisPKInternetrecht, Kap. 9 Rn. 673; Wedde, in: Däubler / Klebe / Wedde / Weichert, BDSG, § 9 Rn. 30. 1070 Eiermann, DuD 2013, 92 (93); vgl. Karg, in: Wolff / Brink, Datenschutzrecht, § 9 Rn. 2. 1071 Hornung / Sädtler, CR 2012, 638 (644); Eiermann, DuD 2013, 92 (94); zu Zertifizierungen siehe unten unter C.VI.5.c)bb)(4). 1072 Vgl. unten unter C.VI.5.c)bb)(4)(g). 1073 Lehmann / Giedke, CR 2013, 608 (609). 1074 BMI, Gesetzentwurf der Bundesregierung, IT-Sicherheitsgesetz v. 19.12.2014, S. 1. 1075 BMI, Infoblatt IT-Sicherheitsgesetz v. 19.8.2014, S. 1.
226 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
Die zuvor dargestellten Herausforderungen von Cloud Computing an die Grundsätze der allgemeinen Daten- und Informationssicherheit sind auch für das IT-Sicherheitsgesetz von hoher Relevanz und hierauf entsprechend zu übertragen. Exemplarisch zeigt sich dies vor allem an den geplanten Änderungen an dem Gesetz über das Bundesamt für Sicherheit in der Informa tionstechnik (BSIG). Nach der Entwurfsfassung soll § 8a BSIG Betreiber kritischer Infrastrukturen künftig dazu verpflichten, „angemessene organisatorische und technische Vorkehrungen“ zum Schutz von IT-Systemen zu treffen, wobei insbesondere der „Stand der Technik“ zu berücksichtigen ist.1076 Da sich grundsätzlich bekannte Begriffe der allgemeinen Daten- und Informationssicherheit wiederfinden, setzen Virtualisierungstechnologien und standortübergreifende Datenverarbeitungsszenarien auch hier neue Maßstäbe auf den Ebenen einer IT-Sicherheitsarchitektur, die bei jeder sicherheitsbezogenen Bewertung zugrunde zu legen sind.1077 hh) EU-Datenschutzreform Die Herausforderungen technischer und organisatorischer Risiken auf den Ebenen einer IT-Sicherheitsarchitektur lassen sich aber nicht nur auf das IT-Sicherheitsgesetz entsprechend übertragen, sondern vor allem auch auf Art. 30 DS-GVO-E. Sowohl nach der Entwurfsfassung der Kommission als auch nach dem Entwurf des Europäischen Parlaments aus dem März 2014 haben der für die Verarbeitung Verantwortliche als auch der Auftragsdatenverarbeiter hiernach unter Berücksichtigung des Stands der Technik und der Implementierungskosten grundsätzlich geeignete technische und organisatorische Maßnahmen zur Gewährleistung eines Datenschutzniveaus zu treffen. b) Die Herausforderung der potentiellen Zugriffsmöglichkeiten durch Sicherheitsbehörden in Drittstaaten am Beispiel des USA PATRIOT Act Eine zentrale Herausforderung an die Grundsätze der allgemeinen Datenund Informationssicherheit stellen auch die (legalen) Zugriffsmöglichkeiten von Sicherheitsbehörden und anderen staatlichen oder privaten Stellen dar. Sie sind neben klassischen Spionage- und Geheimdiensttätigkeiten – die Enthüllungen von Edward Snowden haben vor allem die Aktivitäten der US-amerikanischen NSA verdeutlicht – gerade bei der Nutzung von Public Clouds in Drittländern bei jeder datensicherheitsspezifischen Bewertung zu 1076 BMI,
Gesetzentwurf der Bundesregierung, IT-Sicherheitsgesetz v. 19.12.2014,
1077 Siehe
zuvor unter C.V.3.a)ff).
S. 4.
V. Allgemeine Daten- und Informationssicherheit (§ 9 BDSG)227
berücksichtigen.1078 Aufgrund der hohen Marktpräsenz von US-Anbietern stehen vor allem die Zugriffsbefugnisse von US-Sicherheitsbehörden nach dem USA PATRIOT Act1079 im Fokus der Aufmerksamkeit.1080 Für Be unruhigung sorgte im Sommer 2011 eine Äußerung von Microsoft, wonach das Unternehmen aufgrund dieser Befugnisse nicht zusichern konnte, dass in europäischen Rechenzentren gespeicherte Daten unter keinen Umständen EU / EWR-Territorium verlassen („Microsoft cannot provide those guarantees. Neither can any other company.“).1081 aa) USA PATRIOT Act – Ausweitung sicherheitsbehördlicher Befugnisse zur Terrorismusbekämpfung Als unmittelbare Reaktion auf die Terroranschläge des 11. September 2001 änderte der USA PATRIOT Act zahlreiche US-Gesetze und weitete die Befugnisse von Sicherheitsbehörden zu Zwecken der Terrorismusbekämpfung erheblich aus.1082 (1) Foreign Intelligence Surveillance Act (FISA) Bekannt ist vor allem Section 215 USA PATRIOT Act, die weitreichende Änderungen an dem „Foreign Intelligence Surveillance Act“ (FISA, 50 U.S.C. § 1861 et seq.) bewirkte.1083 Eine Ausweitung der Befugnisse zur 1078 BlnBDI, JB 2011, S. 41; Arbeitskreise Technik und Medien der DSK, Orientierungshilfe Cloud Computing, S. 20, 28; ULD Schleswig-Holstein, Positionspapier Patriot Act v. 15.11.2011. 1079 Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism (USA PATRIOT ACT) Act of 2001 (U.S. House, 107th Congress, H.R. 3162; PL 107-56). 1080 Zu behördlichen Herausgabeansprüchen in anderen Ländern als den USA siehe einleitend Voigt, MMR 2014, 158 (160); diese sind nicht Gegenstand der vorliegenden Bearbeitung. 1081 Barnitzke, MMR-Aktuell 2011, 321103 (MMR 9 / 2011, VI); http://www. heise.de/ix/meldung/US-Behoerden-duerfen-auf-europaeische-Cloud-Daten-zugreifen1270455.html v. 30.6.2011 (Stand: 1.7.2015); Fraunhofer SIT, On the Security of Cloud Storage Devices, S. 39; http://www.heise.de/ix/meldung/IT-Unternehmenrufen-nach-Rechtssicherheit-fuer-Cloud-Daten-1278767.html v. 15.7.2011 (Stand: 1.7.2015). 1082 Pallasky, DuD 2002, 221 ff.; Becker / Nikolaeva, CR 2012, 170 f.; Voigt / Klein, ZD 2013, 16; Schneider in: Taeger, IT und Internet – mit Recht gestalten, S. 761; Haag, in: Leupold / Glossner, IT-Recht, Teil 4 Rn. 44; Maisch, Informationelle Selbst bestimmung in Netzwerken, S. 143. 1083 Henning / Bazan / Doyle / Liu, CRS Report for Congress R40980, S. 16; Grunwald, Datenerhebung durch das FBI, S. 208 ff.; Voigt / Klein, ZD 2013, 16 (17); Holleben / Probst / Winters, CR 2015, 63 (64 f.).
228 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
Überwachung ausländischer Geheimdienstaktivitäten zeigt sich vor allem daran, dass das FBI ursprünglich nur auf die Geschäftsunterlagen bestimmter Einrichtungen (im Wesentlichen Autovermietungen, Beherbergungseinrichtungen, Lagerungseinrichtung, Reise- und Transportunternehmen)1084 durch Beschluss des geheim tagenden „Foreign Intelligence Surveillance Court“ (FISC) zugreifen konnte.1085 Mit der durch den USA PATRIOT Act herbeigeführten Gesetzesänderung wurden diese, durch Gerichtsbeschluss bestehenden Befugnisse bei einer Untersuchung von internationalem Terrorismus auf „any tangible things (including books, records, papers, documents, and other items)“ als herauszugebende Gegenstände sowie auf jede Stelle als Adressat erheblich erweitert.1086 Einzig Aktivitäten, die dem Schutzbereich des „first amendment“ der US-Verfassung unterfallen, sind ausgenommen.1087 (2) National Security Letter (NSL) Section 505 USA PATRIOT Act hat auch die Befugnisse des FBI zum Erlass eines „National Security Letter“ (NSL) erweitert. Derartige Befugnisse finden sich in verschiedenen Vorschriften wieder.1088 Sie ermöglichen, dass ein US-Unternehmen ohne Gerichtsbeschluss zur Datenherausgabe verpflichtet werden kann.1089 Die durch den USA PATRIOT Act herbeigeführte Erweiterung der Befugnisse zum Erlass eines NSL ist im Wesentlichen mit der Erweiterung der Befugnisse in dem FISA vergleichbar.1090 Ein NSL kann beispielsweise erlassen werden, wenn eine Untersuchung im Kontext der nationalen Sicherheit bestimmte Informationen erfordert, ob1084 Vgl. 50 U.S.C. § 1861, 2000 edition; Grunwald, Datenerhebung durch das FBI, S. 209. 1085 Vgl. 50 U.S.C. § 1862(a), 2000 edition; 50 U.S.C. § 1861(a)(1); Henning / Bazan / Doyle / Liu, CRS Report for Congress R40980, S. 16; Pallasky, DuD 2002, 221 (225); Becker / Nikolaeva, CR 2012, 170 (171); Voigt / Klein, ZD 2013, 16 (17). 1086 Grunwald, Datenerhebung durch das FBI, S. 209; Henning / Bazan / Doyle / Liu, CRS Report for Congress R40980, S. 16; Pallasky, DuD 2002, 221 (225); Becker / Nikolaeva, CR 2012, 170 (171); Voigt / Klein, ZD 2013, 16 (17); Voigt, MMR 2014, 158 (159). 1087 50 U.S.C. § 1861(a)(1); Pallasky, DuD 2002, 221 (225); Becker / Nikolaeva, CR 2012, 170 (171). 1088 Zu einem textlichen Vergleich von „NSL statutes“ vor dem USA PATRIOT Act und dem Stand im Jahr 2010 siehe Doyle, CRS Report for Congress R40887, S. 27 ff. 1089 Becker / Nikolaeva, CR 2012, 170 (171); Henning / Bazan / Doyle / Liu, CRS Report for Congress R40980, S. 15; Voigt, MMR 2014, 158 (159). 1090 Ausführlich Grunwald, Datenerhebung durch das FBI, S. 213 ff.
V. Allgemeine Daten- und Informationssicherheit (§ 9 BDSG)229
wohl der konkrete Bezug zu einer terroristischen Organisation erst noch hergestellt werden muss.1091 (3) Statistiken zur „FISA Implementation“ Die Bedeutung von FISC-Gerichtsbeschlüssen und von NSL verdeutlichen Angaben des US-Justizministeriums in dem „2012 Annual Report on FISA Implementation“, wonach im Jahr 2012 in den USA 1.856 FISC-Gerichtsbeschlüssen rund 15.200 NSL gegenübergestanden haben.1092 Eine Statistik des US-amerikanischen Electronic Privacy Information Center (EPIC) zu den „Foreign Intelligence Surveillance Court Orders 1979–2012“ zeigt, dass in den Jahren 2008 und 2010 sogar über 24.000 NSL erlassen wurden, während sich die Zahl für alle anderen Jahre seit 2007 zwischen 15.000–17.000 bewegt.1093 Jährlich eher gleichbleibend ist dagegen die Zahl an FISC-Beschlüssen, deren Höchstwert sich für das Jahr 2007 mit 2.371 Beschlüssen wiederfindet.1094 bb) Auswirkungen auf die Daten- und Informationssicherheit bei Cloud Computing Befugnisse von US-Sicherheitsbehörden sind gerade bei Cloud Computing von hoher Bedeutung, da Gerichtsbeschlüsse nach dem FISA, ein NSL oder andere sicherheitsbehördliche Maßnahmen in verteilten, grenzüberschreitenden Datenverarbeitungsszenarien auch europäische Datenschutzinteressen berühren können.
1091 Becker / Nikolaeva, CR 2012, 170 (171); Henning / Bazan / Doyle / Liu, CRS Report for Congress R40980, S. 15; vgl. z. B. 18 U.S.C. § 2709 (b) (1): „(…) name, address, length of service, and toll billing records sought are relevant to an authorized investigation to protect against international terrorism or clandestine intelligence activities (…)“ im Falle von „counterintelligence access to telephone toll and transactional records“, unter der einschränkenden Voraussetzung, dass auch hier der Schutzbereich des „first amendment“ der US-Verfassung nicht berührt wird. 1092 U.S. Department of Justice, 2012 Annual Report on FISA Implementation v. 30.4.2013, abrufbar unter: https://www.fas.org/irp/agency/doj/fisa/2012rept.pdf (Stand: 1.7.2015). 1093 http://epic.org/privacy/wiretap/stats/fisa_stats.html (Stand: 1.7.2015); für das Jahr 2010 vgl. Böken, iX 01 / 2012, S. 110. 1094 EPIC-Statistik, a. a. O. (Fn. 1093).
230 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
(1) E xtraterritoriale Auswirkungen des USA PATRIOT Act – Kreis der von US-Anordnungen potentiell betroffenen Unternehmen Aufgrund der völkerrechtlichen Souveränität von Staaten haben US-Sicherheitsbehörden grundsätzlich keine extraterritorialen Befugnisse.1095 Durch eine extensive Auslegung ihrer Befugnisse können sie Mutter- und Tochtergesellschaften sowie Niederlassungen in den USA jedoch dazu verpflichten, Daten bei europäischen Mutter- oder Tochtergesellschaften anzufordern.1096 Richtet sich eine entsprechende Anordnung an einen US-Anbieter oder an eine US-Muttergesellschaft, die aufgrund gesellschaftsrechtlicher Weisungsbefugnisse auf eine rechtlich selbständige europäische Tochtergesellschaft Einfluss nehmen kann, wird nicht auszuschließen sein, dass in Europa verarbeitete Daten auch an US-Behörden weitergegeben werden.1097 Nach der eingangs zitierten Äußerung von Microsoft können US-Unternehmen gerade nicht garantieren, dass in europäischen Rechenzentren gespeicherte Daten EU / EWR-Territorium unter keinen Umständen verlassen.1098 Selbst bei einer Anordnung, die an die US-Tochter einer europäischen Muttergesellschaft gerichtet ist, wird eine Datenweitergabe an US-Behörden zumindest rein faktisch nicht auszuschließen sein, obwohl die US-Tochter gesellschaftsrechtlich keinen unmittelbaren Einfluss auf die europäische Muttergesellschaft nehmen kann.1099 Werden Daten daher außerhalb der territorialen Befugnisse von US-Sicherheitsbehörden (wie auf EU / EWRHoheitsgebiet) verarbeitet, zählen zu dem Kreis der von sicherheitsbehördlichen Anordnungen potentiell betroffenen Unternehmen – neben US-Unternehmen – vor allem die Unternehmen eines internationalen Konzerns mit gesellschaftsrechtlichen Beteiligungs- und Beherrschungsverhältnissen mit Verbindung in die USA.1100
Voigt / Klein, ZD 2013, 16 (17). ZD 2013, 16 (17); Lejeune, CR 2013, 755 (756); Voigt, MMR 2014, 158 (159). 1097 Becker / Nikolaeva, CR 2012, 170 (174 f.); Voigt / Klein, ZD 2013, 16 (17); Lejeune, CR 2013, 755 (756); Voigt, MMR 2014, 158 (159 f.). 1098 Siehe oben unter C.V.3.b). 1099 Becker / Nikolaeva, CR 2012, 170 (175); Schneider in: Taeger, IT und Internet – mit Recht gestalten, S. 763. 1100 Vgl. Voigt / Klein, ZD 2013, 16 (17); Voigt, MMR 2014, 158 (160); ULD Schleswig-Holstein, Positionspapier Patriot Act v. 15.11.2011, das auf Anfragen bei Unternehmen mit US-Kontakten verweist, die gezeigt hätten, dass es keiner rechtlich selbstständigen Niederlassung in den USA bedarf, sondern irgendeine Form von Niederlassung dort genüge. 1095 Vgl.
1096 Voigt / Klein,
V. Allgemeine Daten- und Informationssicherheit (§ 9 BDSG)231
(2) F olgen für den Cloud-Anbieter – Rechtsunsicherheiten aufgrund konträrer Verpflichtungen zweier Rechtsordnungen Jede Weitergabe von Daten aus einer Cloud, deren zugrunde liegende Infrastruktur sich ganz oder teilweise auf EU / EWR-Territorium befindet, bedarf nach europäischem Datenschutzrecht einer Rechtsgrundlage. Im Fall der Anwendbarkeit des BDSG kommt insoweit – neben den Regelungen für internationale Datentransfers – vor allem § 28 BDSG in Betracht.1101 Datenweitergaben an US-Sicherheitsbehörden sind von § 28 Abs. 2 Nr. 2 lit. a) und b) BDSG jedoch nicht gedeckt.1102 Jede Datenweitergabe aus einer auf EU / EWR-Territorium belegenen Cloud-Infrastruktur aufgrund einer strafund bußgeldbewehrten Anordnung nach US-Recht (die beispielsweise an eine US-amerikanische Muttergesellschaft oder an eine dortige Niederlassung eines internationalen Konzerns gerichtet ist) verletzt daher hiesige Datenschutznormen, die ebenso bußgeldbewehrt sind und die gegebenenfalls zivilrechtliche Schadensersatzverpflichtungen auslösen können.1103 Im umgekehrten Fall kann die Wahrung europäischer Datenschutzgrundsätze zur Verletzung einer nach US-Recht bestehenden Herausgabepflicht führen, sofern das BDSG nicht wiederum ein „Blockadegesetz“ nach US-Recht darstellt.1104 Auf Seiten der potentiell von sicherheitsbehördlichen Anordnungen betroffenen Cloud-Anbieter mit Konzernverbindungen in die USA birgt dieser Konflikt zweier Rechtsordnungen jedenfalls erhebliche Rechtsunsicherheiten.1105 (3) F olgen für den Cloud-Nutzer – Eingeschränkte Wahrnehmung der datenschutzrechtlichen Verantwortlichkeit (etwa aufgrund einer fehlenden Kenntnis durch eine „gag order“) Rechtsunsicherheiten bestehen für einen Cloud-Nutzer insbesondere dann, wenn der Anbieter zum Kreis der potentiell von einer Anordnung nach USRecht betroffenen Unternehmen zählt. Ein US-Unternehmen, das durch 1101 Zu internationalen Datentransfers siehe oben unter C.IV.2; zu § 28 Abs. 1 S. 1 Nr. 2 BDSG siehe unten unter C.VII. 1102 Ausführlich Schneider in: Taeger, IT und Internet – mit Recht gestalten, S. 765 ff.; Becker / Nikolaeva, CR 2012, 170 (174 f.); Voigt / Klein, ZD 2013, 16 (19). 1103 Becker / Nikolaeva, CR 2012, 170 (174); Voigt / Klein, ZD 2013, 16 (19); Schneider in: Taeger, IT und Internet – mit Recht gestalten, S. 768. 1104 Voigt / Klein, ZD 2013, 16 (20) weisen darauf hin, dass das BDSG vor USGerichten als ausländisches „Blockadegesetz“ ein Verteidigungsmittel darstellen kann, das US-Herausgabeforderungen hindert. 1105 Vgl. BITKOM, Stellungnahme v. 27.12.2012 zur Cloud-Strategie der Kommission, S. 8.
232 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
Beschluss des FISC, durch einen NSL oder durch eine andere Bestimmung von dem FBI oder einer anderen US-Sicherheitsbehörde zur Herausgabe von Daten verpflichtet wurde, wird in aller Regel durch eine „gag order“ zum Schweigen verpflichtet.1106 Aufgrund dieser Geheimhaltungspflicht verweist beispielsweise der Landesbeauftragte für den Datenschutz in Baden-Württemberg zu Recht auf die Gefahr, dass ein Cloud-Nutzer von dem Datenzugriff gar keine Kenntnis erlangen wird.1107 Seiner datenschutzrechtlichen Verantwortlichkeit wird er in diesem Fall nicht vollumfänglich nachkommen können. Soll eine europäische Tochter einer US-Muttergesellschaft etwa als Auftragsdatenverarbeiter nach § 11 BDSG eingeschaltet werden, können diese Folgen bereits im Rahmen der Auswahlentscheidung zu berücksichtigen sein. Bei besonders sensiblen Daten wird sich meist ein Rückgriff auf europäische Cloud-Anbieter empfehlen (sofern komplexe gesellschaftsrechtliche Beteiligungs- und Beherrschungsverhältnisse extraterritoriale Wirkungen des USA PATRIOT Act überhaupt ausschließen lassen).1108 Bei einem USBezug kann es sich vertraglich anbieten, ein ausdrückliches Herausgabeverbot an US-Behörden aufzunehmen, Anzeige- und Benachrichtigungspflichten zu regeln oder das US-Unternehmen zu verpflichten, sich in den USA gegen entsprechende sicherheitsbehördliche Forderungen gerichtlich zu wehren.1109 Im Kontext technisch und rechtlich hochstandardisierter CloudServices werden bei ungleichen Verhandlungskonstellationen im AnbieterNutzer-Verhältnis derartige Zusatzvereinbarungen aber in aller Regel nicht möglich sein.1110 cc) Entscheidung des „United States District Court for the Southern District of New York“ vom 25. April 2014 Die Problematik von Herausgabeverpflichtungen zeigt sich auch an einer noch nicht rechtskräftigen Entscheidung des „United States District Court for the Southern District of New York“, die im April 2014 auch hierzulande für Aufmerksamkeit sorgte. Microsoft wandte sich vor diesem Bezirks1106 Vgl. Doyle, CRS Report for Congress R40887, S. 14, 24; Lejeune, CR 2013, 755 (756); Becker / Nikolaeva, CR 2012, 170 (171) mit beispielhafter Nennung von Vorschriften, die eine „gag order“ bzw. Verschwiegenheitsverpflichtung enthalten. 1107 LfD Baden-Württemberg, 30. TB, S. 46. 1108 Voigt / Klein, ZD 2013, 16 (20). 1109 Voigt / Klein, ZD 2013, 16 (19 f.); Gabel, in: Taeger / Gabel, BDSG, § 4c Rn. 11 a. E.; zu einem expliziten vertraglichen Verbot der Herausgabe von Daten siehe auch ULD Schleswig-Holstein, Positionspapier Patriot Act v. 15.11.2011. 1110 Zu ungleichen Verhandlungskonstellationen siehe unten unter C.VI.5.a).
V. Allgemeine Daten- und Informationssicherheit (§ 9 BDSG)233
gericht gegen einen im Dezember 2013 ergangenen Durchsuchungs- und Beschlagnahmebeschluss („warrant“) nach dem Stored Communications Act, der das Unternehmen verpflichtete, Informationen zu einem E-MailAccount unabhängig vom Speicherort – und damit auch von dem irischen Standort in Dublin – herauszugeben.1111 Microsoft verweigerte die Herausgabe der in Irland gespeicherten Daten und vertrat die Auffassung, dass US-Gerichte nicht für Beschlüsse zuständig seien, die sich auf außerhalb der USA gespeicherte Daten beziehen.1112 Diese Auffassung wurde allerdings von dem mit dem Verfahren befassten Einzelrichter Francis nicht geteilt, der in Bezug auf außerhalb der USA gespeicherte Informationen die extraterritoriale Anwendung von US-Recht als nicht verletzt ansah und dies ausführlich begründete.1113 Da Microsoft das Urteil angefochten hat, bleibt die weitere Entwicklung abzuwarten. Mit Blick auf eine Gefährdung der Daten- und Informationssicherheit ist die Sachlage aber nicht mit den weitreichenden Befugnissen von Sicherheitsbehörden nach dem USA PATRIOT Act vergleichbar, da die Voraussetzungen für den vorliegenden Gerichtsbeschluss grundsätzlich hoch sind.1114 Sollte sich die Auffassung des Bezirksgerichts jedoch auch weiterhin durchsetzen, wird dies die Debatte der Sicherheit von Daten bei US-Anbietern mit Datenverarbeitungsstandorten in Europa weiter beeinflussen. dd) Handlungsbedarf zur Beseitigung bestehender Rechtsunsicherheiten Vor dem Hintergrund der hohen Praxisrelevanz und wirtschaftlichen Bedeutung transatlantischer Datenübermittlungen sowie der Beliebtheit und allgegenwärtigen Marktpräsenz US-amerikanischer Cloud-Anbieter verdeutlicht sich ein Handlungsbedarf zur Beseitigung bestehender Rechtsunsicherheiten gerade im Kontext von Cloud Computing.1115 Als die Befugnisse von US-Sicherheitsbehörden infolge des USA PATRIOT Acts im Sommer 2011 für Diskussion sorgten, verwies der Justizsprecher der Kommission einerseits auf die geplante Datenschutzreform, die sicherstellen werde, dass au1111 U.S. District Court Southern District of New York (S.D.N.Y.) v. 25.4.2014, 13 Mag. 2814, ZD 2014, 346 ff. m. Anm. Schröder / Spies. 1112 U.S. District Court S.D.N.Y. v. 25.4.2014, 13 Mag. 2814, m. Anm. Schröder / Spies, ZD 2014, 346 (348). 1113 U.S. District Court S.D.N.Y. v. 25.4.2014, 13 Mag. 2814, m. Anm. Schröder / Spies, ZD 2014, 346 (348). 1114 U.S. District Court S.D.N.Y. v. 25.4.2014, 13 Mag. 2814, m. Anm. Schröder / Spies, ZD 2014, 346 (348 f.). 1115 Siehe hierzu bereits oben unter C.IV.1.
234 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
ßereuropäische Anbieter EU-Recht unterliegen.1116 Andererseits sah er zu Recht noch Handlungsbedarf bei einem Abkommen über gemeinsame Regeln für den Datenaustausch bei dem Kampf gegen Terrorismus und Kriminalität.1117 Abkommen zwischen der BRD und den USA existieren zwar im Bereich der Rechtshilfe in Strafsachen oder zur Verhinderung und Bekämpfung schwerwiegender Kriminalität.1118 Da die Übermittlung von Daten zur Verhinderung terroristischer Straftaten aber bisher in keinem bilateralen Vertrag geregelt wurde,1119 bedarf es zur Beseitigung der bestehenden Konfliktpunkte zwischen den Rechtsordnungen spezifischer Abkommen sowie einer entsprechenden Anpassung der Datenschutzregelungen.1120 ee) EU-Datenschutzreform Erste Regelungen zu der Thematik von Herausgabeanordnungen aus Drittstaaten finden sich mittlerweile auch in der EU-Datenschutzreform wieder. So hat das Europäische Parlament am 12. März 2014 einen Art. 43a DS-GVO-E neu vorgeschlagen, der die Übermittlung oder Weitergabe von Daten zum Gegenstand hat, die nicht im Einklang mit Unionsrecht stehen.1121 Unbeschadet eines Amtshilfeabkommens oder eines internationalen Übereinkommens zwischen dem ersuchenden Drittstaat und der Union (bzw. einem Mitgliedstaat) sollen hiernach Urteile von Gerichten und Entscheidungen von Verwaltungsbehörden eines Drittstaats, die von einem für die Verarbeitung Verantwortlichen oder Auftragsverarbeiter verlangen, personenbezogene Daten weiterzugeben, weder anerkannt noch in irgendeiner Weise vollstreckt werden. Über derartige Herausgabeverlangen ist die Aufsichtsbehörde zu unterrichten und jede Übermittlung oder Weitergabe bedarf deren vorheriger Genehmigung. Die als allgemeine Ausrichtung vom Rat der EU am 11. Juni 2015 vorgelegte Textfassung hat diesen Art. 43a DS-GVO-E nicht übernommen. Die weitere Entwicklung auf europäischer Ebene, insbesondere die anstehenden Trilog-Verhandlungen, bleiben daher abzuwarten. An dem Beispiel der Anordnung von US-Sicherheitsbehörden an einen US-Anbieter oder an eine 1116 http://www.heise.de/ix/meldung/EU-soll-Cloud-Daten-besser-vor-US-Zugrif fen-schuetzen-1274904.html v. 7.7.2011 (Stand: 1.7.2015). 1117 Meldung auf heise.de, a. a. O. (Fn. 1116). 1118 BT-Drs. 16 / 4377; BT-Drs. 16 / 13124; Schneider in: Taeger, IT und Internet – mit Recht gestalten, S. 764 m. w. N. 1119 BT-Drs. 17 / 6965, S. 4; Schneider in: Taeger, IT und Internet – mit Recht gestalten, S. 765. 1120 Vgl. BITKOM, Stellungnahme v. 27.12.2012 zur Cloud-Strategie der Kommission, S. 8. 1121 EP, Entschließung v. 12.3.2014, 2013 / 2188(INI), P7_TA-PROV(2014)0212.
VI. Auftragsdatenverarbeitung (§ 11 BDSG)235
US-Muttergesellschaft hat sich gezeigt, dass sich in multinationalen Konzernen vor allem gesellschaftsrechtliche Weisungsbefugnisse als problematisch erweisen. Es wird daher ebenfalls abzuwarten sein, wie von US-Behörden verpflichtete US-Anbieter mit Weisungsbefugnissen in der Praxis künftig umgehen werden.
VI. Auftragsdatenverarbeitung (§ 11 BDSG) 1. Einleitung – Modernes IT-Outsourcing In Eigenregie ist die Durchführung von Datenverarbeitungsleistungen oftmals mit einem unverhältnismäßigen Aufwand verbunden. Aus Kostengründen sowie aufgrund des Know-hows spezialisierter Dienstleister bietet sich die Nutzung externer Ressourcen an.1122 Die als IT-Outsourcing bezeichnete Auslagerung von IT-Dienstleistungen kann grundsätzlich alle Prozesse, Ebenen und Tätigkeitsbereiche mit IT-Bezug betreffen und von der Auslagerung einzelner Applikationen bis zu dem vollständigen Übergang von Personal oder Betriebsmitteln (Asset Transfer) reichen.1123 Sowohl die gesamte IT-Leistung (Full Outsourcing) als auch nur ein Teil (partielles Outsourcing) können hiervon umfasst sein.1124 Werden ganze Geschäftsprozesse ausgelagert, liegt ein sog. „Business Process Outsourcing“ vor.1125 Typische IT-Outsourcing-Szenarien sind infrastrukturseitig vor allem die Verlagerung der unternehmenseigenen Serverinfrastruktur in die Sicherheitsumgebung eines Rechenzentrums oder die Nutzung der in einem Rechenzentrum von einem spezialisierten Anbieter bereits vorgehaltenen Serverinfrastruktur. Auch die Bereitstellung von Fachanwendungen (Buchhaltung, Lohn- und Gehaltsabrechnung, andere branchenspezifische Lösungen) und hierfür erforderlicher Rechenkapazitäten erfolgt in vielen Fällen durch externe Dienstleister. Auch Cloud Computing ist IT-Outsourcing im klassischen Sinn. Die nicht abschließende Leistungsvielfalt, die sich hinter dem bedarfsorientierten Gedanken von „IT as a Service“ (IaaS, PaaS, SaaS; grundsätzlich bis XaaS) 1122 Vgl. Kazemi / Leopold, Datenschutzrecht in der anwaltlichen Beratung, S. 284 Rn. 488; Weber / Voigt, ZD 2011, 74; Pohle, K&R 2013, 297 f.; Fraunhofer FOKUS, ISPRAT-Studie, S. 23 f. 1123 Küchler, in: Bräutigam, IT-Outsourcing und Cloud-Computing, Teil 1 Rn. 1, 45, 57 ff., 60 ff. 1124 Ausführlich Küchler, in: Bräutigam, IT-Outsourcing und Cloud-Computing, Teil 1 Rn. 48 ff.; Vossen / Haselmann / Hoeren, Cloud Computing für Unternehmen, S. 26. 1125 Ausführlich Küchler, in: Bräutigam, IT-Outsourcing und Cloud-Computing, Teil 1 Rn. 53 ff.; Kotthoff / Gabel, Outsourcing, S. 3 m. w. N.
236 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
wiederfindet, zeigt, dass Cloud Computing sämtliche IT-Outsourcing-Konstellationen betreffen kann.1126 Bei einem Rückgriff auf externe Dienstleister ist das datenschutzrechtliche Instrument der Auftragsdatenverarbeitung von hoher Bedeutung für die Verarbeitung personenbezogener Daten.1127 Allerdings sind die Herausforderungen, die Cloud Computing an den Rechtsrahmen für Datenschutz enthält, gerade mit den Anforderungen von § 11 BDSG verbunden. Diesen liegt eine Konzeption von Beherrschbarkeit und Kontrolle von Daten zugrunde, die Zeiten großvolumiger und langfristiger IT-Outsourcing-Vorhaben entstammt.1128 In der technischen Realität verteilter, standortübergreifender und multimandantenfähiger Cloud-Umgebungen sind praktische Schwierigkeiten daher in dem Rechtsrahmen quasi „vorprogrammiert“. 2. Das „Privileg“ der Auftragsdatenverarbeitung Als Auftragsdatenverarbeitung wird die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch andere Stellen im Auftrag bezeichnet (vgl. § 11 Abs. 1 S. 1 BDSG). Das kennzeichnende Element und sogenannte „Privileg“ besteht darin, dass Personen und Stellen, die im Geltungsbereich des BDSG oder in einem EU / EWR-Staat personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen, nicht als Dritte anzusehen sind (vgl. § 3 Abs. 8 S. 3 BDSG).1129 Die Datenweitergabe stellt daher keine Übermittlung an einen Dritten i. S. v. § 3 Abs. 4 S. 2 Nr. 3 BDSG dar, die dem Grundsatz des Verbots mit Erlaubnisvorbehalt (§ 4 Abs. 1 BDSG) unterliegt und die in der Regel an § 28 BDSG als Erlaubnistatbestand zu messen ist.1130 Vielmehr wird fingiert, dass Auftraggeber und Auftragnehmer rechtlich als Einheit zu betrachten sind.1131 Die verantwortliche Stelle 1126 Zu „IT as a Service“ bzw. „XaaS“ siehe oben unter B.V.1.; vgl. Küchler, in: Bräutigam, IT-Outsourcing und Cloud-Computing, Teil 1 Rn. 75 zu „IT on Demand“ und Utility Computing. 1127 Vgl. Kazemi / Leopold, Datenschutzrecht in der anwaltlichen Beratung, S. 285 Rn. 490; Weber / Voigt, ZD 2011, 74; Trusted Cloud, Datenschutzrechtliche Lösungen für Cloud Computing, S. 5; Wedde, in: Däubler / Klebe / Wedde / Weichert, BDSG, § 11 Rn. 21. 1128 Niemann / Hennrich, CR 2010, 686; vgl. Trusted Cloud, Datenschutzrechtliche Lösungen für Cloud Computing, S. 6; vgl. auch oben unter C.I. 1129 Gola / Schomerus, BDSG, § 11 Rn. 3; Köhler / Arndt / Fetzer, Recht des Internet, S. 325 Rn. 975 a. E.; Voigt, ZD 2012, 546 (547); Voigt / Klein, ZD 2013, 16. 1130 Anschaulich zu Wesen und Funktion der Auftragsdatenverarbeitung Weber / Voigt, ZD 2011, 74. 1131 Gola / Schomerus, BDSG, § 11 Rn. 4; Kühling / Seidel / Sivridis, Datenschutzrecht, S. 183; Gabel, in: Taeger / Gabel, BDSG, § 11 Rn. 2; Scholz / Lutz, CR 2011,
VI. Auftragsdatenverarbeitung (§ 11 BDSG)237
verbleibt als „Herrin der Daten“ gegenüber dem weisungsgebundenen Auftragnehmer und ist für die Einhaltung des BDSG und anderer datenschutzrechtlicher Vorschriften verantwortlich (vgl. § 11 Abs. 1 S. 1 BDSG).1132 Sie hat den Auftragnehmer anhand der von ihm getroffenen technischen und organisatorischen Maßnahmen auszuwählen, sich von deren Wirksamkeit regelmäßig zu überzeugen (vgl. § 11 Abs. 2 BDSG) und sicherzustellen, dass der Auftragnehmer mit den personenbezogenen Daten nicht selbständig umgeht und seine unterstützende Hilfsfunktion nicht überschreitet. Der Auftragnehmer wiederum darf die Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen (§ 11 Abs. 3 S. 1 BDSG). § 11 BDSG verfolgt insoweit das Regelungsziel, bestehende Datenschutzstandards nicht dadurch zu umgehen, dass eine andere Stelle mit der Datenverarbeitung beauftragt wird.1133 3. Abgrenzung zur Funktionsübertragung – Cloud Computing als klassische Konstellation einer Auftragsdatenverarbeitung Auch bei Cloud Computing stellt sich die Frage, ob die Datenverarbeitung als „privilegierte“ Auftragsdatenverarbeitung oder als Funktionsübertragung zu qualifizieren ist. Das die Auftragsdatenverarbeitung kennzeichnende Element, wonach der Auftragnehmer lediglich eine unterstützende Hilfsfunktion einnimmt, ist nach der bislang herrschenden Meinung zugleich auch das entscheidende Abgrenzungskriterium zur Funktionsübertragung.1134 Letztere ist daher zu bejahen, wenn der Datenverarbeiter – über die technische Durchführung der Datenverarbeitung hinaus – weitere, eigenständige Leistungen erbringt, die eine bloße Hilfsfunktion übersteigen.1135 Aufgrund dieser Eigenständigkeit und Entscheidungsbefugnis wird der Datenverarbei424 (425); Bräutigam / Thalhofer, in: Bräutigam, IT-Outsourcing und Cloud-Comput ing, Teil 14 Rn. 62; im Ergebnis auch Petri, in: Simitis, BDSG, § 11 Rn. 2. 1132 Gola / Schomerus, BDSG, § 11 Rn. 3; Kühling / Seidel / Sivridis, Datenschutzrecht, S. 182 f.; Kazemi / Leopold, Datenschutzrecht in der anwaltlichen Beratung, S. 285 Rn. 491; Kotthoff / Gabel, Outsourcing, S. 137; Pohle / Ammann, CR 2009, 273 (276); Schulz / Rosenkranz, ITRB 2009, 232 (235). 1133 Vgl. Petri, in: Simitis, BDSG, § 11 Rn. 1; Walz, in: Simitis, BDSG a. F. (2006), § 11 Rn. 1. 1134 Kühling / Seidel / Sivridis, Datenschutzrecht, S. 99, 182; Gola / Schomerus, BDSG, § 11 Rn. 9; Petri, in: Simitis, BDSG, § 11 Rn. 22; zur im Vordringen befindlichen Vertragstheorie, wonach die Einhaltung der Weisungsbefugnisse sicherzustellen ist, siehe Gabel, in: Taeger / Gabel, BDSG, § 11 Rn. 15 f. sowie Plath, in: Plath, BDSG, § 11 Rn. 29. 1135 Vgl. Petri, in: Simitis, BDSG, § 11 Rn. 22 f.; Gola / Schomerus, BDSG, § 11 Rn. 9.
238 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
ter selbst zur verantwortlichen Stelle und die Datenweitergabe ist als eine Datenübermittlung an Dritte zu qualifizieren.1136 Mit Blick auf die vielfältigen Gesichter von Cloud Computing, die sich vor allem an dem Gedanken von XaaS („Everything as a Service“) und den unterschiedlichen Bereitstellungsformen verdeutlichen, wird es im Rahmen der vorliegenden Abgrenzungsfrage stets einer einzelfallbezogenen Betrachtung bedürfen.1137 Mit nutzungsabhängigen Abrechnungsmodellen und der zentralen Bereitstellung durch einen Anbieter finden sich zwar Merkmale wieder, die das Anbieter-Nutzer-Verhältnis serviceübergreifend kennzeichnen können. Allerdings ermöglichen diese Merkmale gerade keine allgemeingültige Feststellung, ob auf Seiten eines Cloud-Anbieters eigenständige Datenzugriffs- und Verarbeitungsmöglichkeiten bestehen, wonach eine Funktionsübertragung anzunehmen ist. Im Grundsatz kann bei Cloud Computing aber davon ausgegangen werden, dass das Anbieter-Nutzer-Verhältnis regelmäßig der Konstellation entspricht, die auch einer Auftragsdatenverarbeitung zugrunde liegt. Bei einem hohen Standardisierungsgrad wird auf Seiten eines Cloud-Anbieters in der Regel kein weiteres Ausführungsermessen bestehen und keine eigenverantwortliche Datenverarbeitung wahrgenommen werden, die über eine bloße Hilfsfunktion hinausgeht.1138 Auch nach Auffassung der Aufsichtsbehörden für den Datenschutz handelt es sich bei Cloud Computing grundsätzlich um eine Form der Auftragsdatenverarbeitung, da ein Cloud-Nutzer seine datenschutzrechtliche Verantwortung regelmäßig nicht aus der Hand geben wolle und der Cloud-Anbieter meist nur Hilfs- und Unterstützungsfunktionen erfülle.1139 Diese Bewertung entspricht zudem der ganz herrschenden Meinung in der juristischen Literatur, wonach das Anbieter-Nutzer-Verhältnis bei Cloud Computing im Grundsatz der einer Auftragsdatenverarbeitung zugrunde liegenden Konstellation entspricht und bei entsprechender Vertragsgestaltung als solche ausgestaltet werden kann.1140 1136 Vgl. Kühling / Seidel / Sivridis, Datenschutzrecht, S. 99; Petri, in: Simitis, BDSG, § 11 Rn. 22 a. E. 1137 Zu XaaS siehe oben unter B.V.1; vgl. Petri, in: Simitis, BDSG, § 11 Rn. 30; Funke / Wittmann, ZD 2013, 221 (223 ff.). 1138 Niemann / Hennrich, CR 2010, 686 (687); Hennrich, CR 2011, 546 (548); Maisch, jurisAnwZert ITR 15 / 2009, Anm. 4. 1139 Exemplarisch Arbeitskreise Technik und Medien der DSK, Orientierungshilfe Cloud Computing, S. 9; BfDI, 23. TB, S. 63; Weichert, DuD 2010, 679 (682 f.); BlnBDI, JB 2008, S. 15; BlnBDI, JB 2011, S. 39; BayLfD, 24. TB, S. 31; LDI NRW, 20. DIB, S. 124; LDA Brandenburg, 15. TB, S. 34 f. 1140 Gola / Schomerus, BDSG, § 11 Rn. 8; Petri, in: Simitis, BDSG, § 11 Rn. 30; Ehmann, in: Simitis, BDSG, § 29 Rn. 103; Heckmann, jurisPK-Internetrecht, Kap. 9 Rn. 642 ff.; Niemann, in: Niemann / Paul, Rechtsfragen des Cloud Computing,
VI. Auftragsdatenverarbeitung (§ 11 BDSG)239
4. Internationale Auftragsdatenverarbeitung a) Rechtsrahmen – § 3 Abs. 8 S. 3 BDSG In den Fällen einer Auftragsvergabe an Stellen im Ausland ist zu berücksichtigen, dass die rechtliche Privilegierung der Auftragsdatenverarbeitung nach § 3 Abs. 8 S. 3 BDSG räumlich auf Stellen beschränkt ist, die im Inland, in einem anderen EU-Mitgliedstaat oder in einem EWR-Vertragsstaat personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen. Hierbei ist auf den Ort der Datenverarbeitung und nicht auf die Nationalität oder den Sitz eines datenverarbeitenden Unternehmens abzustellen.1141 Der territorialen Begrenzung auf EU / EWR-Gebiet liegt der Gedanke zugrunde, dass ein angemessenes Datenschutzniveau allein im Anwendungsbereich der EG-Datenschutz-Richtlinie unterstellt werden kann.1142
Kap. 5 Rn. 36; Bräutigam / Thalhofer, in: Bräutigam, IT-Outsourcing und CloudComputing, Teil 14 Rn. 102; Gabel, in: Taeger / Gabel, BDSG, § 11 Rn. 18 (SaaS sei insoweit wie ASP zu beurteilen); Plath, in: Plath, BDSG, § 11 Rn. 49; Hartung / Storm, in: Hilber, Handbuch Cloud Computing, Teil 4 Rn. 42; Maisch, Informationelle Selbstbestimmung in Netzwerken, S. 127; Pohle / Ammann, CR 2009, 273 (276); Schulz / Rosenkranz, ITRB 2009, 232 (235); Wulf / Burgenmeister, CR 2015, 404 (411); Pohle / Ammann, K&R 2009, 625 (630); Niemann / Hennrich, CR 2010, 686 (687); Heidrich / Wegener, MMR 2010, 803 (805); Hornung / Sädtler, CR 2012, 638 (642); Heckmann, in: FS Würtenberger (2013), S. 19; Schulz, in: Taeger / Wiebe, Inside the Cloud, S. 411; Köhler / Arndt / Fetzer, Recht des Internet, S. 325 f. Rn. 976; von dem Bussche / Schelinsky, in: Leupold / Glossner, IT-Recht, Teil 1 Rn. 402; Karger / Sarre, in: Taeger / Wiebe, Inside the Cloud, S. 434; Brennscheidt, Cloud Computing und Datenschutz, S. 68; Borges / Brennscheidt, in: Borges / Schwenk, Daten- und Identitätsschutz in Cloud Computing, E-Government und E-Commerce, S. 62 f.; Schild, in: Wolff / Brink, Datenschutzrecht, § 3 Rn. 111; differenzierend in Bezug auf „weitergehende“ Leistungen eines Anbieters Engels, K&R 2011, 548 ff., wenngleich es schwierig erscheint, Parallelen zwischen IaaS und der Nutzung von Datenverarbeitungsanlagen in klassischen Webhosting-Konstellationen ziehen zu können, da IaaS-Anbieter „weitergehende“ Leistungen bei dem Einsatz von Virtualisierungstechnologien in aller Regel bereits in Bezug auf Datenreplikationen im zugrunde liegenden Storage oder dessen technischer Administration erbringen werden. 1141 Gabel, in: Taeger / Gabel, BDSG, § 11 Rn. 25; Plath, in: Plath, BDSG, § 11 Rn. 52; vgl. Simitis, in: Simitis, BDSG, § 4b Rn. 9; vgl. Dammann, in: Simitis, BDSG, § 3 Rn. 246. 1142 Plath, in: Plath, BDSG, § 11 Rn. 51 m. w. N.; zu dem angemessenen Datenschutzniveau siehe oben bereits unter C.IV.2.c).
240 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
b) Herausforderungen von Cloud Computing aa) Die Sicherstellung einer Datenverarbeitung auf EU / EWR-Gebiet Da eine Auftragsdatenverarbeitung rechtlich nur innerhalb von EU und EWR privilegiert ist, hat eine verantwortliche Stelle sicherzustellen, dass sich die datenverarbeitenden IT-Systeme eines Anbieters räumlich ausschließlich auf EU / EWR-Territorium befinden.1143 Dies erweist sich bei Cloud Computing in der standortübergreifenden Ausprägung vor allem dann als Herausforderung, wenn die Feststellung des konkreten Ortes einer Datenverarbeitung – etwa aufgrund einer fehlenden Anbietertransparenz oder aufgrund von Sicherheitsinteressen des Anbieters in Bezug auf das „Standortgeheimnis“ – nicht eindeutig möglich ist. In Entsprechung mit den diesbezüglichen Erörterungen im Rahmen des anzuwendenden Datenschutzrechts muss es bei einem verteilten, IT-systemübergreifenden Rechnen jedoch ausreichen, dass Bezugnahmen auf EU / EWR-Territorium nicht anhand der konkreten Standorte von IT-Systemen (etwa aufgrund von Sicherheitsinteressen der Anbieter), sondern unter Zugrundelegung einer höheren, für die Eingrenzung jedoch hinreichenden Abstraktionsebene erfolgen.1144 Von Seiten der Datenschutzbehörden wird in der „Orientierungshilfe Cloud Computing“ empfohlen, die Orte der Datenverarbeitung vertraglich auf EU / EWR-Gebiet zu beschränken, um Cloud-Anbieter (und deren Subunternehmer) diesbezüglich zu binden.1145 Sofern derartige territoriale Beschränkungen in dem Standardvertrag eines Anbieters aber nicht enthalten sind, werden entsprechende vertragliche Bindungen gerade in ungleichen Verhandlungskonstellationen im Anbieter-Nutzer-Verhältnis in aller Regel nicht möglich sein.1146 Eingrenzungen auf EU / EWR-Territorium sind zugleich nur denjenigen Anbietern möglich, deren zugrunde liegende Datenverarbeitungssysteme sich vollumfänglich auf diesem Gebiet befinden. Unterhält ein Anbieter dagegen Rechenzentren in den USA und in Europa, muss es sich in der technischen Konfiguration der Cloud abbilden lassen, dass sämtliche Daten – einschließlich replizierter1147 Datensätze – ausschließlich an europäischen 1143 Niemann / Hennrich,
Rn. 52.
1144 Siehe
CR 2010, 686 (688); vgl. Plath, in: Plath, BDSG, § 11
hierzu oben unter C.II.3.a)bb)(1)(a). Technik und Medien der DSK, Orientierungshilfe Cloud Com-
1145 Arbeitskreise
puting, S. 14. 1146 Zu den Verhandlungskonstellationen im Anbieter-Nutzer-Verhältnis siehe unten unter C.VI.5.a).
VI. Auftragsdatenverarbeitung (§ 11 BDSG)241
Standorten und damit unabhängig von US-Standorten verarbeitet werden. Zahlreiche US-Anbieter bieten mittlerweile derartige Möglichkeiten an, wie sich im Rahmen der Praxisbeispiele gezeigt hat.1148 1147
bb) Die rechtliche Privilegierung einer internationalen Auftragsdatenverarbeitung in „sicheren Drittstaaten“ als Herausforderung der globalen Dimension von Cloud Computing (1) Ausgangslage und Problematik Da Cloud Computing im Anbieter-Nutzer-Verhältnis typischerweise der einer Auftragsdatenverarbeitung zugrunde liegenden Konstellation entspricht, besteht in einer globalisierten Weltwirtschaft, in der grenzüberschreitende Datenverarbeitungsszenarien digitaler Alltag sind, mehr denn je das Bedürfnis, auch außereuropäische Datenverarbeitungen im Auftrag datenschutzrechtlich als privilegiert behandeln zu können.1149 Nach § 3 Abs. 8 S. 3 BDSG ist die Auftragsdatenverarbeitung aber nur innerhalb von EU und EWR privilegiert. Indem das BDSG die Auftragsdatenverarbeitung ausnahmslos auf EU / EWR-Territorium beschränkt, soll bereits die Konstellation einer Auftragsdatenverarbeitung in einem Drittstaat, für den von der Kommission ein angemessenes Schutzniveau festgestellt worden ist, nicht hinreichend berücksichtigt werden.1150 Stattdessen gilt die gesetzliche Regelung unterschiedslos für Anbieter, deren Infrastruktur sich in den USA, China oder Japan befindet (Drittstaaten, für die von der Kommission kein angemessenes Schutzniveau festgestellt worden ist), sowie für Anbieter, deren IT-Systeme sich etwa in der Schweiz befinden (Drittstaat, für den die Kommission ein angemessenes Schutzniveau festgestellt hat;1151 die Schweiz ist als einziger EFTA-Mitgliedstaat kein EWR-Vertragsstaat). Aber auch für den Einsatz der „Standardvertragsklauseln für die Übermittlung personenbezogener Daten 1147 Zu
Datenreplikationen siehe oben unter C.II.3.a)bb)(1)(b). CR 2012, 170; Niemann / Hennrich, CR 2010, 686 (688); Plath, in: Plath, BDSG, § 11 Rn. 52; vgl. als ausgewählte Praxisbeispiele die Availability Zones von Amazon Web Services unter B.V.2.b)aa)(3) sowie die Office 365 zugrunde liegenden Standorte unter B.V.4.b)aa). 1149 Zur Auftragsdatenverarbeitung bei Cloud Computing siehe oben unter C.VI.3; zu globalen Datenverarbeitungsszenarien siehe oben unter C.IV.1. 1150 Vgl. Erd, DuD 2011, 275 (276 f.). 1151 Entscheidung der Kommission v. 26.7.2000 (2000 / 518 / EG, ABl.EG L 215 v. 25.8.2000, S. 1), a. a. O. (Fn. 682). 1148 Becker / Nikolaeva,
242 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
an Auftragsverarbeiter in Drittländern“ („Standardvertragswerk III“) sieht das BDSG keine Ausnahme vor.1152 Datenweitergaben an Cloud-Anbieter, deren datenverarbeitende Systeme sich außerhalb von EU und EWR befinden, sind daher stets als Übermittlung an einen Dritten i. S. v. § 3 Abs. 4 S. 2 Nr. 3 BDSG zu qualifizieren.1153 Die Zulässigkeit richtet sich somit nach dem für internationale Datenübermittlungen geltenden Rechtsrahmen (Erlaubnisvorbehalt des § 4 Abs. 1 BDSG sowie die Maßstäbe der §§ 4b, 4c BDSG), wobei als Ermächtigungsgrundlage regelmäßig § 28 Abs. 1 S. 1 Nr. 1 und Nr. 2 BDSG in Betracht kommen wird.1154 Da sich die Prüfung von § 28 BDSG jedoch als komplex erweisen kann, wird eine Datenweitergabe an Destinationen außerhalb von EU und EWR im Ergebnis meist strengeren Voraussetzungen als eine innereuropäische Auftragsdatenverarbeitung unterliegen, die allein an § 11 BDSG zu messen ist.1155 Dies soll vor allem dann zu Lasten eines außereuropäischen Datenempfängers gehen und eine Benachteiligung darstellen, wenn die Kommission für einen Drittstaat ein angemessenes Datenschutzniveau festgestellt hat oder wenn „Standardvertragswerk III“ zum Einsatz gelangt.1156 In diesen Fällen wird vielmehr eine Gleichstellung mit privilegierten, innereuropäischen Auftragsdatenverarbeitern als erforderlich angesehen, die – mangels Datenweitergabe an einen Dritten – nicht dem Erlaubnisvorbehalt unterliegt.1157 Einer Gleichstellung mit einer innereuropäisch privilegierten Auftragsdatenverarbeitung steht der Wortlaut von § 3 Abs. 8 S. 3 BDSG entgegen. Aufgrund des abweichenden Wortlauts der EG-Datenschutz-Richtlinie können außereuropäische Datenverarbeitungen bei festgestelltem angemessenen Datenschutzniveau sowie bei dem Einsatz der Standardvertragsklauseln für Auftragsdatenverarbeiter aber möglicherweise anders zu bewerten sein. Da Rückgriffe auf Drittanbieter – als Folge des durch Cloud Computing eingeleiteten Paradigmenwechsels – in Zukunft quasi standardmäßig erfolgen 1152 Weber / Voigt, ZD 2011, 74 (75); zu dem Standardvertragswerk III siehe oben unter C.IV.3.b)bb)(1). 1153 Wedde, in: Däubler / Klebe / Wedde / Weichert, § 11 Rn. 20; Gabel, in: Taeger / Gabel, BDSG, § 11 Rn. 25; Petri, in: Simitis, BDSG, § 11 Rn. 30; vgl. zuvor unter C.VI.2. 1154 Vgl. Weber / Voigt, ZD 2011, 74 (75); Petri, in: Simitis, BDSG, § 11 Rn. 30; zu internationalen Datentransfers siehe oben unter C.IV.2.; zu § 28 Abs. 1 S. 1 Nr. 2 BDSG siehe unten unter C.VII. 1155 Erd, DuD 2011, 275 f. 1156 Erd, DuD 2011, 275 (276 f.); Weber / Voigt, ZD 2011, 74 (75). 1157 Vgl. Erd, DuD 2011, 275 (276 f.); Weber / Voigt, ZD 2011, 74 (75).
VI. Auftragsdatenverarbeitung (§ 11 BDSG)243
sollen, ist der Umgang mit außereuropäischen Datenverarbeitungsstandorten eine wichtige Herausforderung von Cloud Computing in der EU / EWRTerritorium überschreitenden Ausprägung an den hierfür geltenden Rechtsrahmen. (2) P rivilegierung bei festgestelltem angemessenen Schutzniveau („sicherer Drittstaat“) (a) F ehlende Grundlage im BDSG und Gleichstellungsgebot Eine Privilegierung von Auftragsverarbeitern in Drittstaaten, für die von der Kommission ein angemessenes Datenschutzniveau festgestellt worden ist,1158 ist § 3 Abs. 8 S. 3 BDSG nicht zu entnehmen. Aus der jeweiligen Feststellungsentscheidung der Kommission soll allerdings ein datenschutzrechtliches Gleichstellungsgebot folgen, da es sich bereits aus den Erwägungsgründen 2 und 4 der Kommissionsentscheidung zugunsten der Schweiz ergebe, dass Datenübermittlungen an „sichere Drittstaaten“ von Mitgliedstaaten unter denselben Voraussetzungen wie innereuropäische Datentransfers zuzulassen sind.1159 Nach Erwägungsgrund 2 sind im Fall der Feststellung der Kommission gerade keine zusätzlichen Garantien für die Übermittlung personenbezogener Daten erforderlich und nach Erwägungsgrund 4 sollte die Durchsetzung jeder Entscheidung in einer Form erfolgen, die gegen Drittländer nicht willkürlich oder ungerechtfertigt diskriminierend wirkt und unter Berücksichtigung der bestehenden Verpflichtungen der Gemeinschaft kein verstecktes Handelshemmnis darstellt.1160 (b) Gesetzesänderungsvorschlag des Bundesrates Einen Reformbedarf hat auch der Bundesrat gesehen. In einer Stellungnahme zum Beschäftigtendatenschutz hat er eine Ergänzung von § 3 Abs. 8 S. 3 BDSG vorgeschlagen, wonach diejenigen Stellen nicht als Dritte anzusehen sind, die personenbezogene Daten in einem Drittland verarbeiten, für das die Kommission ein angemessenes Schutzniveau festgestellt hat.1161 Zur Begründung wird darauf verwiesen, dass der Austausch personenbezogener 1158 Zu
den Adäquanzentscheidungen der Kommission siehe oben unter C.IV.2.d). DuD 2011, 275 (276); Entscheidung der Kommission v. 26.7.2000 (2000 / 518 / EG), a. a. O. (Fn. 682). 1160 Entscheidung der Kommission v. 26.7.2000 (2000 / 518 / EG), a. a. O. (Fn. 682). 1161 BT-Drs. 17 / 4230, Anlage 3, S. 28, Stellungnahme des Bundesrates zum Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes; vgl. Erd, DuD 2011, 275 (278); Weber / Voigt, ZD 2011, 74 (78). 1159 Erd,
244 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
Daten mit außereuropäischen Stellen aufgrund von § 3 Abs. 4 S. 2 Nr. 3 BDSG und § 3 Abs. 8 S. 3 BDSG stets nach den restriktiven Regelungen der Datenübermittlung und unabhängig davon zu behandeln ist, ob Daten lediglich im Auftrag verarbeitet werden oder ob das Sitzland von der Kommission als sicheres Drittland anerkannt ist.1162 Da auch andere Vorschriften des BDSG die Adäquanzentscheidungen der Kommission nicht berücksichtigen, soll mit dem Gesetzesänderungsvorschlag die Auftragsdatenverarbeitung in anerkannt sicheren Drittstaaten mit derjenigen innerhalb von EU und EWR gleichstellt werden.1163 Im Bereich des internationalen Datenverkehrs erlaube die Beseitigung dieses Umsetzungsdefizits es gerade deutschen Arbeitgebern, Beschäftigtendaten mit einer Konzerngesellschaft mit Sitz in einem sicheren Drittstaat im Rahmen einer Auftragsdatenverarbeitung rechtssicher auszutauschen.1164 Diesem Gesetzesänderungsvorschlag des Bundesrates hat die Bundesregierung aber mit Verweis auf vertieften Untersuchungsbedarf nicht zugestimmt, da sich die vorgeschlagene Regelung nicht auf Beschäftigtendaten beschränken, sondern das BDSG insgesamt betreffen würde.1165 (c) Stellungnahme Der für alle Mitgliedstaaten verbindlichen Adäquanzentscheidung der Kommission gehen umfassende materielle und verfahrensrechtliche Prüfungen der innerstaatlichen Rechtsvorschriften des Drittlands sowie Bewertungen der Art.-29-Datenschutzgruppe voraus.1166 Die Kommission geht selbst davon aus, dass diese Bewertungen im Falle eines positiven Ergebnisses dazu geeignet sind, Datenübermittlungen aus Mitgliedstaaten an „sichere Drittstaaten“ unter denselben Voraussetzungen wie innereuropäische Datentransfers zuzulassen.1167 Daher sprechen vor allem systematische Gründe für eine Gleichstellung. Deren Notwendigkeit zeigt sich aber auch mit Blick auf die technischen Realitäten grenzüberschreitender Datenverarbeitungsszenarien, um eine Auftragsdatenverarbeitung zumindest in anerkannt sicheren Drittstaaten rechtlich zu privilegieren.
1162 BT-Drs. 17 / 4230,
a. a. O. (Fn. 1161), Anlage 3, S. 28. a. a. O. (Fn. 1161), Anlage 3, S. 28. 1164 BT-Drs. 17 / 4230, a. a. O. (Fn. 1161), Anlage 3, S. 28. 1165 BT-Drs. 17 / 4230, a. a. O. (Fn. 1161), Anlage 4, S. 38, Gegenäußerung der Bundesregierung; siehe auch Erd, DuD 2011, 275 (278); Weber / Voigt, ZD 2011, 74 (78). 1166 Vgl. oben unter C.IV.2.d). 1167 Siehe oben unter C.VI.4.b)bb)(2)(a). 1163 BT-Drs. 17 / 4230,
VI. Auftragsdatenverarbeitung (§ 11 BDSG)245
(3) P rivilegierung bei Einsatz von Standardvertragsklauseln für Auftragsdatenverarbeiter („Set III“) Für den Einsatz der „Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern“ („Standardvertragswerk III“) sind weder in § 3 Abs. 8 S. 3 BDSG noch in § 11 BDSG Regelungen enthalten.1168 In direkter Anwendung des deutschen Gesetzeswortlauts sind Auftragsdatenverarbeitungen in Drittstaaten mithin unzulässig (was ein praktisch untragbares Ergebnis darstellen soll).1169 Bereits die zusätzliche und teilweise komplexe Prüfung einer Ermächtigungsgrundlage führe zu unbefriedigenden Ergebnissen und einer faktischen Benachteiligung außereuropäischer Anbieter.1170 Für den Einsatz von „Standardvertragswerk III“ werden daher verschiedene Lösungsansätze vorgeschlagen. (a) M odifizierte Erforderlichkeitsprüfung i. R. v. § 28 Abs. 1 S. 1 Nr. 2 BDSG Nach der Ansicht einer modifizierten Erforderlichkeitsprüfung soll der Einsatz von „Standardvertragswerk III“ im Rahmen der Interessenabwägung nach § 28 Abs. 1 S. 1 Nr. 2 BDSG zu berücksichtigen sein. Da die Standardvertragsklauseln weitgehend den Anforderungen einer Auftragsdatenverarbeitung entsprechen würden, könne die Erforderlichkeitsprüfung regelmäßig zu bejahen sein.1171 Einer derartigen Modifikation von § 28 Abs. 1 S. 1 Nr. 2 BDSG durch Standardvertragsklauseln oder Binding Corporate Rules würden zudem auch die Aufsichtsbehörden für den Datenschutz nach Lage des Einzelfalls folgen.1172 Allerdings soll gegen eine solche Modifikation sprechen, dass es sich bei der Auftragsdatenverarbeitung und der Datenübermittlung um zwei unterschiedliche Rechtsinstitute handelt, die anderenfalls systemwidrig miteinander vermischt werden.1173
1168 Weber / Voigt, ZD 2011, 74 (75); zu „Standardvertragswerk III“ siehe oben unter C.IV.3.b)bb)(1). 1169 Weber / Voigt, ZD 2011, 74 (75). 1170 Weber / Voigt, ZD 2011, 74 (75); Erd, DuD 2011, 275; siehe bereits oben unter C.VI.4.b)bb)(1). 1171 Vgl. Weber / Voigt, ZD 2011, 74 (76). 1172 Ausführlich hierzu Weber / Voigt, ZD 2011, 74 (76) m. w. N. 1173 Weber / Voigt, ZD 2011, 74 (76).
246 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
(b) Richtlinienkonforme Auslegung Auch eine richtlinienkonforme Auslegung kommt in Betracht, da Art. 2 lit. e) und f) EG-Datenschutz-Richtlinie – entgegen der insoweit restriktiveren Regelung des § 3 Abs. 8 S. 3 BDSG – keine Beschränkung auf den innereuropäischen Raum zu entnehmen ist.1174 (aa) Vollharmonisierungswirkung der EG-Datenschutz-Richtlinie Zunächst stellt sich die Frage, ob die EG-Datenschutz-Richtlinie überhaupt eine Vollharmonisierung bezweckt. Nach dem Lindqvst-Urteil des EuGH aus dem Jahr 2004 verfügen Mitgliedstaaten zwar über Handlungsspielräume bei der Richtlinienumsetzung.1175 Da ein hohes Schutzniveau in der Gemeinschaft aber nicht durch nationale Rechtsvorschriften verringert werden dürfe, sei die Harmonisierung nicht auf eine Mindestharmonisierung beschränkt, sondern führe grundsätzlich zu einer umfassenden Harmonisierung.1176 Von Handlungsspielräumen müsse daher im Einklang mit dem Ziel der Richtlinie Gebrauch gemacht werden, um ein Gleichgewicht zwischen dem freien Verkehr personenbezogener Daten und dem Datenschutz zu wahren.1177 Von dem EuGH nicht abschließend bewertet wurden allerdings Konstellationen, in denen ein Mitgliedstaat – wie im Fall des § 3 Abs. 8 S. 3 BDSG – die Richtlinie strenger umsetzt.1178 Im Jahr 2011 hat sich der EuGH dann unmissverständlich für eine Vollharmonisierungswirkung der EG-Datenschutz-Richtlinie entschieden.1179 Nationales Recht darf daher weder hinter dem Schutzniveau der Richtlinie zurückbleiben, noch strengere Voraussetzungen schaffen.1180 Zugleich ist jedes von der Richtlinie gewährte Ermessen in Einklang mit den Zielen der Richtlinie zu wahren.1181
1174 Weber / Voigt,
ZD 2011, 74 (76); Giesen, CR 2007, 543 (546). MMR 2004, 95 (98). 1176 EuGH, MMR 2004, 95 (99). 1177 EuGH, MMR 2004, 95 (99). 1178 Weber / Voigt, ZD 2011, 74 (77). 1179 EuGH, CR 2012, 29 ff. = EuZW 2012, 37 ff.; Plath, in: Plath, BDSG, § 1 Rn. 5; allgemein zu der Vollharmonisierungswirkung vgl. Weber / Voigt, ZD 2011, 74 (76) Fn. 27 m. w. N. 1180 Plath, in: Plath, BDSG, § 1 Rn. 5; Diedrich, CR 2013, 408 (409). 1181 EuGH, CR 2012, 29 ff. = EuZW 2012, 37 (39); dies entspricht dem zuvor dargestellten Lindqvst-Urteil. 1175 EuGH,
VI. Auftragsdatenverarbeitung (§ 11 BDSG)247
(bb) Begriffsverständnis i. S. d. EG-Datenschutz-Richtlinie Das weite Begriffsverständnis von Art. 2 lit. e) und f) EG-DatenschutzRichtlinie wird vor allem durch die in Art. 17 Abs. 3 2. Spiegelstrich EGDatenschutz-Richtlinie enthaltene Begrenzung auf den innereuropäischen Raum relativiert, wonach ein Auftragsverarbeiter seinen Verpflichtungen nach Maßgabe der Rechtsvorschriften des Mitgliedstaats nachzukommen hat, in dem er seinen Sitz hat. Dieser eindeutige Wortlaut bereitet einer richtlinienkonformen Auslegung von § 3 Abs. 8 S. 3 BDSG Schwierigkeiten.1182 (c) Analogie zu § 3 Abs. 8 BDSG Nach einer anderen Ansicht soll der Auftragsdatenverarbeiter in einem Drittstaat im Wege einer Analogie zu § 3 Abs. 8 BDSG bei dem Einsatz von Standardvertragsklauseln nicht als Dritter anzusehen sein. Eine planwidrige Regelungslücke liegt vor, da die von „Standardvertragswerk III“ geregelte „controller to processor“-Konstellation im deutschen Recht keine Berücksichtigung gefunden hat.1183 Zudem besteht eine zu der innereuropäischen Auftragsdatenverarbeitung vergleichbare Interessenlage des Betroffenen, da der Datenempfänger in dem Drittland bei der Verwendung der Standardvertragsklauseln weitestgehend identischen Pflichten und Weisungen unterliegt, wie eine von dem Düsseldorfer Kreis vorgenommene tabellarische Synopse der Regelungsinhalte von Standardvertragsklauseln und Auftragsdatenverarbeitung bezeugen kann.1184 Zur Absicherung der im Wege dieser Analogie herbeigeführten Privilegierung wird ergänzend ein den Anforderungen von § 11 BDSG entsprechender Vertrag empfohlen.1185 Sofern hiernach dann aber keine Datenschutzinteressen einer Auftragsdatenverarbeitung in Drittstaaten entgegenstehen, sollen Daten analog § 3 Abs. 8 BDSG vor allem auch auf IT-Systemen von US-Anbietern im Auftrag verarbeitet werden können.1186 (d) Stellungnahme Mit Blick auf die Herausforderung der rechtlichen Privilegierung einer internationalen Auftragsdatenverarbeitung verbleiben bei dem Einsatz von Weber / Voigt, ZD 2011, 74 (77). Weber / Voigt, ZD 2011, 74 (77). 1184 Ausführlich Weber / Voigt, ZD 2011, 74 (77 f.); siehe auch oben unter C.V.3.b) bb)(1), wonach die EU-Standardvertragsklauseln der EG-Datenschutz-Richtlinie entsprechende Datenschutzgrundsätze enthalten. 1185 Weber / Voigt, ZD 2011, 74 (78). 1186 Weber / Voigt, ZD 2011, 74 (78). 1182 Vgl.
1183 Ausführlich
248 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
„Standardvertragswerk III“ jedenfalls Rechtsunsicherheiten im zuvor dargestellten Umfang. Zugleich wird der Einsatz von Standardvertragsklauseln im Kontext von Cloud Computing immer einen möglichen zeitlichen und wirtschaftlichen Aufwand oder eine Bereitschaft des Cloud-Anbieters zu berücksichtigen haben und zu einer sehr differenzierten Betrachtung dieses Rechtsinstruments führen.1187 Sofern für den Einsatz von „Standardvertragswerk III“ eine Ergänzung um einen § 11 BDSG entsprechenden Vertrag empfohlen wird, ist aus cloud-spezifischem Blickwinkel zu beachten, dass die Herausforderungen von Cloud Computing an den Rechtsrahmen für Datenschutz gerade mit der Einhaltung der Anforderungen nach § 11 BDSG verbunden sind.1188 cc) Unterauftragsdatenverarbeitung in Drittstaaten Im Kontext der internationalen Auftragsdatenverarbeitung sind bei Cloud Computing auch Unterauftragsdatenverarbeitungsverhältnisse in Drittländern von Relevanz. Bei wechselnden Anbietergeflechten, komplexen Subunternehmerketten und einer nicht ausreichenden Anbietertransparenz wird ein Nutzer regelmäßig bereits keine Kontrolle darüber haben, ob ein eingeschalteter Auftragsdatenverarbeiter mit Ressourcen in Europa auch Unteranbieter in Drittstaaten (temporär zur kurzfristigen Abdeckung von Bedarfsengpässen) einschaltet.1189 Sofern „Standardvertragswerk III“ zum Einsatz gelangt, ist seit dem Jahr 2010 auch eine Einschaltung von Unterauftragnehmern möglich. Erfasst ist jedoch nur die Konstellation, dass der Unterauftragnehmer durch einen außereuropäischen Auftragsverarbeiter eingeschaltet wird. Ungeregelt bleibt die praxisrelevante Unterbeauftragung durch einen europäischen Auftragsdatenverarbeiter. Mit Blick auf mögliche Wettbewerbsnachteile europäischer Unternehmen hält es die Art.-29-Datenschutzgruppe daher zu Recht für erforderlich, eine rechtliche Lösung zu finden, um die internationale Unterauftragsvergabe durch innerhalb von EU und EWR ansässige Auftragsverarbeiter zu ermöglichen, ohne dass es zu unnötigen Ungleichheiten am Markt kommt. Ein neues eigenständiges Rechtsinstrument hierfür könne vor allem durch Standardvertragsklauseln geschaffen werden.1190 1187 Zu der cloud-spezifischen Bewertung von Standardvertragsklauseln siehe oben unter C.IV.3.b)bb)(2). 1188 Zu den Anforderungen nach § 11 BDSG siehe sogleich unter C.VI.5. 1189 Vgl. Schröder / Haag, ZD 2011, 147 (150); ausführlich zu den Herausforderungen an Unterauftragsverhältnisse siehe unten unter C.VI.5.d). 1190 Zu diesem Absatz siehe Art.-29-Datenschutzgruppe, WP 161, S. 3 f.; vgl. Lensdorf, CR 2010, 735 ff.
VI. Auftragsdatenverarbeitung (§ 11 BDSG)249
c) Ergebnis und Blick auf die Datenschutzreform Die Herausforderungen von Cloud Computing in der Ausprägung des standortübergreifenden Rechnens sind im Kontext der internationalen Auftragsdatenverarbeitung mit der Sicherstellung einer Datenverarbeitung auf EU / EWR-Gebiet verbunden, da eine Auftragsdatenverarbeitung rechtlich nur insoweit privilegiert ist. Soweit die Aufsichtsbehörden empfehlen, Anbieter insofern vertraglich zu binden, werden in der Praxis vor allem eine fehlende Anbietertransparenz, Sicherheitsinteressen eines Anbieters oder ungleiche Verhandlungskonstellationen im Anbieter-Nutzer-Verhältnis Schwie rigkeiten bereiten. In einer globalisierten Weltwirtschaft mit grenzüberschreitendem Datenverkehr erscheint eine Privilegierung der Auftragsdatenverarbeitung in sicheren Drittstaaten sowie unter Einsatz von „Standardvertragswerk III“ als dringend erforderlich. Die Datenschutzreform sollte dies aufgreifen und klar definieren. Die Definitionen des Auftragsverarbeiters (Art. 4 Nr. 6 DSGVO-E) und des Dritten (Art. 4 Nr. 7a DS-GVO-E; neu aufgenommen in der Entwurfsfassung des Europäischen Parlaments vom 12. März 2014)1191 entsprechen jedoch den in Art. 2 lit. e) und f) der EG-Datenschutz-Richt linie enthaltenen Begriffsbestimmungen. 5. Anforderungen nach § 11 BDSG Die Herausforderungen von Cloud Computing an das geltende Datenschutzrecht sind vor allem mit der Einhaltung der Anforderungen nach § 11 BDSG verbunden. Das verteilte Rechnen trifft hier auf einen Rechtsrahmen, der konzeptionell noch von einer Beherrschbarkeit und Kontrolle von Daten ausgeht.1192 a) Vertragliche Festlegungen bei Auftragserteilung – Verhandlungskonstellationen im Anbieter-Nutzer-Verhältnis und die Verhandlungsbereitschaft von Cloud-Anbietern aa) Rechtsrahmen – § 11 Abs. 2 S. 2 BDSG Vertraglich festzulegen ist insbesondere der in § 11 Abs. 2 S. 2 BDSG enthaltene „10-Punkte-Katalog“.1193 Enthält der Standardvertrag eines Anbieters keine entsprechenden Festlegungen, sind diese in einem spezifischen 1191 EP,
Entschließung v. 12.3.2014, 2013 / 2188(INI), P7_TA-PROV(2014)0212. oben unter C.VI.1 sowie unten unter C.VI.5.c). 1193 Begriff nach Gola / Schomerus, BDSG, § 11 Rn. 18. 1192 Vgl.
250 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
Vertrag über eine Auftragsdatenverarbeitung, in einem den Standardvertrag ergänzenden Vertrag oder in einer Anlage hierzu zu vereinbaren.1194 bb) Anbieterseitige Mitwirkungshandlungen als Herausforderung von Cloud Computing Herausforderungen von Cloud Computing sind in Bezug auf vertragliche Festlegungen meist damit verbunden, dass die Standardverträge der CloudAnbieter keine Festlegungen enthalten, die den Anforderungen von § 11 Abs. 2 S. 2 BDSG gerecht werden. Entsprechende Vereinbarungen setzen daher eine Mitwirkungs- und Verhandlungsbereitschaft des Anbieters voraus. Einer standardisierten und automatisierten Bereitstellung von „IT as a service“, „pay per use“ und einem „self-provisioning“ über Webseiten steht dies vom Grundsatz her diametral entgegen.1195 In flexiblen und bedarfsgerechten Nutzungsmodellen ohne besonderen Aufwand bei der Bereitstellung liegt aber gerade das Geschäftsmodell vieler Cloud-Dienste.1196 Eine Mitwirkungsbereitschaft des Anbieters wird vor allem von dem Standardisierungsgrad der Leistung, dem zugrunde liegenden Auftragsvolumen und der strategischen Verhandlungskonstellation abhängen. Gerade in technisch und rechtlich hochstandardisierten Clouds werden Anbieter grundsätzlich nicht dazu bereit sein, individuelle Vereinbarungen zu treffen, die die eigenen Vertragsbestimmungen übersteigen.1197 Verhandlungskonstella tionen ohne Einflussmöglichkeit sind vor allem dann gegeben, wenn ein kleines oder mittleres Unternehmen (KMU) einem Branchenriesen wie Amazon, Google oder Microsoft gegenübersteht.1198 Auf ein derartiges Verhandlungsungleichgewicht verweist auch die ENISA, die bei Cloud Computing in Bezug auf Verhandlungs- und Einflussmöglichkeiten eine differenzierte Betrachtung für erforderlich hält, da die Kunden eines Cloud-Anbieters von öffentlichen Stellen, Großunternehmen bis zu KMU reichen können.1199 Zu Recht sieht die ENISA nur große Unternehmen in der „Position“, Verträge mit einem Anbieter überhaupt verhandeln zu können, während KMU nur zwischen den verschiedenen, am Markt angebotenen Vertragsbestim1194 Vgl. Gabel, in: Taeger / Gabel, BDSG, § 11 Rn. 55; Gola / Schomerus, BDSG, § 11 Rn. 18b. 1195 Vgl. Schulz, MMR 2010, 75 (79); Hennrich, CR 2011, 546 (552). 1196 ENISA, Cloud Computing: Benefits, Risks and Recommendations, S. 83. 1197 Vgl. Schröder / Haag, ZD 2011, 147 (152); Gaul / Koehler, BB 2011, 2229 (2232). 1198 Heidrich / Wegener, MMR 2010, 803 (806); Gaul / Koehler, BB 2011, 2229 (2232); vgl. Hartung / Storm, in: Hilber, Handbuch Cloud Computing, Teil 4 Rn. 231 ff. 1199 ENISA, Cloud Computing: Benefits, Risks and Recommendations, S. 97.
VI. Auftragsdatenverarbeitung (§ 11 BDSG)251
mungen auswählen können, obwohl deren Verhandlungssituation in der Praxis aber gerade den Standardfall darstellt.1200 cc) Bewertung Die wirtschaftlichen Vorteile einer flexiblen Inanspruchnahme („pay per use“) sind vor allem mit den technisch und rechtlich hochstandardisierten Public Clouds verbunden.1201 Sofern die Möglichkeit, den Anforderungen der Auftragsdatenverarbeitung gerecht werdende Festlegungen zu treffen, von einem gewissen Auftragsvolumen und einer gewichtigen Verhandlungsposition abhängt oder mit zusätzlichen Kosten im Vertragsabschlussverfahren verbunden ist, werden die wirtschaftlichen Vorteile von Cloud Comput ing bei der Verarbeitung personenbezogener Daten zumindest teilweise wieder relativiert. Zugleich besteht die Gefahr, dass die Verarbeitung dieser Datenkategorie als ein Privileg finanzstarker Auftraggeber verbleibt, da gerade kleine Unternehmen zu detaillierten Compliance-Prüfungen mangels Ressourcen und Know-how regelmäßig nicht in der Lage sind, obwohl die ENISA gerade deren Verhandlungssituation bei Cloud Computing als Standardfall ansieht.1202 Sofern Anbieter keine „Standard Templates“ zur Auftragsdatenverarbeitung (etwa als Bestandteil spezieller Business oder Enterprise Agreements) anbieten, werden datenschutzrechtliche Festlegungen, die über die Standardverträge eines Anbieters hinausgehen, in den meisten praxisrelevanten Konstellationen von Cloud Computing gar nicht möglich sein. Insgesamt zeigt sich ein Zielkonflikt zwischen den wirtschaftlichen Vorteilen von Cloud Computing in flexiblen und bedarfsgerechten Nutzungsszenarien und einem Rechtsrahmen, der konzeptionell auf großvolumige IT-Outsourcing-Projekte zugeschnitten ist und sich in Bezug auf vertragliche Festlegungen bei einer dynamischen Nutzung nur schwierig umsetzen lässt.1203
1200 ENISA, Cloud Computing: Benefits, Risks and Recommendations, S. 83, 98; vgl. Hennrich, CR 2011, 546 (549). 1201 Vgl. ENISA, Cloud Computing: Benefits, Risks and Recommendations, S. 98. 1202 Vgl. Hennrich, CR 2011, 546 (552); zu der Ansicht der ENISA siehe zuvor unter C.VI.5.a)bb). 1203 Vgl. Trusted Cloud, Datenschutzrechtliche Lösungen für Cloud Computing, S. 6; Hennrich, CR 2011, 546 (552).
252 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
dd) Lösungsmöglichkeiten und Anforderungen an einen künftigen Rechtsrahmen Heutige Anforderungen an eine flexible Datenverarbeitung erfordern unkomplizierte Lösungen, die es verantwortlichen Stellen jeder Größe selbst bei nur kurzfristigem oder geringem Bedarf ermöglichen, personenbezogene Daten datenschutzkonform zu verarbeiten. Vertragliche Festlegungen sind daher unter diesem Aspekt kritisch zu hinterfragen.1204 Mit Blick auf einen Reformbedarf verweist daher die Arbeitsgruppe „Rechtsrahmen des Cloud Computing“ im Kompetenzzentrum Trusted Cloud zu Recht auf den „minimal management effort“ nach der „NIST-Definition of Cloud Computing“.1205 Neben einer technischen Standardisierung bedarf es vor allem auch einer (datenschutz-)rechtlichen Standardisierung, um dem Leitbild von „minimal management effort or service provider interaction“ nach der NIST-Defini tion gerecht zu werden. Zur Überwindung der mangelnden Mitwirkungsbereitschaft von Anbietern ist eine Mitwirkungsverpflichtung anzudenken. Diese käme dem zivilrechtlichen Institut des Kontrahierungszwangs nahe, das bei elementaren Versorgungsleistungen als Ausnahme zu den Grundsätzen der Privatautonomie und der vertraglichen Abschlussfreiheit anerkannt ist.1206 Eine solche Parallele drängt sich auf den ersten Blick geradezu auf, da IT-Leistungen als Folge der durch Cloud Computing eingeleiteten Standardisierung „wie Strom aus der Steckdose“1207 in Anspruch genommen werden sollen. Allerdings stellt die Verarbeitung personenbezogener Daten (heutzutage) weder eine elementare Versorgungsleistung dar, noch ist die hohe Anbietervielfalt bei Cloud-Services mit der geringen Zahl an Strom- oder Wasseranbietern in einer Kommune vergleichbar. Ein Eingriff in die Grundsätze der Privatautonomie wird daher nicht zu begründen sein. Eine Mitwirkungsverpflichtung ist überdies keine Lösung, die einer technischen und rechtlichen Standardisierung gerecht wird. Jeder erforderliche Mitwirkungsakt reduziert die Flexibilität einer Leistungsinanspruchnahme und widerspricht dem Aspekt von „minimal service provider interaction“. Im Sinne einer rechtlichen Standardisierung müssen anbieterseitige Mitwirkungshandlungen grundsätzlich so weit wie möglich reduziert werden. Um dem Leitbild minimaler Anbieterinteraktion Rechnung zu tragen, werSchultze-Melling, ITRB 2011, 239 (240). Cloud, Datenschutzrechtliche Lösungen für Cloud Computing, S. 7; zur NIST-Definition siehe oben unter B.IV.2. 1206 Hierzu im Überblick Ellenberger, in: Palandt, BGB, Einf v. § 145 Rn. 8 ff. 1207 Vgl. hierzu oben unter A.I. 1204 Vgl.
1205 Trusted
VI. Auftragsdatenverarbeitung (§ 11 BDSG)253
den datenschutzrechtliche Anforderungen idealerweise bereits in den Standardverträgen berücksichtigt. Da Nutzer durch die NSA-Spähaffäre zunehmend datenschutzrechtlich sensibilisiert sind, kann dies für Anbieter einen Wettbewerbsvorteil darstellen. Weitere Präzisierungen des Gesetzgebers zur Einbindung oder zur inhaltlichen Ausgestaltung (etwa ein Mustervertrag) können hilfreich sein. Im Grundsatz muss ein Auftragsdatenverarbeitungsvertrag auch „per Mausklick“ abgeschlossen werden können, damit ein Nutzer seinen Compliance-Anforderungen quasi nach dem Baukastenprinzip nachkommen kann.1208 b) Form der Auftragserteilung aa) Rechtsrahmen ‒ § 11 Abs. 2 S. 2 BDSG Nach § 11 Abs. 2 S. 2 BDSG ist der Auftrag schriftlich zu erteilen. Die Auftragserteilung bedarf nach der wohl überwiegenden Auffassung daher der Schriftform i. S. v. § 126 BGB oder der Verwendung einer qualifizierten elektronischen Signatur (elektronische Form, § 126a BGB), die für die Wirksamkeit des zugrunde liegenden Vertragsverhältnisses von konstitutiver Wirkung ist (vgl. § 125 BGB).1209 Nach anderen Ansichten wird die konstitutive Wirkung allerdings bezweifelt und eine richtlinienkonforme Auslegung befürwortet, da Vertragselemente auch nach Art. 17 Abs. 4 EGDatenschutz-Richtlinie nur zum Zwecke der Beweissicherung zu dokumentieren sind.1210 Aufgrund des Schriftformerfordernisses genügt eine Auftragserteilung per E-Mail oder der Abschluss über ein Formular auf einer Webseite nicht den Anforderungen des BDSG.1211 Die Schriftform soll nach einer Ansicht sicherstellen, dass ein Auftragnehmer auch tatsächlich Weisungen von einem Auftraggeber erhalten hat.1212 Nach anderer Ansicht gilt sie ausschließlich für den Vertragsabschluss und dabei insbesondere für den Umfang der festzulegenden Weisungsbefugnisse, nicht jedoch für Weisungen, die im Zuge 1208 Vgl. Hennrich, CR 2011, 546 (552); zur Form der Auftragserteilung siehe sogleich unter C.VI.5.b). 1209 Gola / Schomerus, BDSG, § 11 Rn. 17; Petri, in: Simitis, BDSG, § 11 Rn. 73; Wedde, in: Däubler / Klebe / Wedde / Weichert, § 11 Rn. 32. 1210 Gabel, in: Taeger / Gabel, BDSG, § 11 Rn. 54 (zu einer schriftlichen Dokumentation sei allerdings mit Blick auf § 43 Abs. 1 Nr. 2b BDSG zu raten); Funke / Wittmann, ZD 2013, 221 (226); vgl. Brennscheidt, Cloud Computing und Datenschutz, S. 118; vgl. Jotzo, Der Schutz personenbezogener Daten in der Cloud, S. 96 f. 1211 Plath, in: Plath, BDSG, § 11 Rn. 95. 1212 Gola / Schomerus, BDSG, § 11 Rn. 17.
254 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
der Vertragsabwicklung erteilt werden und die daher auch per E-Mail erteilt werden können.1213 bb) Herausforderungen von Cloud Computing: Flexible Nutzungsmodelle und vielfältige Zugangsgeräte Bei Cloud Computing trifft der dargestellte Rechtsrahmen vor allem auf flexible Nutzungsmodelle und vielfältige Zugangsgeräte. Cloud-Services stehen über mobile Endgeräte, thin clients und vielfältige andere Zugangsgeräte an fast jedem Ort zur Verfügung.1214 Die Einhaltung des Schriftform erfordernisses stellt dies vor Herausforderungen, da gerade in den häufigen Konstellationen eines reinen Online-Vertragsabschlusses oder einer flexiblen Selbstzuteilung benötigter IT-Ressourcen durch den Nutzer („self-provision ing“) in aller Regel kein schriftlicher Vertrag zeitnah zwischen den Vertragsparteien zustande kommen kann. Bei kostengünstigen oder kostenfreien Diensten werden sich sämtliche Aufwendungen, die mit der Wahrung der Schriftform verbunden sind, für einen Anbieter bereits wirtschaftlich nicht rechtfertigen. cc) Bewertung Die Vielseitigkeit der gegenwärtig am Markt existierenden Cloud-Services sowie unterschiedliche Auftragsvolumina und Verhandlungskonstellationen erfordern zwar immer eine Einzelfallbetrachtung. Sofern das Schriftformerfordernis datenschutzrechtlich als konstitutiv angesehen wird, erweist sich dessen Einhaltung aber gerade in den zahlreichen Fällen der standardisierten Leistungsinanspruchnahme über das Internet, insbesondere über WebseitenFormulare, als schwierig. Anbieter müssten einem Nutzer vielmehr unverzüglich ein inhaltsgleiches, schriftliches Vertragsangebot zukommen lassen.1215 Die offensichtlichen Nachteile eines derartigen Vorgehens liegen bereits in der zeitlichen Verzögerung, mit der ein den Anforderungen der Auftragsdatenverarbeitung gerecht werdender Vertrag zustande kommt. Flexiblen Bedarfssituationen kann nur mit „Vorlaufzeit“ begegnet werden, was dem bedarfsorientierten Grundgedanken von Cloud Computing sowie dem eingeleiteten Wandel zu standardisierten IT-Nutzungsszenarien bereits grund legend widerspricht. Überdies ist die Zusendung inhaltsgleicher schriftlicher 1213 Plath, in: Plath, BDSG, § 11 Rn. 97; Petri, in: Simitis, BDSG, § 11 Rn. 64, 81; Gabel, in: Taeger / Gabel, BDSG, § 11 Rn. 54. 1214 Zu den Cloud-Zugangsdevices siehe oben unter B.II.2. 1215 EuroCloud Deutschland_eco, Leitfaden Cloud Computing, S. 10; Hartung / Storm, in: Hilber, Handbuch Cloud Computing, Teil 4 Rn. 79.
VI. Auftragsdatenverarbeitung (§ 11 BDSG)255
Verträge gerade bei kostenfreien oder kostengünstigen Cloud-Diensten nicht zu erwarten.1216 dd) Lösungsmöglichkeiten und Anforderungen an einen künftigen Rechtsrahmen Das Schriftformerfordernis steht jedem Gedanken von „self-provisioning“ und „minimal service provider interaction“ entgegen. Bei einem „ad hoc“Bedarf müssen aber auch personenbezogene Daten schnell, einfach und bedarfsgerecht in der Cloud verarbeitet werden können. Es wäre unwirtschaftlich und nicht mehr zeitgemäß, sämtliche im Bedarfsfall potentiell benötigten Ressourcen quasi „auf Vorrat“ zu beziehen. Zugleich wird der Abschluss flexibler Rahmenverträge von Anbietern oftmals an Mindestabnahmemengen geknüpft. Mit Blick auf die wirtschaftlichen Vorteile, die Cloud Computing vor allem kleinen und mittelständischen Unternehmen eröffnet, bedarf es auch eines passenden Rechtsrahmens, ohne dass bestehende Schutzstandards umgangen werden. Sofern das Schriftformerfordernis nach einer Ansicht vor allem die tatsächliche Erteilung von Weisungen sicherstellen soll,1217 fragt sich, ob dieser Schutzweck nicht auch durch die Textform (§ 126b BGB) sichergestellt werden kann. In der IT-Outsourcing-Praxis erweisen sich schriftliche Anweisungen gerade in dringenden Fällen als unpraktisch. Oftmals stellt eine E-Mail (Textform) das schnellere und effizientere Kommunikationsmittel dar. Sie kann in Verbindung mit einem Kennwort oder einer digitalen Signatur zugleich auch ein ausreichendes Maß an Sicherheit bei der Erteilung von Weisungen bieten. Eine Sicherstellung von Weisungsbefugnissen und eine Dokumentation der Weisungserteilung lassen sich gerade bei hochstandardisierten Public Clouds nicht mehr begründen. In ungleichen Konstellationen im AnbieterNutzer-Verhältnis, in denen sich Weisungen rein faktisch gar nicht umsetzen lassen, gehen Weisungsbefugnisse vielmehr in die Anbieter-Auswahlentscheidung auf.1218 Überdies können festzulegende Weisungsbefugnisse in multimandantenfähigen Umgebungen ohnehin nur in dem Umfang bestehen, dass ein Einfluss auf den Gesamtbetrieb des Clusters sowie auf die parallele Nutzung durch andere Nutzer ausgeschlossen ist.1219 Zudem wird ein Auftraggeber aufgrund eines fehlenden Einblicks in implementierte techni1216 Vgl.
zuvor unter C.VI.5.a). oben unter C.VI.5.b)aa). 1218 Ausführlich zu den Weisungsbefugnissen siehe unten unter C.VI.5.e). 1219 Vgl. Bräutigam / Thalhofer, in: Bräutigam, IT-Outsourcing und Cloud-Computing, Teil 14 Rn. 39. 1217 Siehe
256 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
sche und organisatorische Maßnahmen in der Regel gar nicht in der Lage sein, Weisungsbefugnisse sinnvoll festzulegen. Weisungsbefugnisse spielen daher in der Praxis von standardisierten Cloud-Diensten zu Recht auch „kaum eine Rolle“.1220 Für die Zwecke eines Cloud-Vertrags erscheint die Textform (§ 126b BGB) heutzutage als ausreichend. Ein künftiger Rechtsrahmen sollte vor allem der Online-Nutzung (unter besonderer Berücksichtigung von WebFormularen oder von Apps auf mobilen Endgeräten) Rechnung tragen.1221 Die Aufgabe des Schriftformerfordernisses ist hierfür unausweichlich. Unkomplizierte und einfache Vertragsabschlussverfahren werden auch zu einer weiteren Akzeptanz und Verbreitung von Cloud Computing beitragen, wie es ein Ziel des diesbezüglichen Strategiepapiers der Kommission ist.1222 ee) EU-Datenschutzreform Die im Zuge der EU-Datenschutzreform vorgeschlagenen Regelungen zu der Form der Auftragsverarbeitung tragen den zuvor dargestellten Anforderungen an einen künftigen Rechtsrahmen grundsätzlich Rechnung.1223 Art. 26 Abs. 2 DS-GVO-E sieht – neben den Festlegungen in Abs. 2 lit. a)–h) – vor, dass die Durchführung einer Verarbeitung durch den Auftragsverarbeiter auf Grundlage eines Vertrags oder Rechtsakts erfolgt, durch den der Auftragsverarbeiter an den für die Verarbeitung Verantwortlichen gebunden ist. Der Abschluss eines solchen Vertrags unterliegt hiernach nicht mehr einem Schriftformerfordernis. Anzudenken ist, dass weiterhin auch die Modalitäten eines Vertragsabschlusses über Webformulare oder mobile Endgeräte konkretisiert werden.1224 Entsprechend zu den zivilrechtlichen Pflichten bei einem Vertrag im elektronischen Geschäftsverkehr (vgl. § 312i Abs. 1 S. 1 Nr. 4 BGB, wonach ein Unternehmer die Möglichkeit zu verschaffen hat, die Vertragsbestimmungen einschließlich der Allgemeinen Geschäftsbedingungen bei Vertrags1220 EuroCloud Deutschland_eco, Leitfaden Cloud Computing, S. 12; siehe auch unten unter C.VI.5.e)cc). 1221 Vgl. Trusted Cloud, Datenschutzrechtliche Lösungen für Cloud Computing, S. 10. 1222 Zu der Cloud-Computing-Strategie der Kommission siehe oben unter C.II. 4.a)cc). 1223 Zu den Anforderungen an einen künftigen Rechtsrahmen siehe zuvor unter C.VI.5.b)dd). Eine Praxistauglichkeit bejahen auch Kühling / Biendl, CR 2014, 150 (153). 1224 Vgl. auch Trusted Cloud, Datenschutzrechtliche Lösungen für Cloud Comput ing, S. 10, wonach die Erfüllbarkeit gesetzlicher Anforderungen durch Webformulare ermöglicht werden sollte.
VI. Auftragsdatenverarbeitung (§ 11 BDSG)257
schluss abzurufen und in wiedergabefähiger Form zu speichern), könnte es sich aus Sicht des Datenschutzes zudem anbieten, dass ein Auftragnehmer einem Auftraggeber die Möglichkeit verschaffen muss, Prüfberichte oder Zertifizierungen abzurufen und in wiedergabefähiger Form zu speichern. Als ein derartiger Nachweis bieten sich bei hochflexiblen Nutzungsszenarien etwa die sowohl von dem Europäischen Parlament am 12. März 2014 als auch von dem Rat der EU am 11. Juni 2015 im Rahmen von Art. 39 DSGVO-E vorgeschlagenen Zertifizierungen an.1225 Vor allem mit Blick auf die von der Kommission in ihrem cloud-spezifischen Strategiepapier1226 zur Überwindung bestehender Hürden angestrebten Ziele sollte der Gedanke einer „einfachen Handhabung“ gerade in Zeiten einer hochflexiblen Bereitstellung von IT-Leistungen auch weiterhin im Fokus der Aktivitäten von Kommission und Europäischem Parlament stehen. c) Technische und organisatorische Maßnahmen – Auswahlentscheidung, vertragliche Festlegung und Auftragskontrolle Die technischen und organisatorischen Maßnahmen nach § 9 BDSG und dessen Anlage sind nicht nur im Rahmen der allgemeinen Daten- und Informationssicherheit von Relevanz.1227 Im Kontext der Auftragsdatenverarbeitung sind sie bereits bei der sorgfältigen Auswahl eines Auftragnehmers zu berücksichtigen (§ 11 Abs. 2 S. 1 BDSG) und bilden einen zentralen Gegenstand vertraglicher Festlegungen und diesbezüglicher Kontrollpflichten (vgl. § 11 Abs. 2 S. 2 BDSG). Wiederum treffen Cloud Computing und die technische Realisierung in verteilten und gemeinsam genutzten Ressourcen hierbei auf Regelungen, die noch überwiegend für klassische 1:1-Auftragsverhältnisse konzipiert wurden und denen ein Verständnis von Beherrschbarkeit und Kontrolle von Daten zugrunde liegt.1228
1225 EP, Entschließung v. 12.3.2014, 2013 / 2188(INI), P7_TA-PROV(2014)0212; Rat der EU, Vorschlag für eine DS-GVO v. 11.6.2015, 9565 / 15, S. 134. 1226 COM(2012) 529; siehe hierzu oben unter C.II.4.a)cc). 1227 Siehe oben unter C.V.3.a). 1228 Niemann / Hennrich, CR 2010, 686 (689); vgl. Schultze-Melling, in: Taeger / Gabel, BDSG, § 9 Rn. 104; vgl. Wedde, in: Däubler / Klebe / Wedde / Weichert, BDSG, § 9 Rn. 30.
258 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
aa) Rechtsrahmen (1) Sorgfältige Auswahlentscheidung – § 11 Abs. 2 S. 1 BDSG Nach § 11 Abs. 2 S. 1 BDSG hat der Auftraggeber den Auftragnehmer unter besonderer Berücksichtigung der Eignung getroffener technischer und organisatorischer Maßnahmen sorgfältig auszuwählen.1229 Vor Auftragserteilung sind die von einem Anbieter implementierten Maßnahmen dahingehend zu bewerten, ob sie den individuellen Schutzbedürfnissen (diese können etwa anhand einer Sicherheits- und Risikoanalyse bestimmt werden) und anerkannten Schutzstandards genügen.1230 Dies setzt grundlegend voraus, dass ein Anbieter Einblick in das Sicherheitskonzept gewährt.1231 Teilweise wird befürwortet, dass die Überzeugungsbildung nicht zwingend bei einem Anbieter vor Ort stattfinden muss, sondern grundsätzlich auch anhand von Zertifizierungen oder Audits unabhängiger Dritter erfolgen kann.1232 Der Umfang von Überprüfung und Überzeugungsbildung hängt sowohl von den Anforderungen des individuellen Sicherheitskonzepts als auch von der Komplexität der geplanten Auftragsdatenverarbeitung ab.1233 Als allgemeine Faustregel soll ein Auftraggeber bei der Überzeugungsbildung und Beurteilung der Eignung eines Auftragnehmers diejenigen Schutzmaßnahmen berücksichtigen, die er bei eigener Durchführung der Datenverarbeitung selbst zu implementieren hätte.1234 (2) V ertragliche Festlegung – § 11 Abs. 2 S. 1, S. 2 Nr. 3 BDSG, § 9 BDSG i. V. m. Anlage zu § 9 BDSG Ist die Auswahlentscheidung zugunsten eines Anbieters erfolgt, sind die nach § 9 BDSG und dessen Anlage zu treffenden technischen und organi1229 Auf landesdatenschutzrechtlicher Ebene gelten beispielsweise nach Nr. 1 der Vollzugsbekanntmachung zum Bayerischen Datenschutzgesetz (BayDSG) das Landesamt für Statistik und Datenverarbeitung sowie die Anstalt für Kommunale Datenverarbeitung (AKDB) als sorgfältig ausgewählte Auftragnehmer i. S. v. Art. 6 Abs. 2 S. 1 BayDSG, der zu § 11 BDSG korrespondierenden Regelung auf Landesebene. 1230 Petri, in: Simitis, BDSG, § 11 Rn. 58; Gabel, in: Taeger / Gabel, BDSG, § 11 Rn. 32; vgl. Hennrich, CR 2011, 546 (548). 1231 Vgl. Gola / Schomerus, BDSG, § 11 Rn. 20. 1232 Petri, in: Simitis, BDSG, § 11 Rn. 59; Gabel, in: Taeger / Gabel, BDSG, § 11 Rn. 39, 48; dies ist nicht unumstritten, siehe insoweit auch im Rahmen der Auftragskontrolle unten unter C.VI.5.c)aa)(3). 1233 Petri, in: Simitis, BDSG, § 11 Rn. 58. 1234 Gola / Schomerus, BDSG, § 11 Rn. 20 a. E.; Gabel, in: Taeger / Gabel, BDSG, § 11 Rn. 32.
VI. Auftragsdatenverarbeitung (§ 11 BDSG)259
satorischen Maßnahmen in einem Vertrag über eine Auftragsdatenverarbeitung festzulegen (vgl. § 11 Abs. 2 S. 2 Nr. 3 BDSG). Die genaue Festlegung von Maßnahmen sowie konkrete Angaben zu deren Umsetzung werden als wesentliche Voraussetzung angesehen, um Kontrollpflichten auch effektiv ausüben zu können.1235 Grundsätzlich sind sämtliche Tätigkeiten des Auftragnehmers in allen Phasen einer Auftragsdatenverarbeitung zu berücksichtigen.1236 (3) Auftragskontrolle – § 11 Abs. 2 S. 2 Nr. 7, S. 4 BDSG Der Auftraggeber hat sich von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen regelmäßig zu überzeugen (vgl. § 11 Abs. 4 BDSG). Die Überzeugungsbildung, die vor Beginn der Auftragsdatenverarbeitung durchzuführen ist, fällt mit der Auswahlentscheidung nach § 11 Abs. 2 S. 1 BDSG zusammen.1237 Vertraglich festzulegen sind neben den Kontrollrechten des Auftraggebers aber auch die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers (§ 11 Abs. 2 S. 2 Nr. 7 BDSG) sowie die nach § 11 Abs. 4 BDSG bestehenden Pflichten des Auftragnehmers (§ 11 Abs. 2 S. 2 Nr. 5 BDSG). Der Umfang der konkret durchzuführenden Kontrollen hängt grundsätzlich von der Komplexität der Datenverarbeitung und der Schutzwürdigkeit der Daten ab.1238 Es empfiehlt sich, vor allem die zeitlichen Abstände sowie die Art und Weise der Kontrollen vertraglich zu fixieren.1239 Zu einer effektiven Ausübung der Kontrollrechte wird es als unerlässlich angesehen, dass der Auftraggeber Einblick in das Sicherheitskonzept des Auftragnehmers nehmen kann, um zu überprüfen, ob es etablierten Standards (wie den ITGrundschutz-Katalogen des BSI) genügt.1240 In der Regel ist einem Auftraggeber hierfür Zutritt zu den jeweiligen Einrichtungen zu gewähren.1241 Allerdings ist es nicht zwingend erforderlich, dass ein Auftraggeber oder eine von diesem beauftragte Person die Kontrollen unmittelbar vor Ort durch1235 Petri,
in: Simitis, BDSG, § 11 Rn. 73. Gabel, in: Taeger / Gabel, BDSG, § 11 Rn. 44. 1237 Petri, in: Simitis, BDSG, § 11 Rn. 57; zur Auswahlentscheidung siehe zuvor unter C.VI.5.c)aa)(1). 1238 Petri, in: Simitis, BDSG, § 11 Rn. 58; Gabel, in: Taeger / Gabel, BDSG, § 11 Rn. 48. 1239 Petri, in: Simitis, BDSG, § 11 Rn. 75; vgl. Reindl, in: Taeger / Wiebe, Inside the Cloud, S. 450. 1240 Petri, in: Simitis, BDSG, § 11 Rn. 58. 1241 Gola / Schomerus, BDSG, § 11 Rn. 18 f.; Petri, in: Simitis, BDSG, § 11 Rn. 78. 1236 Vgl.
260 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
führt, da auch Zertifizierungen oder Audits unabhängiger Dritter in Betracht zu ziehen sein können.1242 bb) Herausforderungen von Cloud Computing Zentrale Herausforderungen an diesen Rechtsrahmen verbinden sich zunächst mit intransparenten Anbieterinformationen und einer hohen technischen Komplexität (hierzu sogleich). Im Anschluss hieran wird die Herausforderung von Standortkontrollen in Zeiten eines verteilten Rechnens erörtert. Danach rücken die vielfältigen Zertifizierungen, die sich in der gegenwärtigen Praxis wiederfinden, in den Fokus der Bearbeitung. (1) I ntransparente Anbieterinformationen und eine hohe technische Komplexität (a) Charakteristika dieser Herausforderungen (aa) Intransparente Anbieterinformationen zu den Datenverarbeitungsstandorten und den dort implementierten technischen und organisatorischen Maßnahmen Herausforderungen von Cloud Computing sind auch an dieser Stelle mit einer fehlenden Transparenz zu den Standorten der datenverarbeitenden Infrastruktur und den dort implementierten technischen und organisatorischen Maßnahmen verbunden, falls Anbieter – etwa aufgrund von Sicherheitsinteressen – keine oder nur vage Informationen hierzu bereithalten.1243 Ein Bedürfnis nach einer klaren Leistungsbeschreibung besteht aber bereits aufgrund der fehlenden Zuordnung zu dedizierten Ressourcen oder aufgrund schneller Datenverschiebungsmöglichkeiten.1244 Gerade in Szenarien einer standardisierten Bereitstellung über Online-Angebote erreichen die von Anbietern bereitgehaltenen Informationen in vielen Fällen nicht die für eine sorgfältige Auswahlentscheidung benötigte Informationstiefe. Rein faktisch 1242 Gabel, in: Taeger / Gabel, BDSG, § 11 Rn. 48; Petri, in: Simitis, BDSG, § 11 Rn. 59; Gola / Schomerus, BDSG, § 11 Rn. 21; BT-Drs. 16 / 13657, S. 18; Zertifizierungen werden teilweise von Datenschutzbehörden nicht als ausreichend angesehen, vgl. für Bayern die Darstellung in Heckmann / von Lucke / Hennrich / Maisch, C3Studie, S. 47. 1243 Siehe hierzu bereits oben unter C.II.3.a)aa)(3); vgl. BayLfD, 24. TB, S. 32; Hartung / Storm, in: Hilber, Handbuch Cloud Computing, Teil 4 Rn. 103. 1244 Gabel, in: Taeger / Gabel, BDSG, § 11 Rn. 18; zu dem technischen Rahmen siehe oben unter B.II.
VI. Auftragsdatenverarbeitung (§ 11 BDSG)261
wird ein Auftraggeber daher oftmals gar nicht in der Lage sein, implementierte technische und organisatorische Maßnahmen und mithin das Sicherheitskonzept des Anbieters ordnungsgemäß bewerten zu können. Auf diese Umstände verweisen auch die Aufsichtsbehörden für den Datenschutz. Auch wenn Ort und Umstände der Datenverarbeitung bei Cloud Computing im Extremfall unbekannt sind und freie Serverkapazitäten erst ad hoc zugewiesen werden, müsse ein Auftraggeber dies aber gerade für Festlegungen nach § 11 Abs. 2 BDSG kennen.1245 (bb) D ie technische und organisatorische Komplexität von Cloud-Umgebungen Herausforderungen verbinden sich auch mit der hohen technischen Komplexität von Cloud-Umgebungen. Hierdurch wird sowohl die Identifikation als auch die Festlegung geeigneter Maßnahmen erschwert. Aufgrund der Vielzahl an Maßnahmen, die zur Begegnung klassischer und cloud-spezifischer Gefahren auf allen Ebenen einer IT-Sicherheitsarchitektur in Betracht zu ziehen sind, wird es einem Nutzer ohne besonderes Know-how oftmals gar nicht möglich sein, die konkret erforderlichen Maßnahmen vollumfänglich auszumachen.1246 (b) Bewertung und Lösungsmöglichkeiten Fehlende Einblickmöglichkeiten und die hohe Komplexität von CloudUmgebungen verdeutlichen, dass es im Kontext technischer und organisatorischer Maßnahmen eines sachgerechten Umgangs mit diesen Realitäten bedarf. Vor dem Hintergrund der Komplexität von Cloud-Umgebungen erscheinen Forderungen nach mehr Transparenz nur bedingt geeignet, um die für eine Auswahlentscheidung oder Auftragskontrolle benötigte Klarheit erreichen zu können. Da derartiges Spezialwissen auf Seiten vieler Nutzer nicht vorhanden sein wird und derartige Prüfungen zudem jedem Gedanken der schnellen Bereitstellung standardisierter IT widersprechen, bedarf es vielmehr angepasster Lösungen, wie vorab erstellte Zertifizierungen und Prüfberichte unabhängiger Dritter mit den notwendigen Spezialkenntnissen.1247 1245 BfDI,
23. TB, S. 63 f.; vgl. LDI NRW, 20. DIB, S. 125. Bosesky / Hoffmann / Schulz, DuD 2013, 95 (99); Kühling / Biendl, CR 2014, 150 (152); zu den IT-Sicherheitsarchitektur-Ebenen siehe oben unter C.V.3.a); zu der technischen Komplexität (als Charakteristikum des Internets) im Kontext von Grundrechten Schliesky / Hoffmann / Luch / Schulz / Borchers, Schutzpflichten und Dritt wirkung im Internet, S. 128. 1247 Siehe auch unten unter C.VI.5.c)bb)(3) sowie unter C.VI.5.c)cc). 1246 Vgl.
262 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
(2) Standortkontrollen in Zeiten eines verteilten Rechnens (a) Charakteristika dieser Herausforderung (aa) Fehlende Kontrollmöglichkeiten Eine weitere Herausforderung besteht darin, dass Anbieter aus Wettbewerbs- und Geheimhaltungsinteressen einem Nutzer in der Regel keine Möglichkeit einräumen, sich durch ein Audit in dem Rechenzentrum vor Ort über implementierte Maßnahmen zu informieren.1248 Gerade ein kleines oder mittleres Unternehmen wird gegenüber Branchenriesen wie Amazon, Facebook, Google oder Microsoft im Normalfall keinen Zugang zu den streng geschützten Rechenzentren haben.1249 Derartige Möglichkeiten werden, wenn überhaupt, wohl nur bei einem hohen Auftragsvolumen bestehen, nicht jedoch bei hochstandardisierten und kostengünstigen Cloud-Lösungen, die flexibel und bedarfsbasiert bereitgestellt werden. (bb) Praktische Handhabung eines „Vor-Ort-Kontroll-Tourismus“ Rein praktisch stellt sich die Frage, wie Anbieter, deren Leistungen von einer sehr großen Zahl an Nutzern in Anspruch genommen werden, einen „Vor-Ort-Kontroll-Tourismus“ überhaupt bewältigen sollen, selbst wenn sich nur ein Bruchteil aller Nutzer (bei großen Clouds können das noch immer einige tausend Nutzer sein) für eine Standortkontrolle entscheiden sollte.1250 Aufgrund des hiermit verbundenen Zeit- und Prüfungsaufwands widersprechen derartige Kontrollverpflichtungen dem Leitbild einer flexiblen „IT aus der Steckdose“ bereits grundlegend. (cc) Kontrolle geographisch verteilter Standorte Die Überprüfung und Kontrolle der von einem Anbieter implementierten technischen und organisatorischen Maßnahmen stellt einen Nutzer gerade im Fall einer geographischen Verteilung der Datenverarbeitungsstandorte vor die Herausforderung der praktischen Durchführung einer Kontrolle von sämtlichen Standorten.1251 Eine realistische Kontrollmöglichkeit wird wohl ledig1248 Vgl. Heidrich / Wegener, MMR 2010, 803 (806); Arbeitskreise Technik und Medien der DSK, Orientierungshilfe Cloud Computing, S. 10; BayLfD, 24. TB, S. 32; Trusted Cloud, Datenschutzrechtliche Lösungen für Cloud Computing, S. 8; Petri, in: Simitis, BDSG, § 11 Rn. 55. 1249 Heidrich / Wegener, MMR 2010, 803 (806). 1250 Trusted Cloud, Datenschutzrechtliche Lösungen für Cloud Computing, S. 8.
VI. Auftragsdatenverarbeitung (§ 11 BDSG)263
lich im Falle der Verteilung über mehrere Standorte innerhalb einer Stadt oder einer Region noch anzunehmen sein. Bei einer länderübergreifenden Verteilung wird aufgrund der hiermit verbundenen Aufwendungen regelmäßig die Grenze des vernünftigerweise noch Machbaren überschritten.1252 1251
(b) Bewertung und Lösungsmöglichkeiten Die praktischen Schwierigkeiten im Umgang mit diesen Herausforderungen verdeutlichen sich an einer Empfehlung der „Orientierungshilfe Cloud Computing“, wonach sich ein Nutzer nicht auf Zusicherungen des Anbieters zu implementierten technischen und organisatorischen Maßnahmen zu verlassen habe, sondern eigene Recherchen betreiben müsse, um sich Gewissheit über die Einhaltung von Sicherheitsstandards zu verschaffen.1253 Für eine ordnungsgemäße Auswahlentscheidung empfiehlt beispielsweise auch der BITKOM, dass Prüfung und Bewertung eines Cloud-Anbieters anhand eines „Privacy Impact Assessments“ in Verbindung mit einem SecurityAudit auf Grundlage des Maßnahmenkatalogs der Anlage zu § 9 BDSG erfolgen sollen.1254 Neben den klassischen Risiken sollen dabei gerade auch cloud-spezifische Risiken, wie sie etwa Sicherheitsempfehlungen des BSI enthalten, auf allen Verarbeitungs-Layern in Betracht zu ziehen sein.1255 Es zeigt sich, dass diese exemplarischen Empfehlungen Zugangs- und Einblickmöglichkeiten voraussetzen, die bei den meisten Auftragsvolumina und in der Mehrzahl der Verhandlungskonstellationen rein faktisch gar nicht existieren. Auch der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Rheinland-Pfalz ist der Auffassung, dass ein CloudNutzer aufgrund fehlender Kenntnis von Sicherheitsstandards und Einwirkungsmöglichkeiten auf den Anbieter seine Prüf- und Kontrollpflichten faktisch nicht mehr wahrnehmen kann und entsprechende Vereinbarungen lediglich auf dem Papier existieren.1256 Die § 11 BDSG immanente Konzeption einer Kontrolle von Daten, die dem klassischen IT-Outsourcing entstammt, gelangt daher in modernen Datenverarbeitungsszenarien an praktische Grenzen. 1251 Vgl. Köhler / Arndt / Fetzer, Recht des Internet, S. 326 Rn. 977; LDI NRW, 20. DIB, S. 125; Kühling / Biendl, CR 2014, 150 (152); Trusted Cloud, Datenschutzrechtliche Lösungen für Cloud Computing, S. 8. 1252 Niemann / Hennrich, CR 2010, 686 (691). 1253 Arbeitskreise Technik und Medien der DSK, Orientierungshilfe Cloud Computing, S. 10; vgl. Reindl, in: Taeger / Wiebe, Inside the Cloud, S. 449. 1254 BITKOM, Leitfaden Cloud Computing 2010, S. 67. 1255 BITKOM, Leitfaden Cloud Computing 2010, S. 68; vgl. oben unter C.V.3. 1256 LfDI Rheinland-Pfalz, 23. TB, S. 16.
264 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
Aus gutem Grund soll ein Auftraggeber seinen Kontrollpflichten daher grundsätzlich auch durch Einschaltung von Dritten (Sachverständigen, Zertifizierungen) nachkommen können.1257 Aufgrund einer fehlenden gesetz lichen Präzisierung sowie aufgrund unterschiedlicher Ansichten der Datenschutzbehörden verbleiben jedoch mitunter Rechtsunsicherheiten, ob ein Auftraggeber zur Auftragskontrolle auch auf Zertifizierungen zurückgreifen kann.1258 Ein Weg zur praxistauglichen Standortkontrolle wird richtigerweise darin gesehen, dass sich Anbieter Zertifizierungs- oder Gütesiegelverfahren unterwerfen, die von unabhängigen Prüfstellen durchgeführt werden.1259 Bei einer Vielzahl an Standorten oder bei weit voneinander entfernten Standorten bieten sich Zertifizierungen zur Wahrnehmung der Kontrollrechte und zur Bewertung der implementierten Schutzmaßnahmen geradezu an.1260 Für eine solche Modifikation des Kontrollerfordernisses im Sinne einer Bündelung der Kontrolle plädiert auch die Arbeitsgruppe „Rechtsrahmen des Cloud Computing“ des Kompetenzzentrums Trusted Cloud.1261 Zur Vermeidung von Rechtsunsicherheiten sollte die Ersetzung und Dokumentation der Auftragskontrolle durch Zertifizierungen, Testate und Gütesiegel de lege ferenda explizit aufgenommen werden.1262 Art. 39 DS-GVO-E ist daher ein Schritt in die richtige Richtung.1263 (3) Zwischenfazit zu den Herausforderungen von Cloud Computing (a) Z ielkonflikt zwischen dem Rechtsrahmen und modernen Datenverarbeitungsformen Technische und organisatorische Maßnahmen sind auch bei Cloud Computing zu gewährleisten.1264 Die fehlende Ortsgebundenheit des verteilten 1257 Gola / Schomerus, BDSG, § 11 Rn. 21; siehe hierzu bereits oben unter C.VI. 5.c)aa)(3). 1258 Vgl. Trusted Cloud, Datenschutzrechtliche Lösungen für Cloud Computing, S. 6 f.; Heckmann / von Lucke / Hennrich / Maisch, C3-Studie, S. 47. 1259 Arbeitskreise Technik und Medien der DSK, Orientierungshilfe Cloud Computing, S. 10; Heidrich / Wegener, MMR 2010, 803 (806); Kühling / Biendl, CR 2014, 150 (152); siehe hierzu auch unten unter C.VI.5.c)cc). 1260 EuroCloud Deutschland_eco, Leitfaden Cloud Computing, S. 13; vgl. Hennrich, CR 2011, 546 (551); vgl. BITKOM, Leitfaden Cloud Computing 2010, S. 69; zu Zertifizierungen siehe unten unter C.VI.5.c)bb)(4). 1261 Trusted Cloud, Datenschutzrechtliche Lösungen für Cloud Computing, S. 11 f. 1262 Trusted Cloud, Datenschutzrechtliche Lösungen für Cloud Computing, S. 13. 1263 Siehe hierzu unten unter C.VI.5.c)cc). 1264 Vgl. Heckmann, jurisPK-Internetrecht, Kap. 9 Rn. 652.
VI. Auftragsdatenverarbeitung (§ 11 BDSG)265
Rechnens, mehrere Standorte, intransparente Anbieterinformationen, fehlende Einblicksmöglichkeiten oder schlicht die hohe technische Komplexität von Cloud-Umgebungen können sowohl die Auswahlentscheidung als auch die Festlegung und Kontrolle implementierter technischer und organisatorischer Maßnahmen mitunter erheblich erschweren oder gar praktisch unmöglich machen. Nach Ansicht der Bremischen Aufsichtsbehörde lässt sich daher bereits die Auswahl eines Cloud-Anbieters nur äußerst schwierig realisieren.1265 Die Identifikation der im Einzelfall geeigneten technischen und organisatorischen Maßnahmen wird überdies durch die hohe Komplexität einer Cloud-Umgebung sowie durch oftmals bloß pauschale Bezugnahmen auf Zertifizierungen ohne detaillierte Prüfberichte erschwert. Zwischen modernen Datenverarbeitungsformen und der Konzeption des Rechtsrahmens besteht daher insgesamt ein Zielkonflikt. (b) Z eitgemäße Auslegung des geltenden Rechts (Technische und organisatorische Maßnahmen im Lichte der technologischen Realität) Sofern die geltende Konzeption von technischen und organisatorischen Maßnahmen der flexiblen und hochstandardisierten Idealform von Cloud Computing nicht gerecht wird, fragt sich, ob bestehenden Rechtsunsicherheiten nicht zumindest durch eine zeitgemäße Auslegung des geltenden Rechts begegnet werden kann. (aa) Enge, wortlautgetreue Auslegung In einer engen, dem Wortlaut folgenden Auslegung sind sämtliche technischen und organisatorischen Maßnahmen vertraglich festzulegen und bei Kontrollen zu berücksichtigen. Bei Cloud Computing wird daher gerade von Seiten der Datenschutzbehörden mehr Transparenz gefordert.1266 Es fragt sich allerdings, welches (sinnvolle) Maß an Transparenz überhaupt anzulegen ist. Eine Offenlegung sämtlicher implementierten Maßnahmen selbst in Verträgen mit niedrigem Auftragsvolumen wird der Realität einer standardisierten Bereitstellung von IT jedenfalls nicht gerecht, da vertragliche Festlegungen und Kontrollmöglichkeiten vorausgesetzt werden, die sich, wenn überhaupt, nur noch bei Private Clouds wiederfinden.1267 In hochstandardisierten Public Clouds wird eine Offenbarung getroffener Maß1265 LfD
Bremen, 33. JB, S. 34. DuD 2010, 679 (685). 1267 Vgl. Heckmann, jurisPK-Internetrecht, Kap. 9 Rn. 658; Niemann / Hennrich, CR 2010, 686 (690); zu Private Clouds siehe oben unter B.VI.2. 1266 Weichert,
266 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
nahmen nur abstrahiert möglich sein. Zudem werden die komplexen Maßnahmen, die auf allen Ebenen einer IT-Sicherheitsarchitektur zu berücksichtigen sind, bei einer vollständigen und detaillierten Beschreibung meist nur von ausgewiesenen Kennern der Materie mit fundiertem Hintergrundwissen und ausreichender Erfahrung ordnungsgemäß bewertet werden können.1268 Entsprechendes Know-how wird in der Regel nur auf Seiten weniger Nutzer vorhanden sein. Zugleich berührt jede Forderung nach mehr Transparenz immer auch berechtigte Sicherheits- und Geheimhaltungsinteressen der Anbieter. Für sie stellt die Geheimhaltung der konkreten Datenverarbeitungsstandorte sowie die genaue technische Funktionsweise ein zentrales Betriebsgeheimnis dar.1269 (bb) Cloud-spezifische Auslegung Zu praxisgerechten Ergebnissen führt regelmäßig eine an die technischen Realitäten angepasste Auslegung.1270 Cloud-spezifische Lösungen werden zu Recht gerade darin gesehen, dass Auftraggeber ihren Kontrollpflichten durch standardisierte Prüfberichte des Anbieters nachkommen können und dass bei der Auslegung von § 9 S. 1 BDSG auch der Stand der Technik und die bei der Durchführung von Sicherheitsmaßnahmen entstehenden Kosten zu berücksichtigen sind.1271Anlass zu einer solch technologisch-ökonomisch orientierten Auslegung gebe bereits § 9 S. 2 BDSG, wonach Maßnahmen nur erforderlich sind, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck stehe.1272 Zertifizierungen und Testate Dritter erscheinen gerade in kurzfristigen Nutzungsszenarien grundsätzlich als praxisgerechter Nachweis eines technischen und organisatorischen Sicherheitskonzepts. Da es gerade auf Seiten von kleinen und mittelständischen Unternehmen oftmals an personellen Ressourcen und einem ausreichenden Know-how fehlt, entsprechen sie dem Gedanken von „IT as a Service“, damit die Anbieterauswahl oder -kontrolle und mithin die Nutzung von Cloud-Services nicht als Kosten- und Wett1268 Vgl. Niemann / Hennrich, CR 2010, 686 (690); zu den Ebenen einer IT-Sicherheitsarchitektur siehe oben unter C.V.3.a); zu der technische und organisatorische Komplexität siehe oben unter C.VI.5.c)bb)(1)(a)(bb). 1269 Niemann / Hennrich, CR 2010, 686 (690). 1270 Vgl. Niemann / Hennrich, CR 2010, 686 (690); Heidrich / Wegener, MMR 2010, 803 (806). 1271 Heckmann, jurisPK-Internetrecht, Kap. 9 Rn. 658 f. 1272 Heckmann, jurisPK-Internetrecht, Kap. 9 Rn. 659.
VI. Auftragsdatenverarbeitung (§ 11 BDSG)267
bewerbsvorteil großer Auftraggeber verbleiben.1273 Zugleich können Sicherheits- und Geheimhaltungsinteressen der Anbieter gewahrt werden, sofern sämtliche implementierten technisch-organisatorischen Maßnahmen allein der zertifizierenden Stelle offenzulegen sind. Rechtsunsicherheiten verbleiben jedoch in Bezug auf die Vielfältigkeit existierender Zertifizierungen. Da es sich hierbei zugleich um eine weitere Herausforderung von Cloud Computing handelt, werden die im Kontext von Cloud Computing häufig in Bezug genommen Normen und Zertifizierungen im folgenden Abschnitt dargestellt und erörtert. (4) D ie Vielfalt der gegenwärtig in Bezug genommenen Zertifizierungen Lässt man Zertifizierungen als Mittel der Auswahl und Kontrolle zu, bestehen mit Blick auf die in der gegenwärtigen Praxis in Bezug genommenen Zertifizierungen weitere Herausforderungen, die in der Vielfältigkeit und Vielzahl an nationalen, europäischen und internationalen Normen sowie in deren fehlender datenschutzspezifischer Konzeption verortet sind.1274 Ob bestimmte Zertifizierungen und Prüfberichte datenschutzrechtlich zum Nachweis eines technisch-organisatorischen Maßnahmenkonzepts in Zeiten von Cloud Computing und Virtualisierung geeignet sind, setzt grundlegend voraus, dass diese auch die Besonderheiten auf allen Ebenen einer IT-Sicherheitsarchitektur abbilden, wie sie sich im Rahmen der Daten- und Informationssicherheit gezeigt haben.1275 Im Folgenden wird ein exemplarischer Blick auf die Normen ISO / IEC 27001, ISO 9001, SAS 70, SSAE 16, ISAE 3402 sowie auf das TRUSTe Privacy Program, die STAR-Zertifizierung der Cloud Security Alliance und das „EuroCloud Star Audit“ geworfen. (a) I SO / IEC 27001 (einschließlich ISO / IEC 27002, ISO / IEC 27017, ISO / IEC 27018) (aa) Darstellung des Standards Die internationale Norm ISO / IEC 27001 („Information technology – Security techniques – Information security management systems – Require1273 Vgl. Giebichenstein / Weiss, DuD 2011, 338; EuroCloud Deutschland_eco, Leitfaden Cloud Computing, S. 15; Hennrich, CR 2011, 546 (551); Niemann / Hennrich, CR 2010, 686 (690). 1274 Vgl. BMWi, Das Normungs- und Standardisierungsumfeld von Cloud Computing, S. 8 ff. 1275 Siehe oben unter C.V.3.
268 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
ments“) wurde in deutscher Sprachfassung vom fachlich zuständigen Arbeitsausschuss „IT-Sicherheitsverfahren“ des Normenausschusses Informa tionstechnik und Anwendungen (NIA) im DIN1276 ohne Änderungen in das Deutsche Normenwerk übernommen („DIN ISO / IEC 27001:2005 – Informationstechnik – IT-Sicherheitsverfahren – Informationssicherheits-Managementsysteme – Anforderungen“).1277 Sie ging im Jahr 2005 aus dem British Standard BS 7799-2 hervor und wurde vom ISO / IEC JTC 1 / SC 271278 entwickelt.1279 Die Norm verfolgt das Ziel, die Anforderungen für die Einrichtung, Umsetzung, Durchführung, Überwachung, Überprüfung, Instandhaltung und Verbesserung eines Informationssicherheits-Managementsystems (ISMS) im Rahmen eines prozessorientierten Ansatzes darzustellen.1280 Gestaltung und Umsetzung eines ISMS hängen dabei von den Bedürfnissen, Zielen, Sicherheitsanforderungen, eingesetzten Verfahren sowie von der Größe und Struktur der jeweiligen Organisation ab.1281 Für den zugrunde liegenden prozessorientierten Ansatz wird in der Norm die Wichtigkeit der folgenden vier Punkte hervorgehoben: (1) Verständnis der Anforderungen der jeweiligen Organisation an die Informationssicherheit sowie die Notwendigkeit, hierfür eine Leitlinie und Ziele festzulegen, (2) Umsetzung und Betrieb von Maßnahmen zur Verwaltung der Informationssicherheitsrisiken einer Organisation in Zusammenhang mit den allgemeinen Geschäftsrisiken der Organisation, (3) Überwachung und Überprüfung der Leistung und Wirksamkeit eines ISMS, (4) ständige Verbesserung auf Basis objektiver Messungen.1282 Zur Strukturierung der ISMS-Prozesse wendet die Norm ein „Plan-Do-Check-Act“-Modell an, das auch die in OECD-Richtlinien enthaltenen Grundsätze an die Sicherheit in Informationssystemen und Netzen abbilden soll.1283 1276 DIN
Deutsches Institut für Normung e. V. (DIN). ISO / IEC 27001:2008-09, S. 3; im Folgenden als „ISO / IEC 27001“ bezeichnet; im September 2013 wurde die überarbeitete Version ISO / IEC 27001:2013 veröffentlicht, von der gegenwärtig aber erst die englische Sprachfassung verfügbar ist. 1278 International Organization for Standardization / International Electrotechnical Commission – Joint Technical Committee 1 „Information Technology“ / Subcommittee 27 „Security techniques“ (ISO / IEC JTC 1 / SC 27), siehe DIN ISO / IEC 27001: 2008-09, S. 3. 1279 DIN ISO / IEC 27001:2008-09, S. 3; Fraunhofer SIT, On the Security of Cloud Storage Devices, S. 34; Doubrava / Münch, in: Leupold / Glossner, IT-Recht, Teil 4 Rn. 63. 1280 DIN ISO / IEC 27001:2008-09, S. 3, 5; Küchler, in: Bräutigam, IT-Outsourc ing und Cloud-Computing, Teil 1 Rn. 184. 1281 DIN ISO / IEC 27001:2008-09, S. 5. 1282 DIN ISO / IEC 27001:2008-09, S. 5. 1283 DIN ISO / IEC 27001:2008-09, S. 5 ff. 1277 DIN
VI. Auftragsdatenverarbeitung (§ 11 BDSG)269
Ein ISMS nach ISO / IEC 27001 soll grundsätzlich sicherstellen, dass adäquate und angemessene Sicherheitsmaßnahmen ausgewählt werden, um Aspekte der Informationssicherheit zu gewährleisten.1284 Hierfür sind die in der Norm festgelegten Anforderungen von allgemeiner Natur und von einem niedrigen technischen Detaillierungsgrad, um unabhängig von Art, Größe und Beschaffenheit einer Organisation sowie von technischen Neuerungen anwendbar zu sein.1285 Weitere Maßnahmen und Maßnahmenziele sind in einem normativen Anhang enthalten.1286 Den bewusst niedrig gehaltenen technischen Detaillierungsgrad verdeutlicht ein beispielhafter Blick auf Maßnahmen, die sich in Bezug auf Sicherheitsbereiche (A.9.1.2, Zutrittskontrolle: „Sicherheitsbereiche müssen durch angemessene Zutrittskontrollen geschützt sein, um sicherzustellen, dass nur autorisierten Mitarbeitern Zutritt gewährt wird.“)1287 oder hinsichtlich der Sicherheit von Betriebsmitteln (A.9.2.2., Unterstützende Versorgungseinrichtungen: „Betriebsmittel müssen vor Stromausfällen und Ausfällen anderer Versorgungseinrichtungen geschützt werden.“)1288 wiederfinden. Eine inhaltliche Präzisierung bietet ISO / IEC 27002:2005 („Informationstechnik – IT-Sicherheitsverfahren – Leitfaden für das Informationssicherheits-Management“), die als „code of practice“ für die Entwicklung eines ISMS eine Sammlung verschiedener Maßnahmen enthält.1289 Konkrete technische Umsetzungsmaßnahmen sind aber immer anhand der individuellen Besonderheiten einer Organisation einzelfallbezogen festzulegen. Die Zertifizierung eines ISMS ist allein nach ISO / IEC 27001 möglich.1290 Aufbauend auf dieser Norm können weitere nationale Zertifizierungsschemata entwickelt werden, wie das vom BSI entwickelte Zertifizierungsschema für Informationssicherheit, das ISO / IEC 27001-Zertifizierungen auf Basis der IT-Grundschutz-Kataloge ermöglicht.1291 1284 DIN
ISO / IEC 27001:2008-09, S. 7. ISO / IEC 27001:2008-09, S. 3, 8. 1286 DIN ISO / IEC 27001:2008-09, S. 21 ff. 1287 DIN ISO / IEC 27001:2008-09, S. 25. 1288 DIN ISO / IEC 27001:2008-09, S. 26. 1289 DIN ISO / IEC 27001:2008-09, S. 3 f. – mit dem Ziel, sämtliche ISMS-Standards als ISO / IEC 27000er-Reihe zusammenzuführen, wurde der ursprünglich Entwurf der Norm E DIN ISO / IEC 17799:2007-02 schließlich als DIN ISO / IEC 27002 veröffentlicht; Doubrava / Münch, in: Leupold / Glossner, IT-Recht, Teil 4 Rn. 63; zur Entwicklung einer Informationssicherheitsstrategie eines Automobilherstellers im Rahmen von ISO 27002 siehe Fibíková / Müller, DuD 2013, S. 7 ff. 1290 Küchler, in: Bräutigam, IT-Outsourcing und Cloud-Computing, Teil 1 Rn. 184; BSI, Informationssicherheit und IT-Grundschutz, S. 22. 1291 DIN ISO / IEC 27001:2008-09, S. 3; BSI, IT-Grundschutz-Kataloge, 13. EL, 1.2, 1.3, 1.4; BSI, Informationssicherheit und IT-Grundschutz, S. 158 f. 1285 DIN
270 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
(bb) Bewertung Ein Vorteil der Norm ISO / IEC 27001 liegt vor allem darin, dass es sich um einen äußerst anerkannten Standard zum Nachweis eines wirksamen ISMS handelt.1292 Zahlreiche Rechenzentren sind in Deutschland entsprechend zertifiziert. Als nachteilig erweist sich der kostenintensive und zeitaufwändige Zertifizierungsprozess gerade für KMU als Cloud-Anbieter.1293 Aufgrund des niedrigen technischen Detaillierungsgrads der Norm kann aus einer bloßen Bezugnahme auf eine ISO / IEC 27001-Zertifizierung zugleich noch nicht hervorgehen, welche technischen und organisatorischen Maßnahmen im Einzelfall konkret implementiert sind.1294 Zu Recht weist das Fraunhofer SIT darauf hin, dass nicht zwangsläufig davon ausgegangen werden kann, dass ein derart zertifiziertes Unternehmen datenschutzrechtliche Anforderungen an technische und organisatorische Maßnahmen vollständig erfüllt.1295 Um sich insoweit Gewissheit zu verschaffen, wird stets ein Audit vor Ort oder eine Einsichtnahme in den Prüfbericht erforderlich sein. Sofern mit der Kenntniserlangung von konkreten Maßnahmen Anstrengungen verbunden sind, widerspricht dies dem Cloud Computing immanenten Ansatz einer einfachen Bereitstellung. Obwohl in diesem Kontext Zertifizierungen und standardisierte Prüfberichte grundsätzlich einen praxis tauglichen Lösungsweg darstellen, zeigt sich anhand eines anerkannten Branchenstandards wie ISO / IEC 27001, dass dieser gerade nicht als Nachweis für datenschutzrechtliche Anforderungen konzipiert wurde. Ein weitergehendes nationales ISO / IEC 27001-Zertifizierungsschema, wie auf Basis der IT-Grundschutz-Kataloge des BSI, kann gegenüber einem der Norm nativ zugrunde liegenden Zertifizierungsschema zusätzliches Vertrauen für sich beanspruchen. Allerdings fehlt auch hier ein spezieller Zuschnitt auf die Anforderungen des Datenschutzes, wie ein einleitender Hinweis zu den Neuerungen der 13. Ergänzungslieferung der IT-Grundschutz-Kataloge aus dem September 2013 zeigt. Zwar wurde mit dieser Ergänzungslieferung die Aufbereitung und Nutzung des Bausteins B 1.5 „Datenschutz“ durch eine vollständige Integration in die IT-GrundschutzKataloge vereinfacht, der aber weiterhin kein notwendiger Bestandteil einer Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz ist.1296 1292 Doubrava / Münch, in: Leupold / Glossner, IT-Recht, Teil 4 Rn. 63; vgl. Feik / von Lewinski, ZD 2014, 59 (60). 1293 EuroCloud Deutschland_eco, Studie zur Akzeptanz von Cloud Computing (2014), S. 34. 1294 So auch Höllwarth, Cloud Migration, S. 234. 1295 Fraunhofer SIT, On the Security of Cloud Storage Devices, S. 35.
VI. Auftragsdatenverarbeitung (§ 11 BDSG)271
(cc) A usblick auf Weiterentwicklungen: ISO / IEC 27017 (Cloud Computing auf Basis von ISO / IEC 27002) und ISO / IEC 27018 (Datenschutz in Public Clouds) Im Hinblick auf Cloud Computing und Datenschutz wurden die bestehenden Defizite von ISO / IEC 27001 auch vom zuständigen Unterausschuss ISO / IEC JTC 1 / SC 27 erkannt.1297 Da der „code of practice“ nach ISO / IEC 27002 bestimmte Sicherheitsanforderungen von Cloud Computing nicht enthält beziehungsweise zu einer anderen Bewertung führt, wurde mit ISO / IEC 27017 („Information technology – Security techniques – Code of practice for information security controls for cloud computing services based on ISO / IEC 27002“) die Entwicklung eines neuen Standards aufgenommen, der den „code of practice“ nach ISO / IEC 27002 um für Cloud-Anbieter und Nutzer relevante Erklärungen ergänzt.1298 Zugleich befindet sich mit ISO / IEC 27018 („Information technology – Security techniques – Code of practice for PII1299 protection in public cloud acting as PII processors“) ein Standard in Entwicklung, der Datenschutz in Public Clouds gewährleisten soll.1300 Mit ISO / IEC 17788 (Cloud Computing Vocabulary) und ISO / IEC 17789 (Cloud Computing Reference Architecture) sind weitere cloud-spezifische Standards in Arbeit.1301 Für Stellungnahmen und Bewertungen ist es derzeit noch zu früh. Die begonnene Entwicklung an diesen neuen Standards untermauert aber die vorherige Bewertung, wonach ISO / IEC 27001 im bisherigen Umfang den Herausforderungen von Cloud Computing nur bedingt gerecht wird. 1296
(b) ISO 9001 Die Norm ISO 9001:2008 („Qualitätsmanagementsysteme – Anforderun gen“)1302 ersetzt die Ausgabe ISO 9001:2000 und wurde vom Technischen Komitee ISO / TC 176 („Quality management and quality assurance“) in Zusammenarbeit mit dem für „Quality assurance“ zuständigen Komitee des Europäischen Komitees für Normung (CEN)1303 erarbeitet.1304 Zuständiges 1296 BSI,
IT-Grundschutz-Kataloge, Neues in der 13. EL, S. XI. in: Leupold / Glossner, IT-Recht, Teil 4 Rn. 63. 1298 Doubrava / Münch, in: Leupold / Glossner, IT-Recht, Teil 4 Rn. 63 ff. 1299 Personally Identifiable Information (PII). 1300 Doubrava / Münch, in: Leupold / Glossner, IT-Recht, Teil 4 Rn. 63. 1301 Doubrava / Münch, in: Leupold / Glossner, IT-Recht, Teil 4 Rn. 66. 1302 Im Folgenden als „ISO 9001“ bezeichnet. 1303 Comité Européen de Normalisation / European Committee for Standardization / Europäisches Komitee für Normung. 1304 DIN EN ISO 9001:2008-12, S. 2; EN ISO 9001:2008 (D / E / F), S. 2; DIN, Qualitätsmanagement, S. 2. 1297 Doubrava / Münch,
272 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
Gremium im DIN ist der „Normenausschuss Qualitätsmanagement, Statistik und Zertifizierungsgrundlagen“ (NQSZ).1305 Seit dem Erscheinen der ersten Ausgabe der Norm im Jahr 1987 soll ISO 9001 bis heute von über 1 Million Organisationen in 176 Ländern als Grundlage für das organisationsinterne Qualitätsmanagement angewendet worden sein.1306 ISO 9001 verfolgt – ähnlich zu der Norm ISO / IEC 27001, die mit ISO 9001 und ISO 14001 (Anforderungen für Umweltmanagementsysteme) aus Aspekten einer Norm-Verträglichkeit abgestimmt wurde1307 – einen prozess orientierten Ansatz zur Festlegung der Anforderungen für die Entwicklung, Verwirklichung und Verbesserung der Wirksamkeit eines Qualitätsmanagementsystems.1308 Die festgelegten Anforderungen sollen dabei für organisationsinterne Anwendungszwecke oder für Zertifizierungs- oder Vertragszwecke verwendet werden können.1309 Ergänzt wird ISO 9001 durch die Norm ISO 9004, die einen Leitfaden für das Erzielen eines nachhaltigen Erfolgs in Bezug auf die Bedürfnisse und Erwartungen an eine Organisation sowie deren Zufriedenstellung durch systematische und kontinuierliche Verbesserung der Leistung bieten soll. Im Unterschied zu ISO 9001 ist ISO 9004 – auch hier ist eine Parallele zu ISO / IEC 27001 und ISO / IEC 27002 zu sehen – jedoch nicht für Zertifizierungs- oder Vertragszwecke vorgesehen.1310 Die in der Norm ISO 9001 festgelegten Anforderungen sind – ebenso vergleichbar zu ISO / IEC 27001 – von allgemeiner Natur und damit unabhängig von Art und Größe einer Organisation oder von der Art bereitgestellter Produkte anwendbar.1311 Der hieraus resultierende Umsetzungsspielraum hinsichtlich des von einer Organisation im Einzelfall zu implementierenden Qualitätsmanagementsystems muss konsequenterweise dazu führen, dass ISO 9001 im Hinblick auf die Herausforderungen von Cloud Computing im Ergebnis wie ISO / IEC 27001 zu bewerten ist.1312 Dementsprechend handelt es sich auch bei ISO 9001 um eine anerkannte Norm in Bezug auf die Wirksamkeit eines Qualitätsmanagementsystems, die aber nicht speziell zum Nachweis datenschutzrechtlicher Anforderungen konzipiert wurde. Aus einem pauschalen Verweis auf eine entsprechende Zertifizierung und ohne weiteren Einblick in einen zugrunde liegenden Prüfbericht kann daher nicht 1305 DIN
EN ISO 9001:2008-12, S. 2; DIN, Qualitätsmanagement, S. 2. Qualitätsmanagement, S. V (Vorwort). 1307 DIN ISO / IEC 27001:2008-09, S. 7. 1308 EN ISO 9001:2008 (D / E / F), S. 5 f.; DIN, Qualitätsmanagement, S. 9 f. 1309 EN ISO 9001:2008 (D / E / F), S. 11; DIN, Qualitätsmanagement, S. 15. 1310 EN ISO 9001:2008 (D / E / F), S. 11; DIN, Qualitätsmanagement, S. 15. 1311 EN ISO 9001:2008 (D / E / F), S. 13; DIN, Qualitätsmanagement, S. 17. 1312 Siehe insoweit oben unter C.VI.5.c)bb)(4)(a)(bb). 1306 DIN,
VI. Auftragsdatenverarbeitung (§ 11 BDSG)273
hervorgehen, welche technischen und organisatorischen Maßnahmen im Einzelfall konkret implementiert sind. (c) SAS 70, SSAE 16 und ISAE 3402 (aa) Darstellung der Standards Das „Statement on Auditing Standards No. 70“ (SAS 70) ist ein USamerikanischer Standard, der von dem American Institute of Certified Public Accountants (AICPA) entwickelt wurde.1313 Er ist als Nachweis der Anforderungen nach Section 404 „Sarbanes-Oxley Act“ (SOX) anerkannt, wonach einem börsennotierten Unternehmen durch einen unabhängigen Wirtschaftsprüfer in einem jährlichen Bericht zu bestätigen ist, dass ein internes Kontrollsystem effektiv implementiert wurde.1314 Es gibt zwei Arten von SAS-70-Reports, die sich in der Prüftiefe unterscheiden. In einem Type-I-Report wird anhand der Beschreibungen der jeweiligen Organisation bestätigt, dass ein internes Kontrollsystem zu einem bestimmten Zeitpunkt vorhanden ist.1315 Ein Type-II-Report umfasst dagegen sowohl einen TypeI-Report als auch eine darüber hinausgehende Prüfung der Wirksamkeit des internen Kontrollsystems.1316 Vordefinierte Kriterien und Standards liegen SAS 70 allerdings nicht zugrunde.1317 Es ist vielmehr Aufgabe der jeweiligen Organisation, den Umfang der implementierten Maßnahmen zu beschreiben, die in den abschließenden Audit-Report Eingang finden sollen.1318 SAS 70 wurde im Juni 2011 durch das ebenfalls von dem AICPA entwickelte „Statement on Standards for Attestation Engagements (SSAE) No. 16, Reporting on Controls at a Service Organization“ de facto ersetzt.1319 Zugleich wurden von dem AICPA auch drei Arten von Service Organization Control Reports (SOC 1 bis SOC 3) eingeführt. SSAE 16 ist dabei der offizielle Standard, in dem die Anforderungen für einen SOC-1-Report 1313 Fraunhofer SIT, On the Security of Cloud Storage Devices, S. 33; Niemann / Hennrich, CR 2010, 686 (689), Fn. 25; Paulini, Computerwoche v. 20.9.2011, http://www.computerwoche.de / a / was-taugen-cloud-zertifikate,2487626# (Stand: 1.7. 2015). 1314 Fraunhofer SIT, On the Security of Cloud Storage Devices, S. 33; zu Section 404 SOX a. a. O. (Fn. 1010). 1315 Fraunhofer SIT, On the Security of Cloud Storage Devices, S. 33. 1316 Fraunhofer SIT, On the Security of Cloud Storage Devices, S. 33; vgl. Hennrich, CR 2011, 546 (551 f.). 1317 Fraunhofer SIT, On the Security of Cloud Storage Devices, S. 33. 1318 Fraunhofer SIT, On the Security of Cloud Storage Devices, S. 33. 1319 Fraunhofer SIT, On the Security of Cloud Storage Devices, S. 33 f.; AICPA, SOC FAQs, S. 1.
274 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
enthalten sind.1320 Auch bei SSAE 16 / SOC 1 ist zwischen Type-I- und Type-II-Reports zu unterscheiden. Gegenüber SAS 70 bestehen die wichtigsten Unterschiede vor allem darin, dass es bei SSAE 16 einer schriftlichen Erklärung des Managements über die Angemessenheit des implementierten Kontrollsystems bedarf und dass Type-II-Reports nunmehr auf den gesamten Prüfungszeitraum abstellen.1321 SSAE 16 basiert auf dem „International Standard on Assurance Engagements (ISAE) 3402“, der von dem International Auditing and Assurance Standards Board (IAASB) entwickelt wurde.1322 (bb) Bewertung In Übereinstimmung mit der Bewertung des Fraunhofer SIT kann ein SAS-70-Report lediglich bescheinigen, dass ein Mindeststandard an internen Kontrollsystemen vorhanden ist.1323 Type-II-Reports können grundsätzlich auch eine Effektivität des implementierten Kontrollsystems nachweisen. Da SAS-70-Audits jedoch kein vordefinierter Maßnahmenkatalog zugrunde liegt und auf Seiten der Anbieter ein Umsetzungsspielraum verbleibt, kann anhand einer bloßen Bezugnahme auf einen SAS-70-Audit nicht auf das Vorhandensein bestimmter technischer und organisatorischer Maßnahmen geschlossen werden. Um sich insoweit Gewissheit zu verschaffen, ist der jeweilige Prüfbericht im Hinblick auf konkret implementierte technische und organisatorische Maßnahmen vielmehr einzelfallbezogen zu betrachten.1324 Wie schon zu ISO / IEC 27001 und ISO 9001 erörtert, widersprechen derart einzelfallbezogene Betrachtungen jedem Gedanken von „IT aus der Steckdose“.1325 Ob in einen Prüfbericht Einsicht genommen werden kann, wird auch hier von der Verhandlungskonstellation im Anbieter-Nutzer-Verhältnis abhängen und vor allem aus Sicherheits- und Wettbewerbsinteressen regelmäßig zu verneinen sein.1326 Anhand eines pauschalen Verweises auf ein SAS-70-Audit wird es einem Nutzer daher faktisch nicht möglich sein, das Vorhandensein konkret implementierter technischer und organisatorischer Maßnahmen zu beurteilen. Es zeigt sich vielmehr, dass der Standard primär 1320 AICPA,
SOC FAQs, S. 2, 5 (Question 8). SOC FAQs, S. 3 f. (Question 2). 1322 AICPA, SOC FAQs, S. 13 (Question 37 ff.). 1323 Fraunhofer SIT, On the Security of Cloud Storage Devices, S. 34. 1324 Vgl. Fraunhofer SIT, On the Security of Cloud Storage Devices, S. 34. 1325 Zu ISO / IEC 27001 siehe oben unter C.VI.5.c)bb)(4)(a)(bb), zu ISO 9001 unter C.VI.5.c)bb)(4)(b). 1326 Zu den Verhandlungskonstellationen vgl. oben unter C.VI.5.a)bb). 1321 AICPA,
VI. Auftragsdatenverarbeitung (§ 11 BDSG)275
eine Auditing-Funktion in einem Wirtschaftsprüfungskontext erfüllt und als datenschutzrechtlicher Nachweis für ein technisch-organisatorisches Maßnahmenkonzept zunächst einer Einsichtnahme in den Prüfbericht bedarf. Das gleiche Ergebnis ist auch für SSAE 16 (sowie zu dem hierzu ähnlichen Standard ISAE 3402) festzuhalten. Zwar handelt es sich bei SSAE 16 noch um einen relativ neuen Standard. Allerdings liegt auch ihm kein konkreter und detaillierter Maßnahmenkatalog zugrunde, wonach eine datenschutzrechtlich verantwortliche Stelle davon ausgehen kann, das anbieterseitig ein technisch-organisatorisches Maßnahmenpaket implementiert wurde, dass den Herausforderungen von Cloud Computing auf den Ebenen einer IT-Sicherheitsarchitektur gerecht wird. SSAE 16 verfolgt vielmehr AuditReporting-Funktionen und geht von Möglichkeiten einer Einsichtnahme, wie etwa durch einen Wirtschaftsprüfer, aus. (d) TRUSTe Privacy Program Das kalifornische Unternehmen TRUSTe sieht sich selbst als der weltweit führende Anbieter von Data-Privacy-Management-Lösungen.1327 Bekannt ist das TRUSTe Privacy Program, das weltweit von über 5.000 Unternehmen, darunter bekannten US-Unternehmen (exemplarisch Apple, Oracle, Nike, eBay), genutzt wird.1328 Es umfasst zahlreiche Lösungen und Plattformen für „privacy assessments“, „privacy certifications“, „website monitoring services“ oder „trusted apps“.1329 Bezüge zu europäischem Datenschutzrecht zeigen sich vor allem im für US-Unternehmen bedeutsamen Kontext internationaler Datentransfers. TRUSTe bietet hierzu etwa eine CompliancePrüfung im Rahmen des „TRUSTe EU Safe Harbor Certification Seal Program“ sowie ein „Binding Corporate Rules Management Program“ an.1330 Aufgrund der US-amerikanischen Perspektive sind TRUSTe-Zertifizierungen aber nicht als Nachweis für technische und organisatorische Maßnahmen nach dem BDSG konzipiert.
1327 http://www.truste.com / about-TRUSTe /
(Stand: 1.7.2015). Unternehmen finden sich unter http://www.truste.com / custo mer-success / (Stand: 1.7.2015); vgl. exemplarisch für Apple http://www.apple.com / privacy / (Stand: 1.7.2015). 1329 http://www.truste.com / about-TRUSTe / (Stand: 1.7.2015). 1330 http://www.truste.com / products-and-services / enterprise-privacy / eu-safe-har bor-seal (Stand: 1.7.2015), http://www.truste.com / products-and-services / enterpriseprivacy / binding-corporate-rules (Stand: 1.7.2015). 1328 Teilnehmende
276 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
(e) Cloud Security Alliance STAR Certification Mit zahlreichen „local chapters“ auf der ganzen Welt sowie mit führenden IT-Unternehmen als „corporate members“ ist es das Ziel der im Jahr 2009 in den USA gegründete Cloud Security Alliance (CSA), die Entwicklung von „best practices“ zur Gewährleistung von Sicherheit bei Cloud Computing zu unterstützen.1331 Die CSA hat hierzu zahlreiche anerkannte Publikationen veröffentlicht, wie vor allem die „CSA Security Guidance for Critical Areas of Focus in Cloud Computing“.1332 Als Bestandteil eines mehrstufigen „Open Certification Framework“ kann für eine IT-Sicherheitsumgebung unter anderem eine „CSA STAR Certification“ erlangt werden, die von einem unabhängigen Dritten durchgeführt wird und auf ISO / IEC 27001 sowie der „CSA Cloud Controls Matrix“ (verschiedene Kriterien zur Messung eines Cloud-Services) basiert.1333 Mit Blick auf datenschutzrechtliche Anforderungen kann daher auf das zu ISO / IEC 27001 festgehaltene Ergebnis grundsätzlich zurückgegriffen werden. (f) EuroCloud Star Audit (aa) Gegenstand der Zertifizierung Das „EuroCloud Star Audit“ war das erste Zertifizierungsschema für Cloud-Services in Europa.1334 Durch eine jeweils spezifische Ausrichtung auf IaaS, PaaS und SaaS sowie durch verschiedene Abstufungen soll für Nutzer ein hohes Maß an Sicherheit und Transparenz in Bezug auf die Verlässlichkeit eines Cloud-Anbieters gewährleistet werden.1335 Zur besseren Verdeutlichung einer EuroCloud-Star-Audit-Zertifizierung wird im Folgenden ein exemplarischer Blick auf das „EuroCloud Star Audit SaaS“ geworfen, das im Jahr 2011 von dem EuroCloud Deutschland_eco e. V., dem im Dezember 2009 gegründeten Verband der deutschen Cloud-Computing-Wirtschaft im europäischen EuroCloud-Netzwerk,1336 zusammen mit zahlreichen Partnern (unter anderem in Abstimmung mit dem Eckpunkte 1331 https://cloudsecurityalliance.org / membership / , https://cloudsecurityalliance. org / about / (jeweils Stand: 1.7.2015). 1332 https://cloudsecurityalliance.org/guidance/csaguide.v3.0.pdf (Stand: 1.7.2015); Doubrava / Münch, in: Leupold / Glossner, IT-Recht, Teil 4 Rn. 67. 1333 https://cloudsecurityalliance.org / star / certification / (Stand: 1.7.2015); Doubrava / Münch, in: Leupold / Glossner, IT-Recht, Teil 4 Rn. 69. 1334 https://eurocloud-staraudit.eu/home/scope.html (Stand: 1.7.2015). 1335 https://eurocloud-staraudit.eu/certificates.html; https://eurocloud-staraudit.eu/ home/scope.html (jeweils Stand: 1.7.2015). 1336 http://www.eurocloud.de/ueber-uns.html (Stand: 1.7.2015).
VI. Auftragsdatenverarbeitung (§ 11 BDSG)277
papier des BSI zu Sicherheitsempfehlungen für Cloud Computing Anbieter) entwickelt wurde.1337 Das der „EuroCloud Star Audit SaaS“-Zertifizierung vorausgehende Audit umfasst die Bewertungskategorien Anbieterprofil, Vertrag und Compliance (einschließlich Datenschutzanforderungen), allgemeine Sicherheit, Betrieb und Infrastruktur, Betriebsprozesse, Anwendung und Implementierung.1338 Es beginnt mit der Beantwortung eines Fragebogens zu diesen Kategorien (aktuell ca. 220 Fragen; ein „Guide for Customer“ bietet hierzu Erläuterungen und enthält eine Auflistung möglicher Antworten), an die sich – nach Auswertung des Fragebogens und einer Plausibilitätsprüfung – ein Gespräch mit dem SaaS-Anbieter sowie eine Begehung vor Ort anschließt.1339 Die Bewertung erfolgt anhand einer festgelegten und objektiven Einordnung in ein Punktesystem, wonach Gütestufen von einem Stern bis fünf Sterne erreicht werden können.1340 Für einen Stern beschränken sich die Anforderungen auf die Bewertungskategorien Vertrag und Compliance (Prüfung aller Kündigungsvereinbarungen, Prüfen der Datenübergabeprozesse, „Analyse des gesamten Datenschutzbereichs“ im Sinne einer Konformität der vertraglichen Vereinbarungen mit den Datenschutzanforderungen des BDSG, Prüfen des Datenlöschverfahrens) sowie Betrieb und In frastruktur (Nachweis der Minimalanforderungen für einen Rechenzentrumsbetrieb durch Analyse bestehender Zertifizierungen oder Begehung vor Ort; hierzu zählen vor allem eine redundante Stromversorgung, eine redundante Internetanbindung sowie eine grundlegende Arealsicherheit).1341 Auf jeder neuen Stufe werden die Anforderungen der vorherigen Stufe um zusätzliche Anforderungen ergänzt. Die am weitesten gehende 5-SterneGütestufe bescheinigt unter anderem, dass ein Anbieter über eine redundante Bereitstellung des Serviceangebots über mindestens zwei Rechenzentren mit einer Verfügbarkeit von 99,99 % und einer hochausfallsicheren Infrastruktur verfügt.1342 Eine erfolgreiche Star-Audit-Zertifizierung ist für 24 Monate gültig.1343 1337 Giebichenstein / Weiss,
DuD 2011, 338 f. DuD 2011, 338 (339). 1339 EuroCloud Deutschland_eco, Star Audit SaaS Kurzinformation, S. 4 f. 1340 EuroCloud Deutschland_eco, Star Audit SaaS Kurzinformation, S. 5; Giebichenstein / Weiss, DuD 2011, 338 (339); ausführlich zu dem jeweiligen Erfüllungsgrad des Punktesystems Leupold, in: Leupold / Glossner, IT-Recht, Teil 4 Rn. 81 ff.; Höllwarth, Cloud Migration, S. 234 ff. 1341 EuroCloud Deutschland_eco, Star Audit SaaS Kurzinformation, S. 10; Leupold, in: Leupold / Glossner, IT-Recht, Teil 4 Rn. 82; Höllwarth, Cloud Migration, S. 235. 1342 EuroCloud Deutschland_eco, Star Audit SaaS Kurzinformation, S. 14. 1343 EuroCloud Deutschland_eco, Star Audit SaaS Kurzinformation, S. 5. 1338 Giebichenstein / Weiss,
278 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
(bb) Bewertung Das „EuroCloud Star Audit“ soll nach Angaben des EuroCloud Deutschland_eco eine transparente und bezüglich der Kosten vertretbare Prüfung von Cloud-Anbietern ermöglichen.1344 Gerade das „EuroCloud Star Audit SaaS“ wurde dabei vor dem Hintergrund entwickelt, dass bisher etablierte Zertifizierungen (wie ISO / IEC 27001, SAS 70 Type II, ISAE 3402) im Kontext von Cloud Computing nur Teilbereiche der Anforderungen des Datenschutzes und der Datensicherheit abdecken.1345 Um allen qualitativen und quantitativen Sicherheitsaspekten bei der Entwicklung des Fragenkatalogs Rechnung zu tragen, wurden SaaS-Anbieter, Berater, Rechtsanwälte und Behördenvertreter eingebunden sowie cloud-spezifische Empfehlungen (wie von ENISA, BSI, der Cloud Security Alliance oder Standards der ISO) und das Know-how des eco-Verbands zu dem Data Center Star Audit berücksichtigt.1346 So bestätigt etwa die Gütestufe einer 4-Sterne-Zertifizierung unter anderem, dass die Service-Prozesse den Anforderungen gemäß ITIL und ISO / IEC 27001 entsprechen.1347 Derart allumfassende Ansätze sind im Kontext hochstandardisierter Cloud-Services zu begrüßen und haben Vorbildcharakter. Als Verband der deutschen Cloud-Computing-Wirtschaft hat der EuroCloud Deutschland_ eco e. V. sehr schnell die Zeichen der Zeit und die Notwendigkeit einfacher, transparenter und möglichst allumfassender Zertifizierungen erkannt. Die Berücksichtigung der anderen Service Modelle erfolgte alsbald durch das „EuroCloud Star Audit IaaS“ sowie das „EuroCloud Star Audit PaaS“. Da es sich bei dem „EuroCloud Star Audit“ noch um ein relativ junges Zertifizierungsschema handelt, muss das Vertrauen der Marktteilnehmer aber noch erarbeitet werden beziehungsweise es muss die Bekanntheit weiter gesteigert werden.1348 Mit Blick auf die bereits bestehende Akzeptanz und Verbreitung der „Datacenter Star Audit“-Auszeichnung des eco-Verbands der deutschen Internetwirtschaft erscheint dies aber als aussichtsreich. Allerdings geht ein „best of“-Konzept in der Regel zu Lasten der Prüftiefe. Vorliegend zeigt sich dies nicht zuletzt daran, dass mit einem „zeitnahen Auditablauf“ geworben wird, wonach das Audit bis zur Überreichung 1344 EuroCloud Deutschland_eco, Studie zur Akzeptanz von Cloud Computing (2014), S. 34. 1345 Giebichenstein / Weiss, DuD 2011, 338 (339). 1346 Giebichenstein / Weiss, DuD 2011, 338 f. 1347 EuroCloud Deutschland_eco, Star Audit SaaS Kurzinformation, S. 13. 1348 Vgl. EuroCloud Deutschland_eco, Studie zur Akzeptanz von Cloud Comput ing (2014), S. 41.
VI. Auftragsdatenverarbeitung (§ 11 BDSG)279
der Urkunde „in einem Zeitraum von 3 bis 6 Wochen“ erlangt werden kann.1349 Aus Sicht des Datenschutzes wird die fehlende Prüftiefe vor allem daran deutlich, dass dieser zwar auf vertraglicher Ebene Berücksichtigung finden soll, es im Übrigen aber nicht klar wird, welche konkreten Anforderungen (insbesondere mit Blick auf die komplexe Daten- und Informationssicherheit nach § 9 BDSG oder den Anforderungskatalog von § 11 BDSG) im Rahmen welcher Sterne-Zertifizierungsstufe überprüft werden.1350 Aus Sicht des Datenschutzes besteht daher noch weiterer Optimierungsbedarf. (g) E rgebnis – Die Entwicklung geeigneter Zertifizierungen für das Cloud-Zeitalter Die in der gegenwärtigen Cloud-Computing-Praxis in Bezug genommenen Zertifizierungen und Audits haben in der Regel (noch) keinen spezifisch datenschutzrechtlichen Bezugspunkt, sondern stellen bestimmte Branchenstandards (etwa Wirtschaftsprüfungsstandards) dar oder bescheinigen lediglich die Implementierung eines ISMS (wie ISO / IEC 27001).1351 Ob die jeweilige „Schnittmenge eines Zertifikats“ zu technisch-organisatorischen Maßnahmen datenschutzrechtlichen Anforderungen genügt, ist ohne vertiefende Prüfung und entsprechendes Know-how meist nicht ersichtlich. Andere Zertifizierungen mit einem spezifischen Fokus auf Datenschutz (wie zum Beispiel das „Datenschutz-Gütesiegel beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein“)1352 sind wiederum noch nicht vor dem spezifischen Hintergrund von Cloud Computing und der hiermit verbundenen Herausforderungen auf allen Ebenen einer IT-Sicherheitsarchitektur konzipiert worden. Zur Festlegung praxisgerechter Prüfkriterien sollten bei künftigen Zertifizierungen nach Möglichkeit die Interessen aller Beteiligten (vor allem Anbieter, Nutzer, Datenschutzbehörden) Berücksichtigung finden.1353 Zu entwickelnde Zertifizierungen des Cloud-Zeitalters bedürfen dabei sowohl eines cloud-spezifischen als auch eines datenschutzspezifischen Bezugspunkts, damit einem Nutzer selbst bei kurzfristiger Leistungsinanspruchnahme auf einen Blick und ohne Aufwand der verlässliche Rückschluss auf das Vorhandensein eines technisch-organisatorischen Maßnahmenkonzepts möglich 1349 EuroCloud
Deutschland_eco, Star Audit SaaS Kurzinformation, S. 4. Brennscheidt, Cloud Computing und Datenschutz, S. 112. 1351 Vgl. Hennrich, CR 2011, 546 (551 f.); Brennscheidt, Cloud Computing und Datenschutz, S. 110 f. 1352 https://www.datenschutzzentrum.de / guetesiegel / (Stand: 1.7.2015). 1353 Vgl. Trusted Cloud, Datenschutzrechtliche Lösungen für Cloud Computing, S. 15 f.; Feik / von Lewinski, ZD 2014, 59 (62). 1350 Vgl.
280 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
ist.1354 Die Entwicklung von ISO / IEC 27017 und ISO / IEC 27018 ist unter diesem Gesichtspunkt folgerichtig. Grundsätzlich wird im Hinblick auf die Herausforderungen von Cloud Computing an einen Rechtsrahmen für Datenschutz davon ausgegangen, dass einer standardisierten Bereitstellung von IT datenschutzrechtlich nur durch ebenso standardisierte Zertifizierungsschemata nachgekommen werden kann. Auch die Kommission hat in ihrem Strategiepapier zu Cloud Computing angekündigt, zuverlässige und vertrauenswürdige Cloud-Angebote zu fördern und auf EU-Ebene anzuerkennen, wie sie gegenwärtig von dem Europäischen Institut für Telekommunikationsnormen (ETSI) oder in Zusammenarbeit mit der ENISA und anderen Institutionen entwickelt werden.1355 Mit dem Ziel, die Expertise aus verschiedenen Zertifizierungsbereichen zusammenzutragen, und vor dem Hintergrund, dass Art. 39 DS-GVOE Zertifizierungen ausdrücklich in Bezug nimmt, hat die ENISA im Oktober 2013 eine Studie zur „Security certification practice in the EU“ veröffentlicht.1356 Neben der Entwicklung der cloud-spezifischen Standards ISO / IEC 27017 und ISO / IEC 27018 sind weitere Entwicklungen daher gerade auch auf europäischer Ebene zu erwarten. cc) Lösungsmöglichkeiten, Anforderungen an einen künftigen Rechtsrahmen und EU-Datenschutzreform Die mit Cloud Computing eingeleitete Standardisierung in der Bereitstellung von IT lässt sich nicht rückgängig machen. Sofern IT „as a Service“ zur jederzeitigen Nutzung bereitsteht, hat sich gezeigt, dass komplexe Prüfungen und umfangreiche vertragliche Festlegungen keine praxistaugliche Lösung sind. Ganz im Sinne einer technischen und rechtlichen Standardisierung erscheint daher ein gewisser Automatismus anhand von Standardverträgen und Zertifizierungen auch datenschutzrechtlich als unausweichlich.1357 Einen Handlungsbedarf in Bezug auf standardisierte Verträge hat auch die Kommission erkannt. Im Oktober 2013 hat sie eine Expertengruppe eingesetzt, „die auf der Grundlage eines fakultativen Rechtsinstruments sichere und faire Bedingungen für Cloud-Computing-Verträge ausarbeiten soll. Dabei sollen Verfahren ermittelt werden, wie den Bedenken von Verbrauchern und kleinen Unternehmen Rechnung getragen werden kann, die aufLDI NRW, 21. DIB, S. 3; Sydow / Kring, ZD 2014, 271 (275). 529, S. 12; siehe hierzu bereits oben unter C.II.4.a)cc). 1356 ENISA, Security certification practice in the EU, S. 1 ff. 1357 Vgl. Deutscher Anwaltverein, Stellungnahme 43 / 2011, S. 4; Kühling / Biendl, CR 2014, 150 (152); Sydow / Kring, ZD 2014, 271 (275); vgl. zuvor unter C.VI.5.c) bb)(4)(g). 1354 Vgl.
1355 COM(2012)
VI. Auftragsdatenverarbeitung (§ 11 BDSG)281
grund vager Vertragsbestimmungen oftmals zögern, Cloud-ComputingDienstleistungen in Anspruch zu nehmen.“1358 Zertifizierungen sind im Kontext der standardisierten IT-Bereitstellung von zentraler Bedeutung. Die wirtschaftlichen Vorteile von Cloud Computing liegen gerade in kurzfristigen Nutzungsszenarien. Bei einer flexiblen Inanspruchnahme erscheinen aber selbst faktisch mögliche Kontrollen (etwa bei nur einem Standort) bereits aus Zeitgründen als nicht durchführbar. Die Delegierung der Kontrollpflichten auf Dritte mit einem Nachweis anhand von Zertifikaten ist daher europaweit möglichst einheitlich auszugestalten (insbesondere mit Blick auf einheitliche Prüfkriterien und Anforderungen an öffentliche und private Stellen, die als fachlich Qualifizierte mit der Erstellung von Zertifikaten und Gütesiegeln beauftragt werden).1359 Am Markt werden sich Zertifizierungen und Audits nur dann durchsetzen, wenn Nutzer ihnen vertrauen.1360 Datenschutzspezifische Zertifizierungen und Audits sind daher aus Vertrauensgesichtspunkten entsprechend zu bewerben, damit sie sich im Bewusstsein der Nutzer verankern und für einen schnellen Wiedererkennungseffekt sorgen. Für die datenverarbeitende Stelle werden zugleich Anreize geschaffen, sich durch derartige Nachweise von Mitbewerbern zu unterscheiden.1361 Vor diesem Hintergrund ist es zu begrüßen, dass im Zuge der EU-Datenschutzreform datenschutzspezifische Zertifizierungsverfahren sowie Datenschutzsiegel und -zeichen aufgegriffen werden. Nach Art. 39 Abs. 1 DSGVO-E soll deren Einführung durch die Mitgliedstaaten und die Kommis sion gefördert werden, damit betroffene Personen rasch das auf Seiten einer verantwortlichen Stelle oder eines Auftragsverarbeiters gewährleistete Datenschutzniveau in Erfahrung bringen können. Allerdings verbleibt die konkrete Umsetzung offen, da die Kommission zu delegierten Rechtsakten ermächtigt ist, um die Kriterien und Anforderungen für diese datenschutzspezifischen Zertifizierungsverfahren festzulegen (Art. 39 Abs. 2 DS-GVO-E). Das Europäische Parlament hat in dem am 12. März 2014 angenommenen Verordnungsentwurf Art. 39 DS-GVO-E komplett überarbeitet und um zahlreiche Details (etwa zu Prüfstellen und der Akkreditierung unparteiischer Prüfer) erweitert.1362 Zertifizierungen durch eine Datenschutzbehörde 1358 Pressemitteilung der Kommission v. 28.10.2013, http://europa.eu/rapid/pressrelease_IP-13-990_de.htm (Stand: 1.7.2015). 1359 Vgl. oben unter C.VI.5.c)bb)(2)(b); vgl. Trusted Cloud, Datenschutzrechtliche Lösungen für Cloud Computing, S. 15 ff. 1360 Vgl. Hornung / Hartl, ZD 2014, 219 (221). 1361 Zu den Vorteilen für Datenverarbeiter Hornung / Hartl, ZD 2014, 219 (220). 1362 EP, Entschließung v. 12.3.2014, 2013 / 2188(INI), P7_TA-PROV(2014)0212; Hornung / Hartl, ZD 2014, 219 (223 ff.).
282 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
kommt hierbei eine zentrale Rolle zu. Sie sollen bestätigen, dass eine Datenverarbeitung im Einklang mit der Verordnung erfolgt. Mit Blick auf die standardisierte Bereitstellung von IT als Herausforderung von Cloud Computing bewegt sich der Entwurf des Europäischen Parlaments daher in die richtige Richtung. Die hohe Bedeutung von Zertifizierungen für standardisierte Datenverarbeitungsszenarien kommt auch in der umfangreichen Überarbeitung von Art. 39 DS-GVO zum Ausdruck, die der Rat der EU in der allgemeinen Ausrichtung vom 11. Juni 2015 vorgelegt hat. Datenschutzspezifische Zertifizierungsverfahren, Datenschutzsiegel und -prüfzeichen sowie Zertifizierungsstellen (für letztere wurde ein neuer Art. 39a DS-GVO eingefügt) nehmen hiernach eine zentrale Rolle ein.1363 Zertifizierungen nach diesem Artikel sollen durch die Zertifizierungsstellen nach Art. 39a DS-GVO, durch die zuständige Aufsichtsbehörde oder durch den Europäischen Datenschutzausschuss erteilt werden. Von Zertifizierungsstellen genehmigte Zertifizierungen können aber beispielsweise auch bei Drittstaatentransfers als Nachweis für geeignete Garantien dienen. Diese insgesamt äußerst begrüßenswerte Entwicklung im Zuge der Entstehung dieser Norm verdeutlicht, dass die Datenschutzreform den Herausforderungen moderner Datenverarbeitungsszenarien auch wirklich begegnen möchte. Gerade mit Blick auf die dargestellten Herausforderungen von Cloud Computing sind dies erfreuliche Entwicklungen. Im Detail bleibt es aber auch hier abzuwarten, inwiefern die jeweiligen Zertifizierungen sich als tauglicher Nachweis eignen und in der Praxis durchsetzen werden. Zu entwickelnde Zertifizierungen des Cloud-Zeitalters werden vor allem die Besonderheiten verteilter Datenverarbeitungsszenarien zu berücksichtigen haben. Eine bestimmte „Zertifizierungsklasse“ könnte beispielsweise davon abhängen, ob sich die datenverarbeitende Infrastruktur ausschließlich auf EU / EWR-Territorium befindet. Zugleich muss eine bestimmte Zertifizierung als Nachweis nutzerseitiger Kontrollanforderungen genügen, um einer flexiblen Leistungsinanspruchnahme nicht im Wege zu stehen. Bei der Festlegung und Kontrolle von technischen und organisatorischen Maßnahmen bedarf es daher eines neuen datenschutzrechtlichen Verständnisses im Sinne eines Automatismus auf Basis von Zertifizierungen, um den Herausforderungen standardisiert bereitgestellter IT-Leistungen Rechnung tragen zu können.
1363 Rat
der EU, Vorschlag für eine DS-GVO v. 11.6.2015, 9565 / 15, S. 134 ff.
VI. Auftragsdatenverarbeitung (§ 11 BDSG)283
d) Unterauftragsverhältnisse (§ 11 Abs. 2 S. 2 Nr. 6 BDSG) aa) Rechtsrahmen Nach § 11 Abs. 2 S. 2 Nr. 6 BDSG ist die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen schriftlich festzulegen. Hierdurch sollen datenschutzrechtliche Mindeststandards und das zwischen Auftraggeber und Auftragnehmer begründete Datenschutzniveau nicht unterlaufen werden.1364 Im Unterschied zu § 278 BGB, wonach die Einschaltung von Hilfspersonen und die Verantwortlichkeit des Schuldners für Erfüllungsgehilfen nicht von der Berechtigung oder der Wirksamkeit des zugrunde liegenden Rechtsverhältnisses abhängen, bedarf die Einschaltung von Unterauftragnehmern daher der Zustimmung des Auftraggebers.1365 Aufgrund der gesetzlichen Formulierung der „Berechtigung zur Begründung von Unterauftragsverhältnissen“ wird die Festlegung der Modalitäten einer Unterauftragsvergabe als ausreichend angesehen, ohne dass die Person des Subunternehmers und die ihm übertragenen Tätigkeiten unmittelbar zu benennen sind.1366 Im Fall der Beauftragung hat der Auftragnehmer aber mit dem Subunternehmer ein den Anforderungen von § 11 BDSG entsprechenden Vertrag zu schließen.1367 Ein Auftraggeber hat gegenüber dem Auftragnehmer wiederum sicherzustellen, dass er die ihm obliegenden Kontrollrechte auch gegenüber einem Unterauftraggeber wahrnehmen kann.1368 Fehlen vertragliche Festlegungen zu einer Unterauftragsvergabe, wird der Auftragnehmer zur Einschaltung von Subunternehmern grundsätzlich nicht berechtigt sein.1369 bb) Herausforderungen von Cloud Computing Flexible Bereitstellungsmodelle eröffnen gerade auch Cloud-Anbietern die Möglichkeit, kosteneffizient und bedarfsgerecht (etwa zur temporären Abdeckung von Engpässen auf IaaS-Basis) auf Leistungen anderer Anbieter 1364 Gabel, in: Taeger / Gabel, BDSG, § 11 Rn. 47; Niemann / Hennrich, CR 2010, 686 (691). 1365 Heinrichs, in: Palandt, BGB, § 278 Rn. 7; Gabel, in: Taeger / Gabel, BDSG, § 11 Rn. 47. 1366 Gabel, in: Taeger / Gabel, BDSG, § 11 Rn. 47. 1367 Wedde, in: Däubler / Klebe / Wedde / Weichert, § 11 Rn. 44. 1368 Petri, in: Simitis, BDSG, § 11 Rn. 76; Gabel, in: Taeger / Gabel, BDSG, § 11 Rn. 47. 1369 Petri, in: Simitis, BDSG, § 11 Rn. 77; Wedde, in: Däubler / Klebe / Wedde / Weichert, § 11 Rn. 45.
284 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
zurückzugreifen.1370 Während große Anbieter sämtliche Ressourcen in unternehmenseigenen Rechenzentren meist selbst vorhalten und betreiben, bietet sich die Einschaltung kostengünstiger Ressourcenanbieter gerade für kleinere Anbieter (etwa zum Betrieb einer PaaS- oder SaaS-Lösung) an.1371 Grundsätzlich ist davon auszugehen, dass Anbieter in zahlreichen Konstellationen auf externe Leistungen und das Know-how Dritter (etwa spezialisierte Wartungstechniker eines Hardware-Herstellers) zurückgreifen. Neben komplexen und mitunter schnell wechselnden Anbietergeflechten und Subunternehmerketten, erschweren es vor allem intransparente Anbieter informationen, eingeschaltete Subunternehmer überhaupt ausmachen zu können.1372 Auch die Datenschutzbehörden sehen die Gefahr, dass Nutzer bei fehlendem Einblick gar nicht kontrollieren können, ob ein Anbieter Subunternehmer einschaltet, die auf die IT-Ressourcen zugreifen können.1373 Eine Intransparenz bestehe gerade dann, wenn auf die Ressourcen eines Unterauftragnehmers zur Abdeckung eines kurzzeitigen, temporären Bedarfs zurückgegriffen wird.1374 Mit Blick auf die Berechtigung zu einer Unterauftragsvergabe ist zudem zu berücksichtigen, dass sich klassische 1:1-Auftragssituationen nur noch bei der exklusiven Nutzung einer Private Cloud wiederfinden.1375 In Public Clouds, die einer unbestimmten Nutzerzahl offenstehen und sowohl technisch als auch rechtlich ein hohes Maß an Standardisierung aufweisen, befindet sich ein Cloud-Anbieter als Auftragnehmer gegenüber einem Nutzer als Auftraggeber vielmehr in einer unbestimmten x:1-Auftragssituation. cc) Bewertung Aus Sicht eines Auftraggebers erhöht sich mit jedem eingeschalteten Subunternehmer das Risiko, dass Datensicherheitsstandards beeinträchtigt werden.1376 Von einem Unterauftragsverhältnis sollte ausgegangen werden, wenn eine tatsächliche Datenzugriffsmöglichkeit des Subunternehmers nicht 1370 Im Rahmen der Praxisbeispiele hat sich gezeigt, dass etwa Dropbox auf den S3-Dienst von AWS zurückgreift, siehe oben unter B.V.2.b)bb). 1371 Vgl. Niemann / Hennrich, CR 2010, 686 (691). 1372 Vgl. Schulz, MMR 2010, 75 (78); Heckmann, jurisPK-Internetrecht, Kap. 9 Rn. 664 a. E. 1373 Arbeitskreise Technik und Medien der DSK, Orientierungshilfe Cloud Computing, S. 14; vgl. auch BITKOM, Leitfaden Cloud Computing 2010, S. 69. 1374 Arbeitskreise Technik und Medien der DSK, Orientierungshilfe Cloud Computing, S. 9. 1375 Zur Private Cloud siehe oben unter B.VI.1. 1376 Vgl. BITKOM, Leitfaden Cloud Computing 2010, S. 69.
VI. Auftragsdatenverarbeitung (§ 11 BDSG)285
ausgeschlossen werden kann.1377 Schwierigkeiten im sachgerechten Umgang mit den Herausforderungen von Cloud Computing verdeutlichen sich dabei an aufsichtsbehördlichen Empfehlungen. Nach der „Orientierungshilfe Cloud Computing“ soll die Begründung von Unterauftragsverhältnissen vor allem davon abhängen, ob ein Cloud-Anbieter mit dem Subunternehmer Vereinbarungen getroffen hat, die den Kontrollmaßstäben nach § 11 Abs. 2 S. 4 BDSG und dem Schutzniveau im Anbieter-Nutzer-Verhältnis entsprechen.1378 Anbieter sollen sich vertraglich dazu verpflichten, sämtliche Unteranbieter abschließend zu benennen und die nach § 11 Abs. 2 BDSG relevanten Inhalte sowie Zertifizierungen oder andere Gütesiegel der Subunternehmer auf Verlangen vorzulegen.1379 Die Aufsichtsbehörden setzen Kontroll- und Einblicksmöglichkeiten voraus, die sich vielleicht bei Private Clouds und anderen hochspezifischen Lösungen ab einem gewissen Auftragsvolumen, nicht jedoch in hochstandardisierten und meist kostengünstigen Public-Cloud-Szenarien wiederfinden.1380 Aufgrund von Sicherheits- und Geheimhaltungsinteressen wird in aller Regel auch in die den Zertifizierungen zugrunde liegenden Prüfberichte kein Einblick (zumindest nicht ohne ein zuvoriges „Non-DisclosureAgreement“) genommen werden können. Überdies widersprechen sämtliche hiermit verbundenen Aufwendungen auch in diesem Zusammenhang bereits grundlegend dem Gedanken von „IT as a Service“. Im Ergebnis finden sich in der „Orientierungshilfe Cloud Computing“ daher Empfehlungen, die im Grundsatz vielmehr auf klassische 1:1-Auftragsverhältnisse zugeschnitten sind. Dies ist vor allem darauf zurückzuführen, dass der gegenwärtige Rechtsrahmen den Herausforderungen einer hohen Standardisierung in Bezug auf Unterauftragsverhältnisse nicht gerecht wird. dd) Lösungsmöglichkeiten und Blick auf die EU-Datenschutzreform Die Beauftragung von Subunternehmern – und mithin IT-Outsourcing im ganz klassischen Sinn – muss auch bei Cloud Computing möglich sein. Zur Gewährleistung von Datensicherheitsstandards muss der Nachweis eines technisch-organisatorischen Sicherheitskonzepts sowohl auf Seiten eines 1377 EuroCloud
Deutschland_eco, Leitfaden Cloud Computing, S. 15. Technik und Medien der DSK, Orientierungshilfe Cloud Computing, S. 11; vgl. die Handlungsempfehlung des EuroCloud Deutschland_eco, Leitfaden Cloud Computing, S. 16. 1379 Arbeitskreise Technik und Medien der DSK, Orientierungshilfe Cloud Computing, S. 9 f.; vgl. Schröder / Haag, ZD 2011, 147 (149); EuroCloud Deutschland_ eco, Leitfaden Cloud Computing, S. 16. 1380 Vgl. oben unter C.VI.5.a)bb). 1378 Arbeitskreise
286 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
Cloud-Anbieters als auch auf Seiten beauftragter Subunternehmer grundsätzlich auf externe Dritte sowie auf Zertifizierungen und Prüfberichte ausgelagert werden können.1381 Für einen sachgerechten Umgang mit Unterauftragsverhältnissen geht daher zumindest der Verweis der Aufsichtsbehörden auf Zertifizierungen und Gütesiegel in die richtige Richtung, auch wenn geeignete cloud-spezifische Prüfberichte, Zertifikate und Gütesiegel in weiten Teilen noch zu entwickeln sind.1382 Inhaltlich sollten bei der Einschaltung von Subunternehmern keine höheren Anforderungen gelten, als sie im Verhältnis zwischen Auftraggeber und Auftragnehmer bestehen.1383 Beauftragte Subunternehmer müssen von Anbietern transparent benannt werden.1384 Eine Lösung für eine flexible und wechselnde Einschaltung von Subunternehmern sieht etwa der „EuroCloud Deutschland_eco“ als Verband der deutschen Cloud-Computing-Wirtschaft darin, dass Auftragnehmer zugangsgeschützte Listen der beauftragten Subunternehmer online zur Einsicht bereitstellen und Auftraggeber bei jeder Änderung dieser Liste etwa via E-Mail benachrichtigen.1385 Sofern sich eine hinreichende Transparenz sowie die Weiterreichung von datenschutzrechtlichen Verpflichtungen über eine Kette an Subunternehmern aufrechterhalten lässt, darf einer Auftragsdatenverarbeitung selbst eine Vielzahl an Subunternehmern grundsätzlich nicht entgegenstehen.1386 In Auftragsverhältnissen mit unbestimmter Zahl an Auftraggebern (x:1Auftragsverhältnisse) erscheint es als keine praxistaugliche Konzeption, dass die Berechtigung der Einschaltung von Subunternehmern der Zustimmung eines Auftraggebers bedarf. Fehlende Zustimmungen eines oder mehrerer Auftraggeber können flexiblen Handlungsoptionen eines Anbieters gerade in kurzfristigen Bedarfsfällen entgegenstehen. Praktische Probleme bei einer hohen Zahl an Auftraggebern sind daher auch im Rahmen der EU-Datenschutzreform absehbar, da nach Art. 26 Abs. 2 lit. d) DS-GVO-E in einem Vertrag festzulegen ist, dass ein Auftragsverarbeiter die Dienste eines weiteren Auftragsverarbeiters nur mit vorheriger Zustimmung des für die Verarbeitung Verantwortlichen in Anspruch nehmen darf. Mit Blick auf den Gedanken von „IT as a Service“ erscheinen vielmehr solche Lösungsansätze als praxisgeeignet, wonach die Einschaltung von Subunternehmern nur in bestimmten, besonders schützenswerten Datenver1381 Vgl. Heckmann, jurisPK-Internetrecht, Kap. 9 Rn. 665; Niemann / Hennrich, CR 2010, 686 (691 f.). 1382 Siehe oben unter C.VI.5.c)bb)(4)(g). 1383 Vgl. Niemann / Hennrich, CR 2010, 686 (692). 1384 Niemann / Hennrich, CR 2010, 686 (692). 1385 EuroCloud Deutschland_eco, Leitfaden Cloud Computing, S. 16. 1386 Vgl. Niemann / Hennrich, CR 2010, 686 (692).
VI. Auftragsdatenverarbeitung (§ 11 BDSG)287
arbeitungskonstellationen dem Zustimmungsvorbehalt des Auftraggebers (oder einer Widerspruchslösung) unterfällt und es im Übrigen (gerade mit Blick auf einen flexiblen und bedarfsgerechten Rückgriff auf Subanbieter) keiner gesonderten Einwilligung sämtlicher Auftraggeber bedarf.1387 Damit Datensicherheitsstandards nicht unterlaufen werden, wäre weiterhin anzudenken, dass sich ein Auftragnehmer zur Einhaltung bestimmter Sicherheitsstandards verpflichtet, Auftraggeber hierüber informiert und die Einhaltung auf Verlangen nachweist oder sich von unabhängigen Dritten bestätigen lässt. Ein anderer Denkansatz wäre, dass die Einschaltung von Subunternehmern gar keiner Zustimmung bedarf, jedoch nur nach einer Vorlaufzeit zulässig ist, in der einem Auftraggeber unter bestimmten Voraussetzungen ein Sonderkündigungsrecht zusteht (etwa falls Datensicherheitsstandards nicht gewährleistet sind, wie bei Subanbietern, für die keine Regelung in Bezug auf ein angemessenes Datenschutzniveau greift). Derartige Ansätze wären grundsätzlich noch weiter zu verfeinern (sowohl mit Blick auf eine Anbieterflexibilität als auch hinsichtlich der Gewährleistung von Datensicherheitsstandards). e) Weisungen (§ 11 Abs. 2 S. 2 Nr. 9, Abs. 3 BDSG) aa) Rechtsrahmen Nach § 11 Abs. 2 S. 2 Nr. 9 BDSG ist der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, festzulegen. Diese Festlegungen bilden die Grundlage für die korrespondierende Verpflichtung des Auftragnehmers nach § 11 Abs. 3 S. 1 BDSG, Daten nur im Rahmen der Weisungen erheben, verarbeiten oder nutzen zu dürfen.1388 Die Befugnis zur Weisungserteilung verdeutlicht zugleich die fortbestehende Verantwortlichkeit der verantwortlichen Stelle im Rahmen einer Auftragsdatenverarbeitung.1389 Für einen Auftraggeber kann es sich empfehlen, sich möglichst umfassende Weisungsbefugnisse vertraglich vorzubehalten, die dann bedarfsgerecht durch Einzelanweisungen konkretisiert werden.1390 Ferner können sich auch Regelungen zu der Dokumentation der Einzelanweisungen oder der Bestätigung durch den Auftragnehmer anbieten.1391 1387 Vgl.
EuroCloud Deutschland_eco, Leitfaden Cloud Computing, S. 16. in: Taeger / Gabel, BDSG, § 11 Rn. 50. 1389 Wedde, in: Däubler / Klebe / Wedde / Weichert, BDSG, § 11 Rn. 51. 1390 Gola / Schomerus, BDSG, § 11 Rn. 18h; Petri, in: Simitis, BDSG, § 11 Rn. 81; Gabel, in: Taeger / Gabel, BDSG, § 11 Rn. 50; vgl. Plath, in: Plath, BDSG, § 11 Rn. 110. 1391 Petri, in: Simitis, BDSG, § 11 Rn. 81; Gola / Schomerus, BDSG, § 11 Rn. 18h. 1388 Gabel,
288 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
bb) Herausforderungen von Cloud Computing In hochstandardisierten, für eine Vielzahl an Nutzern zentral bereitgehaltenen Clouds ist bei ungleichen Verhandlungskonstellation oder bei dem Einsatz von Standardverträgen, die nicht auf die Anforderungen der Auftragsdatenverarbeitung zugeschnitten sind, grundsätzlich von einer fehlenden Umsetzbarkeit von Weisungen auszugehen.1392 Ein kleines oder mittleres Unternehmen wird einem Branchenriesen wie Amazon oder Google rein faktisch keine Weisungen erteilen können.1393 Überdies wird jeder (sinnvollen) Weisungserteilung meist schon der fehlende Einblick in die organisatorischen Abläufe und in die technische Konfiguration des hochstandardisierten IT-System-Clusters entgegenstehen, insbesondere bei einer Verteilung über mehrere Rechenzentrumsstandorte. Aufgrund der technischen und orga nisatorischen Komplexität wird zudem das für eine ordnungsgemäße Be wertung erforderliche Know-how oftmals fehlen.1394 Auf der anderen Seite werden Anbieter bei einer hohen Nutzerzahl sämtlichen Weisungen rein praktisch kaum nachkommen können, zumal Einzelanweisungen eines Nutzers jede parallele Nutzung der anderen Nutzer nicht beeinträchtigen dürfen.1395 cc) Bewertung Die praktische Umsetzbarkeit von Weisungsbefugnissen erscheint vor allem in hochstandardisierten Cloud-Umgebungen als fraglich und wird auch von Seiten der Aufsichtsbehörden als nicht umsetzbar angesehen.1396 Es verwundert daher nicht, dass Weisungsrechte in der gegenwärtigen CloudComputing-Praxis „kaum eine Rolle spielen“ sollen.1397 Lediglich in Fällen der exklusiven Nutzung einer Private Cloud erscheint eine Weisungserteilung in dem zugrunde liegenden Auftragsverhältnis überhaupt noch als durchführbar. Als Kompensation für die Weisungserteilung werden daher auch Wahlmöglichkeiten und Optionsangebote vorgeschlagen, anhand derer ein Nutzer 1392 Vgl. Bräutigam / Thalhofer, in: Bräutigam, IT-Outsourcing und Cloud-Computing, Teil 14 Rn. 39. 1393 Vgl. Heidrich / Wegener, MMR 2010, 803 (806); Brennscheidt, Cloud Computing und Datenschutz, S. 130; siehe hierzu bereits oben unter C.VI.5.c)bb)(2). 1394 Vgl. Bräutigam / Thalhofer, in: Bräutigam, IT-Outsourcing und Cloud-Computing, Teil 14 Rn. 39; siehe hierzu bereits oben unter C.VI.5.c)bb)(1)(a)(bb). 1395 Vgl. hierzu auch oben unter C.VI.5.b)dd). 1396 Weichert, DuD 2010, 679 (685); vgl. Niemann / Hennrich, CR 2010, 686 (692). 1397 EuroCloud Deutschland_eco, Leitfaden Cloud Computing, S. 12; siehe bereits oben unter C.VI.5.b)dd).
VI. Auftragsdatenverarbeitung (§ 11 BDSG)289
zwischen bestimmten Ressourcen, Datenverarbeitungsstandorten, Sicherheitsniveaus sowie sonstigen Nutzungsmerkmalen oder Standardmodellen eines Anbieters auswählen soll.1398 Derartige Auswahlmöglichkeiten (im Rahmen der Praxisbeispiele haben sie sich etwa bei den „Availability Zones und Regionen“ von Amazon Web Services gezeigt)1399 werden in vielen Fällen aber nur zwischen den einzelnen Leistungen verschiedener CloudAnbieter bestehen (und davon abhängen, welche Optionen Anbieter in ihrem Leistungsportfolio überhaupt abbilden können).1400 In der Ausübung dieses Auswahl- und Bestimmungsrechts wird eine vorverlagerte Weisungsbefugnis gesehen, die jedoch transparente Informationen zu den Umständen der Datenverarbeitung (wie vor allem Serverstandorte, Unterauftragnehmer oder Zertifizierungen) voraussetzt und daher gerade bei Cloud Computing Schwierigkeiten begegnet.1401 dd) Lösungsmöglichkeiten und Blick auf die EU-Datenschutzreform Weisungsbefugnisse erscheinen in Zeiten einer hochstandardisierten Bereitstellung von IT als Relikt klassischer 1:1-Auftragsszenarien.1402 Die Herausforderungen von Cloud Computing haben gezeigt, dass sich Weisungserteilungen gerade in großen Public Clouds nicht umsetzen lassen und in der Cloud-Computing-Praxis daher auch nicht von Bedeutung sind. Vor diesem Hintergrund sollte ein künftiger Rechtsrahmen auf das Weisungsrecht in hochstandardisierten Nutzungsszenarien vielmehr verzichten. In technisch und rechtlich standardisierten Cloud-Umgebungen ohne besondere Einflussmöglichkeiten wird eine verantwortliche Stelle faktisch nur zwischen CloudServices verschiedener Anbieter oder bestimmter Optionen innerhalb einer Leistung auswählen können. Da „Weisungen“ letztlich nur im Umgang dieser Auswahlentscheidung bestehen, geht das Weisungsrecht insoweit vielmehr in der Auswahlbefugnis der verantwortlichen Stelle auf. Außerhalb hochstandardisierter Nutzungsszenarien oder bei besonders hohen Datensicherheitsanforderungen erscheint es möglich, dass Weisungsrechte auch weiterhin zum Tragen kommen. Dies setzt aber voraus, dass 1398 Weichert, DuD 2010, 679 (685); Bräutigam / Thalhofer, in: Bräutigam, ITOutsourcing und Cloud-Computing, Teil 14 Rn. 40. 1399 Siehe oben unter B.V.2.b)aa)(3). 1400 Vgl. Niemann / Hennrich, CR 2010, 686 (692); Bräutigam / Thalhofer, in: Bräutigam, IT-Outsourcing und Cloud-Computing, Teil 14 Rn. 40. 1401 Bräutigam / Thalhofer, in: Bräutigam, IT-Outsourcing und Cloud-Computing, Teil 14 Rn. 40. 1402 Vgl. hierzu bereits oben unter C.VI.5.b)dd); vgl. Niemann / Hennrich, CR 2010, 686 (692).
290 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
sich in dem zugrunde liegenden Auftragsverhältnis (vergleichbar zu klassischen 1:1-Auftragsverhältnissen) Weisungen auch umsetzen lassen, ohne dass andere Nutzer hierdurch beeinträchtigt werden. Nach Art. 26 Abs. 2 lit. a) DS-GVO-E ist in einem Vertrag über eine Auftragsdatenverarbeitung weiterhin vorzusehen, dass der Auftragsverarbeiter nur auf Weisung des für die Verarbeitung Verantwortlichen tätig wird, insbesondere in Fällen, in denen eine Übermittlung der personenbezogenen Daten nicht zulässig ist. Insoweit wird die Datenschutzreform den Herausforderungen hochstandardisierter Datenverarbeitungsszenarien nicht gerecht. Gerade in ungleichen Konstellationen im Anbieter-Nutzer-Verhältnis bestehen die praktischen Probleme einer realistischen Weisungserteilungsmöglichkeit daher fort. Sowohl das Europäische Parlament (in dem am 12. März 2014 vorgelegten Verordnungsentwurf) als auch der Rat der EU (in der als allgemeine Ausrichtung vom 11. Juni 2015 vorgelegten Fassung der DS-GVO) halten in Art. 26 Abs. 2 lit. a) DS-GVO daran fest, dass personenbezogene Daten grundsätzlich nur auf Weisung verarbeitet werden dürfen.1403 Zwar bleibt auch hier die weitere Entwicklung abzuwarten. In dem grundsätzlichen Festhalten an Weisungen werden aber auch diese Entwurfsfassungen den Herausforderungen hochstandardisierter Datenverarbeitungsszenarien nicht gerecht. f) Rückgabe überlassener Datenträger und Löschung von Daten (§ 11 Abs. 2 S. 2 Nr. 10 BDSG) aa) Rechtsrahmen § 11 Abs. 2 S. 2 Nr. 10 BDSG sieht vertragliche Festlegungen auch für die Rückgabe überlassener Datenträger sowie für die Löschung der beim Auftragnehmer gespeicherten Daten nach Beendigung des Auftrags vor. Grundsätzlich ist hierbei von einer Löschungspflicht auszugehen, sofern keine gesetzlichen Aufbewahrungspflichten vertraglich entsprechend zu berücksichtigen sind.1404 Der Nachweis einer Löschung soll beispielsweise durch Vorlage eines Löschungsprotokolls oder eines Audits erbracht werden können.1405 1403 EP, Entschließung v. 12.3.2014, 2013 / 2188(INI), P7_TA-PROV(2014)0212; Rat der EU, Vorschlag für eine DS-GVO v. 11.6.2015, 9565 / 15, S. 113. 1404 Gola / Schomerus, BDSG, § 11 Rn. 18i; Petri, in: Simitis, BDSG, § 11 Rn. 82; Heckmann, jurisPK-Internetrecht, Kap. 9 Rn. 669; Plath, in: Plath, BDSG, § 11 Rn. 111. 1405 Gabel, in: Taeger / Gabel, BDSG, § 11 Rn. 51 a. E.
VI. Auftragsdatenverarbeitung (§ 11 BDSG)291
bb) Herausforderungen von Cloud Computing Wie sich bereits im Kontext der allgemeinen Daten- und Informationssicherheit gezeigt hat, sind Herausforderungen von Cloud Computing an die Löschung von Daten vor allem mit verteilten Datenspeicherungskonzepten verbunden.1406 Das Löschen von Daten im Sinne eines endgültigen Unkenntlichmachens kann gerade in virtualisierten Storage-Clustern nicht ohne weiteres realisiert und überprüft werden.1407 cc) Bewertung Bereits im Rahmen der allgemeinen Daten- und Informationssicherheit wurde darauf verwiesen, dass sich der klassischen IT-Outsourcing-Szenarien entstammende Maßstab eines endgültigen Unkenntlichmachens von Daten, wie er gerade von Datenschutzbehörden angelegt wird, nur sehr aufwendig umsetzen lässt und vor allem bei multimandantenfähigen Public Clouds Schwierigkeiten begegnet.1408 Ob sich Daten nach Auftragsbeendigung irreversibel löschen lassen, hängt grundsätzlich von den technischen Möglichkeiten und Realitäten im Einzelfall ab.1409 Fehlende Überprüfungsmöglichkeiten führen jedenfalls zu Unsicherheiten, ob Daten überhaupt vollständig gelöscht worden sind.1410 Werden Daten geographisch an mehreren Orten verarbeitet, gilt dies erst recht im Hinblick auf die zuverlässige und sichere Löschung sämtlicher Daten (einschließlich von replizierten Datensätzen und anderen Datensicherungen).1411 Praktische Schwierigkeiten zeigen sich auch an Empfehlungen von Branchenverbänden. Hiernach sind Verträge so zu fassen, dass die vertraglichen Pflichten über die Vertragsbeendigung hinaus bis zur Bestätigung der Löschung der Daten durch den Cloud-Anbieter fortgelten.1412 Gerade in hochstandardisierten und günstigen Nutzungsszenarien oder in ungleichen Verhandlungskonstellationen im Anbieter-Nutzer-Verhältnis werden sich jedoch weder Verträge entsprechend verhandeln lassen noch werden Anbieter ent1406 Siehe
oben unter C.V.3.a)ee)(5). Technik und Medien der DSK, Orientierungshilfe Cloud Computing, S. 27; Niemann / Hennrich, CR 2010, 686 (692); Maisch, Informationelle Selbstbestimmung in Netzwerken, S. 151. 1408 Siehe oben unter C.V.3.a)ee)(5). 1409 Vgl. Heckmann, jurisPK-Internetrecht, Kap. 9 Rn. 669. 1410 Arbeitskreise Technik und Medien der DSK, Orientierungshilfe Cloud Computing, S. 27. 1411 Arbeitskreise Technik und Medien der DSK, Orientierungshilfe Cloud Computing, S. 28, 34. 1412 EuroCloud Deutschland_eco, Leitfaden Cloud Computing, S. 17. 1407 Arbeitskreise
292 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
sprechende Bestätigungsvermerke realistischerweise vorlegen. Derartige Anforderungen erscheinen mit flexiblen Nutzungsszenarien nur ganz schwer vereinbar zu sein. dd) Lösungsmöglichkeiten und Blick auf die EU-Datenschutzreform Verteilte Verarbeitungsszenarien in virtualisierten Storage-Clustern erfordern ein neues Verständnis der Löschung von Daten. Ein Löschen von Daten im Sinne eines endgültigen Unkenntlichmachens erweist sich gerade in den riesigen Storage-Clustern von Public Clouds als beinahe unmöglich. Es bedarf daher realistischer und praxisgerechter Kriterien sowie durch regelmäßige Audits überprüfter Verfahren zum automatisierten Überschreiben von Speicherbereichen durch zufällige Zeichen und Zahlen, die als Datenlöschung akzeptabel sind.1413 Sofern allein der Anbieter oder von ihm beauftragte Subunternehmer physikalischen Zugriff auf die Speicherressourcen haben, ist zumindest anzudenken, ob nicht auch noch geringere Anforderungen für den Nachweis einer Löschung gelten könnten (wie Überschreiben der Speicherbereiche durch Daten anderer Nutzer), sofern der Anbieter sich dazu verpflichtet, die Daten jedenfalls dann dauerhaft unkenntlich zu machen, wenn die Speichersysteme nicht weiter genutzt werden oder anderweitig zum Einsatz gelangen. Die Frage der Maßstäbe, die an eine Löschung von Daten in verteilten Datenverarbeitungsszenarien anzulegen sind, stellt sich auch weiterhin im Kontext von Art. 17 DS-GVO-E, dem in der Fassung des Kommissionsentwurfs insoweit keine Präzisierungen zu entnehmen sind. Der am 12. März 2014 vorgelegte Verordnungsentwurf des Europäischen Parlaments hat zumindest die Herausforderungen verteilter Datenverarbeitungen erkannt, wonach Datensätze mitunter mehrfach repliziert werden.1414 Art. 17 Abs. 1 DS-GVO-E wurde dahingehend umformuliert, dass die betroffene Person im Falle eines der dort genannten Gründe das Recht hat, „die Löschung von sie betreffenden personenbezogenen Daten und die Unterlassung jeglicher weiteren Verbreitung dieser Daten sowie von Dritten die Löschung aller Querverweise auf diese personenbezogenen Daten bzw. aller Kopien und Replikationen davon zu verlangen.“1415 In der vom Rat der EU am 11. Juni 2015 als allgemeine Ausrichtung vorgelegten Fassung der DSGVO ist dieser Verweis auf replizierte Datensätze nicht mehr enthalten.1416 1413 So
auch oben unter C.V.3.a)ee)(5). Entschließung v. 12.3.2014, 2013 / 2188(INI), P7_TA-PROV(2014)0212. 1415 EP, Entschließung v. 12.3.2014, 2013 / 2188(INI), P7_TA-PROV(2014)0212. 1416 Rat der EU, Vorschlag für eine DS-GVO v. 11.6.2015, 9565 / 15, S. 100 ff. 1414 EP,
VII. Datenübermittlung (nach § 28 Abs. 1 S. 1 Nr. 2 BDSG)293
VII. Datenübermittlung (nach § 28 Abs. 1 S. 1 Nr. 2 BDSG) Nach dem Erlaubnisvorbehalt in § 4 Abs. 1 BDSG ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, soweit das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder der Betroffene eingewilligt hat. Eine Einwilligung kommt bei flexiblen Verarbeitungsszenarien in aller Regel aufgrund von rein praktischen Schwierigkeiten nicht in Betracht.1417 Da Daten im Kontext von Cloud Computing die verantwort liche Stelle jedoch lediglich bei einer unternehmensinternen Private Cloud nicht verlassen,1418 bedarf eine Datenübermittlung einer Erlaubnisnorm. In der Praxis ist hierbei regelmäßig § 28 Abs. 1 S. 1 Nr. 2 BDSG von Bedeutung, wonach eine Datenverwendung für die Erfüllung eigener Geschäftszwecke zulässig ist, soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt. 1. Wahrung berechtigter Interessen der verantwortlichen Stelle Ein berechtigtes Interesse der verantwortlichen Stelle ist jedes nach vernünftiger Erwägung durch die Sachlage gerechtfertigtes, tatsächliches Interesse wirtschaftlicher oder ideeller Natur, das von der Rechtsordnung gebilligt ist.1419 Meist wird ein eher restriktives Verständnis angelegt, wobei sich auch Auffassungen eines weiten Verständnisses wiederfinden.1420 Aufgrund der zunehmenden Bedeutung und Komplexität von IT-Systemen soll bei einem IT-Outsourcing ein berechtigtes wirtschaftliches und organisatorisches Interesse jedenfalls grundsätzlich anzunehmen sein.1421 Da bei Cloud Computing der Rückgriff auf externe Ressourcen IT-Outsourcing im klassischen 1417 Niemann,
Rn. 71.
in: Niemann / Paul, Rechtsfragen des Cloud Computing, Kap. 5
1418 Vgl. Bräutigam / Thalhofer, in: Bräutigam, IT-Outsourcing und Cloud-Computing, Teil 14 Rn. 32; Jotzo, Der Schutz personenbezogener Daten in der Cloud, S. 99 f. 1419 Gola / Schomerus, BDSG, § 28 Rn. 24; Wedde, in: Däubler / Klebe / Wedde / Weichert, BDSG, § 28 Rn. 48; Plath, in: Plath, BDSG, § 28 Rn. 47; Kühling / Seidel / Sivridis, Datenschutzrecht, S. 142 f. 1420 Wedde, in: Däubler / Klebe / Wedde / Weichert, BDSG, § 28 Rn. 48; SchultzeMelling, in: Bräutigam, IT-Outsourcing und Cloud-Computing, Teil 5 Rn. 51; für ein weites Verständnis Kühling / Seidel / Sivridis, Datenschutzrecht, S. 143. 1421 Plath, in: Plath, BDSG, § 28 Rn. 65; vgl. Schultze-Melling, in: Bräutigam, IT-Outsourcing und Cloud-Computing, Teil 5 Rn. 51.
294 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
Sinn ist, besteht ein derartiges Interesse erst recht vor dem Hintergrund der zahlreichen wirtschaftlichen Vorteile (vor allem flexible und bedarfsgerechte Nutzungs- und Abrechnungsmodelle sowie das Know-how eines externen Cloud-Anbieters).1422 Bereits einleitend wurde hervorgehoben, dass durch Cloud Computing nicht nur Anschaffungs-, Betriebs- und Wartungskosten erheblich optimiert werden können, sondern dass erstklassige Technologien selbst kleinen und mittelständischen Unternehmen bedarfsgerecht und kostengünstig zur Verfügung stehen.1423 Die wirtschaftlichen Vorteile von Cloud Computing hat gerade auch die Kommission in ihrem Strategiepapier deutlich herausgestellt.1424 2. Erforderlichkeit Nach dem Erforderlichkeitskriterium darf für die Datenverwendung keine zumutbare Alternative bestehen.1425 Dies ist vor allem dann anzunehmen, wenn die Zielerreichung anderenfalls mit einem größeren Kostenaufwand verbunden wäre.1426 Bei flexiblen und bedarfsgerechten Nutzungs- und Abrechungsmodellen ist in aller Regel von einem deutlich niedrigeren Kostenaufwand auszugehen. Die wirtschaftlichen Vorteile von Cloud Computing werden im Vergleich zu konventionellen IT-Outsourcing-Lösungen daher regelmäßig einer Erforderlichkeitsprüfung standhalten.1427 Im Grundsatz muss dies auch für einen außereuropäischen Cloud-Service gelten. Nach Ansicht von Weichert ist es zwar nicht begründbar, Cloud-Nutzungen außerhalb des EWR als zwingend anzusehen, da es auch innerhalb Europas adäquate Cloud-Angebote gäbe.1428 Allerdings lassen sich adäquate europäische Lösungen nicht pauschal für das außerordentlich breite Spektrum an Cloud-Services annehmen. Im Ergebnis bedarf es daher einer einzelfallbezogenen Gesamtbetrachtung aller Umstände und entsprechender inner- und außereuropäischer Alternativlösungen.
1422 So auch Brennscheidt, Cloud Computing und Datenschutz, S. 142; zu Cloud Computing als IT-Outsourcing im klassischen Sinn siehe oben unter C.VI.1. 1423 Siehe oben unter A.II. 1424 Siehe oben unter C.II.4.a)cc). 1425 Wedde, in: Däubler / Klebe / Wedde / Weichert, BDSG, § 28 Rn. 48; Kühling / Seidel / Sivridis, Datenschutzrecht, S. 143; Plath, in: Plath, BDSG, § 28 Rn. 50; Gola / Schomerus, BDSG, § 28 Rn. 25, 15. 1426 Plath, in: Plath, BDSG, § 28 Rn. 50. 1427 So auch Brennscheidt, Cloud Computing und Datenschutz, S. 143. 1428 Weichert, DuD 2010, 679 (683).
VII. Datenübermittlung (nach § 28 Abs. 1 S. 1 Nr. 2 BDSG)295
3. Interessenabwägung Ist die Datenverwendung zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich, dürfen weiterhin keine schutzwürdigen Betroffeneninteressen überwiegen. Diese am Verhältnismäßigkeitsgrundsatz ausgerichtete, summarische Interessenabwägung dient der Wahrung der informationellen Selbstbestimmung und damit vor allem der Wahrung des Persönlichkeitsrechts des Betroffenen i. S. v. § 1 Abs. 1 BDSG.1429 Sie hängt grundsätzlich von den Umständen des Einzelfalls ab. Im Kontext von Cloud Computing sind in Bezug auf schutzwürdige Betroffeneninteressen die Gegebenheiten auf Seiten des Datenempfängers von besonderer Bedeutung. Herausforderungen verbinden sich daher auch an dieser Stelle mit einer hinreichenden Anbietertransparenz. Verbleiben bereits die genauen Umstände der Datenverarbeitung (einschließlich eingeschalteter Subunternehmer) sowie die jeweiligen Datenverarbeitungsstandorte (einschließlich der Speicherorte von replizierten Datensätzen) im Nebel der Datenwolken, werden schutzwürdige Betroffeneninteressen in aller Regel überwiegen. In grenzüberschreitenden IT-Infrastrukturen kann eine fehlende Transparenz zu dem Storage-Cluster dazu führen, dass schon die Bestimmung des anzuwendenden Datenschutzrechts sowie die Zuordnung eines Datenverarbeitungsstandorts zu einer Jurisdiktion gar nicht möglich sind.1430 Zudem bedarf es aufgrund der hohen technischen und organisatorischen Komplexität von Cloud-Umgebungen meist eines besonderen Know-hows, um implementierte Maßnahmen überhaupt ordnungsgemäß bewerten zu können.1431 Sind die Umstände der Datenverarbeitung ausreichend transparent, werden schutzwürdige Betroffeneninteressen aber auch dann überwiegen, wenn auf Seiten des Datenempfängers kein angemessenes Datenschutzniveau besteht oder wenn Datenschutzstandards auf andere Weise beeinträchtigt werden, sodass den Grundsätzen der EG-Datenschutz-Richtlinie im Wesentlichen nicht mehr entsprochen wird.1432 Von Bedeutung sind insoweit vor allem auch diejenigen Instrumente, die der Rechtsrahmen für internationale Datentransfers zur Verfügung stellt und wonach von einem angemessenen 1429 Wedde, in: Däubler / Klebe / Wedde / Weichert, BDSG, § 28 Rn. 52; Gola / Schomerus, BDSG, § 28 Rn. 26 f.; Plath, in: Plath, BDSG, § 28 Rn. 51 ff. 1430 Siehe oben unter C.II.3. 1431 Ausführlich zu dieser Herausforderung siehe oben unter C.VI.5.c)bb)(1)(a) (bb). 1432 Vgl. Schmidt-Bens, Cloud Computing Technologien und Datenschutz, S. 72; Brennscheidt, Cloud Computing und Datenschutz, S. 147; zu dem angemessenen Datenschutzniveau siehe oben unter C.IV.2.c).
296 C. Zentrale Herausforderungen von Cloud Computing an den Datenschutz
Datenschutzniveau auszugehen ist (vor allem EU-Standardvertragsklauseln, Binding Corporate Rules sowie die Safe-Harbor-Vereinbarung).1433 Keine schutzwürdigen Betroffeneninteressen werden dagegen bei einem Cloud-Anbieter überwiegen, mit dem klare Vereinbarungen zu Datenschutz und Datensicherheit (hierbei insbesondere § 11 BDSG entsprechende Regelungen) getroffen werden können.1434 Bei einem seriösen Cloud-Anbieter, der den Anforderungen der Auftragsdatenverarbeitung entsprechende Verträge vorlegen kann, wird in der Regel das Interesse des Nutzers überwiegen, auf die wirtschaftlichen Vorteile von Cloud Computing, wie flexible und bedarfsgerechte Nutzungs- und Abrechnungsmodelle oder das Know-how eines externen Cloud-Anbieters, zurückzugreifen.1435 Da die Herausforderungen von Cloud Computing an den Rechtsrahmen für Datenschutz jedoch gerade mit der klassischen IT-Outsourcing-Szenarien entstammenden Konzeption von § 11 BDSG verbunden sind, kann ein datenschutzrechtlich verantwortlicher Nutzer sämtlichen hieraus resultierenden Schwierigkeiten auch im Rahmen der Interessenabwägung nach § 28 Abs. 1 S. 1 Nr. 2 BDSG begegnen.1436 Sofern klare Vereinbarungen zu Datenschutz und Datensicherheit mit dem Anbieter gar nicht erst getroffen werden können (vor allem aufgrund einer ungleichen Verhandlungskonstellation im Anbieter-Nutzer-Verhältnis), werden schutzwürdige Betroffeneninteressen in aller Regel überwiegen. 4. Ergebnis Auch im Kontext des praxisrelevanten § 28 Abs. 1 S. 1 Nr. 2 BDSG wird deutlich, dass der bestehende Rechtsrahmen für praxisgerechte Ergebnisse an die Herausforderungen hochstandardisierter Cloud-Bereitstellungsszenarien insgesamt anzupassen ist. Bei der oft schwierigen Abwägung zwischen wirtschaftlichen Interessen einer verantwortlichen Stelle und schutzwürdigen Betroffeneninteressen werden letztere zumindest im Zweifel überwiegen.1437 Daher bedarf es vor allem eindeutiger und anerkannter Kriterien 1433 Niemann / Paul, K&R 2009, 444 (449); zu internationalen Datentransfers siehe oben unter C.IV. 1434 Brennscheidt, Cloud Computing und Datenschutz, S. 146; Niemann, in: Niemann / Paul, Rechtsfragen des Cloud Computing, Kap. 5 Rn. 73 m. w. N.; Niemann / Paul, K&R 2009, 444 (449); Jotzo, Der Schutz personenbezogener Daten in der Cloud, S. 108 f. 1435 Niemann, in: Niemann / Paul, Rechtsfragen des Cloud Computing, Kap. 5 Rn. 71; zu den Interessen eines Nutzers siehe zuvor unter C.VII.1. 1436 Ausführlich zu den Anforderungen nach § 11 BDSG siehe oben unter C.VI.5. 1437 Scheja / Haag, in: Leupold / Glossner, IT-Recht, Teil 5 Rn. 133.
VII. Datenübermittlung (nach § 28 Abs. 1 S. 1 Nr. 2 BDSG)297
(insbesondere anerkannte Zertifizierungen), um im Einzelfall die jeweiligen Interessen überhaupt ordnungsgemäß abwägen zu können. Die anderenfalls bestehenden Rechtsunsicherheiten sind in einem digitalen Alltag und in Zeiten allgegenwärtiger und hochstandardisierter Bereitstellungs- und Nutzungsszenarien – gerade auch mit Blick auf konkretisierungsbedürftige Generalklauseln – jedenfalls nicht hinnehmbar.
D. Zusammenfassung Mit Cloud Computing verbinden sich zahlreiche Herausforderungen, die der Konzeption des Datenschutzrechts oftmals bereits vom Grundsatz widersprechen. Resultierende Umsetzungsschwierigkeiten können in verschiedenen Datenverarbeitungsszenarien die Chancen und wirtschaftlichen Vorteile innovativer und flexibler Cloud-Lösungen relativieren.1438
I. Herausforderungen an das anzuwendende Datenschutzrecht Im Rahmen des anzuwendenden Datenschutzrechts sind besondere Herausforderungen von Cloud Computing vor allem mit verteilten und mitunter grenzüberschreitenden Datenverarbeitungsszenarien, Virtualisierungstechniken, Datenreplikationen in Storage-Clustern sowie mit intransparenten Anbieterinformationen verbunden. Sofern der Rechtsrahmen an den Ort der Datenverarbeitung anknüpft, wird die Rechtsanwendung hierdurch erschwert.1439 Auswirkungen bestehen vor allem auf die zur Bestimmung des anzuwendenden Datenschutzrechts zugrunde zu legende Abstraktionsebene. Da sich Datenverarbeitungsort und -zeitpunkt gerade bei großen Public Clouds meist nicht mehr eindeutig auf dedizierte IT-Systeme zurückführen lassen, ist in Zeiten von Cloud Computing und Virtualisierung eine höhere Abstraktionsebene anzulegen. Es ist daher auf sämtliche IT-Systeme abzustellen, die den gesamten (ggf. standortübergreifenden) Ressourcen-Pool des einer Cloud zugrunde liegenden virtualisierten IT-System-Cluster bilden. Zur Bestimmung des anzuwendenden Datenschutzrechts ist es dabei ausreichend, dass Anbieter die Länder benennen, in denen die Datenverarbeitungsstandorte liegen. Eine detaillierte Benennung konkreter Standorte in diesen Ländern ist nicht erforderlich. Anbieter können insoweit ihre standortbezogenen Sicherheits- und Geheimhaltungsinteressen wahren.1440 Auswirkungen bestehen auch im Hinblick auf die datenschutzrechtliche Verantwortlichkeit. Bleiben die Datenverarbeitungsstandorte aufgrund einer 1438 Hierzu
siehe oben unter A.II. siehe oben unter C.II.3.a). 1440 Hierzu siehe oben unter C.II.3.a)bb)(1)(a). 1439 Hierzu
I. Herausforderungen an das anzuwendende Datenschutzrecht299
fehlenden Anbietertransparenz unklar, können diese einer Jurisdiktion territorial nicht zugeordnet werden. Die anzuwendenden Rechtsvorschriften sind nicht feststellbar. Eine datenverarbeitende Stelle wird ihrer datenschutzrechtlichen Verantwortung daher nicht nachkommen können. Aber auch bei bekannten Datenverarbeitungsstandorten werden im Fall einer Erstreckung über mehrere Jurisdiktionen regelmäßig Unsicherheiten in Bezug auf das anzuwendende Recht bestehen. In multinationalen Datenverarbeitungsszenarien besteht daher nicht nur die Gefahr eines „forum shopping“, sondern es können einer verantwortlichen Stelle unbekannte Vorschriften eines Drittstaats zur Anwendung gelangen, falls mehrere Rechtsordnungen anwendbar sind.1441 Umgekehrt kann die Anwendbarkeit des „strengen“ deutschen und europäischen Rechtsrahmens für Datenschutz aus Sicht einer außereuropäischen Stelle eine ebenso ungewollte Folge einer nicht hinreichenden Standorttransparenz sein, zumal § 1 Abs. 5 S. 2 BDSG ein weites Verständnis eines Rückgriffs auf inländische Mittel zugrunde liegt. Zudem kann ein Normkonflikt mit dem Recht des Drittlands (etwa mit dem USA PATRIOT Act) bestehen. Eine verantwortliche Stelle aus einem Drittland muss überdies davon ausgehen, dass das BDSG auch bei der Verarbeitung personenbezogener Daten ohne EU-Bezug anzuwenden ist.1442 Die konzeptionelle Anknüpfung an den Ort einer Datenverarbeitung ist nicht mehr zeitgemäß. Die geplanten Änderungen durch die DS-GVO, wie vor allem die Anknüpfung an das Angebot von Waren oder Dienstleistungen, sind daher ein Schritt in die richtige Richtung. Aber auch hier können mitunter Einblicksmöglichkeiten erforderlich sein, die sich gerade in hochstandardisierten IT-Bereitstellungsszenarien nicht wiederfinden. Der Blick auf die zur Bejahung einer Leistungsausrichtung an EU-Bürger heranzuziehenden Kriterien hat gezeigt, dass es zur Verbesserung der Rechtssicherheit einer weiteren Präzisierung bedarf. Zudem kann sich auch im Rahmen der DS-GVO ein (subsidiärer) Rückgriff auf inländische Mittel anbieten, um Schutzlücken bei der Bindung von außereuropäischen Anbietern an euro päisches Datenschutzrecht zu vermeiden. Als praktisch schwierig gestalten sich vor allem die Aufsicht außereuropäischer Anbieter sowie Fragen der Rechtsdurchsetzung.1443 Eine weitere Herausforderung besteht in der intransparenten und komplexen Struktur multinationaler Konzerne. Für einen Nutzer bleiben die konkreten Verantwortungsstrukturen einer Datenverarbeitung – welche Nieder1441 Hierzu
siehe oben unter C.II.3.a). siehe oben unter C.II.3.a)cc)(2). 1443 Hierzu siehe oben unter C.II.4.b), insbesondere das Fazit unter C.II.4.b)bb)(4). 1442 Hierzu
300
D. Zusammenfassung
lassung in welchem Land welche Aufgaben wahrnimmt – meist unklar. Durch eine auf Seiten großer Cloud-Anbieter fehlende Transparenz sowie nicht bestehende Einblicksmöglichkeiten gelangt das Konzept einer datenschutzrechtlich verantwortlichen Stelle an seine Grenzen. In Bezug auf Vertriebsniederlassungen hat das Google-Urteil des EuGH vom 13. Mai 2014 aber nunmehr zu einer Ausweitung des räumlichen Anwendungsbereichs des Datenschutzrechts geführt.1444 Eine rechtsordnungsübergreifende Herausforderung besteht für CloudAnbieter vor allem in den voneinander divergierenden Regelungen der mittlerweile 28 Mitgliedstaaten. Obwohl eine Harmonisierung der nationalen Datenschutzgesetze bereits von der EG-Datenschutz-Richtlinie vorangetrieben wurde, führt die dennoch bestehende Zersplitterung des Rechtsrahmens mitunter zu erheblichen Schwierigkeiten bei der EU-weiten Bereitstellung von einheitlichen und kosteneffizienten Lösungen. Die geplante DSGVO, die als einheitlicher Rechtsrahmen einen hohen Harmonisierungsgrad und einen digitalen Binnenmarkt bezweckt, wird daher gerade den dynamischen und flexiblen Nutzungsmodellen von Cloud Computing zugutekommen.1445
II. Herausforderungen an den Personenbezug von Daten Sachlich ist das BDSG auf personenbezogene Daten anzuwenden. In Datenverarbeitungsszenarien von Unternehmen und der öffentlichen Hand sind meist nur wenige Datensätze als reine Sachdaten ohne Personenbezug zu qualifizieren. Datenschutzrechtliche Anforderungen sind daher in aller Regel auch bei Cloud Computing zu berücksichtigen, sofern nicht wiederum datenschutzneutrale Verarbeitungsmöglichkeiten durch eine Datenveränderung herbeigeführt werden können. Neben der Anonymisierung und der Pseudonymisierung von personenbezogenen Daten kommen nach der herrschenden relativen Theorie der Bestimmbarkeit einer natürlichen Person insoweit vor allem reversible Verschlüsselungstechnologien in Betracht.1446 Rein faktisch ist der Einsatzbereich von nutzerseitig anonymisierten, pseudonymisierten oder verschlüsselten Daten jedoch auf wenige Datenverarbeitungsszenarien begrenzt. Reversible, von dem Nutzer eingesetzte Verschlüsselungstechniken können meist nur in der IaaS-Unterform von Storage as a Service zum Einsatz gelangen. Für alle weitergehenden Verarbeitungszwecke in der Cloud müssen Daten in der Regel unverschlüsselt vorliegen, 1444 Hierzu
siehe oben unter C.II.3.b). siehe oben unter C.II.5. 1446 Hierzu siehe oben unter C.III. 1445 Hierzu
III. Herausforderungen an EU-Standardvertragsklauseln301
zumal der Einsatz homomorpher Verschlüsselungstechniken noch längst nicht absehbar ist.1447 Bei dem Einsatz von Verschlüsselungstechnologien beeinflusst das massive Ressourcenpotential, das in Public Clouds als „cloud power“ der allgemeinen Öffentlichkeit flexibel, kostengünstig und in beinahe unbegrenztem Umfang zur Verfügung steht, die für eine Unverhältnismäßigkeit und für die Beurteilung eines Re-Identifizierungsaufwands zeitlich anzulegenden Maßstäbe. Es wird hierdurch immer schwieriger, eine Trennlinie zwischen Verhältnismäßigkeit und Unverhältnismäßigkeit zu ziehen. Der Stand der Technik und die Menge an verfügbaren Cloud-Ressourcen haben auf das Verständnis von „sicher“ und von einem effektiven Datenschutz erheblichen Einfluss und haben die Eintrittswahrscheinlichkeit künftiger Entschlüsselungsmöglichkeiten (weiter) vorverlagert.1448
III. Herausforderungen im Kontext internationaler Datentransfers an EU-Standardvertragsklauseln und verbindliche Unternehmensregelungen Internationale Datentransfers bilden in einem digitalen Zeitalter das technische Rückgrat einer globalisierten Weltwirtschaft. Zur Gewährleistung eines angemessenen Datenschutzniveaus bei einer ausländischen Stelle sind in der Praxis vor allem die Standardvertragsklauseln der Kommission sowie verbindliche Unternehmensregelungen von Bedeutung. Im Kontext von Cloud Computing begegnen diese Rechtsinstrumente der Herausforderung flexibler und bedarfsgerechter Nutzungsszenarien. Cloud Computing und die Standardvertragsklauseln der Kommission verbindet zwar der Gedanke einer Standardisierung. In hochflexiblen Nutzungsszenarien werden Standardvertragsklauseln aber in der Regel nur dann zur Gewährleistung eines angemessenen Datenschutzniveaus in Betracht kommen, wenn mit deren Einsatz kein erheblicher zeitlicher und wirtschaftlicher Aufwand verbunden ist und Anbieter entsprechende Verträge bereits standardmäßig bereithalten.1449 Ein erheblicher zeitlicher und wirtschaftlicher Aufwand widerspricht flexiblen und bedarfsorientierten Nutzungsmodellen bereits vom Grundsatz her. Er besteht aber meist bei hochkomplexen Cloud-Szenarien, die sich über mehrere Standorte erstrecken und in die zahlreiche Subunternehmer eingeschaltet sind. In diesen Fällen bedarf es regelmäßig einer Vielzahl an 1447 Hierzu
siehe oben unter C.III.4.a). siehe oben unter C.III.4.a)bb)(2)(b)(bb). 1449 Hierzu siehe oben unter C.IV.3.b)bb). 1448 Hierzu
302
D. Zusammenfassung
Verträgen. Wirtschaftlich betrachtet wird sich der Einsatz von Standardvertragsklauseln daher meist erst ab einem gewissen „business case“ beziehungsweise bei langfristigen Vertragslaufzeiten und wiederkehrenden, vom Bedarf her gleichbleibenden Nutzungsszenarien als sinnvoll erweisen. Bei der gerade für kleine und mittelständische Unternehmen in Betracht kommenden flexiblen Cloud-Nutzung, die Cloud Computing von konventionellen IT-Outsourcing-Szenarien unterscheidet, ist dies oft nicht der Fall.1450 Vor dem Hintergrund der Herausforderungen, die bei Cloud Computing mit den Zeiten des klassischen IT-Outsourcings entstammenden Anforderungen von § 11 BDSG verbunden sind, sollten die Datenschutzbehörden vor allem die Forderung nach einer ergänzenden Berücksichtigung von § 11 Abs. 2 BDSG entsprechenden Regelungen hinterfragen. Sofern einer Auftragsdatenverarbeitung entsprechende Regelungen nicht in einer Anlage zu den Standardvertragsklauseln bereits enthalten sind, wird ein erheblicher zeitlicher und wirtschaftlicher Aufwand einem wirtschaftlich sinnvollen Einsatz meist entgegenstehen.1451 Verbindliche Unternehmensregelungen gelangen dagegen vor allem bei unternehmensweiten Private Clouds zur Anwendung. Aufgrund der aufsichtsbehördlichen Genehmigungspflicht ist mit einer konzernweiten Implementierung auch hier meist ein erheblicher wirtschaftlicher Aufwand verbunden, obwohl Verfahren der gegenseitigen Anerkennung („mutual recognition“) bereits zu Vereinfachungen geführt haben. Das Bedürfnis nach weitergehenden Vereinfachungen (wie einer EU-weit einheitlichen aufsichtsbehördlichen Genehmigung und einer Standardisierung diesbezüglicher Verfahren), das im Grundsatz auch für „Processor Binding Corporate Rules“ gilt, korrespondiert mit der technischen Standardisierung in der Bereitstellung von IT.1452 Datenverarbeitungsrealitäten in globalen Unterauftragsverhältnissen erfordern geeignete Instrumente zur Herstellung eines angemessenen Datenschutzniveaus. Mit Blick auf die vielfältigen Auftragsverhältnisse und Leistungsketten, die moderne Datenverarbeitungsszenarien heutzutage kennzeichnen, ist der Einsatz von Standardvertragsklauseln vor allem in Bezug auf Unterauftragsverhältnisse noch weiter zu optimieren. Gerade die praxisrelevante Konstellation der Einschaltung außereuropäischer Unterauftragnehmer durch einen europäischen Cloud-Anbieter als Auftragnehmer ist noch immer unberücksichtigt.1453 1450 Hierzu
siehe siehe 1452 Hierzu siehe 1453 Hierzu siehe 1451 Hierzu
oben oben oben oben
unter unter unter unter
C.IV.3.b)bb). C.IV.3.b)bb)(2)(c). C.IV.3.b)cc). C.IV.3.c).
IV. Herausforderungen an transatlantische Datentransfers303
Zugleich bleiben die Verantwortungsstrukturen einer Datenverarbeitung in komplexen Konzernstrukturen oder Subunternehmerketten oft unklar. Hierdurch wird es zunehmend schwieriger, „controller to controller“-Konstellationen und „controller to processor“-Konstellationen voneinander abzugrenzen. Mit Blick auf hinreichende Garantien eines Datenimporteurs zu implementierten technischen und organisatorischen Sicherheitsmaßnahmen wird Zertifizierungen und Audits durch Dritte auch in diesem Kontext eine besondere Bedeutung gerade bei Cloud Computing zukommen.1454
IV. Herausforderungen an transatlantische Datentransfers in die USA auf Basis von Safe Harbor Transatlantische Datenübermittlungen in die USA sind aufgrund der allgegenwärtigen Präsenz US-amerikanischer Cloud-Anbieter von besonderer Praxisrelevanz im Kontext internationaler Datentransfers. Neben dem Einsatz von Standardvertragsklauseln und verbindlichen Unternehmensregelungen kommt hierfür vor allem die sog. „Safe-Harbor-Vereinbarung“ in Betracht, wonach ein angemessenes Schutzniveau auf Seiten eines US-amerikanischen Datenempfängers gewährleistet ist, wenn sich dieser den Grundsätzen des Abkommens unterwirft.1455 Mit Blick auf die Herausforderung flexibler und bedarfsgerechter Nutzungsszenarien erscheinen Datenübermittlungen auf Basis von Safe Harbor als eine geeignete Möglichkeit, um Daten ohne größeren Aufwand an USEmpfangsdestinationen übermitteln zu können. Aufgrund verschiedener Umsetzungsdefizite (von europäischer Seite wird vor allem eine fehlende Kontrolle durch US-amerikanische Behörden kritisiert) stellt sich nach 14 Jahren Safe Harbor zunehmend die Frage, wie sicher die im Wege eines Selbstzertifizierungsmechanismus individuell hergestellten Häfen wirklich sind.1456 Die bestehenden Defizite haben die Datenschutzbehörden jedenfalls im Jahr 2010 dazu veranlasst, eine Prüfung von Mindestkriterien sowie diesbezügliche Dokumentations- und Nachweispflichten zu fordern. Im Kontext hochflexibler Cloud-Szenarien stellt sich allerdings die Frage, wie diesen Anforderungen überhaupt praxisgerecht nachgekommen werden kann, da sie als zusätzliche Hürde das Gegenteil jedes „IT as a Service“-Gedankens sind. Mit Blick auf Zeit und Aufwand erscheint in hochflexiblen und kurzfristigen Nutzungsszenarien, wenn überhaupt, lediglich eine Überprüfung 1454 Hierzu
siehe oben unter C.IV.3.c). siehe oben unter C.IV.3.d)aa)(1). 1456 Hierzu siehe oben unter C.IV.3.d)aa)(4). 1455 Hierzu
304
D. Zusammenfassung
des gegenwärtigen „registration status“ auf der von dem US-Handelsministerium geführten Safe-Harbor-Liste als eine Handlung, die realistischerweise noch erwartet werden kann. Bereits jede weitergehende Beurteilung, ob die „privacy policy“ des Cloud-Anbieters dem Grundsatz der Informationsplicht genügt, wird gerade ein kleines oder mittelständisches Unternehmen in aller Regel nicht ohne entsprechendes Know-how feststellen können. Das wirtschaftliche Potential von Cloud Computing, das gerade für kleine oder mittelständische Unternehmen mit der Nutzung marktführender US-Datenwolken verbunden ist, wird hierdurch relativiert.1457 Der Vorwurf einer fehlenden Kontrolle der Selbstzertifizierung durch USamerikanische Kontrollbehörden lässt sich mit Blick auf die in den letzten Jahren erzielten Vergleiche der FTC mit Google, Facebook und MySpace sowie anderer Verfahren mit Safe-Harbor-Bezug mittlerweile nicht mehr undifferenziert aufrechterhalten. Da die Verletzung von Safe-Harbor-Grundprinzipien allerdings nicht hauptsächlicher Verfahrensgegenstand war, bleibt es abzuwarten, wie die FTC mit Konstellationen der ausschließlichen Verletzung von Safe-Harbor-Grundsätzen umgehen wird. Zumindest in Bezug auf das Vorliegen der Selbstzertifizierung haben die in der ersten Jahreshälfte 2014 erzielten Vergleiche mit US-Unternehmen, die sich weiterhin auf jeweils gültige Selbstzertifizierungen berufen haben, einen Durchsetzungswillen der FTC bekräftigt. Die künftige Entwicklung bleibt aber schon deswegen abzuwarten, da im Zuge der NSA-Überwachungsaffäre gerade das Safe-Harbor-Abkommen sehr viel Aufmerksamkeit auf sich gezogen hatte.1458 Trotz aller Kritik handelt es sich bei der Safe-Harbor-Kommissionsentscheidung aus dem Jahr 2000 um geltendes Recht für internationale Datentransfers in die USA. Dies verdeutlicht gerade die Forderung nach einer Aussetzung des Abkommens, wie sie im Zuge der NSA-Überwachungsaffäre zum Beispiel von dem Europäischen Parlament erhoben wurde.1459
V. Herausforderungen an die Grundsätze der Daten- und Informationssicherheit Im Rahmen der allgemeinen Daten- und Informationssicherheit hat die Darstellung der Gefährdungslage und der typischen technischen und organisatorischen Maßnahmen auf den einzelnen Ebenen einer IT-Sicherheitsarchitektur verdeutlicht, dass vor allem Virtualisierungstechnologien, standort1457 Hierzu
siehe oben unter C.IV.3.d)aa)(4)(b)(aa). siehe oben unter C.IV.3.d)aa)(4)(c)(bb)ζ). 1459 Hierzu siehe oben unter C.IV.3.d). 1458 Hierzu
V. Herausforderungen an die Daten- und Informationssicherheit305
übergreifende Datenverarbeitungsszenarien sowie das flexibel verfügbare, massive Ressourcenpotential klassische Angriffsszenarien ergänzen und neue Maßstäbe bei der Bewertung sämtlicher Schutzziele setzen. Daneben sind zahlreiche ebenenübergreifenden Gefahren (wie die Sicherheit administrativer Schnittstellen, eine Anbieterabhängigkeit, die Vervielfältigung und Verteilung von Daten oder Aspekte der Datenlöschung) bei jeder Sicherheitsbewertung zu berücksichtigen. Die Identifikation geeigneter technischer und organisatorischer Maßnahmen wird hierdurch gerade bei technisch komplexen Cloud-Infrastrukturen erschwert, falls ein Nutzer insoweit kein besonderes Know-how aufweist. Die dem Maßnahmenkatalog der Anlage zu § 9 BDSG immanente, noch auf dedizierte IT-Systeme ausgelegte Konzeption gelangt daher in dezentralen Systemumgebungen an Grenzen. In standardisierten Datenverarbeitungsszenarien kommt vielmehr anerkannten Zertifizierungen, Audits durch unabhängige Dritte, geeigneten technischen Sicherungsmaßnahmen anhand von Branchenstandards sowie Aspekten von „privacy by design“ eine besondere Bedeutung zu. Den immer komplexeren Herausforderungen einer technisch standardisierten Bereitstellung von IT wird ein Rechtsrahmen nur durch eine vergleichbare rechtliche Standardisierung und durch eine Bereitstellung entsprechender Rechtsinstrumente (wie vor allem Bezugnahmen auf geeignete Zertifizierungen) begegnen können.1460 Die Grundsätze der allgemeinen Daten- und Informationssicherheit werden – neben klassischen Spionage- und Geheimdiensttätigkeiten – auch durch die (legalen) Zugriffsmöglichkeiten von Sicherheitsbehörden und anderen staatlichen oder privaten Stellen vor Herausforderungen gestellt. Aufgrund der hohen Marktpräsenz von US-Anbietern stehen vor allem die Zugriffsbefugnisse von US-Sicherheitsbehörden nach dem USA PATRIOT Act, Gerichtsbeschlüsse nach dem Foreign Intelligence Surveillance Act (FISA) sowie National Security Letter des FBI im Zentrum der Aufmerksamkeit. Auch wenn US-Sicherheitsbehörden aufgrund der völkerrechtlichen Souveränität von Staaten grundsätzlich keine extraterritorialen Befugnisse haben, tragen vor allem die aus gesellschaftsrechtlichen Beteiligungs- und Beherrschungsverhältnissen resultierenden Weisungsbefugnisse von USMuttergesellschaften auf europäische Tochtergesellschaften zu extraterritorialen Auswirkungen bei. Jede auf diesem Weg erfolgende Wahrung von nach US-Recht bestehenden Herausgabeverpflichtungen verletzt in der Regel europäische Datenschutznormen. Dieser Konflikt zweier Rechtsordnungen führt sowohl auf Seiten der potentiell von US-Sicherheitsbehörden betroffenen Cloud-Anbieter als auch bei Cloud-Nutzern zu erheblichen Rechtsunsi1460 Hierzu
a)ff).
siehe oben unter C.V.3.a) sowie insbesondere das Fazit unter C.V.3.
306
D. Zusammenfassung
cherheiten. Zur Beseitigung bestehender Konfliktpunkte zwischen den Rechtsordnungen bedarf es neuer transatlantischer Abkommen sowie einer entsprechenden Anpassung der Datenschutzregelungen.1461
VI. Herausforderungen an eine Auftragsdatenverarbeitung Zur Bejahung einer Auftragsdatenverarbeitung bedarf es aufgrund der vielfältigen Gesichter von Cloud Computing, die sich an dem Gedanken von XaaS („Everything as a Service“) und dem sehr breiten Leistungsspektrum verdeutlichen, stets einer einzelfallbezogenen Betrachtung. Im Grundsatz kann aber davon ausgegangen werden, dass das Anbieter-Nutzer-Verhältnis auch bei Cloud Computing regelmäßig der Konstellation entspricht, die auch einer Auftragsdatenverarbeitung zugrunde liegt.1462 Datenschutzrechtlich ist die Auftragsdatenverarbeitung innerhalb von EU und EWR insoweit privilegiert, dass eine Datenweitergabe an einen Auftragnehmer nicht als Übermittlung an einen Dritten zu qualifizieren ist. Da eine Datenweitergabe an Destinationen außerhalb von EU und EWR im Vergleich zu einer innereuropäischen Auftragsdatenverarbeitung meist strengeren Voraussetzungen unterliegt, soll eine Benachteiligung vor allem dann vorliegen, wenn die Kommission für einen Drittstaat ein angemessenes Datenschutzniveau festgestellt hat („sicherer Drittstaat“) oder wenn „Standardvertragswerk III“ zum Einsatz gelangt. In diesen Fällen wird eine Gleichstellung mit privilegierten, innereuropäischen Auftragsdatenverarbeitern als erforderlich angesehen, die – mangels Datenweitergabe an einen Dritten – nicht dem Erlaubnisvorbehalt unterliegen. Da Cloud Computing im Anbieter-Nutzer-Verhältnis typischerweise der einer Auftragsdatenverarbeitung zugrunde liegenden Konstellation entspricht, besteht in einer globalisierten Weltwirtschaft, in der grenzüberschreitende Datenverarbeitungsszenarien digitaler Alltag sind, mehr denn je ein Reformbedarf, auch außereuropäische Datenverarbeitungen im Auftrag in sicheren Drittstaaten sowie unter Einsatz von „Standardvertragswerk III“ datenschutzrechtlich als privilegiert behandeln zu können.1463 Herausforderungen sind bei Cloud Computing im Besonderen mit der Einhaltung der Anforderungen nach § 11 BDSG verbunden. Sofern vertragliche Festlegungen verschiedener Mitwirkungshandlungen durch einen Anbieter bedürfen, widerspricht dies einer standardisierten und automatisierten Bereitstellung von „IT as a service“, „pay per use“ und einem „self-provi1461 Hierzu
siehe oben unter C.V.3.b). siehe oben unter C.VI.3. 1463 Hierzu siehe oben unter C.VI.4. 1462 Hierzu
VI. Herausforderungen an eine Auftragsdatenverarbeitung307
sioning“ über Webseiten. Das Geschäftsmodell vieler Cloud-Dienste liegt gerade in flexiblen und bedarfsgerechten Nutzungsmodellen ohne besonderen Aufwand. Jede Mitwirkungs- und Verhandlungsbereitschaft der CloudAnbieter wird vor allem von dem Standardisierungsgrad der Leistung, dem zugrunde liegenden Auftragsvolumen und der strategischen Verhandlungskonstellation im Anbieter-Nutzer-Verhältnis abhängen. Vertragliche Festlegungen werden sich vor allem in ungleichen Verhandlungskonstellationen, wenn ein kleines oder mittleres Unternehmen einem großen Cloud-Anbieter gegenübersteht, als schwierig gestalten. Datenschutzrechtliche Festlegungen, die über allgemeine Standardverträge eines Anbieters hinausgehen, werden in der Praxis daher in vielen Verhandlungskonstellationen gar nicht erst möglich sein, sofern Anbieter nicht wiederum spezifische Auftragsdatenverarbeitungsvereinbarungen bereits standardmäßig vorlegen können. Insgesamt verdeutlicht sich ein Zielkonflikt zwischen den wirtschaftlichen Vorteilen flexibler, dynamischer und bedarfsgerechter Cloud-Nutzungsszenarien und einem konzeptionell noch auf großvolumige IT-Outsourcing-Projekte zugeschnittenen Rechtsrahmen.1464 Gerade das Schriftformerfordernis steht jedem flexiblen und bedarfsbasierten Ansatz sowie jedem Gedanken von „self-provisioning“ und „minimal service provider interaction“ entgegen. Die konzeptionell bezweckte Sicherstellung von Weisungsbefugnissen lässt sich heutzutage vor allem in hochstandardisierten Public Clouds nicht mehr begründen. In ungleichen Verhandlungskonstellationen im Anbieter-Nutzer-Verhältnis sind Weisungen in aller Regel rein faktisch nicht umsetzbar. Für die Zwecke eines CloudVertrags erscheint die Textform (§ 126b BGB) als ausreichend. Ein künftiger Rechtsrahmen sollte dabei vor allem den Szenarien einer Online-Nutzung sowie einer Nutzung über Apps auf mobilen Endgeräten adäquat Rechnung tragen.1465 Im Kontext der technischen und organisatorischen Maßnahmen zeigen sich besondere Schwierigkeiten gerade im Hinblick auf eine sorgfältige Auswahlentscheidung, die vertragliche Festlegung von Maßnahmen sowie eine ordnungsgemäße Auftragskontrolle. Herausforderungen verbinden sich auch hier mit intransparenten Anbieterinformationen, der technischen und organisatorischen Komplexität einer Cloud und fehlenden Kontrollmöglichkeiten (insbesondere auch rein faktisch bei verteilten Standorten). Sofern es aufwendiger, einzelfallbezogener Betrachtungen bedarf, widerspricht dies jedem Idealbild von „IT aus der Steckdose“, die quasi „plug and play“ zum Einsatz gelangen soll.1466 1464 Hierzu
siehe oben unter C.VI.5.a). siehe oben unter C.VI.5.b). 1466 Hierzu siehe oben unter C.VI.5.c). 1465 Hierzu
308
D. Zusammenfassung
Die meisten Zertifizierungen und Audits weisen in der Regel keinen spezifisch datenschutzrechtlichen Bezugspunkt auf, sondern dienen zum Nachweis bestimmter Branchenstandards (etwa Wirtschaftsprüfungsstandards). Ohne spezifisches Know-how über die unterschiedlichen Zertifizierungen ist es meist nicht ersichtlich, ob und inwieweit ein bestimmtes Testat datenschutzrechtlichen Anforderungen genügt. Die in weiten Teilen noch zu entwickelnden Zertifizierungen des hochstandardisierten Cloud-Zeitalters bedürfen daher eines datenschutzspezifischen Zuschnitts zum verlässlichen Nachweis eines technisch-organisatorischen Maßnahmenkonzepts. Da die Besonderheiten von Cloud Computing in den gegenwärtigen Standards nicht vollumfänglich abgebildet werden, ist – neben anderen Entwicklungen auf europäischer Ebene – die gegenwärtige Entwicklung von ISO / IEC 27017 und ISO / IEC 27018 zur weiteren Ausgestaltung und Unterfütterung von ISO / IEC 27001 ein konsequenter und folgerichtiger Schritt. Grundsätzlich wird davon ausgegangen, dass einer standardisierten Bereitstellung von IT datenschutzrechtlich nur durch ebenso standardisierte Zertifizierungsschemata nachgekommen werden kann. Ein künftiger Rechtsrahmen sollte aber die Delegierung der Kontrollpflichten auf Dritte sowie einen Nachweis anhand von Zertifizierungen und Audits europaweit möglichst einheitlich ausgestalten. Art. 39 DS-GVO-E in der um zahlreiche Details erweiterten jeweilgen Entwurfsfassung des Europäischen Parlaments und des Rats der EU ist daher ein Schritt in die richtige Richtung, indem Zertifizierungen durch entsprechende Stellen eine zentrale Rolle zukommt.1467 Neben intransparenten Anbieterinformationen erschweren es komplexe Anbieterketten, eingeschaltete Subunternehmer überhaupt auszumachen und kontrollieren zu können. Rein praktische Schwierigkeiten im Umgang mit den Herausforderungen von Cloud Computing verdeutlichen sich etwa an cloud-spezifischen Empfehlungen der Aufsichtsbehörden, wonach die Begründung von Unterauftragsverhältnissen davon abhängen soll, ob ein Cloud-Anbieter mit dem Subunternehmer Vereinbarungen getroffen hat, die den Kontrollmaßstäben nach § 11 Abs. 2 S. 4 BDSG und dem Schutzniveau im Verhältnis zwischen Cloud-Nutzer und Cloud-Anbieter entsprechen. Derartige Kontroll- und Einblicksmöglichkeiten finden sich in hochstandardisierten Public Clouds gar nicht wieder und widersprechen jedem Gedanken von „IT as a Service“ bereits vom Grundsatz. Es zeigt sich auch in diesem Zusammenhang, dass der gegenwärtige Rechtsrahmen den Herausforderungen einer hohen Standardisierung und einer gemeinsamen Ressourcennutzung nicht gerecht wird.1468
1467 Hierzu 1468 Hierzu
siehe oben unter C.VI.5.c)bb)(4). siehe oben unter C.VI.5.d).
VII. Herausforderungen an eine Datenübermittlung309
Praktischen Schwierigkeiten begegnet die Umsetzbarkeit von Weisungsbefugnissen vor allem in ungleichen Verhandlungskonstellationen, wenn ein kleines oder mittleres Unternehmen einem Branchenriesen wie Amazon oder Google gegenübersteht. In diesen Cloud-Szenarien sehen auch die Aufsichtsbehörden für den Datenschutz die Erteilung von Weisungen als faktisch nicht umsetzbar. Als Alternative zu Weisungen werden meist Wahlmöglichkeiten und Optionsangebote als eine Art vorverlagerte Weisungsbefugnis vorgeschlagen. Grundsätzlich erscheinen Weisungsbefugnisse jedoch als ein Relikt des klassischen IT-Outsourcings, auf das in hochstandardisierten Nutzungsszenarien gänzlich verzichtet werden kann. Da ein Nutzer faktisch meist nur zwischen den Cloud-Services verschiedener Anbieter oder zwischen bestimmten Optionen innerhalb einer Leistung auswählen kann, geht das Weisungsrecht vielmehr in der Auswahlbefugnis der verantwortlichen Stelle auf.1469 Verteilte Verarbeitungsszenarien erfordern auch ein neues Verständnis der Löschung von Daten. Da sich ein Löschen im Sinne eines endgültigen Unkenntlichmachens vor allem in den Storage-Clustern großer Public Clouds rein faktisch als unmöglich erweist, bedarf es realistischer und praxisgerechter Maßstäbe für eine Datenlöschung. Mitunter kann es als ausreichend anzusehen sein, wenn die genutzten Speicherbereiche beispielsweise durch beliebige Buchstaben- oder Zahlenkombinationen oder durch die Daten anderer Nutzer überschrieben werden, sofern die Daten von dem Anbieter zumindest beim Austausch von Festplatten dauerhaft unkenntlich gemacht werden.1470
VII. Herausforderungen an eine Datenübermittlung Im Rahmen der praxisrelevanten Datenübermittlung nach § 28 Abs. 1 S. 1 Nr. 2 BDSG wird im Kontext von Cloud Computing aufgrund der vielfältigen Vorteile bedarfsbasierter Nutzungs- und Abrechnungsmodelle ein wirtschaftliches und organisatorisches Interesse einer verantwortlichen Stelle in der Regel grundsätzlich anzunehmen sein. Die wirtschaftlichen Vorteile hat gerade auch die Kommission in ihrem Strategiepapier zu Cloud Computing herausgestellt.1471 Für eine ordnungsgemäße Abwägung mit schutzwürdigen Betroffeneninteressen bedarf es einer ausreichenden Anbietertransparenz zu den Umständen der Datenverarbeitung. Die technische und organisatorische Komplexität 1469 Hierzu
siehe oben unter C.VI.5.e). siehe oben unter C.VI.5.f). 1471 Hierzu siehe oben unter C.VII.1. 1470 Hierzu
310
D. Zusammenfassung
großer Cloud-Umgebungen wird aber selbst bei ausreichender Transparenz in der Regel auch dann nicht für die zur ordnungsgemäßen Bewertung erforderliche Klarheit sorgen, wenn ein besonderes Know-how zur ordnungsgemäßen Bewertung implementierter Maßnahmen erforderlich ist.1472 Keine schutzwürdigen Betroffeneninteressen werden bei der Vereinbarung von § 11 BDSG entsprechenden Regelungen überwiegen. Allerdings begegnet ein datenschutzrechtlich verantwortlicher Nutzer hierbei sämtlichen Schwierigkeiten, die aus der klassischen IT-Outsourcing-Szenarien entstammenden Konzeption von § 11 BDSG resultieren und die sich als eine der zentralen Herausforderungen von Cloud Computing an den Rechtsrahmen für Datenschutz erwiesen haben.1473
1472 Hierzu 1473 Hierzu
siehe oben unter C.VII.3. siehe oben unter C.VII.3.
Literaturverzeichnis Alich, Stefan / Nolte, Georg: Zur datenschutzrechtlichen Verantwortlichkeit (außereuropäischer) Hostprovider für Drittinhalte, CR 2011, 741–745. American Institute of Certified Public Accountants (AICPA): AICPA Service Organization Control Reports – Formerly SAS 70 Reports, FAQs – New Service Organization Standards and Implementation Guidance, abrufbar unter: http:// www.aicpa.org/interestareas/frc/assuranceadvisoryservices/downloadabledocu ments/faqs_service_orgs.pdf (Stand: 1.7.2015) (zitiert: AICPA, SOC FAQs). Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder: Orientierungshilfe – Cloud Computing, Version 2.0, Stand: 9.10.2014, abrufbar unter: http://www.datenschutz-bayern.de/technik/ orient/oh_cloud.pdf (Stand: 1.7.2015) (zitiert: Arbeitskreise Technik und Medien der DSK, Orientierungshilfe Cloud Computing). Art.-29-Datenschutzgruppe: WP 12, Arbeitsunterlage „Übermittlungen personenbezogener Daten an Drittländer: Anwendung von Art. 25 und 26 der Datenschutzrichtlinie der EU“, angenommen am 24.7.1998, abrufbar unter: http://ec.europa. eu/justice/policies/privacy/docs/wpdocs/1998/wp12_de.pdf (Stand: 1.7.2015) (zitiert: Art.-29-Datenschutzgruppe, WP 12). – WP 32, Stellungnahme 4 / 2000 über das Datenschutzniveau, das die Grundsätze des sicheren Hafens bieten, angenommen am 16.5.2000, abrufbar unter: http://ec. europa.eu/justice/policies/privacy/docs/wpdocs/2000/wp32de.pdf (Stand: 1.7.2015) (zitiert: Art.-29-Datenschutzgruppe, WP 32). – WP 74, Arbeitsdokument „Übermittlung personenbezogener Daten in Drittländer: Anwendung von Artikel 26 Absatz 2 der EU-Datenschutz-Richtlinie auf verbindliche unternehmensinterne Vorschriften für den internationalen Datentransfer“, angenommen am 3.6.2003, abrufbar unter: http://ec.europa.eu/justice/policies/ privacy/docs/wpdocs/2003/wp74_de.pdf (Stand: 1.7.2015) (zitiert: Art.-29-Datenschutzgruppe, WP 74). – WP 107, Arbeitsdokument „Festlegung eines Kooperationsverfahrens zwecks Abgabe gemeinsamer Stellungnahmen zur Angemessenheit der verbindlich festgelegten unternehmensinternen Datenschutzgarantien“, angenommen am 14.4. 2005, abrufbar unter: http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/ 2005/wp107_de.pdf (Stand: 1.7.2015) (zitiert: Art.-29-Datenschutzgruppe, WP 107). – WP 108, Arbeitsdokument „Muster-Checkliste für Anträge auf Genehmigungen verbindlicher unternehmensinterner Datenschutzregelungen“, angenommen am 14.4.2005, abrufbar unter: http://ec.europa.eu/justice/policies/privacy/docs/wp docs/2005/wp108_de.pdf (Stand: 1.7.2015) (zitiert: Art.-29-Datenschutzgruppe, WP 108).
312 Literaturverzeichnis – WP 136, Stellungnahme 4 / 2007 zum Begriff „personenbezogene Daten“, angenommen am 20.6.2007, abrufbar unter: http://ec.europa.eu/justice/policies/ privacy/docs/wpdocs/2007/wp136_de.pdf (Stand: 1.7.2015) (zitiert: Art.-29-Datenschutzgruppe, WP 136). – WP 153, Arbeitsdokument mit einer Übersicht über die Bestandteile und Grundsätze verbindlicher unternehmensinterner Datenschutzregelungen (BCR), angenommen am 24.6.2008, abrufbar unter: http://ec.europa.eu/justice/policies/ privacy/docs/wpdocs/2008/wp153_de.pdf (Stand: 1.7.2015) (zitiert: Art.-29-Datenschutzgruppe, WP 153). – WP 154, Arbeitsdokument „Rahmen für verbindliche unternehmensinterne Datenschutzregelungen (BCR)“, angenommen am 24.7.2008, abrufbar unter: http:// ec.europa.eu/justice/policies/privacy/docs/wpdocs/2008/wp154_de.pdf (Stand: 1.7.2015) (zitiert: Art.-29-Datenschutzgruppe, WP 154). – WP 155 Rev.04, Arbeitsdokument zu „Häufig gestellten Fragen“ über verbind liche unternehmensinterne Datenschutzregelungen (BCR), angenommen am 24.6.2008, zuletzt überarbeitet und angenommen am 8.4.2009, abrufbar unter: http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2008/wp155_rev.04_de. pdf (Stand: 1.7.2015) (zitiert: Art.-29-Datenschutzgruppe, WP 155). – WP 161, Stellungnahme 3 / 2009 über den Entwurf einer Entscheidung der Kommission zu Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95 / 46 / EG (vom für die Datenverarbeitung Verantwortlichen zum Datenverarbeiter), angenommen am 5.3.2009, abrufbar unter: http://ec.europa.eu/justice/policies/privacy/docs/ wpdocs/2009/wp161_de.pdf (Stand: 1.7.2015) (zitiert: Art.-29-Datenschutzgruppe, WP 161). – WP 179, Stellungnahme 8 / 2010 zum anwendbaren Recht, angenommen am 16.12.2010, abrufbar unter: http://ec.europa.eu/justice/policies/privacy/docs/wp docs/2010/wp179_de.pdf (Stand: 1.7.2015) (zitiert: Art.-29-Datenschutzgruppe, WP 179). – WP 195, Arbeitsdokument 02 / 2012 mit einer Übersicht über die Bestandteile und Grundsätze verbindlicher unternehmensinterner Datenschutzregelungen (BCR) für Auftragsverarbeiter, angenommen am 6.6.2012, abrufbar unter: http:// ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recomm endation/files/2012/wp195_de.pdf (Stand: 1.7.2015) (zitiert: Art.-29-Datenschutzgruppe, WP 195). – WP 196, Stellungnahme 05 / 2012 zum Cloud Computing, angenommen am 1.7. 2012, abrufbar unter: http://ec.europa.eu/justice/data-protection/article-29/docu mentation/opinion-recommendation/files/2012/wp196_de.pdf (Stand: 1.7.2015) (zitiert: Art.-29-Datenschutzgruppe, WP 196). – WP 204, Erläuterndes Dokument zu verbindlichen unternehmensinternen Datenschutzregelungen für Auftragsverarbeiter, angenommen am 19.4.2013, abrufbar unter: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2013/wp204_de.pdf (Stand: 1.7.2015) (zitiert: Art.-29-Datenschutzgruppe, WP 204).
Literaturverzeichnis313 – Schreiben v. 10. April 2014 an Viviane Reding zu „Additional recommendations to strengthen personal data protection under the Safe Harbor Decision“, abrufbar unter: http://ec.europa.eu/justice/data-protection/article-29/documentation/otherdocument/files/2014/20140410_wp29_to_ec_on_sh_recommendations.pdf (Stand: 1.7.2015) (zitiert: Art.-29-Datenschutzgruppe, Schreiben v. 10.4.2014 zu Safe Harbor). Babcock, Charles: Management Strategies for the Cloud Revolution, 1. Aufl. 2010 (zitiert: Babcock, The Cloud Revolution). Backu, Frieder: Steuerliche Aspekte von Cloud Computing und anderen Webservices, ITRB 2011, 184–186. Barnitzke, Benno: Microsoft: Zugriff auf personenbezogene Daten auf Grund US Patriot Act möglich, MMR-Aktuell 2011, 321103 (MMR 9 / 2011, VI–IX). Baun, Christian / Kunze, Marcel / Nimis, Jens / Tai, Stefan: Cloud Computing – Webbasierte dynamische IT-Services, 2. Aufl., Berlin / Heidelberg 2011 (zitiert: Baun / Kunze / Nimis / Tai, Cloud Computing). Becker, Philipp / Nikolaeva, Julia: Das Dilemma der Cloud-Anbieter zwischen US Patriot Act und BDSG – Zur Unmöglichkeit rechtskonformer Datenübermittlung für gleichzeitig in USA und Deutschland operierende Cloud-Anbieter, CR 2012, 170–176. Bergmann, Michael: Grenzüberschreitender Datenschutz, 1. Aufl., Baden-Baden 1985 (zitiert: Bergmann, Grenzüberschreitender Datenschutz). Berliner Beauftragter für Datenschutz und Informationsfreiheit: Jahresbericht 2002, Abgeordnetenhaus Berlin, Drs. 15 / 1757, abrufbar unter: http://www.thm.de / zaftda / tb-bundeslaender / doc_download / 85-tb-lfd-berlin-2002-151757-vom-030620 03 (Stand: 1.7.2015) (zitiert: BlnBDI, JB 2002). – Jahresbericht 2003, Abgeordnetenhaus Berlin, Drs. 15 / 2702, abrufbar unter: http://www.thm.de / zaftda / tb-bundeslaender / doc_download / 84-tb-lfd-berlin2003-152702-vom-30032004 (Stand: 1.7.2015) (zitiert: BlnBDI, JB 2003). – Jahresbericht 2006, abrufbar unter: http://www.datenschutz-berlin.de/attachments/ 140/Jahresbericht_2006.pdf (Stand: 1.7.2015) (zitiert: BlnBDI, JB 2006). – Datenschutz und Informationsfreiheit – Bericht 2008, abrufbar unter: http://www. datenschutz-berlin.de/attachments/585/2008-datenschutzbericht_verlinkt_REA DER_vom_03.04.09.pdf (Stand: 1.7.2015) (zitiert: BlnBDI, JB 2008). – Datenschutz und Informationsfreiheit – Bericht 2011, abrufbar unter: http://www. datenschutz-berlin.de/attachments/861/JB_11_Inhalt_Web.pdf (Stand: 1.7.2015) (zitiert: BlnBDI, JB 2011). – Datenschutz und Informationsfreiheit – Bericht 2012, abrufbar unter: http://www. datenschutz-berlin.de/attachments/942/2012-JB-Datenschutz.pdf (Stand: 1.7.2015) (zitiert: BlnBDI, JB 2012). Bierekoven, Christiane: Lizensierung in der Cloud – Neue Formen der Vertragsgestaltung, ITRB 2010, 42–44.
314 Literaturverzeichnis Bisges, Marcel: Urheberrechtliche Aspekte des Cloud Computing – Wirtschaftlicher Vorteil gegenüber herkömmlicher Software-Überlassung?, MMR 2012, 574–578. – Beeinträchtigung des Systems der Urhebervergütung für Privatkopien durch Cloud-Dienste, GRUR 2013, 146–149. Böken, Arnd: Patriot Act und Cloud Computing – Zugriff auf Zuruf?, iX 01 / 2012, 110–113. Boos, Carina / Kroschwald, Steffen / Wicker, Magda: Datenschutz bei Cloud Comput ing zwischen TKG, TMG und BDSG – Datenkategorien bei der Nutzung von Cloud-Diensten, ZD 2013, 205–209. Borges, Georg / Schwenk, Jörg: Daten- und Identitätsschutz in Cloud Computing, E-Government und E-Commerce, Berlin / Heidelberg 2012 (zitiert: Bearbeiter, in: Borges / Schwenk, Daten- und Identitätsschutz in Cloud Computing, E-Government und E-Commerce). Bosesky, Pino / Hoffmann, Christian / Schulz, Sönke: Datenhoheit im Cloud-Umfeld, DuD 2013, 95–100. Bräutigam, Peter (Hrsg.): IT-Outsourcing und Cloud-Computing – Eine Darstellung aus rechtlicher, wirtschaftlicher und vertraglicher Sicht, 3. Aufl., Berlin 2013 (zitiert: Bearbeiter, in: Bräutigam, IT-Outsourcing und Cloud-Computing). Brennscheidt, Kirstin: Cloud Computing und Datenschutz, Diss., 1. Aufl., BadenBaden 2013 (zitiert: Brennscheidt, Cloud Computing und Datenschutz). Brosch, Christopher / Hennrich, Thorsten: Der Personenbezug von IP-Adressen bei IPv6, jurisAnwZert ITR 21 / 2011, Anm. 2. Büllesbach, Achim: Transnationalität und Datenschutz – Die Verbindlichkeit von Unternehmensregelungen, Diss., 1. Aufl., Baden-Baden 2008 (zitiert: Büllesbach, Transnationalität und Datenschutz). Bundesamt für Sicherheit in der Informationstechnik (BSI): Eckpunktepapier – Sicherheitsempfehlungen für Cloud Computing Anbieter (Mindestsicherheitsanforderungen in der Informationssicherheit), Version mit Stand Februar 2012, abrufbar unter: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindestanfor derungen/Eckpunktepapier-Sicherheitsempfehlungen-CloudComputing-Anbieter. pdf?__blob=publicationFile (Stand: 1.7.2015) (zitiert: BSI, Sicherheitsempfehlungen für Cloud Computing Anbieter). – Jahresbericht 2010, abrufbar unter: https://www.bsi.bund.de/SharedDocs/Down loads/DE/BSI/Publikationen/Jahresberichte/BSI-Jahresbericht_2010_pdf.pdf?__ blob=publicationFile (Stand: 1.7.2015) (zitiert: BSI, JB 2010). – Die Lage der IT-Sicherheit in Deutschland 2011, abrufbar unter: https://www.bsi. bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebe richt2011_nbf.pdf?__blob=publicationFile (Stand: 1.7.2015) (zitiert: BSI, Lagebericht IT-Sicherheit in Deutschland). – IT-Grundschutz-Kataloge, 13. Ergänzungslieferung, September 2013, abrufbar unter: https://gsb.download.bva.bund.de/BSI/ITGSK/IT-Grundschutz-Kataloge_ 2013_EL13_DE.pdf (Stand: 1.7.2015) (zitiert: BSI, IT-Grundschutz-Kataloge, 13. EL).
Literaturverzeichnis315 – Informationssicherheit und IT-Grundschutz, BSI-Standards 100-1, 100-2 und 100-3, 2. Aufl., Köln 2008 (zitiert: BSI, Informationssicherheit und IT-Grundschutz). Bundesministerium des Innern (BMI): Gesetzentwurf der Bundesregierung, Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (ITSicherheitsgesetz) v. 19.12.2014, abrufbar unter: http://www.bmi.bund.de/Shared Docs/Downloads/DE/Nachrichten/Kurzmeldungen/entwurf-it-sicherheitsgesetz. pdf?__blob=publicationFile (Stand: 1.7.2015) (zitiert: BMI, Gesetzentwurf der Bundesregierung, IT-Sicherheitsgesetz v. 19.12.2014). – Infoblatt IT-Sicherheitsgesetz v. 19.8.2014, abrufbar unter: http://www.bmi.bund. de/SharedDocs/Downloads/DE/Kurzmeldungen/Infoblatt_IT-Sicherheitsgesetz. pdf?__blob=publicationFile (Stand: 1.7.2015) (zitiert: BMI, Infoblatt IT-Sicherheitsgesetz v. 19.8.2014). Bundesministerium für Wirtschaft und Energie (BMWi): Aktionsprogramm Cloud Computing – Eine Allianz aus Wirtschaft, Wissenschaft und Politik, 2010, abrufbar unter: http://www.bmwi.de/BMWi/Navigation/Presse/pressemitteilungen,did= 361742.html (Stand: 1.7.2015) (zitiert: BMWi, Aktionsprogramm Cloud Comput ing). – Breitbandstrategie der Bundesregierung, Februar 2009, abrufbar unter: http:// www.bmwi.de/Dateien/BBA/PDF/breitbandstrategie-der-bundesregierung,propert y=pdf,bereich=bmwi,sprache=de,rwb=true.pdf (Stand: 1.7.2015) (zitiert: BMWi, Breitbandstrategie der Bundesregierung (2009)). – IKT-Strategie der Bundesregierung „Deutschland Digital 2015“, Stand: November 2010, abrufbar unter: http://www.bmwi.de/DE/Mediathek/publikationen,did= 367524.html (Stand: 1.7.2015) (zitiert: BMWi, IKT-Strategie Deutschland Digital 2015). – Zweiter Monitoringbericht zur Breitbandstrategie des Bundes, November 2011, abrufbar unter: http://www.bmwi.de/Dateien/BMWi/PDF/zweiter-monitoringbe richt-zur-breitbandstrategie-des-bundes,property=pdf,bereich=bmwi,sprache=de, rwb=true.pdf (Stand: 1.7.2015) (zitiert: BMWi, Zweiter Monitoringbericht zur Breitbandstrategie des Bundes (2011)). Bundesministerium für Wirtschaft und Energie (BMWi) / Booz & Company GmbH / FZI Forschungszentrum Informatik: Das Normungs- und Standardisierungsumfeld von Cloud Computing – Eine Untersuchung aus europäischer und deutscher Sicht unter Einbeziehung des Technologieprogramms „Trusted Cloud“, Kurzfassung, Studie im Auftrag des Bundesministeriums für Wirtschaft und Technologie, Erstellung durch Booz & Company in Kooperation mit dem FZI Forschungszentrum Informatik, Berlin 2012, abrufbar unter: http://www.bmwi.de/ BMWi/Redaktion/PDF/Publikationen/Studien/normungs-und-standardisierungs umfeld-von-cloud-computing,property=pdf,bereich=bmwi2012,sprache=de,rwb=tr ue.pdf (Stand: 1.7.2015) (zitiert: BMWi, Das Normungs- und Standardisierungsumfeld von Cloud Computing). Bundesregierung: Digitale Agenda 2014–2017, August 2014, herausgegeben von dem Bundesministerium für Wirtschaft und Energie, dem Bundeministerium des
316 Literaturverzeichnis Inneren und dem Bundesministerium für Verkehr und digitale Infrastruktur, abrufbar unter: http://www.bmwi.de/BMWi/Redaktion/PDF/Publikationen/digitaleagenda-2014-2017,property=pdf,bereich=bmwi2012,sprache=de,rwb=true.pdf (Stand: 1.7.2015) (zitiert: Bundesregierung, Digitale Agenda 2014–2017). Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. (BITKOM): Leitfaden, Cloud Computing – Evolution in der Technik, Revolution im Business, Oktober 2009, abrufbar unter: http://www.bitkom.org/files/docu ments/BITKOM-Leitfaden-CloudComputing_Web.pdf (Stand: 1.7.2015) (zitiert: BITKOM, Leitfaden Cloud Computing 2009). – Leitfaden, Cloud Computing – Was Entscheider wissen müssen, 2010, abrufbar unter: http://www.bitkom.org/files/documents/BITKOM_Leitfaden_Cloud_Com puting-Was_Entscheider_wissen_muessen.pdf (Stand: 1.7.2015) (zitiert: BITKOM, Leitfaden Cloud Computing 2010). – Stellungnahme v. 27.12.2012 zur Cloud-Strategie der Europäischen Kommission, abrufbar unter: http://www.bitkom.org/files/documents/BITKOM_Stellungnahme_ EU-Cloud-Strategie_27.12.2012.pdf (Stand: 1.7.2015) (zitiert: BITKOM, Stellungnahme v. 27.12.2012 zur Cloud-Strategie der Kommission). – Presseinformation v. 18.1.2011 – Cloud Computing ist erneut IT-Trend des Jahres, abrufbar unter: http://www.bitkom.org/files/documents/BITKOM-Presseinfo_ IT-Trends_2011_-_18_01_2011.pdf (Stand: 1.7.2015) (zitiert: BITKOM, Presseinformation v. 18.1.2011). Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. (BITKOM) / VOICE Verband der IT-Anwender e. V.: Empfehlungen für den Cloud Computing-Standort Deutschland, 2012, abrufbar unter: http://www.bit kom.org/files/documents/cloud_computing_standort.pdf (Stand: 1.7.2015) (zitiert: BITKOM / VOICE, Empfehlungen für den Cloud Computing-Standort Deutschland). Carr, Nicholas: The Big Switch – Der große Wandel, Cloud Computing und die Vernetzung der Welt von Edison bis Google, Heidelberg 2009 (zitiert: Carr, The Big Switch). Connolly, Chris: Galexia, The US Safe Harbor – Fact or Fiction?, 2008, abrufbar unter: http://www.galexia.com/public/research/assets/safe_harbor_fact_or_fiction_ 2008/safe_harbor_fact_or_fiction.pdf (Stand: 1.7.2015) (zitiert: Connolly, Galexia-Studie). Conrad, Isabell / Fechtner, Sonja: IT-Outsourcing durch Anwaltskanzleien nach der Inkasso-Entscheidung des EuGH und dem BGH, Urteil vom 7.2.2013, CR 2013, 137–148. Cooke, Jim / Kirby, Shaun: Casting a Ray of Sunshine on Cloud Computing, Cisco Internet Business Solutions Group, abrufbar unter: http://www.cisco.com/web/ about/ac79/docs/pov/CastingaRayofSunshineonCloud_FINAL.pdf (Stand: 1.7.2015) (zitiert: Cooke / Kirby, Casting a Ray of Sunshine on Cloud Computing). Däubler, Wolfgang / Klebe, Thomas / Wedde, Peter / Weichert, Thilo: Bundesdatenschutzgesetz – Kompaktkommentar zum BDSG, 4. Aufl., Frankfurt am Main 2014 (zitiert: Bearbeiter, in: Däubler / Klebe / Wedde / Weichert, BDSG).
Literaturverzeichnis317 Der Bayerische Landesbeauftragte für den Datenschutz: 24. Tätigkeitsbericht, Berichtszeitraum: 2009 / 2010, abrufbar unter: http://www.datenschutz-bayern.de/tbs/ tb24/tb24.pdf (Stand: 1.7.2015) (zitiert: BayLfD, 24. TB). – 25. Tätigkeitsbericht, Berichtszeitraum: 2011 / 2012, abrufbar unter: http://www. datenschutz-bayern.de/tbs/tb25/tb25.pdf (Stand: 1.7.2015) (zitiert: BayLfD, 25. TB). Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit: 23. Tätigkeitsbericht zum Datenschutz für die Jahre 2009 und 2010, abrufbar unter: http:// www.bfdi.bund.de/SharedDocs/Publikationen/Taetigkeitsberichte/TB_BfDI/23 TB_09_10.pdf?__blob=publicationFile&v=6 (Stand: 1.7.2015) (zitiert: BfDI, 23. TB). Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: 23. Tätigkeitsbericht Datenschutz 2010 / 2011, abrufbar unter: http://www.datenschutzhamburg.de/fileadmin/user_upload/documents/23._Taetigkeitsbericht_Datenschutz _2010-2011.pdf (Stand: 1.7.2015) (zitiert: HmbBfDI, 23. TB). Der Hessische Datenschutzbeauftragte: 40. Tätigkeitsbericht 2011, abrufbar unter: http://www.datenschutz.hessen.de/taetigkeitsberichte.htm (Stand: 1.7.2015) (zitiert: HessDSB, 40. TB). – 41. Tätigkeitsbericht 2012, abrufbar unter: http://www.datenschutz.hessen.de/ taetigkeitsberichte.htm (Stand: 1.7.2015) (zitiert: HessDSB, 41. TB). Der Landesbeauftrage für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern: 10. Tätigkeitsbericht 2010 / 2011 (mit 5. Bericht der Aufsichtsbehörde für den nicht-öffentlichen Bereich und 3. Bericht über die Umsetzung des Informationsfreiheitsgesetzes), abrufbar unter: http://www.lfd.m-v.de/datenschutz/ publikationen/taetberi/tb10/lfdmvtb10.pdf (Stand: 1.7.2015) (zitiert: LfDI Mecklenburg-Vorpommern, 10. TB). Der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen: 20. Datenschutz- und Informationsfreiheitsbericht 2009 / 2010, abrufbar unter: https://www.ldi.nrw.de/mainmenu_Service/submenu_Berichte/Inhalt/20_DIB/ 20_DIB.pdf (Stand: 1.7.2015) (zitiert: LDI NRW, 20. DIB). – 21. Datenschutz- und Informationsfreiheitsbericht 2011 / 2012, abrufbar unter: https://www.ldi.nrw.de/mainmenu_Service/submenu_Berichte/Inhalt/21_DIB/ DIB_2013.pdf (Stand: 1.7.2015) (zitiert: LDI NRW, 21. DIB). Der Landesbeauftragte für den Datenschutz Baden-Württemberg: 30. Tätigkeitsbericht 2010 / 2011, abrufbar unter: http://www.baden-wuerttemberg.datenschutz.de/ wp-content/uploads/2013/02/30.Tätigkeitsbericht-2011-Broschüre.pdf (Stand: 1.7. 2015) (zitiert: LfD Baden-Württemberg, 30. TB). Der Landesbeauftragte für den Datenschutz Niedersachsen: XX. Tätigkeitsbericht für die Jahre 2009–2010, abrufbar unter: http://www.lfd.niedersachsen.de/down load/62877/XX._Taetigkeitsbericht_des_Landesbeauftragten_fuer_den_Daten schutz_Niedersachsen_fuer_die_Jahre_2009-2010.pdf (Stand: 1.7.2015) (zitiert: LfD Niedersachsen, 20. TB). Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz: 22. Tätigkeitsbericht – Datenschutzbericht 2008 / 2009, Berichtszeitraum: 1.10.2007‒30.09.2009, LT-Drs.
318 Literaturverzeichnis 15 / 4300, abrufbar unter: http://www.datenschutz.rlp.de/downloads/tb/tb22.pdf (Stand: 1.7.2015) (zitiert: LfD Rheinland-Pfalz, 22. TB). Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit RheinlandPfalz: 23. Tätigkeitsbericht – Datenschutzbericht 2010 / 2011, Berichtszeitraum: 1.10.2009‒31.12.2011, LT-Drs. 16 / 882, abrufbar unter: http://www.datenschutz. rlp.de/downloads/tb/tb23.pdf (Stand: 1.7.2015) (zitiert: LfDI Rheinland-Pfalz, 23. TB). Deutscher Anwaltverein: Stellungnahme Nr. 43 / 2011 des Deutschen Anwaltvereins durch den Ausschuss Informationsrecht zur Konsultation der EU-Kommission zum Cloud Computing, August 2011, abrufbar unter: http://anwaltverein.de/de/ newsroom/id-2011-43?file=files/anwaltverein.de/downloads/newsroom/stellung nahmen/2011/43-2011-SN-Cloud-Computing.pdf (Stand: 1.7.2015) (zitiert: Deutscher Anwaltverein, Stellungnahme 43 / 2011). Die Landesbeauftragte für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen: 33. Jahresbericht (Berichtsjahr 2010), abrufbar unter: http://www. datenschutz.bremen.de/sixcms/media.php/13/jahresbericht_33.pdf (Stand: 1.7.2015) (zitiert: LfD Bremen, 33. JB). – 34. Jahresbericht (Berichtsjahr 2011), abrufbar unter: http://www.datenschutz. bremen.de/sixcms/media.php/13/jahresbericht_34.pdf (Stand: 1.7.2015) (zitiert: LfD Bremen, 34. JB). Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg: 15. Tätigkeitsbericht 2008 / 2009, abrufbar unter: http://www.lda. brandenburg.de/media_fast/4055/TB_15.pdf (Stand: 1.7.2015) (zitiert: LDA Brandenburg, 15. TB). – 16. Tätigkeitsbericht 2010 / 2011, abrufbar unter: http://www.lda.brandenburg.de/ media_fast/4055/TB_16.pdf (Stand: 1.7.2015) (zitiert: LDA Brandenburg, 16. TB). Diedrich, Kay: Vollharmonisierung des EU-Datenschutzrechts – bereits geltende Vorgaben für deutsche Datenschutzgesetzte, Maßstäbe für richtlinienkonforme Auslegung und Anwendbarkeit nach EuGH ASNEF / FECEMD vom 24.11.2011, CR 2013, 408–412. DIN Deutsches Institut für Normung e. V.: DIN ISO / IEC 27001, Informationstechnik – IT-Sicherheitsverfahren – Informationssicherheits-Managementsysteme – Anforderungen (ISO / IEC 27001:2005), Normenausschuss Informationstechnik und Anwendungen (NIA) im DIN, September 2008 (zitiert: DIN ISO / IEC 27001:2008-09). – DIN EN ISO 9001, Qualitätsmanagementsysteme – Anforderungen (ISO 9001:2008); Dreisprachige Fassung EN ISO 9001:2008, Normenausschuss Qualitätsmanagement, Statistik und Zertifizierungsgrundlagen (NQSZ) im DIN, Dezember 2008 (zitiert: DIN EN ISO 9001:2008-12). – Qualitätsmanagement, QM-Systeme und -Verfahren, Normen, DIN-Taschenbuch 226, 8. Aufl., Berlin 2011 (zitiert: DIN, Qualitätsmanagement).
Literaturverzeichnis319 Doyle, Charles: National Security Letters: Proposed Amendments in the 111th Congress, Congressional Research Service, CRS Report for Congress, R40887, abrufbar unter: http://www.fas.org/sgp/crs/intel/R40887.pdf (Stand: 1.7.2015) (zitiert: Doyle, CRS Report for Congress R40887). Duisberg, Alexander: Gelöste und ungelöste Rechtsfragen im IT-Outsourcing und Cloud Computing, in: Trust in IT – Wann vertrauen Sie Ihr Geschäft der InternetCloud an? (hrsg. v. Arnold Picot, Udo Hertz, Thomas Götz), Berlin 2011 (zitiert: Duisberg, in: Trust in IT). Dunkel, Jürgen / Koschel, Arne: Praktische Entwicklung eines Open Source SOAStack, in: SOA Expertenwissen – Praxis, Methoden und Konzepte serviceorientierter Architekturen (hrsg. v. Gernot Starke, Stefan Tilkov), 1. Aufl., Heidelberg 2007 (zitiert: Dunkel / Koschel, in: Starke / Tilkov, SOA). Düsseldorfer Kreis: Fallgruppen zur internationalen Auftragsdatenverarbeitung – Handreichung des Düsseldorfer Kreises zur rechtlichen Bewertung, 28.3.2007, abrufbar unter: https://www.ldi.nrw.de/mainmenu_Service/submenu_Entschlie ssungsarchiv/Inhalt/Beschluesse_Duesseldorfer_Kreis/Inhalt/2007/20070419_ Internationaler_Datenverkehr/Handreichung.pdf (Stand: 1.7.2015) (zitiert: Düsseldorfer Kreis, Fallgruppen zur internationalen Auftragsdatenverarbeitung (Handreichung)). – Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffent lichen Bereich am 28. / 29.4.2010 in Hannover (überarbeitete Fassung vom 23.8.2010) – Prüfung der Selbst-Zertifizierung des Datenimporteurs nach dem Safe Harbor-Abkommen durch das Daten exportierende Unternehmen, abrufbar unter: http://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssamm lung/DuesseldorferKreis/290410_SafeHarbor.pdf?__blob=publicationFile (Stand: 1.7.2015) (zitiert: Düsseldorfer Kreis, Beschluss v. 28. / 29.4.2010 (Safe Harbor)). – Beschluss der Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis am 11. / 12.9.2013) – Datenübermittlung in Drittstaaten erfordert Prüfung in zwei Stufen, abrufbar unter: http://www.bfdi.bund.de/ SharedDocs/Publikationen/Entschliessungssammlung/DuesseldorferKreis/120920 13DatenuebermittlungInDrittstaaten.pdf?__blob=publicationFile (Stand: 1.7.2015) (zitiert: Düsseldorfer Kreis, Beschluss v. 11. / 12.9.2013). Eckhardt, Jens: EU-Datenschutz-VO – Ein Schreckgespenst oder Fortschritt?, CR 2012, 195–203. eco – Verband der deutschen Internetwirtschaft e. V. / Arthur D. Little AG: Die deutsche Internetwirtschaft 2012–2016 – Zahlen, Trends und Thesen, 2013, abrufbar unter: http://www.eco.de/wp-content/blogs.dir/eco_adl_report2013_web1.pdf (Stand: 1.7.2015) (zitiert: eco / Arthur D. Little, Die deutsche Internetwirtschaft 2012– 2016). Eiermann, Helmut: Work in Progress – Zur Zukunft des technischen Datenschutzes, DuD 2013, 92–94. Ellger, Reinhard: Der Datenschutz im grenzüberschreitenden Datenverkehr – Eine rechtsvergleichende und kollisionsrechtliche Untersuchung, Law and Economics
320 Literaturverzeichnis of International Telecommunications Volume 14, 1. Aufl., Baden-Baden 1990 (zitiert: Ellger, Datenschutz im grenzüberschreitenden Datenverkehr). Engelen, Andreas / Engelen, Monika / Bachmann, Jan-Thomas: Corporate Entrepreneurship – Unternehmerisches Management in etablierten Unternehmen, Wiesbaden 2015 (zitiert: Engelen / Engelen / Bachmann, Corporate Entrepreneurship). Engels, Thomas: Datenschutz in der Cloud – Ist hierbei immer eine Auftragsdatenverarbeitung anzunehmen?, K&R 2011, 548–551. Erd, Rainer: Auftragsdatenverarbeitung in sicheren Drittstaaten – Plädoyer für eine Reform von § 3 Abs. 8 S. 3 BDSG, DuD 2011, 275–278. – Zehn Jahre Safe Harbor Abkommen – kein Grund zum Feiern, K&R 2010, 624–627. EuroCloud Deutschland_eco e. V.: Leitfaden Cloud Computing – Recht, Datenschutz & Compliance, 2010, abrufbar unter: http://www.eurocloud.de/2010/news/ datensicherheit/eurocloud-leitfaden-recht-datenschutz-compliance.html (Stand: 1.7.2015) (zitiert: EuroCloud Deutschland_eco, Leitfaden Cloud Computing). – EuroCloud Star Audit Software as a Service, Kurzinformation, Stand: 12 / 2010 (zitiert: EuroCloud Deutschland_eco, Star Audit SaaS Kurzinformation). – Studie zur Akzeptanz von Cloud Computing, Neuauflage 2014, die Studie kann angefordert werden unter: http://www.eurocloud.de/2014/news/cloud-akzeptanz/ studie-identifiziert-erfolgsfaktoren-fuer-cloud-computing-anbieter.html (Stand: 1.7.2015) (zitiert: EuroCloud Deutschland_eco, Studie zur Akzeptanz von Cloud Computing (2014)). Europäische Agentur für Netz- und Informationssicherheit (ENISA): ENISA Report, Cloud Computing: Benefits, Risks and Recommendations for Information Security, November 2009, abrufbar unter: http://www.enisa.europa.eu / act / rm / files / de liverables / cloud-computing-risk-assessment (Stand: 1.7.2015) (zitiert: ENISA, Cloud Computing: Benefits, Risks and Recommendations). – ENISA Report, Security & Resilience in Governmental Clouds, Januar 2011, abrufbar unter: http://www.enisa.europa.eu / act / rm / emerging-and-future-risk / de liverables / security-and-resilience-in-governmental-clouds (Stand: 1.7.2015) (zitiert: ENISA, Security & Resilience in Governmental Clouds). – Critical Cloud Computing, A CIIP perspective on cloud computing services, Version 1.0, December 2012, abrufbar unter: http://www.enisa.europa.eu / activi ties / Resilience-and-CIIP / cloud-computing / critical-cloud-computing / at_down load / fullReport (Stand: 1.7.2015) (zitiert: ENISA, Critical Cloud Computing). – Security certification practice in the EU, Information Security Management Systems – A case study, Version 1, Oktober 2013, abrufbar unter: https://www.enisa. europa.eu / activities / identity-and-trust / library / deliverables / security-certificationpractice-in-the-eu-information-security-management-systems-a-case-study / at_ download / fullReport (Stand: 1.7.2015) (zitiert: ENISA, Security certification practice in the EU). Europäische Kommission: SEK(2002) 196 v. 13.2.2002, Arbeitspapier der Kommissionsdienststellen über die Umsetzung der Entscheidung 520 / 2000 / EG der Kom-
Literaturverzeichnis321 mission vom 26.7.2000 gemäß der Richtlinie 95 / 46 / EG des Europäischen Parlaments und des Rates über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ und der diesbezüglichen „Häufig gestellten Fragen“ (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA, abrufbar unter: http://ec.europa.eu/justice/policies/privacy/docs/adequacy/sec-2002-196/ sec-2002-196_de.pdf (Stand: 1.7.2015) (zitiert: SEK(2002) 196). – SEC(2004) 1323 v. 20.10.2004, Commission Staff Working Document – The implementation of Commission Decision 520 / 2000 / EC on the adequate protection of personal data provided by the Safe Harbour privacy Principles and related Frequently Asked Questions issued by the US Department of Commerce, abrufbar unter: http://ec.europa.eu/justice/policies/privacy/docs/adequacy/sec-20041323_en.pdf (Stand: 1.7.2015) (zitiert: SEC(2004) 1323). – KOM(2009) 262 endgültig v. 10.6.2009, Mitteilung der Kommission an das Europäische Parlament und den Rat, Ein Raum der Freiheit, der Sicherheit und des Rechts im Dienste der Bürger, abrufbar unter: http://eur-lex.europa.eu / LexUriServ / LexUriServ.do?uri=COM:2009:0262:FIN:de:PDF (Stand: 1.7.2015) (zitiert: KOM(2009) 262). – KOM(2010) 171 endgültig v. 20.4.2010, Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, Ein Raum der Freiheit, der Sicherheit und des Rechts für die Bürger Europas – Aktionsplan zur Umsetzung des Stockholmer Programms, abrufbar unter: http://eur-lex.europa.eu / LexUriServ / LexUriServ. do?uri=COM:2010:0171:FIN:DE:PDF (Stand: 1.7.2015) (zitiert: KOM(2010) 171). – KOM(2010) 609 endgültig v. 4.11.2010, Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, Gesamtkonzept für den Datenschutz in der Europäischen Union, abrufbar unter: http://ec.europa.eu/justice/news/consulting_ public/0006/com_2010_609_de.pdf (Stand: 1.7.2015) (zitiert: KOM(2010) 609). – Cloud Computing: Public Consultation Report v. 5.12.2011, abrufbar unter: http://ec.europa.eu / digital-agenda / en / news / cloud-computing-public-consultationreport (Stand: 1.7.2015) (zitiert: Kommission, Cloud Computing: Public Consultation Report). – KOM(2012) 9 endgültig v. 25.1.2012, Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, Der Schutz der Privatsphäre in einer vernetzten Welt, Ein europäischer Datenschutzrahmen für das 21. Jahrhundert, abrufbar unter: http://ec.europa.eu/justice/data-protection/document/review2012/com_2012 _9_de.pdf (Stand: 1.7.2015) (zitiert: KOM(2012) 9). – KOM(2012) 10 endgültig v. 25.1.2012, Vorschlag für Richtlinie des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr, abrufbar unter: http://eur-
322 Literaturverzeichnis lex.europa.eu / LexUriServ / LexUriServ.do?uri=COM:2012:0010:FIN:DE:PDF (Stand: 1.7.2015) (zitiert: KOM(2012) 10). – KOM(2012) 11 endgültig v. 25.1.2012, Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung), abrufbar unter: http://eur-lex.europa.eu / LexUriServ / LexUriServ.do?uri=COM:2012:0011:FIN:DE:PDF (Stand: 1.7.2015) (zitiert: KOM(2012) 11). – COM(2012) 529 final v. 27.9.2012, Mitteilung der Kommission an das Euro päische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, Freisetzung des Cloud-Computing-Potenzials in Europa, abrufbar unter: http://eur-lex.europa.eu / LexUriServ / LexUriServ. do?uri=COM:2012:0529:FIN:DE:PDF (Stand: 1.7.2015) (zitiert: COM(2012) 529). – COM(2012) 529 final v. 27.9.2012, Communication from the Commission to the European Parliament, the Council, the European Economic and Social Committee and the Committee of the Regions – Unleashing the Potential of Cloud Computing in Europe, abrufbar unter: http://eur-lex.europa.eu / LexUriServ / LexUriServ. do?uri=COM:2012:0529:FIN:EN:PDF (Stand: 1.7.2015) (zitiert: COM(2012) 529 EN). – COM(2013) 846 final v. 27.11.2013, Mitteilung der Kommission an das Euro päische Parlament und den Rat, Wiederherstellung des Vertrauens beim Datenaustausch zwischen der EU und den USA, abrufbar unter: http://eur-lex.europa. eu / LexUriServ / LexUriServ.do?uri=COM:2013:0846:FIN:DE:PDF (Stand: 1.7. 2015) (zitiert: COM(2013) 846). – SWD(2012) 271 final v. 27.9.2012, Commission Staff Working Document, Accompanying the document COM(2012) 529 final, abrufbar unter: http://eur-lex. europa.eu / LexUriServ / LexUriServ.do?uri=SWD:2012:0271:FIN:EN:PDF (Stand: 1.7.2015) (zitiert: SWD(2012) 271 final). – MEMO / 12 / 41 v. 25.1.2012, Data protection reform: Frequently asked questions, abrufbar unter: http://europa.eu/rapid/press-release_MEMO-12-41_en.pdf (Stand: 1.7.2015) (zitiert: MEMO / 12 / 41). – Warum muss der Datenschutz in der EU reformiert werden? (Informationspapier), abrufbar unter: http://ec.europa.eu/justice/data-protection/document/ review2012/factsheets/1_de.pdf (Stand: 1.7.2015) (zitiert: Kommission, Warum muss der Datenschutz in der EU reformiert werden? (Informationspapier)). – Wie stärkt die Datenschutzreform der EU den Binnenmarkt? (Informationspapier), abrufbar unter: http://ec.europa.eu/justice/data-protection/document/review 2012/factsheets/4_de.pdf (Stand: 1.7.2015) (zitiert: Kommission, Wie stärkt die Datenschutzreform der EU den Binnenmarkt? (Informationspapier)). – Wie nützt die EU-Datenschutzreform den europäischen Unternehmen? (Informationspapier), abrufbar unter: http://ec.europa.eu/justice/data-protection/document/ review2012/factsheets/7_de.pdf (Stand: 1.7.2015) (zitiert: Kommission, Wie nützt die EU-Datenschutzreform den europäischen Unternehmen? (Informationspapier)).
Literaturverzeichnis323 Europäisches Komitee für Normung: Europäische Norm EN ISO 9001, Qualitätsmanagementsysteme – Anforderungen (ISO 9001:2008), Dreisprachige Fassung (Deutsch, Englisch, Französisch), Dezember 2008 (zitiert: EN ISO 9001:2008 (D / E / F)). Europäisches Parlament: Cloud Computing, Study, 2012, abrufbar unter: http://www. europarl.europa.eu/document/activities/cont/201205/20120531ATT46111/2012053 1ATT46111EN.pdf (Stand: 1.7.2015) (zitiert: EP, Cloud Computing). – Entschließung des Europäischen Parlaments v. 12.3.2014 zu dem Überwachungsprogramm der Nationalen Sicherheitsagentur der Vereinigten Staaten, die Überwachungsbehörden in mehreren Mitgliedstaaten und die entsprechenden Auswirkungen auf die Grundrechte der EU-Bürger und die transatlantische Zusammenarbeit im Bereich Justiz und Inneres (2013 / 2188(INI)); abrufbar unter: http:// www.europarl.europa.eu / sides / getDoc.do?type=TA&reference=P7-TA-20140230&language=DE&ring=A7-2014-0139 (Stand: 1.7.2015) (zitiert: EP, Entschließung v. 12.3.2014, 2013 / 2188(INI)). Falck, Oliver / Haucap, Justus / Kühling, Jürgen: Wachstumsorientierte Telekommunikationspolitik – Handlungsbedarf und -optionen, 1. Aufl., Baden-Baden 2014 (zitiert: Falck / Haucap / Kühling, Wachstumsorientierte Telekommunikationspolitik). Federal Trade Commission: Comments of FTC Staff to European Commission Review of the U.S.-EU Safe Harbor Framework, 12.11.2013, abrufbar unter: http:// www.ftc.gov/sites/default/files/documents/public_statements/privacy-enforce ment-safe-harbor-comments-ftc-staff-european-commission-review-u.s.eu-safeharbor-framework/131112europeancommissionsafeharbor.pdf (Stand: 1.7.2015) (zitiert: FTC, Comments of FTC Staff on Safe Harbor Review v. 12.11.2013). Feik, Sebastian / von Lewinski, Kai: Der Markt für Datenschutz-Zertifizierungen – Eine Übersicht, ZD 2014, 59–62. Fibíková, Lenka / Müller, Roland: Entwicklung einer Informationsstrategie im Rahmen von ISO 27002, DuD 2013, 7–13. Fickert, Tim: Entwicklungen des Cloud Computing im Überblick – aktuelle und künftige rechtliche Probleme, in: Inside the Cloud – Neue Herausforderungen für das Informationsrecht, Tagungsband DSRI Herbstakademie 2009 (hrsg. v. Juergen Taeger und Andreas Wiebe), Oldenburg 2009 (zitiert: Fickert, in: Taeger / Wiebe, Inside the Cloud). Filip, Alexander: Binding Corporate Rules (BCR) aus der Sicht einer Datenaufsichtsbehörde – Praxiserfahrungen mit der europaweiten Anerkennung von BCR, ZD 2013, 51–60. Foster, Ian / Kesselman, Carl: The Grid: Blueprint for a New Computing Infrastructure, San Francisco 1999, zitiert: Foster / Kesselman, The Grid. Foster, Ian / Kesselman, Carl / Tuecke, Steven: The Anatomy of the Grid, abrufbar unter: http://www.mcs.anl.gov/papers/P870.pdf (Stand: 1.7.2015) (zitiert: Foster / Kesselman / Tuecke, The Anatomy of the Grid). Fraunhofer-Institut für Offene Kommunikationssysteme FOKUS: Cloud Computing für die öffentliche Verwaltung, ISPRAT-Studie, 2010, abrufbar unter: http://www.
324 Literaturverzeichnis cloud.fraunhofer.de/de/publikationen/isprat_cloud.html (Stand: 1.7.2015) (zitiert: Fraunhofer FOKUS, ISPRAT-Studie). Fraunhofer-Institut für Sichere Informationstechnologie: Vergleich der Sicherheit traditioneller IT-Systeme und Public Cloud Computing Systeme, Juli 2010, abrufbar unter: http://www.salesforce.com/de/assets/pdf/whitepapers/fraunhofer_ cloud_computing_studie_it_sicherheit.pdf (Stand: 1.7.2015) (zitiert: Fraunhofer SIT, Vergleich der Sicherheit traditioneller IT-Systeme und Public Cloud Comput ing Systeme). Fraunhofer Institute for Secure Information Technology: On the Security of Cloud Storage Devices, abrufbar unter: https://www.sit.fraunhofer.de/fileadmin/ dokumente/studien_und_technical_reports/Cloud-Storage-Security_a4.pdf (Stand: 1.7.2015) (zitiert: Fraunhofer SIT, On the Security of Cloud Storage Devices). Freund, Bernhard / Schnabel, Christoph: Bedeutet IPv6 das Ende der Anoymität im Internet? Technische Grundlagen und rechtliche Beurteilung des neuen InternetProtokolls, MMR 2011, 495–499. Funke, Michael / Wittmann, Jörn: Cloud Computing – ein klassischer Fall der Auftragsdatenverarbeitung?, ZD 2013, 221–228. Gaul, Björn / Koehler, Lisa-Marie: Mitarbeiterdaten in der Computer Cloud: Datenschutzrechtliche Grenzen des Outsourcing, BB 2011, 2229–2236. Gerber, Stefan / Thiele, Paul / Zimmer, Wolf: Cloud Computing in der Öffentlichen Verwaltung? – Chancen und Herausforderungen, in: Bausteine einer vernetzten Verwaltung, Prozessorientierung – Open Government – Cloud Computing – Cybersecurity (hrsg. v. Herrmann Krallmann, Alfred Zapp), Berlin 2012 (zitiert: Gerber / Thiele / Zimmer, in: Krallmann / Zapp, Bausteine einer vernetzten Verwaltung). Gercke, Marco: Strafrechtliche und strafprozessuale Aspekte von Cloud Computing und Cloud Storage, CR 2010, 345–348. Gerlach, Carsten: Personenbezug von IP-Adressen – Praktische Konsequenzen aus dem Urteil des LG Berlin v. 31.1.2014, CR 2013, 478–484. Giebichenstein, Rüdiger: Chancen und Risiken beim Einsatz von Cloud Computing in der Rechnungslegung, BB 2011, 2218–2224. Giebichenstein, Rüdiger / Weiss, Andreas: Zertifizierte Cloud durch das EuroCloud Star Audit SaaS – Ein Best Practice-Ansatz zur Auswahl eines vertrauenswürdigen Cloud-Anbieters, DuD 2011, 338–342. Giesen, Thomas: Datenverarbeitung im Auftrag in Drittstaaten – eine misslungene Gesetzgebung, Das deutsche Modell der Auftragsdatenverarbeitung im Konflikt mit den Vorgaben der EU-Datenschutzrichtlinie, CR 2007, 543–548. Gola, Peter / Klug, Christoph / Körffer, Barbara / Schomerus, Rudolf: Bundesdatenschutzgesetz – Kommentar, 11. Aufl., München 2012 (zitiert: Gola / Schomerus, BDSG). Grapentin, Sabine: Datenschutz und Globalisierung – Binding Corporate Rules als Lösung?, CR 2009, 693–699.
Literaturverzeichnis325 Greer, Damon: Safe Harbor – ein bewährter Rechtsrahmen, RDV 2011, 267–273. Greis, Wolfram: Die IBM-Mainframe-Architektur – z / OS, z / VM und Linux, 1. Aufl., München 2005 (zitiert: Greis, Die IBM-Mainframe-Architektur). Grünwald, Andreas / Döpkens, Harm-Randolf: Cloud Control? Regulierung von Cloud Computing Angeboten, MMR 2011, 287–290. Grunwald, Anne: Datenerhebung durch das Federal Bureau of Investigation – Maßnahmen zur Terrorismusbekämpfung nach dem 11. September 2001, Diss., 1. Aufl., Berlin 2008 (zitiert: Grunwald, Datenerhebung durch das FBI). Hansen, Marit: Vertraulichkeit und Integrität von Daten und IT-Systemen im CloudZeitalter, DuD 2012, 407–412. Härting, Niko: Das Anwaltsgeheimnis im Zeichen von Cloud Computing, ITRB 2011, 242–243. Heckmann, Dirk: juris PraxisKommentar Internetrecht, 4. Aufl., Saarbrücken 2014 (zitiert: Heckmann, jurisPK-Internetrecht). – Cloud Computing in der öffentlichen Verwaltung? Rechtliche Grenzen für eine Lockerung staatlicher Datenherrschaft, in: Innovationen im und durch Recht: E-Volution des Rechts- und Verwaltungssystems II (hrsg. v. Hermann Hill, Utz Schliesky), 1. Aufl., Baden-Baden 2010 (zitiert: Heckmann, in: Hill / Schliesky, Innovationen im und durch Recht). – Cloud Computing im Zeitgeist, in: Verfassungsstaatlichkeit im Wandel, Festschrift für Thomas Würtenberger zum 70. Geburtstag (hrsg. v. Dirk Heckmann, Ralf P. Schenke, Gernot Sydow), Berlin 2013 (zitiert: Heckmann, in: FS Würtenberger (2013)). – Rechtspflichten zur Gewährleistung von IT-Sicherheit im Unternehmen – Maßstäbe für ein IT-Sicherheitsrecht, MMR 2006, 280–285. – Cloud „made in Germany“ als Vertrauensgarant, http://www.lto.de / recht / hinter gruende / h / datenschutz-cloud-made-in-germany-als-vertrauensgarant / (Stand: 1.7.2015). Heckmann, Dirk / von Lucke, Jörn / Hennrich, Thorsten / Maisch, Michael Marc: Compliant Community Cloud (C3) – Sicheres IT-Outsourcing für Kommunen, Studie, abrufbar unter: http://www.bay-innovationsstiftung.de/fileadmin/docs/Cloud_Stif tung_2013.pdf (Stand: 1.7.2015) (zitiert: Heckmann / von Lucke / Hennrich / Maisch, C3-Studie). Heckmann, Dirk / Seidl, Alexander / Maisch, Michael Marc: Adäquates Sicherheitsniveau bei der elektronischen Kommunikation (Schriften zum Recht der inneren Sicherheit), 1. Aufl., Stuttgart 2012 (zitiert: Heckmann / Seidl / Maisch, Adäquates Sicherheitsniveau bei der elektronischen Kommunikation). Heidrich, Joerg / Wegener, Christoph: Sichere Datenwolken – Cloud Computing und Datenschutz, MMR 2010, 803–807. Heil, Helmut: Privacy Policies, Binding Corporate Rules (BCR) und verbindliche Unternehmensregelungen, DuD 2009, 228–230.
326 Literaturverzeichnis Helbing, Thomas: Big Data und der datenschutzrechtliche Grundsatz der Zweckbindung, K&R 2015, 145–150. Henning, Anna C. / Bazan, Elizabeth B. / Doyle, Charles / Liu, Edward C.: Government Collection of Private Information: Background and Issues Related to the USA PATRIOT Act Reauthorization, Congressional Research Service, CRS Report for Congress, R40980, abrufbar unter: http://fpc.state.gov/documents/organization/ 139232.pdf (Stand: 1.7.2015) (zitiert: Henning / Bazan / Doyle / Liu, CRS Report for Congress R40980). Hennrich, Thorsten: Compliance in Clouds – Datenschutz und Datensicherheit in Datenwolken, CR 2011, 546–552. Hennrich, Thorsten / Maisch, Michael Marc: Cloud Computing und Safe Harbor: Wolken über dem sicheren Hafen?, jurisAnwZert ITR 15 / 2011, Anm. 2. Herold, Helmut / Lurz, Bruno / Wohlrab, Jürgen: Grundlagen der Informatik, 2. Aufl., München 2012 (zitiert: Herold / Lurz / Wohlrab, Grundlagen der Informatik). Hilber, Marc (Hrsg.): Handbuch Cloud Computing, Köln 2014 (zitiert: Bearbeiter, in: Hilber, Handbuch Cloud Computing). Hoeren, Thomas / Sieber, Ulrich / Holznagel, Bernd (Hrsg.): Handbuch MultimediaRecht – Rechtsfragen des elektronischen Geschäftsverkehrs, München, 37. Ergänzungslieferung, Stand: Januar 2014 (zitiert: Bearbeiter, in: Hoeren / Sieber / Holznagel, Multimedia-Recht). Hoffmann, Dirk W.: Grundlagen der Technischen Informatik, 3. Aufl., München 2013 (zitiert: Hoffmann, Grundlagen der Technischen Informatik). Hoffmann-Riem, Wolfgang: Neue Kollektivität im World Wide Web als Herausforderung für das Recht, JZ 2012, 1081–1087. Hohpe, Gregor: Konversationen zwischen lose gekoppelten Services, in: SOA Expertenwissen – Praxis, Methoden und Konzepte serviceorientierter Architekturen (hrsg. v. Gernot Starke, Stefan Tilkov), 1. Aufl., Heidelberg 2007 (zitiert: Hohpe, in: Starke / Tilkov, SOA). Holleben, Kevin Max von / Probst, Peter Michael / Winters, Fabian: No-Spy-Erlass vs. USA Patriot Act – Das Dilemma internationaler Bieter bei IT-Auftragsvergaben in Deutschland, CR 2015, 63–68. Höllwarth, Tobias, Cloud Migration – Der Weg in die Cloud, 1. Aufl., Heidelberg 2011 (zitiert: Höllwarth, Cloud Migration a. F. (2011)). – Cloud Migration – Der Weg in die Cloud, 3. Aufl., Heidelberg 2014 (zitiert: Höllwarth, Cloud Migration). Hon, W. Kuan / Millard, Christopher / Walden, Ian: The Problem of „Personal Data“ in Cloud Computing: What Information is Regulated? – The Cloud of Unknow ing, Part 1, International Data Privacy Law, 2011, Vol. 1, No. 4 (zitiert: Hon / Millard / Walden, Cloud of Unknowing). Hornung, Gerrit: Eine Datenschutz-Grundverordnung für Europa? – Licht und Schatten im Kommissionsentwurf vom 25.1.2012, ZD 2012, 99–106.
Literaturverzeichnis327 Hornung, Gerrit / Hartl, Korbinian: Datenschutz durch Marktanreize – auch in Europa?, Stand der Diskussion zu Datenschutzzertifizierung und Datenschutzaudit, ZD 2014, 219–225. Hornung, Gerrit / Sädtler, Stephan: Europas Wolken – Die Auswirkungen des Entwurfs für eine Datenschutz-Grundverordnung auf das Cloud Computing, CR 2012, 638–645. – Eitel Sonnenschein oder Wolken am Horizont? – Cloud Computing im Gesundheitswesen und die rechtlichen Schutzinstrumente der Telematik-Infrastruktur, DuD 2013, 148–153. International Working Group on Data Protection in Telecommunications („Berlin Group“): Working Paper on Cloud Computing – Privacy and data protection issues – „Sopot Memorandum“, 24.4.2012, abrufbar unter: http://www.datenschutzberlin.de/attachments/882/675.44.10.pdf?1340178180 (Stand: 1.7.2015) (zitiert: International Working Group on Data Protection in Telecommunications, Cloud Computing „Sopot Memorandum“). Jansen, Wayne / Grance, Timothy: Guidelines on Security and Privacy in Public Cloud Computing, National Institute of Standards and Technology (NIST), Draft Special Publication 800-144, Januar 2011 (zitiert: Jansen / Grance, NIST Guidelines on Security and Privacy in Public Cloud Computing). Jarass, Hans D. / Pieroth, Bodo: Grundgesetz – Kommentar, 12. Aufl., München 2012 (zitiert: Bearbeiter, in Jarass / Pieroth, GG). Jotzo, Florian: Gilt deutsches Datenschutzrecht auf für Google, Facebook & Co. bei grenzüberschreitendem Datenverkehr?, MMR 2009, 232–237. – Der Schutz personenbezogener Daten in der Cloud, Diss., 1. Aufl., Baden-Baden 2013 (zitiert: Jotzo, Der Schutz personenbezogener Daten in der Cloud). Karg, Moritz: Die Rechtsfigur des personenbezogenen Datums – Ein Anachronismus des Datenschutzes?, ZD 2012, 255–260. – IP-Adressen sind personenbezogene Verkehrsdaten, MMR-Aktuell 2011, 315811. – Anwendbares Datenschutzrecht bei Internet-Diensteanbietern – TMG und BDSG vs. Konzernstrukturen?, ZD 2013, 371–375. Karger, Michael / Sarre, Frank: Wird Cloud Computing zu neuen juristischen Herausforderungen führen?, in: Inside the Cloud – Neue Herausforderungen für das Informationsrecht, Tagungsband DSRI Herbstakademie 2009 (hrsg. v. Juergen Taeger und Andreas Wiebe), Oldenburg 2009 (zitiert: Karger / Sarre, in: Taeger / Wiebe, Inside the Cloud). Kazemi, Robert / Leopold, Anders: Datenschutzrecht in der anwaltlichen Beratung, Bonn 2011 (zitiert: Kazemi / Leopold, Datenschutzrecht in der anwaltlichen Beratung). Kerschbaum, Florian: Sicheres und nachhaltiges Benchmarking in der Cloud – Eine Mehrparteien-Cloud-Anwendung ohne vertrauenswürdigen Dienstleister, WI 2011, 129–138.
328 Literaturverzeichnis Kersten, Heinrich / Reuter, Jürgen / Schröder, Klaus-Werner: IT-Sicherheitsmanagement nach ISO 27001 und Grundschutz, 1. Aufl., Wiesbaden 2008 (zitiert: Kersten / Reuter / Schröder, IT-Sicherheitsmanagement). Klug, Christoph: Persönlichkeitsschutz beim Datentransfer in die USA – Die SafeHarbor-Lösung, RDV 2000, 212–216. Köhler, Markus / Arndt, Hans-Wolfgang / Fetzer, Thomas: Recht des Internet, 7. Aufl., Heidelberg 2011 (zitiert: Köhler / Arndt / Fetzer, Recht des Internet). Kompetenzzentrum Trusted Cloud – Arbeitsgruppe Rechtsrahmen des Cloud Computing: Datenschutzrechtliche Lösungen für Cloud Computing – Ein rechtspolitisches Thesenpapier der AG Rechtsrahmen des Cloud Computing, Oktober 2012, abrufbar unter: http://www.trusted-cloud.de/media/content/140228_The senpapier_Datenschutz_gesamt_RZ.pdf (Stand: 1.7.2015) (zitiert: Trusted Cloud, Datenschutzrechtliche Lösungen für Cloud Computing). Konferenz der Datenschutzbeauftragten des Bundes und der Länder: Entschließung der 82. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 28. / 29. September 2011 in München, Datenschutzkonforme Gestaltung und Nutzung von Cloud-Computing, abrufbar unter: http://www.datenschutz-berlin.de/ attachments/827/Cloud.pdf (Stand: 1.7.2015) (zitiert: DSK, Datenschutzkonforme Gestaltung und Nutzung von Cloud-Computing). – Stellungnahme der Konferenz der Datenschutzbeauftragten des Bundes und der Länder v. 11.6.2012 zur Datenschutz-Grundverordnung KOM(2012) endg. v. 25.1.2012, abrufbar unter: https://www.tlfdi.de/imperia/md/content/datenschutz/ veroeffentlichungen/grundsatzpapiere/dsk_stellungnahme_grundverordnung.pdf (Stand: 1.7.2015) (zitiert: DSK, Stellungnahme DS-GVO-E v. 11.6.2012). – Pressemitteilung v. 24.7.2013, Geheimdienste gefährden massiv den Datenverkehr zwischen Deutschland und außereuropäischen Staaten, abrufbar unter: https://www.ldi.nrw.de/mainmenu_Service/submenu_Newsarchiv/Inhalt/Geheim dienste_gefaehrden_Datenverkehr/Presseerklaerung_Safe_Harbor.pdf (Stand: 1.7. 2015) (zitiert: DSK, Pressemitteilung v. 24.7.2013). Kotthoff, Jost / Gabel, Detlev: Outsourcing, 1. Aufl., München 2008 (zitiert: Kotthoff / Gabel, Outsourcing). KPMG AG / Bitkom Research GmbH: Cloud-Monitor 2014, Cloud-Computing in Deutschland – Status quo und Perspektiven, abrufbar unter: http://www.bitkom. org/files/documents/Cloud_Monitor_2014_KPMG_Bitkom_Research.pdf (Stand: 1.7.2015) (zitiert: KPMG / Bitkom Research, Cloud-Monitor 2014). – Cloud-Monitor 2015, Cloud-Computing in Deutschland – Status quo und Perspektiven, abrufbar unter: http://www.bitkom.org/files/documents/Cloud_Monitor_ 2015_KPMG_Bitkom_Research.pdf (Stand: 1.7.2015) (zitiert: KPMG / Bitkom Research, Cloud-Monitor 2015). KPMG AG / Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. (BITKOM): Cloud-Monitor 2013, Cloud-Computing in Deutschland – Status quo und Perspektiven, abrufbar unter: http://www.bitkom.org/files/do cuments/Studie_Cloud_Monitor_sec.pdf (Stand: 1.7.2015) (zitiert: KPMG / BITKOM, Cloud-Monitor 2013).
Literaturverzeichnis329 Kroes, Neelie: SPEECH / 11 / 50 v. 22.1.2011, Towards a European Cloud Computing Strategy, World Economic Forum, Davos, abrufbar unter: http://europa.eu/rapid/ press-release_SPEECH-11-50_en.pdf (Stand: 1.7.2015) (zitiert: Kroes, SPEECH / 11 / 50). – SPEECH / 11 / 119 v. 22.3.2011, European Cloud Computing Strategy needs to aim high, Brüssel, abrufbar unter: http://europa.eu/rapid/press-release_SPEECH11-199_en.pdf (Stand: 1.7.2015) (zitiert: Kroes, SPEECH / 11 / 119). – SPEECH / 12 / 38 v. 26.1.2012, Setting up the European Cloud Partnership, World Economic Forum, Davos, abrufbar unter: http://europa.eu/rapid/press-release_ SPEECH-12-38_en.pdf (Stand: 1.7.2015) (zitiert: Kroes, SPEECH / 12 / 38). – SPEECH / 12 / 238 v. 27.3.2012, Ensuring the Cloud happens with Europe, not to Europe, Brüssel, abrufbar unter: http://europa.eu/rapid/press-release_SPEECH12-238_en.pdf (Stand: 1.7.2015) (zitiert: Kroes, SPEECH / 12 / 238). Kroschwald, Steffen: Kollektive Verantwortung für den Datenschutz in der Cloud – Datenschutzrechtliche Folgen einer geteilten Verantwortlichkeit beim Cloud Computing, ZD 2013, 38–94. – Verschlüsseltes Cloud Computing – Auswirkungen der Kryptographie auf den Personenbezug in der Cloud, ZD 2014, 75–80. Kroschwald, Steffen / Wicker, Magda: Kanzleien und Praxen in der Cloud – Strafbarkeit nach § 203 StGB, CR 2012, 758–764. – Zulässigkeit von Cloud Computing für Berufsgeheimnisträger: Strafbarkeit von Anwälten und Ärzten durch die Cloud?, in: IT und Internet – mit Recht gestalten, Tagungsband DSRI Herbstakademie 2012 (hrsg. v. Juergen Taeger), Oldenburg 2012 (zitiert: Kroschwald / Wicker, in: Taeger, IT und Internet – mit Recht gestalten). Krüger, Stefan / Maucher, Svenja-Ariane: Ist die IP-Adresse wirklich ein personenbezogenes Datum? – Ein falscher Trend mit großen Auswirkungen auf die Praxis, MMR 2011, 433–439. Kühling, Jürgen / Biendl, Michael: Datenschutzrecht – Basis und Bremse des Cloud Computing – Rechtliche Hemmnisse und Lösungsvorschläge für eine breitere Etablierung von Cloud-Diensten, CR 2014, 150–156. Kühling, Jürgen / Seidel, Christian / Sivridis, Anastasios: Datenschutzrecht, 2. Aufl., Heidelberg / München 2011 (zitiert: Kühling / Seidel / Sivridis, Datenschutzrecht). Kuner, Christopher / Hladjk, Jörg: Die alternativen Standardvertragsklauseln der EU für internationale Datenübermittlungen, RDV 2005, 193–201. Lapp, Thomas: Im Blickpunkt: Cloud Computing für Rechtsanwälte, Steuerberater und Wirtschaftprüfer, BB 36.2011, VI–VII. Lehmann, Michael / Giedke, Anna: Cloud Computing – technische Hintergründe für die territorial gebundene rechtliche Analyse, Cloudspezifische Serververbindungen und eingesetzte Virtualisierungstechnik, CR 2013, 608–616. – Urheberrechtliche Fragen des Cloud Computings, CR 2013, 681–688.
330 Literaturverzeichnis Lehmann, Michael / Meents, Jan Geert (Hrsg.): Handbuch des Fachanwalts Informationstechnologierecht, 2. Aufl., Köln 2011 (zitiert: Bearbeiter, in: Lehmann / Meents, Handbuch FA IT-Recht). Lejeune, Mathias: Datenschutz in den Vereinigten Staaten von Amerika, ZD 2013, 755–760. Lensdorf, Lars: Auftragsdatenverarbeitung in der EU / EWR und Unterauftragsdatenverarbeitung in Drittländern – Besonderheiten der neuen EU-Standardvertragsklauseln, CR 2010, 735–741. Leupold, Andreas: Geschäftsgeheimnisse gehören in die (Private) Cloud, MMR 2014, 145–146. Leupold, Andreas / Glossner, Silke (Hrsg.): Münchner Anwaltshandbuch IT-Recht, 3. Aufl., München 2013 (zitiert: Bearbeiter, in: Leupold / Glossner, IT-Recht). Maisch, Michael Marc: Cloud Computing: Datenschutz in der Wolke, jurisAnwZert ITR 15 / 2009, Anm. 4. – Informationelle Selbstbestimmung in Netzwerken – Rechtsrahmen, Gefährdungslagen und Schutzkonzepte am Beispiel von Cloud Computing und Facebook, Berlin 2015 (zitiert: Maisch, Informationelle Selbstbestimmung in Netzwerken). Maisch, Michael Marc / Seidl, Alexander: Rechtliche Herausforderungen beim Cloud Computing in der öffentlichen Verwaltung, VBlBW 2012, 7–12. Marnau, Ninja / Schlehahn, Eva: Cloud Computing und Safe Harbor, DuD 2011, 311–316. – TClouds, Trustworthy Clouds – Privacy and Resilience for Internet-scale Critical Infrastructure, Report ICT-257243 / D1.2.2 / 1.0 Cloud Computing: Legal Analysis, abrufbar unter: http://www.tclouds-project.eu (Stand: 1.7.2015) (zitiert: Marnau / Schlehahn, TClouds Report, Cloud Computing: Legal Analysis). Mather, Tim / Kumaraswamy, Subra / Latif, Shahed: Cloud Security and Privacy, An Enterprise Perspective on Risks and Compliance, Sebastopol (California, USA) 2009 (zitiert: Mather / Kumaraswamy / Latif, Cloud Security and Privacy). Meir-Huber, Mario: Cloud Computing – Praxisratgeber und Einstiegsstrategien, 1. Aufl., Frankfurt am Main 2010 (zitiert: Meir-Huber, Cloud Computing). Mell, Peter / Grance, Timothy: The NIST Definition of Cloud Computing, Recommendations of the National Institute of Standards and Technology, U.S. Department of Commerce, Special Publication 800-145, abrufbar unter: http://csrc.nist.gov/ publications/nistpubs/800-145/SP800-145.pdf (Stand: 1.7.2015) (zitiert: Mell / Grance, The NIST Definition of Cloud Computing). Metzger, Christian / Reitz, Thorsten / Villar, Juan: Cloud Computing – Chancen und Risiken aus technischer und unternehmerischer Sicht, 1. Aufl., München 2011 (zitiert: Metzger / Reitz / Villar, Cloud Computing). Meyerdierks, Per: Sind IP-Adressen personenbezogene Daten?, MMR 2009, 8–13. Microsoft Corporation: Microsoft Online Services, Customer Data Flows in Office 365, O365 Data Flows ‒ EMEA-1.pdf, abrufbar unter: http://go.microsoft.com /
Literaturverzeichnis331 fwlink / ?LinkId=213004 (Stand: 1.7.2015) (zitiert: Microsoft, Customer Data Flows in Office 365). – Microsoft’s Response to the Commission’s Public Consultation on Cloud Computing v. 31.8.2011, abrufbar unter: http://www.microsoft.com/global/eu/Rich Media/Technology%20Policy/Microsoft%20response%20to%20EU%20cloud%20 strategy%20public%20consultation.pdf (Stand: 1.7.2015) (zitiert: Microsoft, Response to the Commission’s Public Consultation on Cloud Computing). Moos, Flemming: Die EU-Standardvertragsklauseln für Auftragsverarbeiter 2010 – Die wesentlichen Neuerungen und Kritikpunkte im Überblick, CR 2010, 281– 286. Müller, Ulf / Bohne, Michael: Providerverträge, 1. Aufl., München 2005 (zitiert: Müller / Bohne, Providerverträge). Münchener Kommentar (AktG) (hrsg. v. Wulf Goette und Mathias Habersack), Bd. 2: §§ 76‒117, MitbestG, DrittelbG, 3. Aufl., München 2008 (zitiert: Bearbeiter, MüKo (AktG)). Nägele, Thomas / Jacobs, Sven: Rechtsfragen des Cloud Computing, ZUM 2010, 281–292. Niemann, Fabian / Hennrich, Thorsten: Kontrollen in den Wolken? – Auftragsdatenverarbeitung in Zeiten des Cloud Computings, CR 2010, 686–692. Niemann, Fabian / Paul, Jörg-Alexander: Bewölkt oder wolkenlos – Rechtliche Herausforderungen der Cloud Computing Praxis, K&R 2009, 444–452. – (Hrsg.): Rechtsfragen des Cloud Computing, 1. Aufl., Berlin / Boston 2014 (zitiert: Bearbeiter, in: Niemann / Paul, Rechtsfragen des Cloud Computing). Nordmeier, Carl Friedrich: Cloud Computing und Internationales Privatrecht – Anwendbares Recht bei der Schädigung von in Datenwolken gespeicherten Daten, MMR 2010, 151–156. Ott, Stephan: Das Internet vergisst nicht – Rechtsschutz für Suchobjekte, MMR 2009, 158–163. Palandt, Otto (Begr.): Bürgerliches Gesetzbuch, 73. Aufl., München 2014 (zitiert: Bearbeiter, in: Palandt, BGB). Pallasky, Ansgar: USA PATRIOT Act: Neues Recht der TK-Überwachung, DuD 2002, 221–225. Pauly, Daniel A. / Ritzer, Christoph / Geppert, Nadine: Gilt europäisches Datenschutzrecht auch für Niederlassungen ohne Datenverarbeitung? – Weitreichende Folgen für internationale Konzerne, ZD 2013, 423–426. Piltz, Carlo: Nach dem Google-Urteil des EuGH: Analyse und Folgen für das Datenschutzrecht, K&R 2014, 566–570. Plath, Kai-Uwe (Hrsg.): BDSG – Kommentar zum BDSG sowie den Datenschutzbestimmungen von TMG und TKG, 1. Aufl., Köln 2013 (zitiert: Bearbeiter, in: Plath, BDSG).
332 Literaturverzeichnis Pohle, Jan: IT-Outsourcing in der Insolvenz: Optionen für Anbieter und Anwender, K&R 2013, 297–300. Pohle, Jan / Ammann, Thorsten: Über den Wolken … – Chancen und Risiken des Cloud Computings, CR 2009, 273–278. – Software as a Service – auch eine rechtliche Evolution?, K&R 2009, 625–631. PricewaterhouseCoopers AG: Cloud Computing – Navigation in der Wolke, abrufbar unter: http://www.pwc.de/de_DE/de/prozessoptimierung/assets/Cloud_Computing _deutsch.pdf (Stand: 1.7.2015) (zitiert: PricewaterhouseCoopers, Cloud Comput ing – Navigation in der Wolke). Rat der EU: Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) – Vorbereitung einer allgemeinen Ausrichtung vom 11.6.2015, 9565 / 15, abrufbar unter: http://data.consilium.europa.eu/doc/document/ST-9565-2015-INIT/de/pdf (Stand: 1.7.2015) (zitiert: Rat der EU, Vorschlag für eine DS-GVO v. 11.6.2015, 9565 / 15). Rammos, Thanos / Vonhoff, Hans: Cloud Computing und Sozialdatenschutz – Rechtliche Rahmenbedingungen für den Einsatz von Cloud Computing-Diensten im Sozialleistungssektor, CR 2013, 265–271. Reding, Viviane: Herausforderungen an den Datenschutz bis 2020: Eine europäische Perspektive, ZD 2011, 1–2. – Sieben Grundbausteine der europäischen Datenschutzreform, ZD 2012, 195–198. – SPEECH / 11 / 349 v. 18.5.2011, The reform of the EU Data Protection Directive: the impact on businesses, Brüssel, abrufbar unter: http://europa.eu/rapid/pressrelease_SPEECH-11-349_en.pdf (Stand: 1.7.2015) (zitiert: Reding, SPEECH / 11 / 349). Reese, George: Cloud Application Architectures, Sebastopol (California, USA) 2009 (zitiert: Reese, Cloud Application Architectures). Reindl, Martin: Cloud Computing & Datenschutz, in: Inside the Cloud – Neue Herausforderungen für das Informationsrecht, Tagungsband DSRI Herbstakademie 2009 (hrsg. v. Juergen Taeger und Andreas Wiebe), Oldenburg 2009 (zitiert: Reindl, in: Taeger / Wiebe, Inside the Cloud). Rockstroh, Sebastian / Leuthner, Christian: Nutzung von cloud-basierten RecruitingManagement-Plattformen – Datenschutzkonformer Einsatz im Konzern, ZD 2013, 497–501. Rössel, Markus: Filterpflichten in der Cloud – Vom Wortfilter der Sharehoster zum Crawler für Linkportale, CR 2013, 229–236. Roßnagel, Alexander: Big Data – Small Privacy? – Konzeptionelle Herausforderungen für das Datenschutzrecht, ZD 2013, 562–567. Roth-Neuschild, Birgit: Vertragliche Absicherung der Verfügbarkeit bei Software as a Service, ITRB 2012, 67–71.
Literaturverzeichnis333 Sander, Stefan / Kremer, Sascha: Datenübermittlung in die USA und die Unmöglichkeit rechtmäßigen Handelns, in: IT und Internet – mit Recht gestalten, Tagungsband DSRI Herbstakademie 2012 (hrsg. v. Juergen Taeger), Oldenburg 2012 (zitiert: Sander / Kremer, in: Taeger, IT und Internet – mit Recht gestalten). Schipper, Malte: Neue Instrumente des Datenschutzrechts für das Verhältnis zwischen Privatperson und Unternehmen in der Bundesrepublik Deutschland und den Vereinigten Staaten von Amerika, Schriften zum Informations-, Telekommunikations- und Medienrecht Bd. 16 (hrsg. v. Thomas Hoeren und Bernd Holznagel), Münster 2003 (zitiert: Schipper, Instrumente des Datenschutzrechts in der BRD und den USA). Schliesky, Utz / Hoffmann, Christian / Luch, Anika D. / Schulz, Sönke E. / Borchers, Kim Corinna: Schutzpflichten und Drittwirkung im Internet – Das Grundgesetz im digitalen Zeitalter, 1. Aufl., Baden-Baden 2014 (zitiert: Schliesky / Hoffmann / Luch / Schulz / Borchers, Schutzpflichten und Drittwirkung im Internet). Schmidt-Bens, Johanna: Cloud Computing Technologien und Datenschutz, Oldenburg 2012 (zitiert: Schmidt-Bens, Cloud Computing Technologien und Datenschutz). Schneider, Mathias: Cloud Computing und US-amerikanische Ermittlungsbefugnisse nach dem Patriot Act, in: IT und Internet – mit Recht gestalten, Tagungsband DSRI Herbstakademie 2012 (hrsg. v. Juergen Taeger), Oldenburg 2012 (zitiert: Schneider in: Taeger, IT und Internet – mit Recht gestalten). Scholz, Matthias / Lutz, Holger: Standardvertragsklauseln für Auftragsverarbeiter und § 11 BDSG – Ein Plädoyer für die Unanwendbarkeit der §§ 11 Abs. 2, 43 Abs. 1 Nr. 2 b) BDSG auf die Auftragsdatenverarbeitung außerhalb des EWR, CR 2011, 424–428. Schröder, Christian: Die Haftung für Verstöße gegen Privacy Policies und Codes of Conduct nach US-amerikanischem und deutschem Recht – Zugleich ein Beitrag zur Rechtsnatur von Datenschutzerklärungen, Verhaltensregeln gem. § 38a BDSG und Unternehmensregelungen gem. § 4c Abs. 2 BDSG, Frankfurter Studien zum Datenschutz Bd. 32, Baden-Baden 2007 (zitiert: Schröder, Haftung für Verstöße gegen Privacy Policies und Codes of Conduct). Schröder, Christian / Haag, Nils Christian: Neue Anforderungen an Cloud Computing für die Praxis – Zusammenfassung und erste Bewertung der „Orientierungshilfe Cloud Computing“, ZD 2011, 147–152. – Stellungnahme der Art. 29-Datenschutzgruppe zum Cloud Computing – Gibt es neue datenschutzrechtliche Anforderungen für Cloud Computing?, ZD 2012, 495–501. Schultze-Melling, Jyn: Public Cloud – quo vadis? – Gedanken zum Umgang mit der Wolke, ITRB 2011, 239–240. Schulz, Carsten: Rechtliche Aspekte des Cloud Computing im Überblick, in: Inside the Cloud – Neue Herausforderungen für das Informationsrecht, Tagungsband DSRI Herbstakademie 2009 (hrsg. v. Juergen Taeger und Andreas Wiebe), Oldenburg 2009 (zitiert: Schulz, in: Taeger / Wiebe, Inside the Cloud).
334 Literaturverzeichnis Schulz, Carsten / Rosenkranz, Timo: Cloud Computing – Bedarfsorientierte Nutzung von IT-Ressourcen, ITRB 2009, 232–236. Schulz, Sebastian: Privacy by Design – Datenschutz durch Technikgestaltung im nationalen und europäischen Kontext, CR 2012, 204–208. Schulz, Sönke: Cloud Computing in der öffentlichen Verwaltung. Chancen – Risiken – Modelle, MMR 2010, 75–80. – Verfassungs- und verwaltungsrechtliche Fragestellungen, in: Bausteine einer vernetzten Verwaltung, Prozessorientierung – Open Government – Cloud Computing – Cybersecurity (hrsg. v. Herrmann Krallmann, Alfred Zapp), Berlin 2012 (zitiert: Schulz, in: Krallmann / Zapp, Bausteine einer vernetzten Verwaltung). Schuppert, Stefan / von Reden, Armgard: Einsatz internationaler Cloud-Anbieter: Entkräftung der Mythen – Rechtlich zulässige Einschaltung von zertifizierten CloudDiensten in Deutschland möglich, ZD 2013, 210–220. Schuster, Fabian / Reichl, Wolfgang: Cloud Computing & SaaS: Was sind die wirklich neuen Fragen?, CR 2010, 38–43. Schwartz, Paul: „Personenbezogene Daten“ aus internationaler Perspektive, ZD 2011, 97–98. Simitis, Spiros: Bundesdatenschutzgesetz – Kommentar, 6. Aufl., Baden-Baden 2006 (zitiert: Bearbeiter, in: Simitis, BDSG a. F. (2006)). – Bundesdatenschutzgesetz – Kommentar, 8. Aufl., Baden-Baden 2014 (zitiert: Bearbeiter, in: Simitis, BDSG). Simonite, Tom: Sicheres Computing für die Cloud, Technology Review v. 16.6.2010, abrufbar unter http://www.heise.de/tr/artikel/Sicheres-Computing-fuer-dieCloud-1021071.html (Stand: 1.7.2015) (zitiert: Simonite, Sicheres Computing für die Cloud). Simonite, Tom / Boeing, Niels: Mehr Sicherheit für Datenwolken, Technology Review v. 16.6.2010, abrufbar unter http://www.heise.de/tr/artikel/Mehr-Sicherheitfuer-Datenwolken-1324650.html (Stand: 1.7.2015) (zitiert: Simonite / Boeing, Mehr Sicherheit für Datenwolken). Sinewe, Patrick / Frase, Henning: Steuerrechtliche Aspekte des Cloud Computing, BB 2011, 2198–2203. Söbbing, Thomas: Cloud und Grid Computing: IT-Strategien der Zukunft rechtlich betrachtet, MMR 2008, XII-XIV. Spies, Axel: USA: Cloud Computing – Schwarze Löcher im Datenschutzrecht, MMR 2009, XI. – Cloud Computing: Keine personenbezogenen Daten bei Verschlüsselung, MMRAktuell 2011, 313727. – Keine „Genehmigungen“ mehr zum USA-Datenexport nach Safe Harbor? – Übertragung personenbezogener Daten aus Deutschland in die USA, ZD 2013, 535–538. Spies, Axel / Schröder, Christian: Cloud Computing und EU / US Safe Harbor Principles – US-Handelsministerium bezieht Stellung, ZD-Aktuell 2013, 03566, ZD 7 / 2013, ZD Fokus V-VI.
Literaturverzeichnis335 Splittgerber, Andreas / Rockstroh, Sebastian: Sicher durch die Cloud navigieren – Vertragsgestaltung beim Cloud Computing, BB 2011, 2179–2185. Stiemerling, Oliver / Hartung, Jürgen: Datenschutz und Verschlüsselung – Wie belastbar ist Verschlüsselung gegenüber dem Anwendungsbereich des Datenschutzrechts?, CR 2012, 60–68. Stiemerling, Oliver / Hirschmeier, Markus: Software as a Service in der Praxis – Typische Konfliktfelder und Regelungsbedarf, ITRB 2010, 146–147. Sujecki, Bartosz: Internationales Privatrecht und Cloud Computing aus europäischer Perspektive, K&R 2012, 312–317. Sydow, Gernot / Kring, Markus: Die Datenschutzgrundverordnung zwischen Technikneutralität und Technikbezug, ZD 2014, 271–276. Taeger, Jürgen / Gabel, Detlev: Kommentar zum BDSG und zu den Datenschutzvorschriften des TKG und TMG, 2. Aufl., Frankfurt am Main 2013 (zitiert: Bearbeiter, in: Taeger / Gabel, BDSG). Terplan, Kornel / Voigt, Christian: Cloud Computing, 1. Aufl., Heidelberg 2011 (zitiert: Terplan / Voigt, Cloud Computing). Thalhofer, Thomas: Grenzenlos: Compliance bei Cloud Computing, CCZ 2011, 222–225. Thüringer Landesbeauftragte für den Datenschutz: 8. Tätigkeitsbericht, Berichtszeitraum: 1.1.2008‒31.12.2009, abrufbar unter: http://www.tlfdi.de/imperia/md/ content/datenschutz/taetigkeitsberichte/microsoft_word_-_tlfd08-_endfassung_ stand_07.06.2010_f__r_internet.pdf (Stand: 1.7.2015) (zitiert: LfD Thüringen, 8. TB). – 9. Tätigkeitsbericht, Berichtszeitraum: 1.1.2010‒31.12.2012, abrufbar unter: http://www.tlfdi.de/imperia/md/content/datenschutz/taetigkeitsberichte/taetigkeits bericht_09.pdf (Stand: 1.7.2015) (zitiert: LfD Thüringen, 9. TB). Tilkov, Stefan / Starke, Gernot: Einmaleins der serviceorientierten Architekturen, in: SOA Expertenwissen – Praxis, Methoden und Konzepte serviceorientierter Architekturen (hrsg. v. Gernot Starke, Stefan Tilkov), 1. Aufl., Heidelberg 2007 (zitiert: Tilkov / Starke, in: Starke / Tilkov, SOA). Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein: Tätigkeitsbericht 2011 (33. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz), Berichtszeitraum 2010, LT-Drs. 17 / 1220, abrufbar unter: https://www.datenschutz zentrum.de/material/tb/tb33/uld-33-taetigkeitsbericht-2011.pdf (Stand: 1.7.2015) (zitiert: ULD Schleswig-Holstein, 33. TB). – Tätigkeitsbericht 2013 (34. Tätigkeitsbericht des Landesbeauftragten für Datenschutz), Berichtszeitraum 2011 / 2012, LT-Drs. 18 / 555, abrufbar unter: https:// www.datenschutzzentrum.de/material/tb/tb34/uld-34-taetigkeitsbericht-2013.pdf (Stand: 1.7.2015) (zitiert: ULD Schleswig-Holstein, 34. TB). – Positionspapier des ULD, Inanspruchnahme des Patriot Acts und anderer USrechtlicher Regelungen zur Beschaffung von personenbezogenen Daten aus dem Raum der Europäischen Union durch US-Behörden, abrufbar unter: https://www.
336 Literaturverzeichnis datenschutzzentrum.de/internationales/20111115-patriot-act.html (Stand: 1.7.2015) (zitiert: ULD Schleswig-Holstein, Positionspapier Patriot Act v. 15.11.2011). U.S. Department of Commerce: Safe Harbor Certification Review Process, Mai 2013, abrufbar unter: http://export.gov / safeharbor / eg_main_018244.asp (Stand: 1.7.2015) (zitiert: U.S. Department of Commerce, Safe Harbor Certification Review Process). U.S. Department of Commerce / International Trade Administration (ITA): Clarifications Regarding the U.S.-EU Safe Harbor Framework and Cloud Computing, April 2013, abrufbar unter: http://export.gov / safeharbor / eg_main_018244.asp (Stand: 1.7.2015) (zitiert: U.S. Department of Commerce – ITA, Clarifications Regarding Safe Harbor and Cloud Computting). Venzke, Sven: Die Personenbezogenheit der IP-Adresse – Lange diskutiert und immer noch umstritten?, ZD 2011, 114–117. Voigt, Paul: Datenschutz bei Google, MMR 2009, 377–382. – Auftragsdatenverarbeitung mit ausländischen Auftragnehmern – Geringere Anforderungen an die Vertragsgestaltung als im Inland?, ZD 2012, 546–550. – Weltweiter Datenzugriff durch US-Behörden – Auswirkungen für deutsche Unternehmen bei der Nutzung von Cloud-Diensten, MMR 2014, 158–161. Voigt, Paul / Klein, David: Deutsches Datenschutzrecht als „blocking statute“? – Auftragsdatenverarbeitung unter dem USA PATRIOT Act, ZD 2013, 16–20. Voss, Axel: NSA-Untersuchungsbericht: Schutz der Privatsphäre ist ein Grundrecht und muss gelebte Realität bleiben, ZD 2014, 217–218. Vossen, Gottfried / Haselmann, Till / Hoeren, Thomas: Cloud Computing für Unternehmen – Technische, wirtschaftliche, rechtliche und organisatorische Aspekte, 1. Aufl., Heidelberg 2012 (zitiert: Vossen / Haselmann / Hoeren, Cloud Computing für Unternehmen). Weber, Marc Philipp / Voigt, Paul: Internationale Auftragsdatenverarbeitung – Praxisempfehlungen für die Auslagerung von IT-Systemen in Drittstaaten mittels Standardvertragsklauseln, ZD 2011, 74–78. Wegener, Christoph / Heidrich, Joerg: Neuer Standard – Neue Herausforderungen: IPv6 und Datenschutz, CR 2011, 479–484. Weichert, Thilo: Big Data und Datenschutz – Chancen und Risiken einer neuen Form der Datenanalyse, ZD 2013, 251–259. – Cloud Computing und Datenschutz, DuD 2010, 679–687. Wicker, Magda: Vertragstypologische Einordnung von Cloud Computing-Verträgen, MMR 2012, 783–788. Wolff, Heinrich Amadeus / Brink, Stefan: Datenschutzrecht in Bund und Ländern, 1. Aufl., München 2013 (zitiert: Bearbeiter, in: Wolff / Brink, Datenschutzrecht). Wulf, Hans Markus / Burgenmeister, Clemens: Industrie 4.0 in der Logistik – Rechtliche Hürden beim Einsatz neuer Vernetzungs-Technologien – Anwendungsbeispiele und Lösungswege zu sechs zentralen Bereichen der Logistik, CR 2015, 404–412.
Literaturverzeichnis337 Wybitul, Tim: Handbuch Datenschutz im Unternehmen, 1. Aufl., Frankfurt am Main 2011 (zitiert: Wybitul, Handbuch Datenschutz im Unternehmen). Wybitul, Tim / Patzak, Andrea: Neue Anforderungen beim grenzüberschreitenden Datenverkehr, RDV 2011, 11–18. Zieger, Christoph / Smirra, Nikolas: Fallstricke bei Big Data-Anwendungen – Rechtliche Gesichtspunkte bei der Analyse fremder Datenbestände, MMR 2013, 418– 421.
Sachverzeichnis Abstraktionsebene 58, 94 ff., 98, 155, 240, 298 Administrative Schnittstellen 222, 305 Adressatengedanke 103, 117 f. Amazon Web Services 64 ff., 80 f., 147, 180, 250, 262, 288 f., 309 Anbieterabhängigkeit 40, 222, 305 Angemessenheit des Datenschutzniveaus 150 ff., 295 Angemessenheitsentscheidung der Kommission 151 f., 168 ff., 172, 194 Anonymisierung 133 ff., 137, 300 Anwendungsebene 220 f. Anwendungsvirtualisierung 52, 54 f. Anzuwendendes Datenschutzrecht 86 ff., 298 ff. Apple 39, 71, 73, 102, 147, 180, 275 Application Service Providing 55 f., 69 ARPANET 44 Art.-29-Datenschutzgruppe 57, 101 f., 104 ff., 117, 120, 128, 131, 148, 151, 154, 160, 162, 164, 167, 181, 187 f., 193 f., 202, 203 f., 244, 248 Audit 172, 189, 205, 216, 224 f., 258, 260, 262 f., 270, 273 ff., 276 ff., 281, 290, 292, 303, 305, 308 Auftragsdatenverarbeitung 41, 95, 99, 114, 156, 159 f., 167, 170, 235 ff., 296, 302, 306 ff., 310 Auftragskontrolle 210, 224, 257, 259 ff., 264, 307 Auswahlentscheidung 232, 255, 257 ff., 289, 307 Bestimmbarkeit 128 ff., 133, 137 f., 144, 300 Bestimmtheit 128
Binding Corporate Rules (BCR) 161 ff., 245, 275, 296, 301 f. BITKOM 35, 57, 95, 263 BPaaS – Business Process as a Service 74 Browser 36, 45, 47, 48, 70 Bundesamt für Sicherheit in der Informationstechnik (BSI) 57, 59 ff., 138, 213, 216 ff., 219 f., 223, 226, 259, 263, 269 f., 277 f. CaaS – Communication as a Service 74 CERN 44, 50 Cloud Security Alliance 276, 278 Colocation 214 f. Community Cloud 59, 80 f. Computer Cluster 51 Daten- und Informationssicherheit 40, 76, 141, 176, 201, 207 ff., 257, 267, 279, 291, 304 ff. Datenreplikationen 53, 92 ff., 97, 139 f., 223, 240 f., 291 f., 295, 298 Datenschutzkonferenz 205 f. Datenschutzreform 41, 105, 109 ff., 124 ff., 130 ff., 147, 168 ff., 194, 205, 226, 233 ff., 249, 256 f., 280 ff., 285 ff., 289 f., 292 Datenübermittlung 119 f., 149 f., 153 ff., 159, 168 ff., 173, 180, 185, 189, 191 ff., 201 f., 206, 233, 238, 242 ff., 293 ff., 303, 309 f. Datenverarbeitungsstandorte 93 ff., 99, 154, 233, 243, 260 ff., 266, 289, 295, 298 f. DDoS-Angriffe 219 Digitale Agenda 38, 46, 110, 113, 225
Sachverzeichnis339 Drittstaaten 88 ff., 99, 125, 133, 149 f., 156, 168, 171, 205 f., 221, 226, 234, 241 ff., 248 f., 282, 306 Dropbox 64, 67 f., 71 Düsseldorfer Kreis 106, 120, 160, 163, 185 f., 188, 191, 202, 247 Eingabekontrolle 210 Einwilligung 153, 287, 293 ENISA 95, 98, 113, 250 f., 278, 280 Erforderlichkeit 245, 294 Erlaubnisvorbehalt 236, 242, 293, 306 ETSI 113, 280 EU-Cloud 97, 100 EU-Datenschutzreform siehe „Datenschutzreform“ EU-Safe-Harbour 204 f. EU-Standardvertragsklauseln siehe „Standardvertragsklauseln“ EuGH 90, 108, 126, 191, 204, 246, 300 EuroCloud Star Audit 267, 276 ff. Europäisches Parlament 57, 115 f., 131 f., 170, 181, 192 f., 226, 234, 249, 257, 281 f., 290, 292, 304, 308 Europe-v-Facebook 204 Extraterritoriale Auswirkungen 230 ff., 305 Facebook 39, 107, 147, 180, 184, 192, 197 ff., 204, 262, 304 FBI 228, 232, 305 Federal Trade Commission (FTC) 178 ff., 186, 188, 193, 195 ff., 304 Festlegung, vertraglich 249 ff., 257 ff., 261, 265, 280, 282 f., 287, 290, 306 f. Foreign Intelligence Surveillance Act (FISA) 227 ff., 305 Foreign Intelligence Surveillance Court (FISC) 228 f., 232 FTC siehe „Federal Trade Commission“ Funktionsübertragung 237 f. Galexia-Studie 182 ff., 191 Genehmigungspflicht 157, 159, 162 f., 302
Gesellschaftsrecht 211, 230, 232, 235, 305 Google 37, 64, 69 f., 107, 147, 180, 192, 250, 262, 288, 304, 309 – Apps for Business 70, 72 – Buzz 196 ff. – Google-Urteil des EuGH 90, 108, 300 – Maps 70 Grid Computing 49 ff. HTML 44, 48 Hybrid Cloud 59, 74, 79 f. Hypervisor 52 ff., 217 f. IaaS (Infrastructure as a Service) 59, 63 ff., 70, 73 f., 118, 127, 142, 144 f., 235, 276, 278, 280, 283, 300 Infrastrukturebene 213 ff. Inländische Mittel 102 ff., 120 f., 123, 299 Insolvenz eines Anbieters 222 Interessenabwägung 41, 160, 245, 295 f., 309 f. International Trade Administration (ITA) 178, 193 f. Internationale Auftragsdatenverarbeitung 239 ff. Internationale Datentransfers 41, 99, 147 ff., 295, 301 ff. Internet der Dinge 47 f. Internetzugang 46 IP-Adressen 48, 129 ff., 146 ISAE 3402 267, 273 f., 278 ISO 9001 267, 271 ff., 274 ISO / IEC 17789 271 ISO / IEC 27001 215, 267 ff., 272, 274, 278 f., 308 ISO / IEC 27002 267, 269, 271 f. ISO / IEC 27017 267, 271, 280, 308 ISO / IEC 27018 267, 271, 280, 308 IT-Grundschutz 138, 213, 216 ff., 220, 259, 269 f.
340 Sachverzeichnis IT-Outsourcing 61 f., 82 f., 93, 119, 127, 146, 155, 160, 166, 190, 223, 235 f., 251, 255, 263, 285, 291, 293 f., 296, 302, 307, 309 f. IT-Sicherheitsarchitektur 62, 76, 213 ff., 261, 266 f., 275, 279, 304 IT-Sicherheitsgesetz 225 f. IT-System-Ebene 216 ff. Komplexität von Cloud-Umgebungen 39, 91, 98 f., 218, 221, 260 f., 265, 288, 293, 295, 307, 309 f. Kontrolle 58, 77, 85, 185 ff., 195, 200, 209 ff., 215, 224, 236, 248 f., 257, 259 ff., 262 ff., 267 ff., 285, 303 f., 307 Löschung von Daten 126, 221, 223 f., 290 ff., 305, 309 Mainframe 42 ff., 52 Microsoft 44, 64, 69, 124, 147, 180, 227, 230, 250, 262 – Office 365 71 f., 158 – United Stated District Court for the Southern District of New York 232 f. Mutual recognition 164 ff., 302 MySpace 197 ff., 304 National Institute of Standards and Technology (NIST) 57 ff., 60, 252 National Security Agency (NSA) 36, 138, 192 f., 200, 202 ff., 205 f., 207, 226, 253, 304 National Security Letter (NSL) 228 f., 232, 305 Netzwerkebene 219 f. Niederlassungsprinzip 89 f., 100, 115 Off premise 76 On premise 76 Orientierungshilfe Cloud Computing 92, 95, 159 f., 166, 186 f., 190, 202, 215, 218, 220, 240, 263, 285
PaaS (Platform as a Service) 59, 68 f., 74, 118, 127, 145, 220, 235, 276, 278, 284 Personenbezogene Daten 87, 90, 99, 101, 104, 127 ff., 141, 144 ff., 169, 174, 176, 185, 202, 206, 209 f., 219, 234, 236, 239, 243, 252, 255, 290, 300 f. Portabilität 112 f., 222 Private Cloud 36, 57, 59 ff., 74 ff., 76 ff., 79 f., 82, 92 f., 102, 113, 118, 140, 159, 165 f., 206, 265, 284 f., 288, 293, 302 Processor Binding Corporate Rules 167, 302 Pseudonymisierung 133, 135 ff., 300 Public Cloud 36, 50, 55, 57, 59 f., 74 ff., 77 ff., 91, 93, 99, 102, 112, 140, 159, 190, 216 f., 224, 226, 251, 255, 265, 271, 284, 289, 291 f., 298, 301, 307 f., 309 Rechenzentrumsebene 118, 213 ff. Rechtszersplitterung 123 f. Regionale Clouds 81 f. Replikation siehe „Datenreplikation“ SaaS (Software as a Service) 59, 68, 69 ff.; 74, 81, 118, 127, 145, 220 f., 235, 276 ff., 284 Safe Harbor 72 f., 121, 153 f., 160, 172 ff., 203 ff., 275, 296, 303 f. salesforce.com 69, 71 ff., 147 SAS 70 267, 273 ff., 278 Schriftform 253 ff., 307 Self-Provisioning 51, 64, 93, 96, 250, 254 f., 306 f. Server-based Computing (SBC) 55 f. Serverhousing 214 Service-orientierte Architekturen (SOA) 51 f. SETI@home-Projekt 50 Sitzprinzip 88 ff., 100, 115 Smart Grid 47 f. Software-Ebene 220 f.
Sachverzeichnis341 SSAE 16 267, 273 ff. Standardvertragsklauseln 114, 153, 155 ff., 162, 164, 167, 170 ff., 186 f., 193, 205 f., 241 f., 245 ff., 296, 301 ff., 306 Storage as a Service 63, 68, 74, 142, 300 Storage-Cluster 92 f., 145, 291 f., 295, 298, 309 Subunternehmer 63, 68, 76, 87, 95 ff., 101, 119, 145, 158, 171, 240, 248, 283 ff., 292, 295, 301, 303, 308 Systemvirtualisierung 52 ff., 216 ff. Territorialitätsprinzip 87 f., 90, 98 f. Testate 264, 266 Textform 255 f., 307 Thin clients 36, 48, 55, 223, 254 Trennungsgebot 210 f. TRUSTe 73, 184, 192, 267, 275 ULD (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein) 107, 188 Unterauftragsverhältnisse 154, 171 f., 248, 283 ff., 302, 308 USA PATRIOT Act 104, 212, 226 ff., 230, 232 f., 299, 305 Vendor lock-in 40, 222 Verbindliche Unternehmensregelungen siehe Binding Corporate Rules
Verfügbarkeitskontrolle 210 Verhandlungskonstellation 93, 96, 190, 232, 240, 249 ff., 254, 263, 274, 288, 291, 296, 307, 309 Verschlüsselung 133, 135 ff., 144 ff., 208, 211, 216, 219, 300 f. – homomorph 143 f., 301 – Re-Identifizierungsaufwand 138 ff., 144, 301 – reversible Verschlüsselungstechniken 133, 136 f., 142 ff., 300 Virtual Private Cloud 77, 80 Virtualisierung 49, 52 ff., 63, 91 f., 145, 213, 216 ff., 223 f., 226, 267, 298, 304 Vollharmonisierung 246 Weisungen 210, 230, 235, 237, 247, 253, 255, 287 ff., 305, 307, 309 Weitergabekontrolle 209 ff., 224 XaaS (IT / Everything as a Service) 62, 74, 235, 238, 306 Zero Clients 48 Zertifizierungen 99, 111 ff., 118, 170, 172, 185 ff., 199, 205, 215, 218 f., 225, 257 f., 260 f., 264 ff., 267 ff., 281 f., 285 f., 289, 297, 303 ff., 308 Zugangskontrolle 209, 211 Zugriffskontrolle 209, 211