Sicherheitsempfehlungen für Cloud Computing Anbieter
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
CLOUD COMPUTING | DATENSCHUTZ UND COMPLIANCE<br />
13 Datenschutz und<br />
Compliance<br />
13.1 Datenschutz 1<br />
Werden in der <strong>Cloud</strong> personenbezogene Daten erhoben, verarbeitet oder<br />
genutzt, muss der Schutz personenbezogener Daten gemäß den datenschutzrechtlichen<br />
Bestimmungen gewährleistet sein.<br />
Charakteristisch <strong>für</strong> <strong>Cloud</strong> <strong>Computing</strong> ist die Weitergabe der Daten vom<br />
<strong>Cloud</strong>-Nutzer an den <strong>Cloud</strong>-<strong>Anbieter</strong>. Sofern die Daten (auch) einen<br />
Personenbezug aufweisen, handelt es sich bei der Weitergabe im Sinne<br />
des Datenschutzrechts um eine Übermittlung personenbezogener Daten<br />
oder um eine Auftragsdatenverarbeitung, die nicht als Übermittlung zu<br />
qualifizierenist.DierechtlicheQualifizierungderWeitergabeistabhängigvon<br />
der datenschutzrechtlichen Zulässigkeit der Weitergabe sowie ihrer<br />
vertragsrechtlichen Ausgestaltung.<br />
Bei einer Datenübermittlung vom <strong>Cloud</strong>-Nutzer an den <strong>Cloud</strong>-<strong>Anbieter</strong><br />
gibt der <strong>Cloud</strong>-Nutzer die datenschutzrechtliche Verantwortung ab und<br />
überträgt sie voll auf den <strong>Cloud</strong>-<strong>Anbieter</strong>. Er verliert damit auch grundsätzlich<br />
die Möglichkeit, auf den Umgang mit den von ihm übermittelten Daten<br />
Einflusszunehmen.AufzivilrechtlicherEbeneistaberauchbeientsprechender<br />
Vertragsgestaltung eine andere Haftungsverteilung, nämlich ein<br />
(Teil-)Haftungsverbleib beim <strong>Cloud</strong>-Nutzer, möglich. Der <strong>Cloud</strong>-Nutzer<br />
muss vorab prüfen, ob eine solche Lösung seinen Interessen entspricht.<br />
Für die Übermittlung bedarf es einer Rechtsgrundlage im Datenschutzrecht.<br />
Soweit es sich beim <strong>Cloud</strong>-Nutzer um eine nicht-öffentliche Stelle<br />
handelt, kommt hier<strong>für</strong> entweder die Einwilligung der Betroffenen oder<br />
eine Interessenabwägung nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG in Betracht,<br />
sofernnichtbereichsspezifischesRecht(z.B.§97Abs.1TKG)gilt.Wennes<br />
dem <strong>Cloud</strong>-Nutzer um eine pauschale Verlagerung von Teilen oder<br />
der kompletten Datenverarbeitung geht, dürfte der Weg über Einwilligungen<br />
regelmäßig unpraktikabel sein, da bei nicht erteilten oder später<br />
widerrufenen Einwilligungen eine Auslagerung aufgrund fehlender<br />
Rechtsgrundlage nicht (mehr) zulässig wäre. Bei der Interessenabwägung<br />
1 Das Kapitel „Datenschutz“ wurde unter Beteiligung des BfDI erstellt<br />
73