Datenschutz Cloud Dienste

Cloud-Services für den Datenschutz

Für deutsche und europäische Cloud-Anbieter sind die rechtlichen Aspekte des Datenschutzes einfacher. Rechtssicherheit in der Cloud: Ihre Dateien in den Formaten DS, iCloud, Google Drive & Cost. Mehr und mehr Provider bieten den Anwendern große Datenmengen an. Zusätzlich zu den bewährten Cloud-Diensten Dropbox, iCloud und Scydrive hat Google vor wenigen Tagen einen eigenen Service namens GoogeDrive eingeführt. Bei uns erfahren Sie, was Sie aus juristischer Hinsicht über die Data Cloud wissen müssen.

Welche technischen und rechtlichen Aspekte hat "Cloud Computing"?

Aus rechtlicher Sicht sind "Cloud-Verträge" keine Verträge, die nach dem Bürgerlichen Gesetzbuch (BGB) einer bestimmten Vertragsart zugeordnet werden können. In diesem Fall muss jeder Provider von Fall zu Fall untersucht werden, um festzustellen, wie das jeweilige Nutzungsverhältniss vertragsgemäß gestaltet wurde. Es wird sich in der Regelfall um einen so genanntem Mischvertrag handel, der - je nach Leistungsumfang des Anbieters - überwiegend als Mietkaufvertrag, Werklieferungsvertrag oder Servicevertrag auftritt.

Werden z. B. Speichermedien zur Verfügungstellt, die gegen ein gebührenpflichtiges Upgrading ausgebaut werden können (z. B. wie bei der Dropbox), steht ein Mietvertrag nach den §§ 535 ff. BGB im Vordergrund. Cloud-Provider und Datenschutz: Wie geschützt sind Ihre Unternehmensdaten? Für "Cloud Services" gilt das Bundesdatenschutzgesetz, wenn es sich bei den in der Cloud hinterlegten Informationen um so genannte "personenbezogene Daten" gemäß 3 Nr. 1 BDSG auftritt.

Dabei handelt es sich um "individuelle Angaben über die persönlichen oder sachlichen Umstände einer identifizierten oder identifizierbaren physischen Person", d.h. die Angaben zu einem menschlichen Wesen. Angaben zu juristischen Personengruppen (z.B. Gesellschaft, AG, etc.) und anonymen Datensätzen fallen nicht unter das deutsche Datenschutzen. Für die pseudonymisierten Angaben nach 3 Nr. 6a BDSG ist jedoch etwas anderes maßgebend, wenn es keinen direkten persönlichen Bezug gibt, dieser aber festgestellt werden kann (z.B. wenn eine betroffene Stelle eine gewisse Nummer hat und durch die Nummer identifizierbar ist).

Abhängig davon, ob Akten in der Cloud persönliche Referenzen haben oder nicht, unterliegen diese daher dem Datenschutz. Um festzustellen, welches Datenschutzgesetz gilt, ist ein näherer Einblick in die Betreiber und Benutzer des Cloud-Dienstes erforderlich. Ist der Sitz des Cloud-Anbieters innerhalb der EU und ein Cloud-Kunde in Deutschland ansässig, kann grundsätzlich davon ausgegangen zu werden.

Gemäß der Richtlinie 95/46/EG bildet die grenzübergreifende Verarbeitung von personenbezogenen Informationen innerhalb der EU kein Rechtshindernis mehr (vgl. Artikel 1 Absatz 2 EU-Datenschutzrichtlinie) - das deutsche Datenschutzgesetz ist daher immer dann anzuwenden, wenn die personenbezogenen Informationen einer in Deutschland ansässigen Personen von einem Cloud-Provider mit einer Zweigniederlassung in Deutschland bearbeitet werden.

Datenschutzrechtliche Problematik bei Cloud-Providern außerhalb Europas? Gerade für außereuropäische Anbieter von Cloud-Diensten (z.B. Google) gibt es oft rechtliche Probleme. Weil diese Staaten oft ein Datensicherheitsniveau haben, das nicht den EU-Rechtsvorschriften entspricht, werden viele der dort gültigen Vorschriften von EU-Datenschutzorganisationen oft für nicht zulässig gehalten. Für den Umgang mit Datenschutzproblemen im Rahmen ausländischer Cloud-Anbieter gibt es jedoch keine pauschale Lösung.

Die Übertragung von Informationen per Cloud an einen fremden Provider gilt prinzipiell als nicht zulässig, da es keine datenschutzrechtliche Legitimität und in der Regelfall kein ausreichendes Schutzniveau gibt. Wenn Sie trotzdem einen nicht-europäischen Provider für einen Cloud-Service in Anspruch nehmen wollen, ist es ratsam, die Übertragung persönlicher Informationen in die Cloud zu unterlassen und nur nicht-personenbezogene Informationen zu verarbeiten.

Dies schränkt jedoch die praktische Nutzung der Dienste sehr ein. Datenverluste und Hackerangriffe: Ab wann ist der Cloud Provider haftbar? Bei Nutzern von Cloud-Storage-Diensten ergibt sich natürlich die berechtigte Haftung des Anbieters, wenn er einem Hacker-Angriff zum Opfer fiel und die Nutzerdaten beeinträchtigt sind. Ausschlaggebend für einen privatrechtlichen Schadenersatzanspruch bei Hacking von Wolkendaten ist daher die Entscheidung, ob der Provider nachweislich gegen die Sorgfaltspflichten verstoßen hat, d.h. vorsätzlich oder fahrlässig gehandelt hat.

Das ist z.B. der Falle, wenn der Provider nicht die anerkannten Sicherheitsnormen erfüllt und der Hacking-Angriff erst dadurch aufgesetzt wurde. Bislang ist jedoch kein Gerichtsurteil in der deutschsprachigen Rechtssprechung bekannt, das einen solchen Schadenersatzanspruch begründet hätte oder das über einen solchen hätte befinden müssen. Wenn Sie sich für die Auslagerung Ihrer an die Cloud entschließen, sollten Sie die Allgemeinen Geschäftsbedingungen jedes Providers sorgfältig überprüfen, bevor Sie sie nutzen.

Der Benutzer ist auch bei Dropsbox Alleineigentümer der Rechte an den Akten. Nach Angaben des Betreibers des Cloud-Dienstes sind vor allem Backups auf gesetzlicher Basis abzudecken. Bei Google Drive ist zunächst zu beachten, dass Google in Deutschland weitaus weniger Rechte hat als im angelsächsischen Teil.

Google erklärt zunächst, dass der Benutzer alle Copyrights und bestehende gewerbliche Eigentumsrechte vorbehält. Durch die Platzierung von Informationen in der Cloud erhält Google jedoch ein kostenloses, nicht exklusives, aber globales und uneingeschränktes Recht, die Informationen nur zum Zwecke der Bereitstellung des Service und im erforderlichen Ausmaß zu verwenden.

Google wird unter anderem das Recht gewährt, die technischen Vervielfältigungen vorzunehmen und die Informationen der Öffentlichkeit zur Verfügung zu stellen, wenn der Benutzer die Absicht hat, die Informationen der Öffentlichkeit zur Verfügung zu stellen, oder wenn eine solche Entscheidung getroffen wurde, um die Informationen der Öffentlichkeit zur Verfügung zu stellen. Für die Webseite von Google Drive, auch Apple, besitzen Sie einen Online-Speicherdienst namens iCloud.

iTunes kann ein weltweites, unkompliziertes Benutzungsrecht an den upgeloadeten Beiträgen erteilen, jedoch nur in dem für den Betrieb des Dienstes notwendigen Umfang. Ähnlich wie bei Dropsbox beansprucht Microsoft PowerDrive nicht das Eigentum an den in der Cloud gespeicherten Informationen. Durch die Verwendung von OnDrive erklären Sie sich jedoch auch damit einverstanden, dass Microsoft die Cloud-Inhalte "in dem Maße verwenden, ändern, kopieren, verteilen und veröffentlichen darf, wie es für die Erbringung des Dienstes innerhalb des Dienstes, aber nur für die Erfüllung der Vereinbarung mit ihnen erforderlich ist.

"Trotz aller technischen Vorteile ist bei der Inanspruchnahme von Cloud Computing-Diensten aus juristischer Hinsicht vorsichtig zu sein: Der vage Wortlaut in den Nutzungsbestimmungen gibt Cloud-Anbietern einen großen Handlungsspielraum für die Verwendung ihrer eigenen Informationen. Unter dem Gesichtspunkt des Datenschutzrechts ist eine Einschränkung insbesondere dann sinnvoll, wenn nicht-europäische Cloud-Dienste in Anspruch genommen werden sollen.

Wenn der Anwender also auf der sicheren Seite sein will, sollte das Motto lauten: so viele Informationen wie notwendig, so wenig Informationen wie möglich.

Mehr zum Thema