Literaturhinweise

Daniel Schmid

Die Nutzung von Cloud-Diensten durch kleine und mittelständische Unternehmen

Daniel Schmid, Die Nutzung von Cloud-Diensten durch kleine und mittelständische Unternehmen - Eine datenschutzrechtliche Betrachtung der Auslagerung von Kunden-, Personal- und Mandantendaten , Internetrecht und Digitale Gesellschaft Band 5, Verlag Duncker & Humblot, Berlin 2017, 79,90 €.

Die Dissertation (Augsburg 2016) befasst sich mit einem Thema, das für Unternehmen heutzutage zentral ist: Kann man Cloud-Dienste nutzen, um beispielsweise Kunden- oder Personaldaten auszulagern? Einleitend beschreibt die Arbeit, welche unterschiedlichen Cloud-Dienste es gibt und warum gerade für kleine und mittlere Unternehmen diese Angebote attraktiv sind, denn es muss keine eigene IT aufgebaut werden. Aber lässt der Datenschutz das zu, dass man derartige Daten aus dem Haus gibt?

Die vorliegende Arbeit ist insoweit ein Glücksfall, als sie genau an der Schnittstelle zwischen dem noch geltenden BDSG und dem ab 2018 unmittelbar geltenden europäischen Datenschutz nach der DSVGO geschrieben ist. Beide - der bisherige und der zukünftige - Rechtsrahmen werden dargestellt und die Unterschiede beschrieben. Diese sind nicht gravierend aber in manchem Detail eben doch vorhanden. Vor allem werden bei den gesetzlichen Erlaubnistatbeständen detaillierte Regelungen, wie sie das deutsche Recht bisher kennt, abgeschafft werden und durch generalklauselartige Regelungen des europäischen Rechts ersetzt - man muss also die Abwägung zukünftig selbst machen, was Spielräume eröffnet aber auch Rechtsunsicherheit in sich birgt, wie man hinzufügen möchte.

Die Antwort auf die Frage nach der Anwendbarkeit des Datenschutzes steht und fällt damit, ob die Daten in der Cloud verschlüsselt sind und wie man das rechtlich bewertet. Es wird die von den hauptamtlichen Datenschützern vertretene weitreichende Auffassung vorgetragen, wonach die Verschlüsselung nichts hilft, weil ja immer einer einen Schlüssel hat, um die Daten wieder sichtbar zu machen; es kommt nach dieser Auffassung nicht darauf an, dass der Cloud-Anbieter diesen Schlüssel nicht hat. Diese Auffassung führt dazu, dass der Datenschutz immer in voller Härte anwendbar ist, egal was man macht. Der Autor vertritt mit der von ihn als herrschend dargestellten Rechtsmeinung die Auffassung, dass es darauf ankommt, ob der Cloud-Betreiber keinen Zugang zu den für die Entschlüsselung notwendigen Angaben hat und die sie sich auch nicht mit dem üblichen Aufwand verschaffen kann. Das hat ganz weitreichende Folgen für die Praxis: Das Unternehmen hat an seinen ihm bekannten (es hat ja schließlich den Schlüssel für die Kryptographie) Daten die datenschutzrechtlichen Anforderungen zu beachten. Sind aber die Daten verschlüsselt und werden erst dann übertragen, handelt es sich nicht mehr um personenbezogene Daten und die Übertragung in die Cloud ist zulässig. Allerdings geht die Arbeit davon aus, dass eine derartige strikte Verschlüsselung die Ausnahme ist, wenn man doch schließlich "in der Cloud", also auf den Rechnern des Cloud-Anbieters mit den Daten arbeiten will. Dazu müssen sie vom Cloud-Anbieter entschlüsselt werden, so dass also wieder personenbezogene Daten erkennbar sind.

Sind die Daten beim Cloud-Anbieter entschlüsselt, gilt also das Datenschutzrecht auch für die Übertragung. Es wird beschrieben, dass schon die Anwendbarkeit des jeweils territorial am Sitz der gespeicherten Daten anwendbaren Rechts schwierig ist, wenn die Daten einmal hier, einmal da je nach Auslastung der Rechenzentren in der Welt verschoben werden. Die Übertragung in Drittstaaten außerhalb der EU etwa in die USA ist dann besonders problematisch.

Wenn man schon für die Übertragung der Daten etwa von Kunden oder Mitarbeitern an den Cloud-Anbieter den Datenschutz beachten muss, dann gilt: Die Übertragung ist verboten, es sei denn man hat eine gesetzliche Erlaubnis oder eine Einwilligung der Betroffenen. Für normale Daten etwa von Kunden nimmt die Arbeit die gesetzliche Erlaubnis aus dem BDSG und zukünftig der DSVGO, wonach die Auslagerung für das Unternehmen erforderlich ist und schutzwürdige Interessen nicht überwiegen - wegen der ökonomischen Vorteile für die Unternehmen. Bei sensiblen Daten scheitert allerdings diese Art der Güterabwägung. Vor allem bei Personaldaten dürfte das zu Problemen führen. Hier wird auf die Möglichkeit von Betriebsvereinbarungen verwiesen, die eine Rechtsgrundlage darstellen können.

Ist die Hürde der Übermittlung geschafft, fehlt das, was nach derzeit noch geltendem deutschen Recht ein "Auftragsdatenverarbeitungsvertrag" ist. Hier zeigt der Autor auf, dass das noch geltende Recht mit der Cloud nicht immer etwas anfangen kann. Das geht nämlich von der Fiktion aus, dass ein Unternehmen statt eines eigenen Rechenzentrums ein solches bei einem Dritten betreibt, sozusagen örtlich abgrenzbar, so dass das verantwortliche Unternehmen gegebenenfalls auch einmal konkret nach dem Rechten sehen kann. Das stößt in der Cloud auf Schwierigkeiten, wo selbst der Cloud-Anbieter nicht auf Anhieb weiß, wo gerade was gespeichert wird.

Am Ende ist der Autor in den einzelnen Mitgliedsstaaten mit Blick auf das neue europäische Recht pessimistisch, dass sich die Dinge nicht doch wieder auseinander entwickeln. Denn auch das neue Recht könne mit Cloud-Computing, Big Data und ähnlichen Entwicklungen, deren Bedeutung rasch zunehme, wenig anfangen. Konkrete Regelungen seien "in einem derart technikgeprägten Bereich wie dem Datenschutz" aber nötig.

Für Unternehmensgeschäftsführer, die datenschutzkonform Arbeiten wollen hält - trotz aller Unsicherheit, wie sie gerade beschrieben sind - der Band Handreichungen bereit: Soweit als möglich verschlüsseln und, wenn der Cloud-Anbieter unverschlüsselt Daten (wenn auch nur vorübergehend) hat, dann eine sinnvolle Vereinbarung über die Auftragsverarbeitung abschließen.