Skip to main content
main-content

Über dieses Buch

Steffen Kroschwald bewertet den Einsatz von Cloud-Diensten im Mittelstand vor dem Hintergrund des Rechts auf informationelle Selbstbestimmung. Mit dem Cloud Computing lassen sich IT-Ressourcen wie Speicherplatz, Rechenleistung und Software effektiv bereitstellen. Dennoch halten sich viele Unternehmen angesichts daten- und geheimnisschutzrechtlicher Bedenken mit dem Gang in die Cloud zurück. Der Autor untersucht den grund- und datenschutzrechtlichen Rahmen, in den eine Cloud-Nutzung einzuordnen ist. Hierauf aufbauend entwickelt er sowohl technische als auch rechtliche Gestaltungsvorschläge und Handlungsempfehlungen. Diese sollen bestehende Rechtsunsicherheiten beseitigen und eine rechtssichere und rechtsverträgliche Nutzung der Cloud ermöglichen.

Inhaltsverzeichnis

Frontmatter

1. Einleitung

Hard- und Software, also Speicherplatz, Rechenleistung und Anwendungsprogramme, sind für die Informationstechnik das, was Werkzeuge, Maschinen und Arbeitskräfte für die Industrie sind: Ressourcen. Durch Outsourcing und „Just-in-Time-Prozesse“ werden Ressourcen in der Industrie zunehmend an externe Dienstleister ausgelagert. Informationstechnische Ressourcen blieben hingegen lange Zeit an den Ort oder zumindest an das Gerät gebunden. Mit den zunehmenden Anforderungen an die Technik mussten Computer, Laptops und Smartphones deshalb bislang über immer leistungsstärkere Festplatten und Prozessoren, Betriebssysteme und Softwareanwendungen verfügen.

Steffen Kroschwald

2. Cloud Computing

Eine weltweit anerkannte, einheitliche Definition des Cloud Computing existiert nicht. Zahlreiche Institutionen und Autoren haben allerdings jeweils eigene Definitionen des Cloud Computing veröffentlicht. Am bekanntesten ist wohl die Definition des „National Institute of Standards and Technology“ (NIST), dem Standardisierungsinstitut der USA. „Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction.

Steffen Kroschwald

3. Cloud Computing für den Mittelstand

Wie eingangs erwähnt, sehen Studien in der Nutzung einer Cloud gerade für kleine und mittlere Unternehmen ein erhebliches Potential, während die betreffenden Unternehmen eher zurückhaltend auf die Cloud reagieren. Vor- und Nachteile der Cloud sind aus diesem Grund aus Sicht von kleinen und mittleren Unternehmen näher zu beleuchten.

Steffen Kroschwald

4. Normative Grundlagen des Datenschutzrechts

Sowohl auf internationaler als auch auf europäischer und nationaler Ebene bestehen normative Vorgaben zum Datenschutzrecht. Diese bauen historisch aufeinander auf oder leiten sich voneinander ab. Dennoch haben sie, historisch, politisch, kulturell oder systematisch bedingt, zum Teil sehr unterschiedliche Regelungsansätze, Schutzziele, Geltungsbereiche und Verbindlichkeitsniveaus.

Steffen Kroschwald

5. Anwendungsbereich des einfachgesetzlichen Datenschutzrechts

Das Datenschutzrecht ist auf nationaler Ebene einfachgesetzlich in zahlreichen, unterschiedlichen Regelwerken normiert. So finden sich in einer Reihe von – insbesondere öffentlich-rechtlichen – Fachgesetzen spezielle Regelungen zum Datenschutz. Beispielhaft können hier etwa die Landeskrankenhausgesetze oder, im Bereich der öffentlichen Sicherheit und Strafverfolgung, die Polizeigesetze genannt werden. Für den Bereich der neuen Medien finden sich weitere spezielle Datenschutznormen, vor allem im Telekommunikations- und im Telemediengesetz.

Steffen Kroschwald

6. Datenschutzrechtliche Zulässigkeit

Vorangehend wurde das auf das Cloud Computing anwendbare Datenschutzrecht und die verantwortliche Stelle als dessen Normadressat bestimmt. Im Folgenden sind Voraussetzungen für die Zulässigkeit eines Datenumgangs im Rahmen des Cloud Computing zu untersuchen.

Steffen Kroschwald

7. Datenweitergabe im Rahmen der Auftragsdatenverarbeitung

Unter Berücksichtigung der vorangehenden Ergebnisse bleibt insbesondere für eine zulässige Übermittlung von Daten betroffener Dritter an einen Cloud-Anbieter sowie die Weiterübermittlung dieser Daten an weitere Stellen wenig Raum. Weder liegt in der Regel ein gesetzlicher Erlaubnistatbestand für die Übermittlung vor noch kann sich der Cloud-Nutzer als verantwortliche Stelle rechtssicher auf das Instrument der Einwilligung durch die Betroffenen verlassen. Die Übertragung von Daten betroffener Dritter an einen Cloud-Anbieter und die dortige Speicherung und Weiterverarbeitung könnte dennoch zulässig sein. Eine Mehrheit in der Literatur zum Cloud Computing stützt sich dabei auf das Instrument der Auftragsdatenverarbeitung.

Steffen Kroschwald

8. Entwicklung einer rechtssicheren Zertifizierung de lege ferenda

Wie festgestellt, muss die Auswahl und Kontrolle des Cloud-Anbieters als Auftragnehmer nach § 11 Abs. 2 BDSG nicht höchstpersönlich durch den Cloud-Nutzer als Auftraggeber am Ort der Datenverarbeitung stattfinden. Statt einer höchstpersönlichen Kontrolle vor Ort kann sich der Cloud-Nutzer auch auf das Ergebnis einer Überprüfung durch einen externen Dritten, etwa ein Zertifikat, stützen. Der Cloud-Nutzer als Auftraggeber wird aber, unabhängig davon, wer die Zertifizierung veranlasst, im Rahmen seiner aus der Verantwortlichkeit herrührenden Kontrollpflicht zumindest noch verpflichtet sein, die Qualifikation des externen Kontrolleurs sowie die Plausibilität und Ordnungsmäßigkeit der Prüfung und des Zertifikats nachzuvollziehen.

Steffen Kroschwald

9. Internationales Cloud Computing

Die bisherige Betrachtung der Zulässigkeitsanforderungen im Rahmen des Cloud Computing bezog sich ausschließlich auf den Datenumgang und die Datenflüsse im Inland. Wie bereits für die Frage nach dem anwendbaren Recht untersucht, geht mit der internetbasierten Struktur der Cloud die Überschreitung von territorialen Grenzen einher. Aus rein technischer Sicht mag beim Cloud Computing der Ort der Datenspeicherung und -verarbeitung sowie der Weg der Daten zwar irrelevant sein. Mit dem Grenzübertritt der Daten ändert sich jedoch die rechtliche Wertung der Zulässigkeit des Datenumgangs. Das nationale Datenschutzrecht knüpft die Zulässigkeit des Datenumgangs unter Einbeziehung nicht-inländischer Stellen an andere oder weitere Voraussetzungen als bei rein innerstaatlichen Datenbewegungen.

Steffen Kroschwald

10. Cloud Computing und ausländische Behörden – Beispiel USA

Während im Vorangehenden in erster Linie der Umgang mit Daten und das mögliche Missbrauchspotential in der Cloud durch nicht-öffentliche Stellen untersucht wurde, sollen im Folgenden Risiken, die von öffentlichen Stellen ausgehen, beleuchtet werden. Auf den Datenumgang durch deutsche Behörden im Rahmen von Strafermittlungs- und polizeilichen Risiko- und Gefahrenabwehrmaßnahmen wird bereits an anderer Stelle umfassend eingegangen. Hinsichtlich des deutschen Straf-, Strafprozess- und Polizeirechts sei auf diese Arbeiten verwiesen. Der folgende Abschnitt befasst sich deshalb ausschließlich mit Befugnissen ausländischer staatlicher Stellen oder Stellen in einem ausländischen staatlichen Verfahren. Exemplarisch soll dies anhand zweier Fallgruppen nach dem Recht der USA, dem Datenzugriff durch Ermittlungsbehörden sowie dem sogenannten „E-Discovery“, dargestellt werden.

Steffen Kroschwald

11. Betroffenenrechte

Das Recht auf informationelle Selbstbestimmung stellt den Schutz des Betroffenen beim Umgang mit seinen Daten in den Mittelpunkt. Dieser grundrechtliche Schutz wirkt sich einfachgesetzlich zum einen durch das Erfordernis einer Einwilligung oder einer gesetzlichen Erlaubnis zum Umgang mit personenbezogenen Daten aus, das sich allerdings an die verantwortliche Stelle als Normadressaten wendet. Mit der Regelung der Zulässigkeit des Umgangs mit den personenbezogenen Daten ist dem Betroffenen aber noch nicht viel geholfen. Ob sich die verantwortliche Stelle an ihre Pflichten hält und der Betroffene tatsächlich geschützt ist, lässt sich für Außenstehende primär nicht beurteilen.

Steffen Kroschwald

12. Technische und organisatorische Maßnahmen

Die technischen und organisatorischen Maßnahmen nach § 9 BDSG und der Anlage zu § 9 S. 1 BDSG stellen eine zentrale „Kernnorm“ des Daten- und Informationssicherheitsrechts dar. Unter Datensicherung als Gegenstand der Datensicherheit wird die „Gesamtheit aller organisatorischen und technischen (nicht rechtlichen) Regelungen und Maßnahmen verstanden, mit denen ein unzulässiger Umgang mit personenbezogenen Daten zu verhindern und die Integrität sowie Verfügbarkeit der Daten und die zu deren Verarbeitung eingesetzten technischen Einrichtungen zu erhalten ist“. Maßnahmen zur Datensicherheit sollen aus technischer Sicht die Verfügbarkeit, Authentizität und Integrität der Daten gewährleisten, um aus datenschutzrechtlicher Sicht die Ziele des § 1 BDSG zu verwirklichen.

Steffen Kroschwald

13. Geheimnisschutz

Der Umgang mit Daten und Informationen durch nicht-öffentliche Stellen kann neben dem Datenschutzrecht auch einem besonderen Geheimnisschutz unterliegen. Anders als der Umgang mit personenbezogenen Daten beschränkt sich die Verpflichtung zum Schutz bestimmter Geheimnisse auf Personen mit einer bestimmten Qualifikation oder beruflichen Position. Während sogenannte „Berufsgeheimnisse“ durch Schweigepflichten in einigen Berufsrechten sowie durch eine Strafbewehrung in § 203 StGB geschützt werden, regelt § 17 UWG den Schutz von Geschäfts- und Betriebsgeheimnissen. Nutzt der hier betroffene Personenkreis Cloud-Dienste und überträgt im Rahmen der Nutzung vom Geheimnisschutz umfasste Informationen an einen Cloud-Anbieter, sind gegebenenfalls auch diese Regelungen einschlägig.

Steffen Kroschwald

14. Europäische Reformbemühungen im Datenschutz

Angesichts der fortschreitenden technischen Möglichkeiten der Kommunikation und Informationsverarbeitung sowie den zunehmenden grenzüberschreitenden Datenbewegungen wird schon seit geraumer Zeit für eine Reform des Datenschutzrechts auf europäischer Ebene plädiert. Der europäische Gesetzgeber ist aufgefordert, die zahlreichen Datenschutzregime in Europa auf einem hohen Niveau zu vereinheitlichen, zu modernisieren und damit ein gleichwertig hohes Maß an Datenschutz innerhalb der Europäischen Union zu gewährleisten. Mit einem europaweit einheitlichen Datenschutzrecht soll die Europäische Union gegenüber Staaten mit anderen Datenschutzkulturen mit einer einheitlichen, starken Stimme sprechen, gleichzeitig aber auch der freie Datenverkehr und damit wesentliche wirtschaftliche Bewegungen innerhalb Europas erleichtert werden.

Steffen Kroschwald

15. Rechtsverträgliches Cloud Computing

Cloud Computing verfügt, wie festgestellt, über das Potential, die Informationsgesellschaft nachhaltig zu verändern. Die Möglichkeiten der Cloud sind nicht allein informationstechnischer Art. Sie wirken beispielsweise über cloud-basierte Geschäftsanwendungen mit erheblichem wirtschaftlichem Gewicht in das Geschäfts- und Berufsleben aber auch in Verbindung mit cloud-basierten „Big Data-Anwendungen“ in den gesellschaftlichen Umgang mit sehr großen Informationsmengen und zukünftig über cloud-basierte ubiquitäre Anwendungen möglicherweise sogar in den gesamten Alltag der Menschen hinein. Bei der Frage, ob und wie sich dieses Potential der Cloud zukünftig auch tatsächlich verwirklicht, kommt dem Recht, insbesondere dem Persönlichkeitsrecht in der Ausprägung als Recht auf informationelle Selbstbestimmung, eine zentrale Bedeutung zu. Diese Schlüsselrolle äußert sich in unterschiedlichen Funktionen, die sich sowohl begrenzend als auch fördernd auf die Cloud auswirken.

Steffen Kroschwald

Backmatter

Weitere Informationen

Premium Partner

Neuer Inhalt

BranchenIndex Online

Die B2B-Firmensuche für Industrie und Wirtschaft: Kostenfrei in Firmenprofilen nach Lieferanten, Herstellern, Dienstleistern und Händlern recherchieren.

Whitepaper

- ANZEIGE -

Product Lifecycle Management im Konzernumfeld – Herausforderungen, Lösungsansätze und Handlungsempfehlungen

Für produzierende Unternehmen hat sich Product Lifecycle Management in den letzten Jahrzehnten in wachsendem Maße zu einem strategisch wichtigen Ansatz entwickelt. Forciert durch steigende Effektivitäts- und Effizienzanforderungen stellen viele Unternehmen ihre Product Lifecycle Management-Prozesse und -Informationssysteme auf den Prüfstand. Der vorliegende Beitrag beschreibt entlang eines etablierten Analyseframeworks Herausforderungen und Lösungsansätze im Product Lifecycle Management im Konzernumfeld.
Jetzt gratis downloaden!

Bildnachweise