In der Wolke auf festem Boden

Dr. Jan Geert Meents,
Jan Geert Meents (Bild: silicon.de)

Beim Einsatz von Diensten aus der Cloud sind noch immer viele rechtliche Fragen offen. Wer die wichtigsten kennt, kann jedoch heute schon von Cloud Services profitieren und zugleich auf der sicheren Seite bleiben.

Auch für eine gesetzeskonforme Verarbeitung personenbezogener Daten außerhalb des Europäischen Wirtschaftsraumes (EWR) gelten besondere Anforderungen. Dementsprechend dürfen Daten grundsätzlich nur in Ländern mit vergleichbarem Datenschutzniveau verarbeitet werden, und auch die übrigen aufgeführten Voraussetzungen für das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten müssen gegeben sein.

Sollen die Daten auch in Ländern verarbeitet werden, die aus Sicht der EU ein niedrigeres Datenschutzniveau aufweisen (z.B. in den USA oder in Indien), müssen weitere Maßnahmen zum Schutz der Betroffenen ergriffen werden. Die Parteien können zum Beispiel die Standardvertragsklauseln für die Weitergabe personenbezogener Daten an Auftrags-Verarbeiter in Drittländern (Richtlinie 95/46/EG) verwenden. Damit verpflichtet sich der Auftragnehmer vertraglich, Maßnahmen zu ergreifen, mit denen ein aus EU-Sicht akzeptables Datenschutzniveau hergestellt wird. Diese Klauseln hat die EU aktuell um Regelungen über die Vergabe eines Unterauftrages eines Daten-Verarbeiters mit Sitz in einem Drittland an einen weiteren Daten-Verarbeiter mit Sitz in einem Drittland ergänzt.

Die neue Vorschrift regelt damit zum Beispiel die Fälle, in denen ein in Indien ansässiger Daten-Verarbeiter ein anderes indisches Unternehmen als Subunternehmer für die Datenverarbeitung einschaltet. Wird ein solcher Unterauftrag vergeben, muss das im Europäischen Wirtschaftsraum ansässige beauftragende Unternehmen dieser Unterbeauftragung vorher schriftlich zustimmen. Die Einführung der Unterauftragsklauseln begründet die Kommission mit dem allgemeinen “Globalisierungstrend in den Geschäftspraktiken und Gepflogenheiten bei der Datenverarbeitung”.

Ob die Nutzung von Cloud Services in Anbetracht dieser Pflichten in Frage kommt, müssen Anwender entlang ihrer individuellen Anforderungen entscheiden. Es gibt momentan sicherlich noch Bereiche, in denen aufgrund ihrer Unsicherheit und Praxisferne abzuraten ist. Andererseits lassen sich viele rechtliche Hürden mit einer entsprechenden Vertragsgestaltung auch überwinden. Da die Entscheidung für Cloud Computing Unternehmen technisch und rechtlich fordert, sollten sie sich dem Thema schrittweise nähern, um Risiken bewusst zu begrenzen und dennoch von revolutionären Möglichkeiten zu profitieren.