Für das Cloud Computing ergeben sich dabei sowohl aus Sicht
des Datenschutzes als auch der Datensicherheit folgende Besonderheiten:
· Vermeintlich als anonymisiert angesehene Daten (vgl. § 3 Abs. 6 BDSG) können durch ihre Verarbeitung in der Cloud reidentifizierbar werden, weil verschiedene Beteiligte über Zusatzwissen verfügen, mit dem eine Reidentifizierung möglich ist.7 Für die verantwortliche Stelle (§ 3 Abs. 7 BDSG) muss daher deutlich werden, in welchem Rahmen Datenschutzbestimmungen einzuhalten sind.
· Bei der Anwendung von Cloud-Services und der Bereitstellung von ITDienstleistungen werden regelmäßig mehrere Beteiligte tätig. Hier ist von Bedeutung, wie deren Beziehungen zueinander datenschutzrechtlich zu bewerten sind und wie vor allem die verantwortliche Stelle ihren Verpflichtungen nachkommt.
· Die verantwortliche Stelle hat die Rechtmäßigkeit der gesamten Datenverarbeitung zu gewährleisten, insbesondere muss sie ihren Löschpflichten nachkommen (§ 35 Abs. 2 BDSG), unrichtige Daten berichtigen (§ 35 Abs. 1 BDSG), für eine Sperrung von Daten sorgen (§ 35 Abs. 3 BDSG) und dem Betroffenen (§ 3 Abs. 1 BDSG) u. a. Auskünfte über die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen, erteilen (§ 34 Abs. 1 BDSG). Zur Erfüllung der entsprechenden gesetzlichen Bestimmungen muss die verantwortliche Stelle besondere Vorkehrungen treffen.
· Zu untersuchen ist die Zulässigkeit grenzüberschreitender Datenverarbeitungen. Bei Clouds, die international verteilt sind und sich auch über Staaten außerhalb des EWR erstrecken, ist eine Rechtsgrundlage für die Übermittlung personenbezogener Daten in Drittstaaten erforderlich.
· Aus technisch-organisatorischer Sicht müssen vor allem besondere Vorkehrungen für die ordnungsgemäße Löschung und Trennung von Daten sowie für die Sicherstellung von Transparenz, Integrität und Revisionsfähigkeit der Datenverarbeitung getroffen werden.
Bei Nichteinhaltung der Datenschutzbestimmungen drohen der verantwortlichen Stelle haftungsrechtliche Konsequenzen, indem diese gegenüber den Betroffenen zum Schadensersatz verpflichtet ist, Bußgelder verhängt oder Anordnungen (§ 38 Abs. 5 BDSG) verfügt werden können. Weiterhin entstehen bei unrechtmäßiger Kenntniserlangung von Daten gegenüber der zuständigen Aufsichtsbehörde und den Betroffenen Informationspflichten (§ 42a BDSG).
