Die Angebote zum Cloud Computing sind aus ökonomischer Sicht sehr reizvoll für Unternehmen. Dies wird auch in Umfragen immer wieder deutlich, wonach ein hoher Prozentanteil der Befragten regelmäßig Cloud Angebote für sich künftig nutzen möchte.
In rechtlicher Hinsicht sind diese Angebote jedoch äußerst problematisch. Die derzeit führenden Cloud Anbieter sind überwiegend US-amerikanische Unternehmen. In datenschutzrechtlicher Hinsicht wird den USA jedoch kein ausreichendes Schutzniveau hinsichtlich des Themas Datenschutz zugesprochen. Anschaulich hat diese Problematik die dänische Datenschutzbehörde anhand des Cloud Anbieters Google diskutiert. Hierbei ist die dänische Datenschutzbehörde zu dem Ergebnis gekommen, dass eine Nutzung der Cloud von Google nicht datenschutzkonform sei. Auch sei die Nutzung amerikanischer Cloud Anbieter deswegen so problematisch, da aufgrund des in den USA geltenden Patriot Act Unternehmen, die ihren Sitz in den USA haben, dem Zugriffrecht der US Regierung auf die gespeicherten Daten in der Cloud unterlägen. Dies betonte auch nochmal der Leiter des ULD Thilo Weichert in einem auf vdi-nachrichten.com veröffentlichtem Interview.
Auch auf europäischer Ebene wird die rechtliche Zulässigkeit der Cloud Dienste ausgiebig diskutiert. So veröffentlichte am 1. Juli 2012 die Artikel 29 Arbeitsgruppe eine umfassende Stellungnahme zum Cloud Computing: Opinion 5/2012 on Cloud Computing. Die Arbeitsgruppe, der Vertreter nationaler Datenschutzbehörden angehören, ist ein beratendes Gremium zum Datenschutz auf EU Ebene. Darüber hinaus erschein im August 2012 ein Strategiepapier der Europäische Kommission mit dem Titel "Unleashing the Potential of Cloud Computing in Europe", in dem die weitere Vorgehensweise zur Stärkung des Cloud Computings dargestellt wurde. Um mehr Rechtssicherheit insoweit zu gewährleisten, sieht die EU u.a. vor, Musterverträge für Cloud Computing zu entwickeln. Recht aktuell nahm auch der Europäische Datenschutzbeauftragte, Peter Hustinx, im November 2012 schließlich Stellung zu vorgenanntem Strategiepapier der Kommission.
Damit der Transfer personenbezogener Daten in die USA überhaupt zulässig sein kann, müssen zusätzliche Maßnahmen von der verantwortlichen Stelle (EU Standardvertragsklauseln, Safe Harbour, etc.) getroffen werden. Aber selbst wenn solche zusätzlichen Maßnahmen getroffen worden sind, können nichts desto trotz Zweifel hinsichtlich der Einhaltung eines ausreichenden Datenschutzniveaus bestehen.
Ein weiteres datenschutzrechtliches Problem ist der Umstand, dass sich viele Anbieter von Cloud Diensten oder Staaten, in denen deren Infrastruktur zur Verfügung gestellt wird, ein Recht insbesondere bei privaten Personen vorbehalten, auf dessen Daten zuzugreifen, zu ändern oder gar zu sperren. Weitere Ausführungen bezüglich dieser Problematik sind in dem Aufsatz von Marit Hansen zu finden.
Zu beachten ist letztlich, dass die verantwortliche Stelle dafür Sorge zu tragen hat, dass die datenschutzrechtlichen Vorschriften eingehalten werden. Hierzu muss sie u.a. auch aktiv prüfen, ob sich der Cloud Anbieter an die zuvor getroffenen Vereinbarungen hält und damit ein ausreichendes Schutzniveau für die Daten gewährleistet. Wie aus den Ausführungen der dänischen Datenschutzbehörde ersichtlich wird, ist das derzeit fraglich.
Um Bußgelder wegen Verstoßes gegen datenschutzrechtliche Vorschriften zu vermeiden, sollten Sie vor Nutzung von Cloud-Diensten, das Angebot und die Infrastruktur des Cloud Anbieters genau prüfen. Gerne bin ich Ihnen hierbei behilflich.
