Cloudcomputing ist heute vor allem, aber nicht nur in der IT-Szene in aller Munde und der gegenwärtige überall anzutreffende Trend. Alle wollen in die Wolke könnte man denken. Viele wissen auch worum es sich bei dem so toll klingenden Anglizismus handelt, viele andere wiederum wissen dies nicht und reden trotzdem drüber. Was aber nur die wenigstens wissen ist, dass hieran auch rechtliche Verpflichtungen anknüpfen können.
Der Inhalt im Überblick
Cloud…what???
Wikipedia beschreibt Cloudcomputing folgendermaßen:
Cloud Computing bzw. Rechnerwolke ist primär der Ansatz, abstrahierte IT-Infrastrukturen (z. B. Rechenkapazität, Datenspeicher, Netzwerkkapazitäten oder auch fertige Software) dynamisch an den Bedarf angepasst über ein Netzwerk zur Verfügung zu stellen. Die Verarbeitung der Daten durch Anwendungen verblasst somit für den Nutzer gewissermaßen in einer „Wolke“.
Alles klar oder erscheint Ihnen der Begriff jetzt doch irgendwie nebulös? Man könnte auch sagen, Daten oder Dienste werden über Netzwerke derart zur Verfügung gestellt, dass ein Zugriff von überall aus möglich ist. Ein Beispiel hierfür ist Google Docs. Der Vorteil liegt klar auf der Hand, denn Dateien können von jedem Computer oder Smartphone aus bearbeitet, anzeigt oder mit anderen Personen zwecks Zusammenarbeit geteilt werden.
Bedenkt man bei diesem Beispiel allerdings, dass ausgerechnet ein als Datenkrake bekanntes Unternehmen Zugriff auf die eigenen Daten erhält, so stellt sich umgehend ein mulmiges Gefühl ein und es ergibt sich die umgehende Frage, ob denn ausgerechnet von einem als Datenschutzabstinenzler wahrgenommenen Unternehmen der Datenschutz in dem eigenen Fall ernst genommen wird, ohne mal eben selbst davon Kenntnis zu nehmen.
Sicher in der Wolke!?
Wie SPIEGEL ONLINE berichtet, weist der Online-Speicherdienst Dropbox darauf hin, dass auf Anforderung selbstverständlich auch Behörden der Zugang zu den in der Wolke gespeicherten Daten eröffnet und diese entschlüsseln wird. Dies ist deshalb erwähnenswert, da Dropbox die Daten zum Schutz von Hackern zunächst selbst verschlüsselt ablegt und so die trügerische Sicherheit vor allzu neugierigen staatlichen Institutionen befördert.
Wer daher sichergehen will, dass seine Daten nicht entschlüsselt Dritten zur Verfügung gestellt werden, sollte diese Daten selbst verschlüsseln bevor er sie in die Wolke schiebt. Computerbild hat hierzu Verschlüsselungsprogramme zusammen mit Experten des Fraunhofer Instituts für Sichere Informations-Technik (SIT) einigen Tests unterzogen und eine Anleitung zur Verschlüsselung erstellt. Besonders erwähnenswert ist hierbei, dass sogar Verschlüsselungsprogramme mit Toptesterwerten zum Teil kostenlos als Download erhältlich sind.
Im rechtlichen Nebel?
Was für Privatpersonen ohne weiteres möglich ist unterliegt im gewerblichen Bereich jedoch Einschränkungen. Denn wer personenbezogene Daten im Auftrag durch andere Stellen erheben, verarbeiten oder nutzen lässt, hat die Voraussetzungen zur Auftragsdatenverarbeitung gemäß §11 BDSG zu erfüllen und sich vor Beginn der Datenverarbeitung von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Sicherheitsmaßnahmen zu vergewissern. Bereits das Speichern pesonenbezogener Daten fällt unter den Begriff der Verarbeitung (§3 IV Nr. 1 BDSG).
Wer einen solchen Vertrag zur Auftragsdatenverarbeitung nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt oder sich nicht vor Beginn der Datenverarbeitung von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Sicherheitsmaßnahmen überzeugt, kann mit einem Bußgeld von bis zu 50.000,- EUR belegt werden (§43 I Nr. 2b i.V.m. III BDSG).
Wurden zudem bestimmte besonders sensible personenbezogene Daten (z.B. Kontodaten) unrechtmäßig übermittelt oder sind diese auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt (z.B. weil der Account gehackt wurde), so ist dies der zuständigen datenschutzrechtlichen Aufsichtsbehörde und den Betroffenen mitzuteilen (sog. Security-Breach-Notification). Das Unternehmen hat also das zweifelhafte Vergnügen sich selbst an den Pranger zu stellen. Unterlässt er dies, so kann er deswegen sogar mit einem Bußgeld von bis zu 300.000,- EUR belangt werden (§43 II Nr. 7 i.V.m. III BDSG).
Viele Anbieter von Cloud-Diensten werden kaum bereit sein, mit jedem ihrer Kunden einen Vertrag gem. §11 BDSG abzuschließen und hierzu jeweils ihre technischen und organisatorischen Sicherheitsmaßnahmen offenzulegen, weshalb Unternehmen in diesem Fall davon Abstand nehmen sollten Cloud-Dienste in Anspruch zu nehmen.
Der Wolkenstürmer
Jemand der sich im Zweifelsfall zumindest im Netz mit Wolken sicher auskennt, nicht im rechtlichen Nebel stochert und Ihnen bei Bedarf eine „Wetterprognose“ geben kann, ist Ihr betrieblicher Datenschutzbeauftragter.