BEITRAGE. Gibt es neue datenschutzrechtliche Anforderungen für Cloud Computing?

Transkript

1 CHRISTIAN SCHRÖDER / NILS CHRISTIAN HAAG Stellungnahme der Art. 29-Datenshutzgruppe zum Cloud Computing BEITRAGE Cloud-Dienstleistung Kriterienkatalog Internationale Clouds Tehnishe und organisatorishe Anforderungen Vertragsgestaltung Gibt es neue datenshutzrehtlihe Anforderungen für Cloud Computing? Nah der Orientierungshilfe zum Cloud Computing der deutshen Aufsihtsbehörden sowie dem Sopot-Memorandum der Berlin Group hat nun die Art. 29-Datenshutzgruppe ihre Vorgaben zur datenshutzgerehten Nutzung von Cloud Computing (WP 196) formuliert. Die Art. 29-Datenshutzgruppe orientiert sih dabei stark an den bisherigen Stellungnahmen, fügt ergänzende Anforderungen hinzu und zeigt insbesondere zu Zertifizierungen und Audits etwas mehr Mut als die bisherigen Stellungnahmen. Insgesamt wird nun auf europäisher Ebene langsam ein einheitliher Standard für datenshutzgerehte Cloud-Lösungen erkennbar. Die Stellungnahme der Art. 29-Datenshutzgruppe ist daher ein weiterer wihtiger Shritt hin zu mehr Rehtssiherheit und ihre Kenntnis ein Muss für sämtlihe mit Cloud-Dienstleistungen befassten Stellen und Berater. After the orientation aid regarding loud omputing by the German supervisory authorities, as well as the Sopotmemorandum by the Berlin Group, the Art. 29-Data Protetion Group now worded its requirements on the data protetion ompliant use of loud omputing (WP 196). In this, the Art. 29-Data Protetion Group has strongly aligned itself with the hitherto statements, added supplementary requirements and, in partiular, shows a bit more ourage in regards to ertifiations and audits than the hitherto statements. In sum, slowly a uniform standard for data protetion ompliant loud solutions is beoming disernible on a European level. Thus, the statement by the Art. 29-Data Protetion Group is an important further step towards more legal ertainty and the knowledge thereof is imperative for all agenies and advisors dealing with loud servies. I. Einleitung Anhand der zahlreihen Beiträge zur datenshutzgerehten Nutzung von Cloud Computing, die niht nur von Beratern und der Lehre, sondern zunehmend auh von Aufsihtsbehörden veröffentliht werden, lässt sih die Brisanz des Themas unshwer erkennen. Unternehmen lagern immer mehr Datenverarbeitungen in die Cloud zu externen Dienstleistern aus. Nah Prognosen der Experton Group wähst der Cloud-Markt in Deutshland auh im Jahr 2012 weiterhin stark. 1 Nah einer Umfrage des Branhenverbands BITKOM im März 2012 nutzt bereits jedes vierte Unternehmen in Deutshland Cloud Computing. 2 Die Gründe hierfür liegen niht nur in der erhofften Kosteneinsparung, sondern finden sih auh in den tehnishen Vorteilen von Cloud-Diensten, wie z.b. der hohen Verfügbarkeit der Daten unabhängig vom Endgerät. Aus datenshutzrehtliher Siht liegen die damit einhergehenden Risiken für die Daten auf Grund von Kontrollverlust und fehlender Transparenz auf der Hand. 1 Cloud Marktzahlen, vgl. uting-programme/it-anwender/loud-marktzahlen.html. 2 PM des BITKOM v , Jedes vierte Unternehmen benutzt bereits Cloud Computing, 3 Orientierungshilfe Cloud Computing, Stand , utz-bayern.de/tehnik/orient/oh_loud.pdf (im Folgenden: Orientierungshilfe Cloud Computing). 4 Besprehung und Bewertung der Orientierungshilfe bei Shröder/Haag, ZD 2011, 147 ff. 5 Working Paper on Cloud Computing Privay and data protetion issues Sopot Memorandum 51st Meeting, April, Sopot (Poland), die deutshe Übersetzung ist abrufbar unter: pdf? (im Folgenden: Sopot Memorandum). 6 Ausführlihe Darstellung und Bewertung bei Shröder/Haag, ZD 2012, 362 ff. Dieser Unsiherheit nahmen sih zunähst die deutshen Aufsihtsbehörden im September 2011 an und veröffentlihten die Orientierungshilfe zum Cloud Computing. 3 Diese bot mit praxisorientierten Vorshlägen eine gute Ausgangsbasis für deutshe Cloud-Nutzer. 4 Im April 2012 veröffentlihte dann die International Working Group on Data Protetion in Teleommuniations (Berlin Group) Best Business-Empfehlungen zum datenshutzgerehten Cloud Computing. 5 Inhaltlih deken sih die Empfehlungen weitgehend mit den Anforderungen des europäishen Datenshutzrehts. Besonders positiv war die Shwerpunktsetzung der Berlin Group zu Gunsten tehnisher Lösungen zur Verbesserung des Datenshutzes. 6 Nahdem nun auf deutsher und (teilweise) internationaler Ebene Anforderungen an datenshutzgerehtes Cloud Computing formuliert worden sind, durfte eine Stellungnahme der Art. 29- Datenshutzgruppe für die europäishe Ebene niht fehlen. Aus Siht deutsher Rehtsanwender dürften daher nun alle wesentlihen sie betreffenden Aufsihtsbehörden Stellungnahmen verfasst haben und es stellt sih die Frage, ob die europäishen Aufsihtsbehörden die teilweise sehr hohen Anforderungen der deutshen Aufsihtsbehörden an Cloud Computing teilen oder gar weitere Anforderungen formulieren. Die Verfasser dieses Beitrags fassen daher in ihrem nun dritten Beitrag zu den aufsihtsbehördlihen Anforderungen an Cloud Computing die wesentlihen Ergebnisse der Stellungnahme der Art. 29-Datenshutzgruppe zusammen und zeigen auf, an welhen Stellen dieart. 29-Datenshutzgruppe von den bisherigen Stellungnahmen abweiht. ZD 11/2012 Shröder/Haag: Stellungnahme der Art. 29-Datenshutzgruppe zum Cloud Computing 495

2 II. Stellungnahme 05/2012 der Art. 29- Datenshutzgruppe (WP 196) Kurz nah Ersheinen der Empfehlungen der Berlin Group und unter ausdrüklihem Verweis auf deren Empfehlungen veröffentlihte die Art. 29-Datenshutzgruppe am die Stellungnahme 05/2012 zum Cloud Computing (WP 196). 7 Das Ziel dieser Stellungnahme sei, den Anbietern und Anwendern von Cloud-Diensten eine Hilfestellung zu geben, wie sie die Anforderungen der Europäishen Datenshutzrihtlinie 95/46/EG (DS-RL) beim Cloud Computing einhalten können. 8 Erfreuliherweise beginnt die Art. 29-Datenshutzgruppe ihre Stellungnahme mit einem klaren Bekenntnis zu den möglihen Vorteilen von Cloud Computing, die gerade auh im Datenshutz liegen. So betont die Art. 29-Datenshutzgruppe bereits in der Einleitung ausdrüklih, dass Cloud-Dienstleistungen gerade für kleine und mittlere Unternehmen in tehnisher und organisatorisher Hinsiht ein Siherheitsniveau zum Shutz der Daten anbieten können, welhes sih kleine und mittlere Unternehmen ansonsten häufig niht leisten könnten. 9 Allerdings legt die Art. 29-Datenshutzgruppe besonderes Augenmerk auf Mangelnde Kontrollmöglihkeiten (lak of ontrol) und Mangelnde Transparenz (lak of transpareny). Diese beiden Bereihe müssten durh hinreihende tehnishe und organisatorishe Siherheitsmaßnahmen sowie vertraglihe Vereinbarungen abgedekt werden. III. Datenshutzrehtlihe Rahmenbedingungen Die Stellungnahme WP 196 beginnt nah der Einleitung zunähst mit dem Hinweis auf ihre rehtlihen Grundlagen, die DS-RL sowie die E-Privay-RL 2002/58/EG, die von der sog. Cookie-RL 2009/136/EG ergänzt worden ist. Vor einer Erläuterung der sih daraus ableitenden rehtlihen Anforderungen befasst sih die Art. 29-Datenshutzgruppe zunähst mit der örtlihen Anwendbarkeit dieser Vorgaben und der rehtlihen Einordnung von Cloud-Anbieter und -Anwender i.s.e. Auftragsdatenverarbeitung. 1. Anwendbares Reht Die Anwendbarkeit des europäishen Datenshutzrehts ergibt sih aus Art. 4 der DS-RL. Die Art. 29-Datenshutzgruppe differenziert dementsprehend bei Cloud-Dienstleistungen zwishen den zwei nahfolgenden möglihen Anwendungsfällen: 10 Im ersten Fall der Anwendbarkeit europäishen Datenshutzrehts befindet sih der Sitz der verantwortlihen Stelle, also in der Regel der des Cloud-Anwenders, im Geltungsbereih der DS-RL. Anwendbar ist dann das die Europäishe DS-RL umsetzende nationale Datenshutzreht desjenigen Mitgliedstaats, in dem sih der Sitz des Cloud-Anwenders befindet. Verfügt das Unternehmen über Niederlassungen in mehreren Mitgliedstaaten, sind auh deren nationale Datenshutzbestimmungen zu berüksihtigen (Niederlassungsprinzip, vgl. 1 Abs. 5 Satz 1 BDSG). Nah Ansiht der Art. 29-Datenshutzgruppe kann aber auh bereits der Ort der physishen Datenverarbeitung europäishes Datenshutzreht zur Anwendung bringen. So kann z.b. allein ein Server eines Cloud-Anbieters im Geltungsbereih der DS-RL europäishes Datenshutzreht zur Anwendung bringen. Niht als Datenverarbeitung in diesem Sinne ist die bloße Durhleitung von Daten zu verstehen. 11 Die zweite Variante, bei der innereuropäishe Datenverarbeitungsanlagen des Cloud-Anbieters bereits zur Anwendbarkeit europäishen Datenshutzrehts führen, dürfte für viele außereuropäishe Cloud-Anwender überrashend sein. Dabei dürfte es sih um kein seltenes Szenario handeln, da beim Cloud Computing in der Regel eine Vielzahl breit gestreuter Ressouren genutzt wird, von denen sih nur eine im europäishen Rehtsraum befinden muss. Grundlage für die Anwendung des europäishen Rehts ist Art. 4 Abs. 1 lit. der DS-RL. Mit dieser Regelung soll verhindert werden, dass sih verantwortlihe Stellen durh die Verlagerung ihres Standorts den europäishen Datenshutzregelungen entziehen. 12 Von diesem Shutzzwek ausgehend ist es jedoh kaum nahvollziehbar, wenn z.b. ein US-Unternehmen, welhes ausshließlih Daten von in den USA lebenden Personen verarbeitet, europäishes Datenshutzreht beahten soll, nur weil es sih eines Dienstleisters in Europa bedient. Auh für europäishe Cloud-Diensteanbieter dürfte eine solh unkritishe, weite Anwendung europäishen Datenshutzrehts einen erheblihen Wettbewerbsnahteil darstellen, wenn sie personenbezogene Daten aus Jurisdiktionen außerhalb der EU bzw. des Europäishen Wirtshaftsraums verarbeiten. Sie müssten trotz Unkenntnis über die Zweke bei Erhebung der Daten im außereuropäishen Ausland nun das gesamte europäishe Datenshutzreht beahten und erlitten dadurh gegenüber außereuropäishen Dienstleistern einen deutlihen Nahteil. Dementsprehend hält auh der Düsseldorfer Kreis als Gremium der deutshen Aufsihtsbehörden eine Relativierung des ausgedehnten Anwendungsbereihs des BDSG in diesem Fall für möglih. 13 Danah ist es zumindest denkbar, dass die DS-RL in Art. 4 Abs. 1 lit. einen EU/EWR-Bezug der Daten stillshweigend unterstellt habe, sodass man durh teleologishe Reduktion zu einer verringerten Anwendung europäishen Datenshutzrehts käme, sofern keine EU-Bürger zu den Betroffenen gehören. Den Auftragnehmer in der EU/EWR träfen daher nur die Anforderungen zur tehnishen und organisatorishen Datensiherheit. Er sei niht zur Prüfung der materiellen Vereinbarkeit der Datenverarbeitung mit dem BDSG verpflihtet. 14 Die Art. 29-Datenshutzgruppe erörtert in ihrer Stellungnahme die Frage einer begrenzten Anwendbarkeit des europäishen Datenshutzrehts niht. Insofern bleibt zu hoffen, dass sie sih der von den deutshen Aufsihtsbehörden vorgeshlagenen pragmatishen Lösung anshließen würde. 2. Rehtlihe Einordnung von Anbieter und Anwender Die Art. 29-Datenshutzgruppe betrahtet die Festlegung der Verantwortlihkeit für Datenverarbeitungen in der Cloud als eine der wihtigsten Regelungsaspekte. Insbesondere beim Cloud Computing bestehe oft auf Grund der Vielzahl beteiligter Unternehmen die Gefahr, dass sih niemand in der Verantwortung sieht. Da in der Regel allein der Cloud-Anwender Zwek und Umfang der Datenverarbeitungen bestimmt, übernehme er die Funktion eines Auftraggebers und müsse daher die Verantwortung für 7 Bisher nur auf English verfügbar: Artile 29 Data Protetion Working Party,Opinion 05/2012 on Cloud Computing (WP 196), adopted July 1st 2012, abrufbar unter: -reommendation/files/2012/wp196_en.pdf (im Folgenden: WP 196). 8 WP 196 (o. Fußn. 7), S WP 196 (o. Fußn. 7), S. 4; s.a. ähnlihen Hinweis in Sopot Memorandum (o. Fußn. 5), S. 3 ff.; Shröder/Haag, ZD 2012, 362, Ausführliher zur Anwendbarkeit der europäishen Datenshutzregelungen ist die Stellungnahme der Art. 29-Datenshutzgruppe 8/2010 (WP 179). 11 Dies folgt aus Art. 4 Abs. 1 lit. der Europäishen DS-RL 95/46/EG. 12 Vgl. Erwägungsgrund 18 der Europäishen DS-RL 95/46/EG. 13 Düsseldorfer Kreis, Handreihung zur rehtlihen Bewertung von Fallgruppen zur internationalen Auftragsdatenverarbeitung v , S. 17 (im Folgenden: Fallgruppen Internationale Auftragsdatenverarbeitung), abrufbar unter: ernationale-auftragsdatenverarbeitung. 14 Fallgruppen InternationaleAuftragsdatenverarbeitung (o. Fußn. 13), S. 16, Beispiel H. 496 Shröder/Haag: Stellungnahme der Art. 29-Datenshutzgruppe zum Cloud Computing ZD 11/2012

3 die datenshutzgerehte Verarbeitung personenbezogener Daten in der Cloud tragen. Der Cloud-Anbieter sei hingegen im Regelfall weisungsgebundener Dienstleister, also Auftragnehmer. Dies führe dazu, dass regelmäßig von einer klassishen Auftragsdatenverarbeitung i.s.d. Art. 17 der DS-RL (in Deutshland durh 11 BDSG umgesetzt) auszugehen sei. In diesem Regelfall ist also der Cloud-Anwender allein für die Einhaltung datenshutzrehtliher Bestimmungen verantwortlih. Die Art. 29- Datenshutzgruppe betont, dass dies auh für die häufig anzutreffende Konstellation gilt, in denen ein kleineres Unternehmen die Cloud-Dienste eines großen Anbieters wie Apple, Mirosoft oder Amazon in Anspruh nimmt. Auh wenn der Anwender hier keine Möglihkeit zur Verhandlung individueller Vereinbarungen habe, könne ihm stets zugemutet werden, einen Anbieter zu wählen, der ein datenshutzkonformes Angebot bereithält. Bemerkenswert sind die Erwägungen der Art. 29-Datenshutzgruppe, wonah in Einzelfällen auh der Cloud-Anbieter neben dem Cloud-Anwender verantwortlihe Stelle sein kann. 15 Ein solher Fall läge vor, wenn der Cloud-Anbieter ein eigenes Interesse an der Verwendung der Daten hätte, welhes über die bloße Erfüllung seines Auftrags hinausgeht. Denkbar wäre z.b., dass ein Anbieter einem Internetportal eine loud-basierte Software zur Auswertung von Nutzerdaten zur Verfügung stellt und die Daten dieser Nutzer auh für eigene Marketingzweke nutzen möhte. Ohne wirksame Einwilligung wäre eine solhe Konstellation jedoh kaum in zulässiger Weise durhführbar. Somit wird es in den meisten Fällen bei der alleinigen rehtlihen Verantwortlihkeit des Cloud-Anwenders und damit bei einer klassishen Auftragsdatenverarbeitung bleiben. IV. Vertraglihe Gestaltung Aus der datenshutzrehtlihen Einordnung von Cloud-Dienstleistungen als Auftragsdatenverarbeitung folge, dass Cloud- Diensteanbieter mit den Cloud-Abnehmern (nahfolgend auh Auftraggeber genannt) grundsätzlih shriftlihe Verträge abshließen müssten, die im Wesentlihen niht nur die Weisungsgebundenheit des Dienstleisters in Bezug auf die Verarbeitung personenbezogener Daten, sondern auh die tehnishen und organisatorishen Siherheitsmaßnahmen festlegen müssen. Eine shriftlihe Vereinbarung sei niht erforderlih, wenn vergleihbare Formen genutzt werden (diese Alternative wird leider niht weiter erläutert). Ferner folge aus der Auftragsdatenverarbeitung, dass der Kunde als Auftraggeber ungeahtet seiner Größe den Cloud-Anbieter kontrollieren und die Cloud- Verträge diese Kontrollen auh entsprehend vorsehen müssen. 16 Im Einzelnen: Die Datenverarbeitungen sollen in Servie Level Agreements (SLA) genau definiert werden und Vertragsstrafen sollen die vertrags- bzw. weisungswidrige Verarbeitung von Daten sanktionieren. Die tehnishen und organisatorishen Siherheitsanforderungen sind detailliert festzulegen. Der Vertrag muss eine Beshreibung der Art der Datenverarbeitung nebst Zwek, Dauer der Datenverarbeitung sowie den verarbeiteten Datenkategorien enthalten. 15 WP 196 (o. Fußn. 7), S WP 196 (o. Fußn. 7), S. 7 und 12 ff. 17 WP 196 (o. Fußn. 7), S. 9 f. unter Verweis auf FAQ II.5 des WP WP 196 (o. Fußn. 7), S. 10 und 20; s. hierzu auh Sopot Memorandum (o. Fußn. 5), S. 4; Anforderungen des Unabhängigen Landesdatenshutzzentrums EuroPri- SeÒ Das Europäishe Datenshutz-Gütesiegel Datenshutzrehtlihe Anforderungen an Cloud Computing, S WP 196 (o. Fußn. 7), S WP 196 (o. Fußn. 7), S. 11 und 13. Die Bedingungen für die Rükgabe bzw. sihere Löshung der Daten müssen geregelt werden. Der Cloud-Diensteanbieter muss sih und seine Mitarbeiter zur Vershwiegenheit über die ihm anvertrauten Daten verpflihten. Der Cloud-Diensteanbieter muss sih zur Unterstützung bei Geltendmahung von Auskunfts-, Berihtigungs- oder Löshungsansprühen verpflihten. Der Cloud-Diensteanbieter muss über sämtlihe Unterauftragsnehmer mit genauer Beshreibung der Art der outgesourten Dienstleistungen, der Besonderheiten der derzeitigen oder zukünftig möglihen Unterauftragsnehmer informieren. Ferner muss vertraglih garantiert werden, dass sih die Unterauftragnehmer zur Einhaltung der sih aus der DS-RL ergebenden Vorgaben verpflihtet haben. Eine Möglihkeit, diese Anforderungen umzusetzen, ergebe sih für Datenverarbeitungen außerhalb der EU/des EWR aus dem 2010 veröffentlihten EU-Standardvertrag zur Auftragsdatenverarbeitung. 17 Sofern für die Unterbeauftragung niht eine ausdrüklihe Einwilligung des Auftraggebers erforderlih ist die paushal erteilt werden kann, muss der Auftraggeber zumindest die Möglihkeit haben, den Änderungen widersprehen oder den Vertrag kündigen zu können. 18 Ein Cloud-Dienstleistungsvertrag muss daher vorsehen, dass Unterauftragnehmer nur auf Basis eigener Verträge beauftragt werden dürfen, die die Vorgaben des Hauptvertrags übernehmen und siherstellen, dass der Auftraggeber seine Rehte niht nur gegenüber dem Cloud-Diensteanbieter, sondern auh gegenüber allen Unterauftragnehmern durhsetzen kann. Diese Anforderung kann z.b. durh Verträge mit drittbegünstigenden Regelungen oder auh durh Abshluss gesonderter Verträge zwishen dem Kunden und den Unterauftragnehmern umgesetzt werden. Als Alternative bietet sih an, dass der Cloud-Diensteanbieter ausdrüklih für sämtlihe vertragswidrigen Verarbeitungen von personenbezogenen Daten durh seine Unterauftragnehmer haftet. 19 Der Cloud-Diensteanbieter muss den Auftraggeber bei unbefugter Weitergabe von Daten an Dritte/Verlust von Daten (Seurity Breah) sowie über alle möglihen Verarbeitungsstandorte informieren. Die Rehte des Auftraggebers zur Überwahung des Cloud- Diensteanbieters müssen geregelt werden. Der Cloud-Diensteanbieter muss den Auftraggeber über jede beabsihtigte wesentlihe Änderung der Cloud-Dienstleistungen informieren. Der Cloud-Diensteanbieter muss sämtlihe Verarbeitungsshritte und Verarbeitungsorte automatish protokollieren, um dem Auftraggeber die Überwahung des Cloud-Diensteanbieters bzw. seiner Unterauftragnehmer zu ermöglihen. 20 Ferner soll sih der Cloud-Diensteanbieter zur Information über sämtlihe rehtsverbindlihen Auskunftsersuhen von Siherheitsbehörden verpflihten, sofern diese Pfliht niht gegen anwendbares Reht verstößt. Shließlih soll der Cloud-Diensteanbieter ausdrüklih bestätigen, dass er und seine Unterauftragnehmer sämtlihe nationalen und internationalen rehtlihen Anforderungen an Cloud-Computing einhalten werden. Den mit den Anforderungen des 11 BDSG vertrauten Leser werden die meisten der vorgenannten Anforderungen niht erstaunen. Auh ansonsten bringt die Art. 29-Datenshutzgruppe keine neuen Ansätze, die von den bisher bereits von den deutshen Aufsihtsbehörden formulierten Anforderungen abweihen. Bedauerliherweise verlangt die Art. 29-Datenshutzgruppe wie auh die deutshen Aufsihtsbehörden, dass der Auftraggeber über sämtlihe Standorte der Verarbeitung informiert werden muss. Nur hierdurh könne nahvollzogen werden, ob Daten z.b. die EU bzw. den Europäishen Wirtshafts- ZD 11/2012 Shröder/Haag: Stellungnahme der Art. 29-Datenshutzgruppe zum Cloud Computing 497

4 raum verlassen. 21 Warum hierfür eine Information darüber, dass die Standorte z.b. innerhalb der EU liegen, niht ausreihen soll, bleibt offen. 22 Auh ist niht nahvollziehbar, warum Cloud- Diensteanbietern im Untershied zu einfahen Auftragsdatenverarbeitern eine erhöhte Bereitshaft zum Vertragsbruh unterstellt wird, denn nur diese sollen sih unter Vertragsstrafe zur Einhaltung der vertraglihen Regelungen verpflihten. 23 Ein im Untershied zur deutshen Informationspfliht wihtiger Punkt ist allerdings, dass die Art. 29-Datenshutzgruppe nun empfiehlt, die Betroffenen niht nur über die verantwortlihe Stelle, sondern darüber hinausgehend auh über den Cloud- Diensteanbieter bzw. sogar sämtlihe Unterauftragnehmer zu informieren. 24 V. Tehnishe und organisatorishe Maßnahmen Bei der Feststellung der Anforderungen an den tehnishen Datenshutz differenziert die Art. 29-Datenshutzgruppe nah Shutzzielen wie Verfügbarkeit, Integrität, Vertraulihkeit und Nahweisbarkeit (Aountability). Welhe Maßnahmen zur Erreihung dieser Ziele beim Cloud Computing jeweils getroffen werden müssen, shildert die Stellungnahme WP 196 leider wenn überhaupt nur sehr knapp. Konkretere Empfehlungen hierzu finden sih in einem Ekpunktepapier des BSI zur Informationssiherheit beim Cloud Computing. 25 Aber auh in den anderen Veröffentlihungen der Aufsihtsbehörden finden sih z.t. ausführlihere Vorshläge. Die nahfolgenden Regelungspunkte fassen diese Empfehlungen in der Reihenfolge zusammen, wie sie die Anlage zu 9 BDSG vorgibt und wie sie regelmäßig in Vereinbarungen zur Auftragsdatenverarbeitung nah 11BDSGzufindensindundinderPraxisabgeprüftwerden. 1. Zutrittskontrolle Die Zutrittskontrolle dient der Verhinderung des physishen Zutritts unbefugter Personen zu Datenverarbeitungsanlagen. Der Cloud-Anbieter muss darlegen, durh welhe konkreten Maßnahmen er diese Anforderung an den einzelnen Verarbeitungsorten erfüllt. Da es für den Cloud-Anwender in der Regel kaum möglih sein wird, die Umsetzung an sämtlihen Standorten zu überprüfen, bietet sih insbesondere hierfür der Einsatz unabhängiger Auditoren bzw. die Heranziehung von Zertifizierungen an Zugangskontrolle Um Vertraulihkeit und Integrität der Daten in der Cloud zu shützen, ist unbefugten Personen der Zugang zu den Systemen zu verwehren. Hierfür sind Authentifizierungs- und Vershlüsselungsverfahren einzusetzen. 27 Bei Cloud-Anwendungen ist insbesondere auf die Absiherung der APIs zu ahten, die Shnittstellen zu anderen Anwendungen und damit auh Angriffsflähen für Angriffe bieten. 28 Nah den Vorgaben der Art. 29-Datenshutzgruppe muss jeder Benutzer auh über einen eigenen Authentifizierungsshlüssel (z.b. Passwort) verfügen, damit ihm seine Aktionen zugeordnet werden können (s.u. V. 5. Eingabekontrolle). 29 Die Verwendung siherer Passwörter sei hierfür unerlässlih, besser wäre der Einsatz von Hardware-Token zur Authentifizierung. Insider-Angriffe durh einzelne Mitarbeiter beim Cloud-Anbieter oder einem seiner Unterauftragnehmer, die über die erforderlihen Zugangsberehtigungen verfügen, könnten zudem durh eine fragmentierte Speiherung der Daten bei vershiedenen Unterauftragnehmern erreiht werden. 30 Cloudspezifishe Risiken treten zudem häufig auf Grund unzureihender Überwahung und Wartung der Systeme durh den Cloud-Anbieter auf. So könnten z.b. gravierende Siherheitslüken durh mangelndes Pathing entstehen. 31 Um unberehtigten Zugang durh Ausnutzung dieser Siherheitslüken zu verhindern, seien die erforderlihen Maßnahmen des Anbieters zur Systempflege festzulegen und zu kontrollieren. Dem Einsatz von Vershlüsselungstehniken misst die Stellungnahme der Art. 29-Datenshutzgruppe erfreuliherweise eine hohe Bedeutung zu. Vershlüsselung könne einen wesentlihen Beitrag zum Shutz der Vertraulihkeit der Daten in der Cloud leisten, sofern diese rihtig eingesetzt wird. 32 Nah Möglihkeit sollten personenbezogene Daten zu jedem Zeitpunkt vershlüsselt sein, sowohl bei Übermittlungen als auh bei der Speiherung. Konkretere Vorshläge zur Umsetzung nennt die Art. 29- Datenshutzgruppe allerdings niht. Zumindest hebt sie noh einen wihtigen Punkt hervor: Gerade weil die Vershlüsselung ein wihtiges Instrument zum Shutz der Daten in der Cloud darstelle, sei dem Shlüsselmanagement besondere Aufmerksamkeit zu shenken. Hierfür müsse geregelt sein, wer die Shlüssel besitzt und wie diese vor unbefugtem Zugriff und Verlust geshützt sind. Gehen die Shlüssel verloren, droht ein vollständiger Datenverlust. 33 Auh zum Shlüsselmanagement finden sih im Ekpunktepapier des BSI wertvolle Hinweise Zugriffskontrolle Vershlüsselungstehniken sind auh für die Zugriffskontrolle von Bedeutung, bei der es um die individuelle Verwaltung von Zugriffsberehtigungen geht. Neben einer erforderlihen organisatorishen Regelung in Berehtigungskonzepten, wer auf Seiten von Cloud-Anwender und Cloud-Anbieter welhe Zugriffsrehte bekommen soll, kann die Berehtigungsvergabe auh über Vershlüsselungsmaßnahmen auf tehnishem Wege abgesihert werden. Sofern der Cloud-Anbieter für die Durhführung seines Auftrags keinen Zugriff auf personenbezogene Daten benötigt, wie es bei der bloßen Bereitstellung von IT-Infrastruktur (IaaS) in der Regel der Fall ist, empfiehlt die Art. 29-Datenshutzgruppe dem Cloud-Anwender eine Vershlüsselung der Daten, bevor er diese in die Cloud übermittelt. 35 Unter der Prämisse einer ausreihenden Shlüsselqualität spriht in diesem Fall vieles dafür, dass der Cloud-Anbieter mangels Zugriffsmöglihkeit keine personenbezogenen Daten im Auftrag verarbeitet. 36 Auh die Art. 29-Datenshutzgruppe hat in einer anderen Stellungnahme (WP 136) bereits zu dieser Auffassung tendiert, während die deutshen Aufsihtsbehörden einen Personenbezug erst ausshließen wollen, wenn dieser von niemandem mehr hergestellt werden kann. 37 Bei der Berehtigungsvergabe 21 WP 196 (o. Fußn. 7), S. 11 und Fußn S. bisherige Kritik bei Shröder/Haag, ZD 2012, 362, WP 196 (o. Fußn. 7), S. 7 ff.; bereits bei der Stellungnahme der deutshen Aufsihtsbehörden kritisiert, s. Shröder/Haag, ZD 2011, 147, WP 196 (o. Fußn. 7), S Bundesamt für Siherheit in der Informationstehnik (BSI), Siherheitsempfehlungen für Cloud Computing-Anbieter, abrufbar unter: hareddos/downloads/de/bsi/mindestanforderungen/ekpunktepapier-siherhei tsempfehlungen-cloudcomputing-anbieter.pdf. 26 Shröder/Haag, ZD 2012, 362, So verweist auh die Anl. zu 9 BDSG in Satz 3 explizit auf die Verwendung von dem Stand der Tehnik entsprehenden Vershlüsselungstehniken. 28 Ausführliher hierzu Shröder/Haag, ZD 2011, 147, WP 196 (o. Fußn. 7), S. 15 (Integrity). 30 Hierzu bereits Shröder/Haag, ZD 2012, 362, 365 m.w.nw. 31 Shröder/Haag, ZD 2011, 147, 151 m. Hinw. auf Münh/Doubrava/Essoh,DuD 2011, 322, 323 ff. 32 WP 196 (o. Fußn. 7), S. 15 (Confidentiality). 33 DazubereitsShröder/Haag, ZD 2011, 147, BSI (o. Fußn. 25), S. 39 ff. 35 WP 196 (o. Fußn. 7), S. 15 (Confidentiality). 36 Hierzu bereits Shröder/Haag, ZD 2011, 147, 152 m.w.nw.; Stiemerling/Hartung, CR 2012, 60, S. Nahweise in Stiemerling/Hartung, CR 2012, 60, 62; Shröder/Haag, ZD 2012, 362, 365 m. Verw. auf WP 136 der Art. 29-Datenshutzgruppe, S. 18f.(Bei- spiel 17), abrufbar unter: /wp136_de.pdf. 498 Shröder/Haag: Stellungnahme der Art. 29-Datenshutzgruppe zum Cloud Computing ZD 11/2012

5 sei auh auf Anbieterseite darauf zu ahten, dass niemand mehr Zugriffsrehte erhält, als es für die Erfüllung seiner Aufgaben erforderlih, dies gelte auh für Administratorenrehte Weitergabekontrolle Auh bei der Weitergabekontrolle seien Vershlüsselungstehniken zum Shutz der Daten einzusetzen. Die Art. 29-Datenshutzgruppe verlangt, sämtlihe Übertragungswege zwishen Cloud-Anbieter und -Anwender sowie zwishen sonstigen physishen Verarbeitungsorten durh Vershlüsselung abzusihern. Dies gelte auh für Remote-Zugriffe bei Fernwartungen. 39 Aus Siht eines Cloud-Anwenders solle bereits bei Vertragsshluss darauf geahtet werden, dass der Anbieter entsprehende Übertragungsprotokolle (wie TLS/SSL oder SSH) anbietet und auh einsetzt. 5. Eingabekontrolle Nah Ansiht der Art. 29-Datenshutzgruppe sind fehlende Kontrolle und mangelnde Transparenz die Hauptursahen für Datenshutzverletzungen beim Cloud Computing. Für ausreihende Transparenz kann bereits im Vorfeld auf vertragliher Ebene gesorgt werden, indem die zu treffenden Maßnahmen shriftlih fixiert werden. Eine effektive Kontrolle der tatsählihen Umsetzung dieser Maßnahmen sei durh automatish generierte Systemprotokolle möglih. So ist es nah der Art. 29- Datenshutzgruppe auh von größter Bedeutung, dass der Cloud-Anbieter seine Datenverarbeitungen umfassend automatish protokolliert und diese Protokolle für vertrauenswürdige Kontrollen zur Verfügung stellt. 40 Daneben müsse er fundierte Nahweise für die Durhführung aller tehnish-organisatorishen Maßnahmen erbringen, zu denen er sih vertraglih verpflihtet hat. Konkretere Empfehlungen zur Umsetzung finden sih in dem Working Paper der Berlin Group. 41 Danah müssten Ort und Zeit der Datenverarbeitungen automatish protokolliert werden, sodass der Cloud-Anwender jederzeit einsehen kann, an welhen Standorten seine Daten physish verarbeitet werden. Auf einer detaillierteren Ebene müssten sämtlihe Aktivitäten wie Datenänderungen, Bakups oder Löshungen durh den Anbieter oder dessen Unterauftragnehmer automatish geloggt werden. Die Logfiles seien ausreihend vor Manipulation zu shützen. Für eine Kontrolle durh stihprobenartige Einsihtnahme dieser Protokolle empfiehlt sih auf Grund des niht zu untershätzenden Aufwands auh hier die Hinzuziehung unabhängiger Auditoren Verfügbarkeitskontrolle Um die ständige Verfügbarkeit der Daten in der Cloud gewährleisten zu können, muss der Cloud-Anbieter nah der Art. 29- Datenshutzgruppe geprüft haben, ob bestimmte Ausfallrisiken 38 WP 196 (o. Fußn. 7), S. 16 (Isolation). 39 WP 196 (o. Fußn. 7), S. 15 (Confidentiality). 40 WP 196 (o. Fußn. 7), S Sopot Memorandum (o. Fußn. 5), S. 3 f. 42 Shröder/Haag, ZD 2012, 362, WP 196 (o. Fußn. 7), S. 14 (Availability). 44 DoS steht für Denial of Servie und meint die Nihtverfügbarkeit eines Systems. DoS-Angriffe führen diese durh eine Vielzahl automatisierter Anfragen herbei, die zu einer Überlastung des Systems führen. 45 The Open Web Appliation Seurity Projet (OWASP), OWASP Top , The Ten Most Critial Web Appliation Seurity Risks, abrufbar unter: 46 WP 196 (o. Fußn. 7), S. 15 f. (Isolation). 47 WP 196 (o. Fußn. 7), S. 16 (Portability). 48 WP 196 (o. Fußn. 7), S. 11 f. (Erasure of data). 49 Hierzu bereits Shröder/Haag, ZD 2012, 362, BSI, IT-Grundshutz-Katalog, Maßnahme M 2.433, abrufbar unter: bestehen und diesen ggf. mit angemessenen Siherungsmaßnahmen begegnet sein. 43 In Betraht kämen redundante Spiegelungen der Systeme, Ersatzleitungen und weitere Bakuplösungen. Bei Online-Anwendungen mit Webzugang bestehe zudem die Gefahr eines Systemausfalls auf Grund von DoS-Angriffen. 44 Praktikable Hinweise zur tehnishen Absiherung von Online-Anwendungen bieten z.b. die frei verfügbaren OWASP TOP Trennungskontrolle Ein Cloud-Dienst wird in der Regel von einer Vielzahl von Anwendern genutzt, sodass auf tehnishem Wege sihergestellt sein müsse, dass ein Anwender niht auf die Daten eines anderen zugreifen kann. 46 Die Umsetzung erfordert die Einrihtung individueller Benutzer-Aounts für jeden Cloud-Anwender. Bei Infrastrukturdiensten (IaaS oder PaaS) erfolgt in der Regel eine Trennung durh die Einrihtung virtueller Server mit eigenen Adressbereihen. 8. Portabilität Eine Portabilität der Daten kann für einen Cloud-Anwender Bedeutung erlangen, der seinen Anbieter wehseln und seine Daten vom einen ins andere System migrieren möhte. Die Art. 29- Datenshutzgruppe spriht deshalb die Empfehlung für Anwender aus, vor Inanspruhnahme eines Systems die Möglihkeiten einer Datenmigration zu überprüfen, um niht aus faktishen GründenandenAnbietergebundenzusein(sog.Lok-in). 47 Auh wenn diese Anforderung niht für alle Cloud-Dienstleistungen relevant sein dürfte, sollte sie vor allem dann berüksihtigt werden, wenn komplexere Datenbanken in Cloud-Lösungen verarbeitet werden. Konkret ist auf die Verwendung standardisierter Datenformate und Shnittstellen zu ahten. 9. Sihere Löshung Um die Vertraulihkeit der Daten auh nah einer Löshung gewährleisten zu können, empfiehlt die Art. 29-Datenshutzgruppe den Einsatz siherer Löshverfahren durh mehrfahes Übershreiben oder spezielle Software-Tools. 48 Insbesondere bei Cloud-Diensten mit einer Vielzahl häufig wehselnder Anwender ist dies ein wihtiger Aspekt, um zu verhindern, dass die Daten eines vorherigen Anwenders von einem späteren eingesehen werden können. Siherere Löshungsverfahren bremsen jedoh in der Regel die Performane eines Systems, sodass auf diese nur dann zurükgegriffen werden sollte, wenn die Vertraulihkeit der Daten sonst tatsählih in Gefahr ist. 49 Hinweise zu siheren Löshverfahren bietet der IT-Grundshutz-Katalog des BSI Nahweisbarkeit (Aountability) Shließlih setzt die Art. 29-Datenshutzgruppe reht detaillierte Anforderungen an die Nahweisbarkeit der Verarbeitungsshritte (Aountability). Es müsse jederzeit Nahweis darüber erbraht werden können, was welher Anbieter wann und wie gemaht hat. Darüber hinaus müsse das Einhalten angemessener Maßnahmen zur Gewährleistung der Datenshutzgrundsätze nahweisbar sein. Hierzu zählen insbesondere tehnishe und organisatorishe Vorkehrungen, die es ermöglihen, Datenverarbeitungen zu identifizieren sowie Auskunftsersuhen zu beantworten, bzw. die Bestellung eines für die Überwahung des Datenshutzes Verantwortlihen. VI. Zertifizierungen/Audits Angesihts der insbesondere für kleine und mittlere Unternehmen fast unmöglihen Aufgabe, die Einhaltung der von den Cloud-Diensteanbietern zu treffenden tehnishen und organisatorishen Maßnahmen zu prüfen und zu überwahen, bietet es sih gerade beim Cloud Computing an, die Prüfung der Maßnahmen auf unabhängige Dienstleister zu übertragen. Diese ZD 11/2012 Shröder/Haag: Stellungnahme der Art. 29-Datenshutzgruppe zum Cloud Computing 499

6 können entweder im Auftrag des Cloud-Anbieters oder des Cloud-Anwenders (Auftraggeber) tätig werden und zertifizieren, ob der Cloud-Diensteanbieter die vereinbarten tehnishen und organisatorishen Maßnahmen tatsählih einhält und ob diese den jeweils anwendbaren nationalen Anforderungen entsprehen. Die Zertifizierung durh Dritte wird von der Art. 29- Datenshutzgruppe nun ausdrüklih empfohlen. 51 Im Untershied zu den bisherigen Stellungnahmen der deutshen Aufsihtsbehörden, wie auh der Berlin Group, 52 hält die Art. 29- Datenshutzgruppe sogar ausdrüklih fest, dass eine solhe Prüfung bzw. Zertifizierung teilweise sogar aus tehnishen Gründen geboten sein kann, z.b. um durh Prüfungen jedes einzelnen Kunden bewirkte Risiken zu verhindern. Die Prüfungen durh Dritte sollen dann das Prüfreht bzw. die Prüfpfliht des einzelnen Kunden ersetzen. 53 VII. Internationale Datenverarbeitung Shließlih erläutert die Art. 29-Datenshutzgruppe, wie Cloud- Dienstleistungen im außereuropäishen Ausland rehtssiher gestaltet werden können. In Bezug auf Dienstleistungen, die in den USA erbraht werden sollen, erwähnt die Art. 29-Datenshutzgruppe das Safe Harbor-Abkommen. Wie jedoh grundsätzlih bei Safe Harbor zertifizierten Empfängern dürfe sih der Auftraggeber als verantwortlihe Stelle auh beim Cloud Computing niht allein auf die eigene Erklärung der Zertifizierung nah Safe Harbor verlassen. Der Auftraggeber müsse die Zertifizierung nahprüfen und Nahweise dafür verlangen, dass die Grundsätze des Safe Harbor-Abkommens auh tatsählih eingehalten werden. 54 Darüber hinaus siherten die tehnishen und organisatorishen Siherheitsanforderungen des Safe Harbor-Abkommens die spezifishen Gefahren des Cloud Computing niht hinreihend, sodass hierüber hinausgehende Maßnahmen zum Shutz der Daten erforderlih seien. Grundsätzlih böten auh die Standardvertragsklauseln für Auftragsdatenverarbeitung bzw. Binding Corporate Rules hinreihende Siherheit. Die Art. 29-Datenshutzgruppe weistjedohzurehtdarauf hin, dass die rehtlihe Situation für Cloud-Diensteanbieter, die in der EU bzw. dem EWR niedergelassen sind und Unterauftragnehmer außerhalb der EU/des EWR nutzen, komplexer ist. Solhe Auftragsdatenverarbeiter können nah bisheriger Ansiht der Aufsihtsbehörden niht unmittelbar Vertragspartner des EU-Standardvertrags für Auftragsdatenverarbeiter sein, da dieser von einem Auftragsdatenverarbeiter außerhalb der EU bzw. des EWR ausgeht. 55 VIII. Zugriff auf Daten durh ausländishe Siherheitsbehörden Shließlih nimmt die Art. 29-Datenshutzgruppe zu der Frage Stellung, ob außereuropäishe Siherheitsbehörden Zugriff auf Daten haben dürfen, die eine dem europäishen Datenshutzreht unterliegende verantwortlihe Stelle in einer Cloud verarbeiten lässt. Nah Auffassung der Art. 29-Datenshutzgruppe dürfen außereuropäishe Siherheitsbehörden in Clouds gespeiherte Daten europäisher Auftraggeber nur dann abfragen, wenn dieser Zugriff entweder auf spezielle internationale Abkommen oder allgemeine Rehtshilfeabkommen gestützt werden kann oder von einer nationalen europäishen Aufsihtsbehörde genehmigt wird. 56 Da sih der derzeit offenbar möglihe Zugriff von US-Siherheitsbehörden auf Daten US-amerikanisher Cloud-Diensteanbieter nah dem US Patriot At niht auf internationale Abkommen stützen kann, 57 begegnen Cloud-Dienstleistungen US-amerikanisher Anbieter erheblihen datenshutzrehtlihen Bedenken. 58 Diese Bedenken dürften zudem niht durh vertraglihe Vereinbarungen mit den US-Anbietern ausräumbar sein, da privatrehtlihe Vereinbarungen US-Siherheitsgesetze niht beshränken können. 59 IX. Bewertung Die eingangs gestellte Frage nah neuen Anforderungen für Cloud Computing kann mit ja, aber nur wenig gut beantwortet werden. Die Stellungnahme der Art. 29-Datenshutzgruppe greift die meisten shon von den deutshen Aufsihtsbehörden bzw. der Berlin Group im Sopot-Memorandum formulierten Anforderungen auf und fügt dankenswerterweise nur wenige weitere Vorgaben hinzu, wie z.b. die Informationspfliht gegenüber den Betroffenen über die Cloud-Diensteanbieter und ihrer Unterauftragnehmer. 60 Leider hates die Art. 29-Datenshutzgruppe jedoh nur an sehr wenigen Stellen geshafft, die shon sehr hohen Anforderungen der deutshen Aufsihtsbehörden bzw. der Berlin Group etwas flexibler zu gestalten. Insbesondere ist auh bedauerlih, dass die Art. 29-Datenshutzgruppe nun wie die deutshen Aufsihtsbehörden Cloud-Diensteanbieter unter den Generalverdaht stellen, eine erhöhte Bereitshaft zum Vertragsbruh zu haben, und daher die Absiherung ihrer Verpflihtungen durh Vertragsstrafen fordert. 61 Shade ist auh, dass sih die Art. 29-Datenshutzgruppe zu den tehnish-organisatorishen Maßnahmen jeweils nur sehr knapp geäußert hat, die Verfolgung der allgemein anerkannten Shutzziele fordert, ohne aber konkrete Maßnahmen zur Umsetzung zu benennen. Hier finden sih in den Stellungnahmen anderer Aufsihtsbehörden z.t. detailliertere Ausführungen. Sehr zu begrüßen ist jedoh der konsequente Shritt, niht nur auf die Vorteile von Zertifizierungen bzw. Audits durh anerkannte Sahverständige zu verweisen, sondern ausdrüklih festzuhalten, dass diese das Haftungsrisiko des Auftraggebers deutlih reduzieren können. 62 Ebenfalls positiv ist die lang erwartete Stellungnahme zum US Patriot At, wonah nun ausdrüklih festgehalten wird, dass Zugriffe von US-Siherheitsbehörden entweder auf spezielle internationale Abkommen oder allgemeine Rehtshilfeabkommen gestützt werden müssen oder von einer nationalen europäishen Aufsihtsbehörde zu genehmigen sind. 63 Darüber hinaus muss zukünftig wohl ein besonderes Augenmerk auf die weitere Entwiklung zur Anwendbarkeit des europäishen Datenshutzrehts gelegt werden. Die Festlegung der Art. 29-Datenshutzgruppe, wonah bereits ein Cloud-Server den Geltungsbereih der DS-RL und deren Reht zur Anwendung bringt, birgt Gefahren für die Wettbewerbsfähigkeit europäisher Cloud-Diensteanbieter. Es wäre sehr zu begrüßen, wenn sih die Art. 29-Datenshutzgruppe hier der Auffassung des Düsseldorfers Kreises anshließen könnte, der zumindest 51 WP 196 (o. Fußn. 7), S S.a. Orientierungshilfe Cloud Computing (o. Fußn. 3), S. 9 und 21; Sopot Memorandum (o. Fußn. 5), S WP 196 (o. Fußn. 7), S. 22; unterstützend: Simitis/Petri, 11 Rdnr. 59; Weihert, DuD 2010, 679, 683; Heidrih/Wegener, MMR 2010, 803, 806; Shröder/ Haag, ZD 2011, 147, 152 m.w.nw.; zur Auswahl zertifizierter Cloud-Anbieter Giebihenstein/Weiss, DuD 2011, 338 ff. 54 WP 196 (o. Fußn. 7), S Instruktiv zum Rehtsstreitstand Shmidl, World Data Protetion Report July 2012, 6, WP 196 (o. Fußn. 7), S Whittaker, ZD-Net v , osoft-admits-patriot-at-an-aess-eu-based-loud-data/ ULD, PM v , 4; Barnitzke, MMR-Aktuell 2011, ; EU-Parlamentarier besorgt über US-Zugriff auf Cloud-Daten, ausf. hierzu Shröder/Haag, ZD 2011, 147, 152 m.w.nw. 59 Vgl. Shröder/Haag, ZD 2012, 362, 365, unter Hinw. auf Beker/Nikolaeva, CR 2012, 170, 175 f. 60 WP 196 (o. Fußn. 7), S S. Ziff. IV. 62 S.o. Ziffer VII und WP 196 (o. Fußn. 7), S WP 196 (o. Fußn. 7), S Shröder/Haag: Stellungnahme der Art. 29-Datenshutzgruppe zum Cloud Computing ZD 11/2012

7 bei der Verarbeitung von außereuropäishen Daten nur eine sehr begrenzte Anwendung des materiellen europäishen Datenshutzrehts fordert. 64 Positiv ist aber, dass sih nun auf europäisher Ebene langsam ein einheitliher Standard für datenshutzgerehte Cloud-Lösungen durhsetzt, wenngleih all diese Empfehlungen siher noh niht das letzte Wort in einem doh sehr von der Dynamik der tehnishen Entwiklungen geprägten Rehtsgebiet darstellen. Dr. Christian Shröder ist Rehtsanwalt bei der BDO Legal Rehtsanwaltsgesellshaft mbh in Düsseldorf und Mitglied des Wissenshaftsbeirats der ZD. Dr. Nils Christian Haag ist Rehtsanwalt und als Consultant für Datenshutz und IT-Compliane bei der intersoft onsulting servies AG in Hamburg tätig. 64 Fallgruppen InternationaleAuftragsdatenverarbeitung (o. Fußn. 13), S. 16, Beispiel H. ZD 11/2012 Weihert: Drohnen und Datenshutz 501