Datenschutzrechtliche Chancen und Risiken von Cloud Computing

Transkript

1 163 Datenschutzrechtliche Chancen und Risiken von Cloud Computing VON PHILIPP MITTELBERGER / GABRIELE BINDER Zu den Autoren: Foto: Michael Zanghellini Foto: Gabriele Binder Dr. iur. Philipp Mittelberger bekleidet seit 1. Dezember 2002 die Position als Datenschutzbeauftragter des Fürstentums Liechtenstein. Die Funktion eines Datenschutzbeauftragten wurde erst durch das Datenschutzgesetz, LGBl Nr. 55, geschaffen. Frau Ass. iur. Gabriele Binder arbeitete in der Vergangenheit als Rechtsanwältin in Deutschland und ist zertifizierte ISO 27001:2005 Lead Auditorin. Seit 2007 ist sie als juristische Mitarbeiterin der Datenschutzstelle tätig. Inhaltsübersicht: 1. Einleitung 2. Begriff des Cloud Computing 3. Cloud Computing als Fall einer Auftragsdatenbearbeitung 4. Vertragliche und gesetzliche Geheimhaltungspflichten 5. Vertragliche Regelung 6. Datensicherheit 7. Haftung 8. Zertifizierung nach Art. 14a DSG 9. Fallbeispiele 10. Fazit 1. Einleitung Über den Wolken muss die Freiheit wohl grenzenlos sein. Alle Ängste, alle Sorgen, sagt man, blieben darunter verborgen [ ] 1 sang Reinhard Mey. Anno dazumal dachte der deutsche Liedermacher sicherlich nicht an eine Rechnerwolke 2. Dennoch könnte der Refrain ohne weiteres mit Cloud Computing assoziiert Die ISO-Norm Information technology Security techniques Information security management systems Requirements beinhaltet detaillierte Vorgaben für Herstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten Informationssicherheits-Managementsystems für alle Arten von Organisationen. 1 Auszug aus dem Lied Über den Wolken von Reinhard Mey. Es stammt aus dem Jahre 1974 und wurde erstmals auf der B-Seite der Single Mann aus Alemannia veröffentlicht; vgl. 2 Deutsche Übersetzung für Cloud Computing.

2 164 Mittelberger / Binder Datenschutzrechtliche Chancen und Risiken von Cloud Computing werden, scheinen doch die Freiheiten und Möglichkeiten, die das Cloud Computing bietet, tatsächlich grenzenlos zu sein. Im Gegensatz zu lokalen Rechnern oder Rechenzentren sind die Facetten der Cloud Services unvergleichlich viel grösser und zum Teil eben auch wirtschaftlich attraktiver. In Anbetracht dieses grossen Potentials stellt sich aus Sicht des Datenschutzes die entscheidende Frage, ob die Nutzer von Cloud Services tatsächlich frei von Sorgen und Ängsten sein können, wenn Personendaten, für die sie die (datenschutzrechtliche) Verantwortung tragen, in der Wolke bearbeitet werden. Oder müssen die Nutzer ganz im Gegenteil befürchten, dass die Gefahren des Cloud Computing nur unter den Wolken verborgen bleiben, ansonsten aber durchaus präsent und zu berücksichtigen sind? Welche Chancen und Risiken das Cloud Computing aus datenschutzrechtlicher Sicht mit sich bringt, soll im Folgenden dargestellt werden. 2. Begriff des Cloud Computing Um die datenschutzrechtlichen Aspekte von Cloud Computing besser einordnen zu können, müssen zunächst die Grundsätze von Cloud Computing kurz erläutert werden. 3 Was also ist unter Cloud Computing zu verstehen und wie funktioniert es? Es gibt verschiedene Auslegungsvarianten des Begriffs des Cloud Computing. Eine weitgehend akzeptierte Definition ist jene des National Institute of Standards and Technology (NIST): Cloud Computing ist ein Modell, welches universellen, komfortablen und bei Bedarf über ein Netzwerk Zugriff auf einen gemeinsamen Pool von informationstechnischen Ressourcen ermöglicht (z. B. Netzwerke, Server, Speichersysteme, Anwendungen und Dienste), die schnell und mit minimalem Verwaltungsaufwand oder ohne Interaktion durch den Diensteanbieter bereitgestellt und freigegeben werden können. 4 Trotz der Vielfalt von Definitionen kann das Grundprinzip übergreifend darauf reduziert werden, dass es um die Auslagerung von IT-Diensten geht. Cloud Computing bezweckt, externe Hard- und Software sowie Know-how im Interesse des Einsparens von Ressourcen zu nutzen. Im Idealfall soll es dem Nutzer egal sein können, ob gerade der eigene oder ein weit entfernter Computer eine Aufgabe löst. 5 Die Daten befinden sich nicht mehr auf dem lokalen Rechner oder im Firmenrechenzentrum, sondern irgendwo in einer metaphorisch zu sehenden Wolke (engl. cloud ). 3 Eine ausführliche Darstellung der technischen Hintergründe würde den Rahmen dieses Aufsatzes sprengen. Auf der Internetseite der Datenschutzstelle ist eine Gesamtübersicht online abrufbar unter 4 National Institute of Standards and Technology, Januar 2011, 5 Thilo Weichert, Cloud Computing und Datenschutz, in: DuD 10/2010, S. 679.

3 Mittelberger / Binder Datenschutzrechtliche Chancen und Risiken von Cloud Computing 165 Es wird zwischen verschiedenen Modellen 6 und Arten 7 von Cloud Computing unterschieden, die je nach Bedarf jeweils alle unter- und miteinander kombiniert werden können. Cloud Computing Lösungen werden im Wesentlichen von folgenden fünf Merkmalen geprägt: On-Demand-Self-Service ( Selbstbedienung ), Breitband-Netzwerkzugriff, Ressourcenbündelung, Flexibilität und Serviceüberwachung. Aus datenschutzrechtlicher Sicht entscheidend ist, dass die zu bearbeitenden Daten ausgelagert werden. Sie befinden sich nicht mehr im direkten Einflussbereich des Nutzers, sondern meist fernab an einem Ort, den allein der Anbieter des Cloud Services bestimmt. Das Auslagern von Daten in die Cloud darf aber nicht zur Folge haben, dass damit die Kontrolle über die Daten abgegeben wird. Vielmehr muss auch bei einer Inanspruchnahme von Cloud Services der Nutzer immer Herr über seine Daten bleiben. Nur dann kann der Nutzer auch davon ausgehen, seiner datenschutzrechtlichen Verantwortung gerecht zu werden. 3. Cloud Computing als Fall einer Auftragsdatenbearbeitung Die Inanspruchnahme von Cloud Services ist ein typischer Fall einer Auftragsdatenbearbeitung, die in Art. 19 des Datenschutzgesetzes (DSG) speziell geregelt ist, soweit der Auftrag (auch) die Bearbeitung von Personendaten umfasst. Art. 19 DSG bestimmt: 1) Das Bearbeiten von Personendaten kann einem Dritten übertragen werden, wenn: a) der Auftraggeber dafür sorgt, dass die Daten nur so bearbeitet werden, wie er es selbst tun dürfte; und b) keine gesetzliche oder vertragliche Geheimhaltungspflicht es verbietet. 2) Der Dritte unterliegt denselben Pflichten und kann dieselben Rechtfertigungsgründe geltend machen wie der Auftraggeber. 3) Zum Zwecke der Beweissicherung sind die datenschutzrelevanten Elemente des Vertrags und die Anforderungen in Bezug auf Massnahmen nach Abs. 1 und 2 schriftlich oder in einer anderen Form zu dokumentieren. Entscheidend ist somit, dass der Auftraggeber (hier der Cloud-Nutzer) dafür verantwortlich ist, dass der Auftragnehmer (hier der Cloud-Service-Anbieter) die Daten nur so bearbeitet, wie es der Nutzer selbst tun dürfte. D. h. derjenige, der die Datenbearbeitung auslagern will, bleibt damit weiterhin vollständig für die Art und Weise der Datenbearbeitung verantwortlich und ist für eine rechtswidrige Datenbearbeitung durch den Cloud-Anbieter insbe- 6 Die drei typischen Modelle sind: Software as a Service (SaaS), Platform as a Service (PaaS), Infrastructure as a Service (IaaS), vgl. 7 Nach der o. g. Definition des NIST gibt es derzeit vier Arten von Cloud Services: Private Cloud, Community Cloud, Public Cloud, Hybrid Cloud. Zu einer Gefährdungsanalyse von Private Clouds siehe: Münch / Doubrava, Essoh, in: DuD 5/2011, S. 322ff.

4 166 Mittelberger / Binder Datenschutzrechtliche Chancen und Risiken von Cloud Computing sondere gegenüber Kunden, deren Daten in der Cloud sind, haftbar. Umgekehrt aber unterliegt der Anbieter denselben Pflichten wie der Nutzer; auch kann der Anbieter dieselben Rechtfertigungsgründe geltend machen wie der Nutzer. 4. Vertragliche und gesetzliche Geheimhaltungspflichten Zu beachten ist, dass eine Auftragsdatenbearbeitung nur zulässig ist, wenn keine gesetzlichen oder vertraglichen Geheimhaltungspflichten dies verbieten. 8 Diese Bestimmung des Art. 19 Abs. 1 Bst. b) DSG ist allerdings nicht so zu verstehen, dass allein auf Grund des blossen Bestehens einer gesetzlichen Geheimhaltungspflicht eine Auftragsdatenbearbeitung als solche automatisch verboten wäre. Vielmehr ist diese Regelung im Gesamtkontext mit der jeweiligen spezialgesetzlichen Bestimmung zu sehen und zu prüfen, ob die Geheimhaltungspflicht so weit reicht, dass die in Frage stehende Auftragsbearbeitung unzulässig ist. Dies ist durch Auslegung der betreffenden Geheimhaltungspflicht zu ermitteln. 9 Wenn und soweit der Auftragnehmer auf Grund seiner im direktem Zusammenhang stehenden Tätigkeit ebenso wie der Auftraggeber der selben Geheimhaltungspflicht unterliegt, steht einer Auftragsdatenbearbeitung grundsätzlich nichts entgegen. 10 Zum Teil wird diese Bestimmung sogar dahingehend ausgelegt, dass selbst wenn der Auftragnehmer nicht von vorneherein der selben strikten Geheimhaltungspflicht wie der Auftraggeber unterliegt eine Auftragsbearbeitung mangels besonderer Umstände in der Regel auch bei Bestehen einer besonderen Verschwiegenheitspflicht zulässig ist, wenn der Auftraggeber seine Geheimhaltungspflichten per Vereinbarung auf den Auftragsnehmer und dessen Hilfspersonen weitergibt (s. hierzu auch weiter unten zum Datengeheimnis); ein rechtmässiges Interesse auf Seiten des Auftraggebers vorliegt (z. B. höhere Qualität); und die Auftragsbearbeitung die Geheimhaltungsinteressen der betroffenen Personen nicht stärker beeinträchtigt, als wenn der Auftraggeber die Datenbearbeitung selbst durchführen würde. 11 Als Beispiel kann in diesem Zusammenhang die Regelung in Absatz 1 zum 9. Grundsatz 5: Geschäfts- und Bankgeheimnis von Anhang 6 zu den Richtlinien zur Auslagerung von Geschäftsbereichen (Outsourcing) gemäss Art. 35 Bankenver- 8 Gesetzliche Geheimhaltungspflichten sind zum Beispiel das Arzt-, Bank-, Fernmelde- oder Anwaltsgeheimnis; vertragliche Geheimhaltungspflichten sind in der Praxis jedoch weit häufiger. 9 Vgl. David Rosenthal in: David Rosenthal / Yvonne Jöhri (Hrsg.), Handkommentar zum Datenschutzgesetz, Zürich 2008, Rn. 101ff. zu Art. 10a CH-DSG; Philippe Meier, Protéction des données, Bern 2011, Rn. 1224ff.. 10 Philippe Meier, Protéction des données, Bern 2011, Rn. 1224ff., 1227 (mit Hinweis). 11 Vgl. David Rosenthal in: David Rosenthal / Yvonne Jöhri (Hrsg.), Handkommentar zum Datenschutzgesetz, Zürich 2008, Rn. 106 zu Art. 10a CH-DSG; Dietmar Jahnel, Datenschutzrecht, Wien 2010, Rn. 3/56.

5 Mittelberger / Binder Datenschutzrechtliche Chancen und Risiken von Cloud Computing 167 ordnung genannt werden: Ein liechtensteinischer Dienstleister ist dem Geschäftsgeheimnis der Unternehmung und, soweit ihm Kundendaten bekannt sind, dem Bankgeheimnis der auslagernden Unternehmung zu unterstellen. Er hat sich ausdrücklich zu verpflichten, die daraus folgende Vertraulichkeit zu wahren Vertragliche Regelung Nach Art. 19 Absatz 3 DSG sind die datenschutzrelevanten Elemente zu dokumentieren. 13 Der Anbieter muss verpflichtet werden, sich an die in Liechtenstein geltenden Datenschutzbestimmungen zu halten und diese vollumfänglich zu akzeptieren. 14 Regelungsbedürftig im Zusammenhang mit Cloud Computing sind insbesondere folgende Punkte: Beachtung des Datengeheimnisses 2. Zulässigkeit von Subunternehmern 3. Zulässigkeit von Auslandsdatentransfers 4. Definition Sicherheitskonzept 5. Weisungs-/Kontrollbefugnisse des Cloud-Nutzers Im Einzelnen: Das Datengeheimnisses nach Art. 10 DSG 16 : Das Datengeheimnis tritt neben sonstigen gesetzlichen Verschwiegenheitspflichten wie Amtsgeheimnis, Ärztegeheimnis, Anwaltsgeheimnis, Bankgeheimnis, etc. kumulativ auf. 17 Das Datengeheimnis besagt, dass Daten nur auf Grund einer ausdrücklichen Anordnung des Arbeit- oder Auftraggebers übermittelt werden dürfen. 18 Dies bedeutet eine Verpflichtung all jene[r] Personen, denen berufsmässig Daten anvertraut wurden oder zugänglich gemacht worden sind; also nicht nur das eigene EDV-Personal, sondern auch dem ei- 12 Anhang 6 zur Verordnung vom 22. Februar 1994 über die Banken und Wertpapierfirmen (BankV), LR Abs. 3 fusst auf Art. 17 Abs. 4 der allgemeinen Datenschutzrichtlinie 95/46/EG, s. hierzu Dammann/Simitis, EG-Datenschutzrichtlinie Kurzkommentar, Baden-Baden 1997, Randnummer 15 zu Artikel Insb. Datenschutzgesetz (LR 235.1) und Datenschutzverordnung (LR ) sowie gegebenenfalls in casu anzuwendende spezialgesetzliche Regelungen. 15 Die nachfolgenden Ausführungen können auch auf andere Formen einer Auftragsdatenbearbeitung entsprechend übertragen werden. 16 Ein Verstoss gegen Art. 10 DSG ist nach Art. 41 DSG strafbar. Das Datengeheimnis verpflichtet den berufsmässig mit der Bearbeitung Betrauten zur Verschwiegenheit über erhobene Daten, es sei denn es ergäben sich Gründe für eine Weitergabe (Dohr / Pollirer / Weiss: DSG Datenschutzrecht (Loseblattsammlung), 2. Auflage Wien, Anmerkung 8 zu 15). Art. 10 DSG stützt sich auf den alten 15 des österreichischen Datenschutzgesetzes (Bericht und Antrag Nr. 2002/5, Seite 14). 17 Rainer Knyrim: Datenschutzrecht, Wien 2003, S. 232 (mit Hinweis). 18 Dohr / Pollirer / Weiss: DSG Datenschutzrecht (Loseblattsammlung), 2. Auflage Wien, Anmerkung 9 zu 15.

6 168 Mittelberger / Binder Datenschutzrechtliche Chancen und Risiken von Cloud Computing genen Betrieb nicht angehörende Personen, wie etwa Wartungstechniker [oder] Netzwerkbetreuer die zur Vermeidung einer Interessenkollision bei ihrer eigenen Firma auf das Datengeheimnis zu verpflichten sind. 19 Der Cloud-Anbieter bzw. seine Mitarbeiter sollten zwingend eine separate Geheimhaltungsverpflichtung unterzeichnen. 20 Diese Verpflichtung gilt im Falle von Unterauftragsvergabe(n) auch entsprechend für jeden einzelnen Subunternehmer. Die Zulässigkeit von Unterauftraggebern: In der Praxis kommt es oft vor, dass Cloud-Anbieter ihrerseits einen Subunternehmer mit (ausgewählten) Cloud-Dienstleistungen beauftragen, der wiederum (Teile) seines Auftrages outsourcen könnte. Die Kette könnte unendlich weiter geführt werden mit der Folge, dass der Cloud-Nutzer mitunter gar nicht mehr weiss, wer seine Daten wo bearbeitet. Aus diesem Grund sollte bei der Auftragsvergabe klar geregelt werden, ob die Beauftragung von Subunternehmern generell zulässig sein soll oder nicht, ob nur bestimmte Dienstleistungen weiter outgesourct werden dürfen und ob die Beauftragung von Subunternehmern nur nach vorheriger ausdrücklicher Zustimmung des Cloud-Nutzers zulässig sein soll. Hier sind je nach Fallkonstellation individuelle Absprachen möglich. Aus datenschutzrechtlicher Sicht aber sollte ein Cloud-Nutzer unbedingt darauf bestehen, dass die Beauftragung von Subunternehmern nur nach Rücksprache, wenn nicht sogar Einwilligung des Cloud-Nutzers möglich sein sollte. Nur dann kann der Cloud-Nutzer weiterhin Einfluss auf die Datenbearbeitung ausüben. Die Zulässigkeit eines Datentransfers ins Ausland nach Art. 8 DSG: Für Cloud-Nutzer mag es auf Grund von niedrigeren Löhnen und einem insgesamt billigeren Dienstleistungsmarkt verlockend erscheinen, Anbieter im Ausland zu beauftragen. Häufig beauftragen auch erst die Anbieter selbst Subunternehmer, die ihren Sitz im Ausland haben (s. oben). Bei der Nutzung von Cloud Services im Ausland sind jedoch zusätzliche Zulässigkeitsvoraussetzungen zu beachten: Grundsätzlich darf eine Datenbekanntgabe ins Ausland nur dann erfolgen, wenn in dem Empfängerland ein angemessener Datenschutz gewährleistet ist. Im Verhältnis zu EU-/EWR-Staaten sowie zu den Ländern, die in Anhang 2 zu Art. 7 DSV aufgelistet sind, geht der liechtensteinische Gesetzgeber gemäss Art. 8 Abs. 1 DSG von einer 19 Dohr / Pollirer / Weiss: DSG Datenschutzrecht (Loseblattsammlung), 2. Auflage Wien, Anmerkung 8 zu Dohr / Pollirer / Weiss: DSG Datenschutzrecht (Loseblattsammlung), 2. Auflage Wien, Anmerkung 11 zu 15. Ein Musterformular kann auf der Internetseite der DSS abgerufen werden unter

7 Mittelberger / Binder Datenschutzrechtliche Chancen und Risiken von Cloud Computing 169 Angemessenheit aus. 21 Hier scheitert ein grenzüberschreitender Datentransfer im Rahmen des Cloud Computing also nicht schon an dem Erfordernis der Angemessenheit. Dennoch sollte eine Übertragung der Datenbearbeitung ins Ausland auch hier nur mit Bedacht erfolgen. Denn der Anbieter der Cloud- Dienste hat ebenfalls bei einem grenzüberschreitenden Datentransfer sicherzustellen, dass die allgemeinen Grundsätze des Datenschutzes sowie im Besonderen das Datengeheimnis gewahrt werden. Hier kann aber unter Umständen eine Geheimnispflicht einer Auftragsbearbeitung generell entgegen stehen, wenn und soweit in dem Empfängerland der Umfang der korrespondieren Geheimhaltungspflicht von der liechtensteinischen Regelung abweicht, weil dort möglicherweise staatliche Behörden gesetzliche Zugriffsrechte haben. Zugriffe durch staatliche Stellen auf Grund des jeweiligen nationalen Rechts sind denkbar in dem Land, in dem der Cloud-Anbieter seinen Sitz hat; 22 in dem Land, in dem ein möglicher Subunternehmer seinen Sitz hat; in dem Land, in dem das Unternehmen seinen Sitz hat, das den Cloud-Anbieter wirtschaftlich kontrolliert (z. B. Cloud-Anbieter sitzt in Indien, die Muttergesellschaft in den USA); und/oder in dem Land, in dem die Daten bearbeitet und gespeichert werden. Bei einem allfälligen Datentransfer ausserhalb der EU / des EWR in ein sog. Drittland ist eine Datenbekanntgabe nur unter den Voraussetzungen von Art. 8 Abs. 2 DSG zulässig. Dementsprechend ist der Einsatz von Standardvertragsklauseln oder verbindlichen unternehmensinternen Regelungen (Binding Corporate Rules, BCR) zu empfehlen, die grundsätzlich der Genehmigung der Regierung gemäss Art. 8 Abs. 3 DSG bedürfen. 23 Ansonsten ist eine grenzüberschreitende Datenbearbeitung nur bei Vorliegen einer der anderen gesetzlich vorgesehenen Fälle, wie z. B. der ausdrücklichen Einwilligung der betroffenen Person zulässig. 24 Die vorgenannten Standardver- 21 Dies sind derzeit: Argentinien, Guernsey, Jersey, Kanada, Insel Man, Schweiz, Vereinigte Staaten von Amerika nach Massgabe der Grundsätze des sicheren Hafen und der diesbezüglichen Häufig gestellten Fragen (FAQ). 22 So ist es möglich, dass Cloud-Anbieter wie Microsoft den US-Strafverfolgungsbehörden Zugriff auf von Kunden gespeicherte Daten gewähren müssen: /meldung/us-behoerden-duerfen-auf-europaeische-cloud-daten-zugreifen html. 23 Drittländer weisen keinen angemessenen Datenschutz gemäss Art. 25 der Datenschutzrichtlinie und Art. 8 DSG auf. Eine Übermittlung in solche Länder ist grundsätzlich nur unter gewissen Bedingungen erlaubt, so beim Bestehen von Standardvertragsklauseln oder Binding Corporate Rules. Sehr wichtig bei einem Auslandstransfer von Personendaten ist auch die Frage der Durchsetzbarkeit der eigenen Ansprüche. Allgemeines und Ausführliches zum Auslandsdatentransfer: 24 Vgl. hierzu David Rosenthal in: David Rosenthal / Yvonne Jöhri (Hrsg.), Handkommentar zum Datenschutzgesetz, Zürich 2008, Rn. 108ff. zu Art. 10a CH-DSG. Zur Einwilligung: Philipp Mit-

8 170 Mittelberger / Binder Datenschutzrechtliche Chancen und Risiken von Cloud Computing tragsklauseln oder BCR bzw. die Einwilligung müssen bei Unterauftragsvergaben alle Subunternehmer einbinden. Dies dürfte in der Praxis in allerletzter Konsequenz oft nicht möglich sein. Die Definition des Sicherheitskonzepts: Die erforderlichen technischen und organisatorischen Massnahmen der Datensicherheit nach Art. 9 bis 11 der Datenschutzverordnung (DSV) müssen getroffen werden, um einen ungewünschten Datenverlust oder -diebstahl zu vermeiden. Da die Regelungen zur Datensicherheit bei der Datenbearbeitung eine wesentliche Rolle spielen, wird diesem Thema ein eigenes Kapitel gewidmet, auf das an dieser Stelle verwiesen wird. 25 Weitere Regelungen sollten getroffen werden in Bezug auf das Weisungsrecht des Cloud-Nutzers: Es muss vorgesehen sein, dass der Anbieter nur auf Weisung des für die Verarbeitung Verantwortlichen (= Nutzer des Cloud Services) handelt, zumindest hinsichtlich des Zwecks der Bearbeitung und der wesentlichen Elemente der Mittel. 26 die Verteilung der Kontrolle: Es muss sicher gestellt sein, dass selbst in komplexen Datenverarbeitungsfeldern, wenn zum Beispiel mehrere Organisationen den selben Cloud Service nutzen (community cloud), die Verantwortung für die Einhaltung der Datenschutzbestimmungen und für mögliche Verletzungen dieser Bestimmungen klar zugewiesen wird. 27 Audits beim Cloud-Anbieter, um die Einhaltung der Datenschutzbestimmungen zu überprüfen: Die Kontrolle des Anbieters bzw. Subunternehmers muss nicht nur überhaupt möglich, sondern auch effektiv sein. Dementsprechend sind gewisse Anforderungen an Kontrollen zu stellen. Kontrollen sollten vor Beginn der Datenbearbeitung, aber auch regelmässig während des Bestehens des Auftragsverhältnisses durchgeführt werden. Um sich beispielsweise gerade im Haftungsfall entlasten zu können, dass der Kontrollpflicht ordnungsgemäss nachgekommen wurde, sollten diese Kontrollen darüber hinaus lückenlos dokumentiert sein. Der Umfang der Dokumentationspflicht kann je nach Grösse und Komplexität der Auftragsdatenbearbeitung variieren. Protokollierung durch Anbieter und Zugriffskontrolle durch den Nutzer; telberger: Die Einwilligung als zentrales Element des Datenschutzrechts, in: LJZ 4 / 06, Seite 135 ff.: 25 s. unten Datensicherheit 26 Vgl. Art. 29-Datenschutzgruppe in ihrer Stellungnahme 1/2010 zu den Begriffen für die Verarbeitung Verantwortlicher und Auftragsverarbeiter (WP 169), angenommen am 16. Februar 2010, S. 31f., 27 So die Art. 29-Datenschutzgruppe in ihrer Stellungnahme 1/2010 zu den Begriffen für die Verarbeitung Verantwortlicher und Auftragsverarbeiter (WP 169), angenommen am 16. Februar 2010, S. 7,

9 Mittelberger / Binder Datenschutzrechtliche Chancen und Risiken von Cloud Computing 171 die Vorgehensweise und die Meldepflichten an den Cloud-Nutzer bei Auftreten von Sicherheitsvorfällen in der Cloud (sog. incident management); die Durchsetzung der Rechte der Betroffenen: die betroffenen Personen müssen ihre datenschutzrechtlichen Rechte geltend machen können (insb. Auskunftsanspruch, Widerspruch, Recht auf Berichtigung und Löschung). Gerade wenn (mehrere) Subunternehmer dazwischen geschaltet sind, muss klar geregelt sein, wer hiefür die Verantwortung trägt. und die unwiederbringliche Löschung der Daten bei Vertragsende oder Rückgabe von Datenträgern nach Beendigung des Vertrags. 6. Datensicherheit Zentral ist die Datensicherheit. Welche Massnahmen zum Schutz der Daten wurden getroffen? Auf welcher Basis? Welches Recht kommt in Bezug auf die Datensicherheit zur Anwendung? Besteht ein Schutz gegen den Zugriff (ausländischer) staatlicher Behörden? Hier ist speziell zu erwähnen, dass gerade Geheimdienste oft auch auf dem Gebiet der Wirtschaftsspionage tätig sind. 28 Können gar Private auf die Daten zugreifen? Die Bestimmungen von Art. 9 bis 11 DSV sehen die wichtigsten technischen und organisatorischen Massnahmen zum Schutz vor unbefugter Datenbearbeitung vor, die auch im Rahmen einer Auftragsbearbeitung gleicher Massen einzuhalten sind. Wie diese gesetzlichen Vorgaben konkret umgesetzt werden, hängt vom Einzelfall und den Bedürfnissen des jeweiligen Auftragsverhältnisses ab. Das Gesetz schreibt hier keine konkreten Massnahmen vor; die Entscheidung über die Auswahl der wirksamsten Massnahmen obliegt dem Auftraggeber bzw. Auftragnehmer. Denn auch wenn die Rechtmässigkeit der Datenbearbeitung grundsätzlich von dem Auftraggeber im Rahmen des erteilten Auftrags bestimmt wird, kann die Aufgabenübertragung für den Auftragsbearbeiter trotzdem einen gewissen Ermessensspielraum in der Wahl der technischen und organisatorischen Mittel beinhalten. 29 Ausschlaggebend sollte sein, mit welchen Mitteln der Anbieter die Interessen hier des Cloud-Nutzers am besten wahrnehmen kann. 30 Die Sicherheitsmassnahmen sind am besten im Rahmen eines risk assessment zu prüfen. Sind beispielsweise besonders schützenswerte Daten und/oder 28 Weichert, Cloud Computing und Datenschutz, in: DuD 10 / 2010, 683 (mit Hinweis). 29 Vgl. die Art. 29-Datenschutzgruppe in ihrer Stellungnahme 1/2010 zu den Begriffen für die Verarbeitung Verantwortlicher und Auftragsverarbeiter (WP 169), angenommen am 16. Februar 2010, S. 31, 30 Vgl. allgemein hierzu die Richtlinien der DSS zu den technischen und organisatorischen Massnahmen des Datenschutzes: massnahmen_des_datenschutzes.

10 172 Mittelberger / Binder Datenschutzrechtliche Chancen und Risiken von Cloud Computing Persönlichkeitsprofile Gegenstand einer Auslagerung in die Cloud, ist das Risiko als hoch einzustufen. Elemente einer genügenden Datensicherheit sind zum Beispiel die Verschlüsselung der Daten, eine getrennte Datenspeicherung, keine Bearbeitung von besonders schützenswerten Daten oder Persönlichkeitsprofilen, Speicherung nur in einer private cloud oder die Kontrolle des Auftragnehmers durch eine unabhängige Institution, ob der Auftrag auch tatsächlich eingehalten wird (z. B. Audit). 31 Oft besteht das Problem darin, dass die Kontrolle über die Daten und den Ort, wo sie gespeichert sind, verloren geht. Das darf nicht sein. Bei einem Outsourcing in die Cloud müssen daher umfassende Sicherungsmassnahmen getroffen werden, damit weder eigene, betriebsinterne Daten noch Kundendaten bedroht sind. 7. Haftung Denn der Verlust bzw. der Diebstahl von personenbezogenen Daten kann auch im Rahmen von Cloud Computing zu Schadenersatzforderungen führen. Bei Persönlichkeitsverletzungen im Rahmen der Auftragsbearbeitung kann die verletzte Person grundsätzlich Ansprüche sowohl gegen den Auftraggeber als auch gegen den Auftragnehmer geltend machen. 32 Nach Art. 19 Abs. 2 DSG bleibt der Auftraggeber für die Daten verantwortlich mit der Folge, dass gegen ihn/sie deliktische Haftungsansprüche nicht nur auf Grund seinen/ihres eigenen Verhaltens, sondern auch auf Grund des Verhaltens des Auftragsbearbeiters möglich sind Zertifizierung nach Art. 14a DSG Eine vorbildliche Berücksichtigung des Datenschutzes kann auch durch eine Zertifizierung von Organisationen, Dienstleistungen, Systemen und Produkten nach Art. 14a DSG nachgewiesen werden. Diese Bestimmung gewinnt gerade vor dem Hintergrund der Kontrollpflicht des Cloud-Nutzers an besonderer Bedeutung: Wie oben bereits dargestellt wurde, ist die Kontrolle über die Datenbearbeitung durch den Cloud-Nutzer ein wesentliches Element. Kontrollen können auf verschiedene Art und Weise durchgeführt werden, zum Beispiel durch unmittelbare Vor-Ort-Kontrollen durch den Cloud-Nutzer beim Anbieter bzw. Subunternehmer. Dies dürfte jedoch in der Praxis nur in Einzelfällen möglich und kaum realisierbar sein, gerade wenn der Cloud Service aus dem Ausland angeboten wird. Denkbar wäre auch, eine schriftliche Aus- 31 Weichert, Cloud Computing und Datenschutz, in: DuD 10 / 2010, 683, Im Einzelfall kommt es für die Durchsetzung hierbei auf die Art der Persönlichkeitsverletzung, die Mitwirkung, das Verschulden und die Anspruchsgrundlage an, vgl. David Rosenthal in: David Rosenthal / Yvonne Jöhri (Hrsg.), Handkommentar zum Datenschutzgesetz, Zürich 2008, Rn. 86 zu Art. 10a CH-DSG. 33 David Rosenthal in: David Rosenthal / Yvonne Jöhri (Hrsg.), Handkommentar zum Datenschutzgesetz, Zürich 2008, Rn. 87ff. zu Art. 10a CH-DSG.

11 Mittelberger / Binder Datenschutzrechtliche Chancen und Risiken von Cloud Computing 173 kunft des Auftragnehmers einzufordern, deren Aussagekraft allerdings sehr relativiert zu sehen wäre. Gegenüber diesen Optionen erscheint die Einholung der Meinung eines Dritten als einzige realistische Möglichkeit. Dies wären insbesondere die Begutachtung durch einen Sachverständigen oder aber eine Zertifizierung. Der im Rahmen der letzten Revision des DSG neu eingeführte Art. 14a 34 ermöglicht es Unternehmen in Liechtenstein, Datenschutzprüfungen durchführen zu lassen. Danach könnte zum Beispiel ein liechtensteinischer Anbieter seinen Cloud Service unter datenschutzrechtlichen Gesichtspunkten zertifizieren lassen. Zum Zweck dieser neuen Vorschrift führt der liechtensteinische Gesetzgeber aus: Mit der hier neu vorgeschlagenen Bestimmung wird ein Element der Selbstregulierung ins Datenschutzgesetz eingeführt. Damit soll die Selbstverantwortung der Inhaber der Datensammlungen gestärkt und der Wettbewerb stimuliert werden. Dies trägt zu einer kontinuierlichen Verbesserung von Datenschutz und Datensicherheit bei; bestehende Defizite beim Vollzug der einschlägigen Gesetzgebung können so abgebaut werden. Darüber hinaus führt das Konzept der Selbstkontrolle bis zu einem gewissen Grad zu einer Berücksichtigung der technologischen Entwicklung. 35 Ein erfolgreich durchgeführtes Zertifizierungsverfahren soll zur Verleihung eines Datenschutz-Qualitätszeichens führen. Der Nachweis der datenschutzkonformen Datenbearbeitung wäre dadurch qualifiziert und nachprüfbar erbracht. Auf Grund der zur Aufrechterhaltung des Zertifikats üblicher Weise erforderlichen Audits und Re-Zertifizierungen 36 wäre darüber hinaus gewährleistet, dass regelmässige Kontrollen der Datenbearbeitung stattfinden. Ein solches Datenschutz-Gütesiegel kann daher gewiss als ein Vertrauensvorschuss für mögliche Kunden und durchaus als Wettbewerbsvorteil angesehen werden. 9. Fallbeispiele Der kürzliche Vorfall und Datenverlust bei Amazon 37 zeigt, auf welche Gratwanderung man sich beim Cloud Computing begeben kann. Die Datenschutzkommission von Dänemark hatte 2010 einen Fall zu entscheiden, in dem die Stadt Odense Daten auf Google Apps auslagern wollte. Das Hauptproblem bestand in diesem Fall darin, dass die Stadt Odense die Kontrolle über die Daten nicht mehr hatte: weder konnte nachgewiesen 34 LGBl Nr Bericht und Antrag Nr. 2008/130, S. 36f. 36 Die über Art. 14a Abs. 2 DSG zu erlassende Verordnung zur Regelung des Akkreditierungsverfahren war zum Zeitpunkt des Verfassens dieses Aufsatzes noch nicht in Kraft. Hier bleibt es daher abzuwarten, welche Anforderungen der liechtensteinische Gesetzgeber an das Verfahren stellen wird. Regelmässige Audits und Re-Zertifizierungen sind jedoch nach internationalen Standards, wie z. B. ISO, üblich. 37 In Folge eines technischen Ausfalls des Cloud-Service Amazon EC2 gingen unzählige Kundendaten unwiederbringlich verloren. Beispielhaft für die umfangreiche Berichterstattung: Cloud html.

12 174 Mittelberger / Binder Datenschutzrechtliche Chancen und Risiken von Cloud Computing werden, wo die Daten sind, noch konnte belegt werden, dass sich Google an den Auftrag mit Odense hält. 38 Denn Google wandte die eigenen Datenschutzbestimmungen an. Dies kann zur Folge haben, dass die Bestimmungen einseitig zu Gunsten von Google geändert werden können. Beides widerspricht dem eingangs erwähnten Grundsatz der Herrschaft über die eigenen Daten (Recht auf informationelle Selbstbestimmung). Im dänischen Fall stellten sich vor allem folgende Fragen bei der Prüfung der Datenschutzkonformität: Wo sind die Daten? Welcher Schutz besteht gegen Übermittlung in Drittländer? Auf welcher Grundlage wurde das risk assessment durchgeführt? Was hindert Google daran, die Datenschutzerklärung einseitig zu ändern? Wie werden Daten gelöscht? Werden sie bei der Speicherung verschlüsselt? Bei der Entscheidung der dänischen Datenschutzkommission sind folgende Punkte erwähnenswert: Es konnte nicht nachgewiesen werden, dass die Daten nicht in ein Drittland fliessen, in dem es keinen angemessenen Datenschutz gibt (3.1). Das kann z.b. zu ungewollten Datenzugriffen insbesondere durch staatliche Behörden führen. Es wurde kein genügendes risk-assessment durchgeführt (4.1.2). Google hielt sich nur an die eigenen Nutzungsbedingungen (5.1. und 5.2.). Dies bedeutet nicht weniger, als dass Google den Auftrag nicht so ausführt, wie dies gedacht war. Eine Prüfung der Löschung war nicht möglich (6.3) und eine Protokollierung wurde nicht nachgewiesen (9.3.). Die Datenschutzkommission betont ausdrücklich, dass ein Audit hier hilfreich gewesen wäre (5.3.2.). Was lehrt diese Entscheidung? Die Kontrolle über die Daten ist entscheidend. Da es sich beim Cloud Computing um eine Form der Auftragsbearbeitung handelt, müssen die massgeblichen Punkte wie oben ausführlich dargestellt auch vertraglich geregelt werden. Die European Network and Information Security Agency (ENISA) hat sich sehr intensiv mit den Chancen und Risiken von Cloud Computing beschäftigt und die Ergebnisse in einem Dokument mit dem Titel Benefits, risks and recommendations for information security veröffentlicht. 39 Eine Be

13 Mittelberger / Binder Datenschutzrechtliche Chancen und Risiken von Cloud Computing 175 rücksichtigung dieses Papiers ist bei der Anwendung von Cloud Computing in jedem Fall zu empfehlen Fazit Die Welt ist weder schwarz noch weiss. Deshalb sollte man sich auch nicht von den angeblich unglaublichen Chancen des Cloud Computing blenden, aber auch nicht völlig abschrecken lassen. Nur bei einer angemessenen Berücksichtigung der dargestellten Risiken kann das Modell Cloud Computing aus datenschutzrechtlicher Sicht bestehen. Generell kann allerdings das Fazit gezogen werden, dass das Modell einer public cloud in der Regel eher nicht mit den datenschutzrechtlichen Anforderungen der Art. 9 bis 11 DSV vereinbar sein dürfte, während das Modell einer private cloud richtig angewendet durchaus ein neues Geschäftsfeld bieten kann. Allerdings gilt auch hier: je höher die Anpassung der Private Cloud an die individuellen Bedürfnisse, desto mehr schwinden die originären Vorteile der Cloud. Bei der Entscheidung, Personendaten durch einen Cloud Computing Service bearbeiten zu lassen, sollten daher im Rahmen einer Risikoanalyse die Organisationsstruktur und Funktionsweise der Cloud genauestens analysiert werden, ob diese für die konkrete Datenbearbeitung auch wirklich geeignet und angemessen ist. Der Umgang mit Datenschutz auf Seiten des Serviceanbieters sollte hierbei mit entscheidend sein. So stellt sich bei einem Serviceanbieter in Europa die Frage des Zugriffes durch US-Strafverfolgungsbehörden weniger als z.b. bei Microsoft. 41 Als positiv zu bewerten ist zum Beispiel der Nachweis eines Datenschutzzertifikats gem. Art. 14a DSG oder Datenschutzmanagementsystems. Genau so viel Sorgfalt sollte an die Ausarbeitung des schriftlichen Auftragsverhältnisses verwendet werden, damit die von Reinhard Mey besungene grenzenlose Freiheit über den Wolken letztendlich nicht doch Ängste und Sorgen bereitet. 40 Die ENISA, a. a. O., hält zu den Datenschutzrisiken auf Seite 46 Folgendes fest: It can be difficult for the cloud customer (in its role of data controller) to effectively check the data processing that the cloud provider carries out, and thus be sure that the data is handled in a lawful way. It has to be clear that the cloud customer will be the main person responsible for the processing of personal data, even when such processing is carried out by the cloud provider in its role of external processor. Failure to comply with data protection law may lead to administrative, civil and also criminal sanctions, which vary from country to country, for the data controller. This problem is exacerbated in the case of multiple transfers of data e.g., between federated clouds. On the other hand, some cloud providers do provide information on the data processing that they carry out. Some also offer certification summaries of their data processing and data security activities and the data controls they have in place, e.g.,. SAS70 certification providers. There may be data security breaches which are not notified to the controller by the cloud provider. The cloud customer may lose control of the data processed by the cloud provider. This issue is increased in the case of multiple transfers of data (e.g., between federated cloud providers). The cloud provider may receive data that have not been lawfully collected by its customer (the controller). 41 Vgl. Fussnote 22.