Web-Security als Cloud-Service

Transkript

1 Web-Security als Cloud-Service Die datenschutzrechtlichen Rahmenbedingungen Version 2.0 Inhaltsverzeichnis Autor... 1 Hinweis - Disclaimer... 2 I. Management Summary... 3 II. Ausgangssituation... 3 III. Grundlagen der Datenverarbeitung Präventives Verbot mit Erlaubnisvorbehalt Auftragsdatenverarbeitung Personenbezogene Daten Einwilligung Betriebsvereinbarung... 5 IV. Abgrenzung: Auftragsdatenverarbeitung und Funktionsübertragung... 6 V. Vorgaben für die Auftragsdatenverarbeitung Neuregelung des 11 BDSG Technisch-organisatorische Sicherheit nach 9 BDSG... 9 a.) Kontrollbereiche nach Anlage zu 9 BDSG... 9 b.) Konkrete Sicherheitsmaßnahmen Subunternehmer VI. Datentransfer ins Ausland Erlaubnistatbestand Angemessenes Datenschutzniveau Autor RA Horst Speichert Rechtsanwalt, Kanzlei esb Rechtsanwälte in Stuttgart, spezialisiert auf IT-Recht Seminarleiter Internetrecht, IT-Sicherheit, Datenschutz Ausbilder für Datenschutzbeauftragte Fachbuchautor IT-Recht in der Praxis, Vieweg, 2. Auflage Lehrbeauftragter der Universität Stuttgart für Informationsrecht horst.speichert@kanzlei.de Internet: RA Speichert

2 Seite 2 Hinweis - Disclaimer Dieses Dokument ist keine Rechtsberatung, sondern ein allgemeiner Leitfaden ohne Bezug zum konkreten Einzelfall. Es ersetzt nicht die verbindliche Rechtsauskunft durch einen spezialisierten Anwalt. Bitte haben Sie Verständnis, dass trotz Sorgfalt bei der Erstellung eine Garantie oder Haftung für die inhaltliche Richtigkeit nicht übernommen wird. Grundsätzlich ist jedem Unternehmen anzuraten, sich bei informations- oder datenschutzrechtlichen Fragen vor jeglicher Implementierung individuell rechtlich beraten zu lassen.

3 Seite 3 Aufgabe des vorliegenden Rechtsleitfadens ist die kompakte Beantwortung der datenschutzrechtlichen Fragen im Themenfeld der Cloud-Services. I. Management Summary Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist nur zulässig, soweit eine Erlaubnisnorm dazu ermächtigt oder eine Einwilligung des Betroffenen vorliegt. Nach 3 Abs. 8 S. 3 BDSG sind Personen und Stellen, die innerhalb der EU oder des EWR personenbezogene Daten im Auftrag verarbeiten, keine Dritten. Web-Security als Cloud-Service wird überwiegend auf Basis einer Auftragsdatenverarbeitung realisiert. Voraussetzung für die Einhaltung der Grenzen der Auftragsdatenverarbeitung ist die Beachtung von 11 BDSG, dessen Voraussetzungen durch die Novellierung des BDSG verschärft und konkretisiert wurden. Im Rahmen der Vorgaben des BDSG wird unter anderem ein technisch-organisatorisches Sicherheitskonzept nach 9 BDSG nebst Anlage gefordert. Der Auftraggeber hat sich gemäß 11 Abs. 2 Satz 4 BDSG vor Beginn der Datenverarbeitung (bereits vor Vertragsschluss) und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Sicherungsmaß- nahmen zu überzeugen. Empfohlen werden zertifizierte Rechenzentren (z.b. ISO oder SAS 70 Type II-Zertifizierung), welche dem Auftraggeber die Prüfung der technisch- organisatorischen Vorgaben erleichtern. Im Rahmen eines Cloud-Services mit Auslandsdienstleister sind zwei Zulässigkeitsvoraussetzungen zu unterscheiden: Erlaubnistatbestand und angemessenes Datenschutzniveau Bei überwiegenden betrieblichen Interessen kann ein Cloud-Service auch nach 28 Abs. 1 Nr. 2 BDSG (Wahrnehmung berechtigter Interessen) zulässig sein. Für Dienstleister mit Sitz in einem sicheren Drittstaat wie der Schweiz kann ein an- gemessenes Datenschutzniveau angenommen werden. US-Dienstleister können beauftragt werden, weil sie sich im Wege der Selbstverpflichtung den Maßgaben von Safe Harbor unterwerfen und auf der dafür vorgesehen Liste des US- Handelsministeriums aktuell ( current ) registriert sind. II. Ausgangssituation Web-Security als Cloud-Service wird im Rahmen vertraglicher Dienstleistungsbeziehungen zu den Auftraggebern (Kunden) von dem Cloud-Service-Anbieter unter Einbeziehung von Rechenzentren erbracht.

4 Seite 4 III. Grundlagen der Datenverarbeitung 1. Präventives Verbot mit Erlaubnisvorbehalt Gemäß 4 Abs. 1 BDSG ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, soweit das BDSG oder eine andere Rechtsvorschrift dazu ermächtigt oder eine Einwilligung der Betroffenen vorliegt. Nach diesem präventiven Verbot mit Erlaubnisvorbehalt ist auch für die Verarbeitung von personenbezogenen Daten im Zuge von Cloud-Services stets ein Erlaubnistatbestand erforderlich, also entweder eine gesetzliche Ermächtigungsgrundlage oder eine Einwilligung der betroffenen Mitarbeiter bzw. Kunden. 2. Auftragsdatenverarbeitung Nach 3 Abs. 8 S. 3 BDSG sind Personen und Stellen, die innerhalb der EU oder des EWR personenbezogene Daten im Auftrag verarbeiten, keine Dritten. Das BDSG betrachtet den Auftragnehmer (Dienstleister) rechtlich als Einheit mit der verantwortlichen Stelle. Dies hat zur Folge, dass der Datentransfer zu und von dem Auftragsdatenverarbeiter nicht als Übermittlung im Sinne von 3 Abs. 4 S. 2 Nr. 3 BDSG einzustufen ist. Somit greift das präventive Verbot mit Erlaubnisvorbehalt nicht, weshalb der Datentransfer ohne gesetzliche Ermächtigungsgrundlage oder Einwilligung des Betroffenen zulässig ist. Dies ist allerdings nur der Fall, sofern die Konstellation der Auftragsdatenverarbeitung nach 11 BDSG innerhalb der EU oder des EWR vorliegt. 3. Personenbezogene Daten Der Anwendungsbereich der Datenschutzbestimmungen ist auf die Verwendung personenbezogener Daten beschränkt. Personenbezogene Daten sind gemäß 3 Abs. 1 BDSG Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Somit ist der Personenbezug der Daten nicht nur bei tatsächlich bereits bekannten Personen, sondern auch bei bloßer Bestimmbarkeit der Identität (=Personenbeziehbarkeit) gegeben, was Anlass für zahlreiche Diskussionen gibt. So ist beispielsweise strittig, ob IP-Adressen personenbezogene Daten darstellen oder nicht. Nach der sehr weitgreifenden Auslegung der Datenschutz-Aufsichtsbehörden ist der Personenbezug von IP-Adressen auch dann gegeben, wenn lediglich eine theoretische Möglichkeit der Identifikation gegeben ist, ohne dass die verarbeitende Stelle die Daten tatsächlich personifizieren kann (Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich, sog. Düsseldorfer Kreis vom 26./27. November 2009).

5 Seite 5 4. Einwilligung Die Einwilligung ist zwar formalrechtlich als Erlaubnistatbestand gemäß 4 Abs. 1 BDSG denkbar, im Rahmen von Arbeits- und Kundenverhältnissen aber aus zweierlei Gründen die Ausnahme. Zum einen scheitern die Voraussetzungen einer zulässigen Einwilligung der betroffenen Mitarbeiter an der notwendigen Freiwilligkeit, die im Rahmen von abhängig Beschäftigten starken Zweifeln ausgesetzt und nur im Ausnahmefall gegeben ist; zum anderen sind Einwilligungen nicht praktikabel, da bei Verweigerung einzelner Mitarbeiter oder Kunden, mit der immer zu rechnen ist, das Gesamtkonzept scheitern würde. Es verbleibt deshalb vorliegend bei den Möglichkeiten der gesetzlichen Ermächtigungsgrundlagen. Lediglich im Rahmen der erlaubten Privatnutzung sind legitimierende Einwilligungen der Mitarbeiter bzw. Nutzer erforderlich und hilfreich, da hier im Gegensatz zur rein dienstlichen Nutzung von der Freiwilligkeit der Einwilligung ausgegangen werden kann. 5. Betriebsvereinbarung Da die Datenschutzfragen dem Mitbestimmungsrecht unterliegen, können Betriebs- und Personalräte am Entscheidungsprozess in Form von Vereinbarungen beteiligt werden. Das Mitbestimmungsrecht des Betriebsrates besteht gemäß 87 Abs. 1 Nr. 1 und 6 BetrVG für die Bereiche: Ordnung des Betriebes, Arbeitnehmer-Verhalten technische Kontrolleinrichtungen Die arbeitsgerichtliche Rechtsprechung legt den Begriff der technischen Kontrolleinrichtungen weit aus. Ein Mitbestimmungsrecht besteht nicht erst für tatsächlich ausgeübte Verhaltenskontrollen, sondern bereits bei Funktionalitäten, die optional eine Kontrolle ermöglichen. Damit erstreckt sich faktisch das Mitbestimmungsrecht auf nahezu sämtliche IT- Sicherheitssysteme. Für die Ausübung der Mitbestimmung kommen insbesondere der Abschluss von Betriebs- und Dienstvereinbarungen mit entsprechenden Nutzungs- und Kontrollregelungen für die Internet- Nutzung in Betracht. Bei der Betriebs-/Dienstvereinbarung handelt es sich um einen schriftlichen Vertrag zwischen Arbeitgeber und Mitarbeitervertretung, der zur Lösung der Datenschutzprobleme geschlossen wird. Die Betriebs-/Dienstvereinbarung hat rechtssetzen- den Charakter und ist als gesetzliche Ermächtigungsgrundlage im Sinne des Datenschutzes einzustufen. Im Rahmen ihres zulässigen Regelungskreises können Betriebs-/Dienstvereinbarungen zur Legitimation auch für die vorliegende Datenverarbeitung verwendet werden.

6 Seite 6 IV. Abgrenzung: Auftragsdatenverarbeitung und Funktionsübertragung Übernimmt eine aus Sicht des Auftraggebers externe Stelle (nachfolgend auch Dienstleister oder Auftragnehmer) IT-Sicherheitsdienstleistungen, welche auch die Verarbeitung von personenbezogenen Daten einschließt, so kann dies je nach Art der Zusammenarbeit und gewählten Vertragsgestaltung im Wege der unselbständigen Auftragsdatenverarbeitung oder der selbständigen Funktionsübertragung geschehen. Zu klären ist somit zunächst die Frage, welche der beiden Varianten gegeben ist. Auftragsdatenverarbeitung i.s. des BDSG ist dadurch charakterisiert, dass sich ein Auftraggeber eines Dienstleistungsunternehmens bedient, das nach detaillierten Vorgaben betreffend Art und Umfang die Verarbeitung personenbezogener Daten ausführt. Der Dienstleister fungiert als verlängerter Arm oder als ausgelagerte Abteilung der verantwortlichen Stelle, die als Herrin der Daten die volle Verfügbarkeit behält und damit auch allein über ihre Verarbeitungen und Nutzungen bestimmt (Simitis, BDSG, 6. Auflage, 11 RN 17 ff.; Wächter, CR 1991, 333). Der Bereich der Auftragsdatenverarbeitung wird verlassen, sobald dem Dienstleister eine rechtliche Zuständigkeit oder eine tatsächliche Entscheidungskompetenz für die ausgelagerte Aufgabe zugewiesen wird. Wird nicht nur die Verarbeitung von Daten, sondern die Aufgabe selbst übertragen, so liegt ein Fall einer Funktionsübertragung vor. Im Gegensatz zur Auftragsdatenverarbeitung ist mit der Funktionsübertragung zwingend eine Datenübermittlung verbunden, die gemäß dem präventiven Verbot mit Erlaubnisvorbehalt nur aufgrund gesetzlicher Ermächtigungsgrundlage oder Einwilligung des Betroffenen zulässig ist (siehe z.b. Aufsichtsbehörde Baden-Württemberg, Hinweis zum BDSG Nr. 26, Staatsanzeiger 1987, Nr. 1/2, S.7). Zur Unterscheidung zwischen Auftragsdatenverarbeitung und Funktionsübertragung kann auf nachfolgende Kriterien abgestellt werden (vgl. LDSB Niedersachsen, Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Vom Bürgerbüro zum Internet Empfehlungen zum Datenschutz für eine serviceorientierte Verwaltung, S. 39): Für eine Auftragsdatenverarbeitung spricht: Das Fehlen einer Entscheidungsbefugnis des Auftragnehmers über die Daten Ein Auftragsschwerpunkt, der auf die praktische technische Durchführung einer Datenverarbeitung gerichtet ist. Das Fehlen einer eigenständigen rechtlichen Beziehung des Auftragnehmers zu den Betroffenen. Für eine Funktionsübertragung spricht: Die Nutzung der herausgegebenen Daten für eigene Zwecke des Auftragnehmers.

7 Seite 7 Eine Dienstleistung, die über die praktische technische Datenverarbeitung hinausgeht. Das Fehlen der Möglichkeit des Auftraggebers, auf einzelne Phasen der Verarbeitung oder Nutzung Einfluss zu nehmen. Die auf den Auftragnehmer abgewälzte Verantwortlichkeit für die Zulässigkeit und Richtigkeit der Datenverarbeitung. Ein Fall der selbständigen Erledigung der Aufgabe liegt z.b. vor, wenn der Dienstleister die Datenverarbeitung nicht nur tatsächlich betreibt, sondern gleichzeitig zumindest teilweise auch die damit verbundenen Aufgaben übernimmt (Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz, 3. Auflage, RN 504), also selbständig entscheidet, wie die IT-Sicherheit beim Auftraggeber ausgestaltet wird. Man spricht dann auch von Outsourcing mit Funktionsübertragung (Breinlinger, RDV 1995, 211, 213). Verkürzt ausgedrückt ist entscheidend, ob nur die technische Realisierung oder die materielle Aufgabe samt Entscheidungsbefugnissen ausgelagert wird. Hilfreiche Kontrollfragen: wer trifft die Entscheidungen hinsichtlich der IT-Sicherheits-Maßnahmen wer gestaltet und entscheidet die ablaufenden datenschutzrechtlichen oder technischen Prozesse und Verfahren, Organigramme und Organisationsvorgaben liegt der Auftragsschwerpunkt allein auf der praktisch-technischen Durchführung oder umfasst er auch die Entscheidungsbefugnisse V. Vorgaben für die Auftragsdatenverarbeitung Für eine Ausgestaltung der Dienstleistung als rein formal-technische Realisierung sind nach- folgende Anforderungen der Auftragsdatenverarbeitung umzusetzen. 1. Neuregelung des 11 BDSG Voraussetzung für die Einhaltung der Grenzen der Auftragsdatenverarbeitung ist die Beachtung von 11 BDSG, dessen Voraussetzungen durch die Novellierung des BDSG erheblich verschärft und konkretisiert wurden. Die 11 Abs. 2 und 3 BDSG bestimmen, dass der Auftragnehmer unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen ist. Der Vertrag mit dem Dienstleister ist zwingend in Schriftform abzuschließen und muss nach dem Zehn- Punktekatalog des 11 Abs. 2 BDSG insbesondere im Detail regeln: 1. der Gegenstand und die Dauer des Auftrags,

8 Seite 8 2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, 3. die nach 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen, 4. die Berichtigung, Löschung und Sperrung von Daten, 5. die bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen, 6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, 7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, 8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, 9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, 10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags. Der Auftraggeber hat sich gemäß 11 Abs. 2 Satz 4 BDSG vor Beginn der Datenverarbeitung (bereits vor Vertragsschluss) und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Sicherheitsmaßnahmen zu über- zeugen. Der Gesetzgeber stellt sich hierbei in erster Linie Vor-Ort-Kontrollen vor, die allerdings nicht zwingend sind, so dass auch eine Überprüfung anhand von aussagekräftigen Unterlagen des Dienstleisters möglich ist. Das Ergebnis der Überprüfung ist zu dokumentieren. Stark erleichtert wird die Überprüfung der technisch-organisatorischen Maßnahmen durch Zertifizierungen (insbesondere nach ISO oder SAS 70) und ausreichend detaillierte IT-Sicherheitsrichtlinien, welche das Sicherheitskonzept des Dienstleisters abbilden. Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. Ist er der Ansicht, dass eine Weisung des Auftraggebers gegen das BDSG oder andere Vorschriften über den Datenschutz verstößt, hat er den Auftraggeber darauf hinzuweisen. Die vorgenannten Voraussetzungen können durch eine detaillierte Vertragsgestaltung erfüllt werden, welche insbesondere Regelungen zu Kontrollbefugnissen, zu notwendigen Subunternehmern, zum Zugriffsrechtekonzept und zum technisch-organisatorischen Sicherheitskonzept enthält. Die Auftraggeber müssen dafür sorgen, dass ihre personenbezogenen Mitarbeiter- und Kundendaten geregelt auf den Systemen der externen Dienstleister vorgehalten werden, um die Grenzen der Auftragsdatenverarbeitung einzuhalten.

9 Seite 9 2. Technisch-organisatorische Sicherheit nach 9 BDSG Im Rahmen der Vorgaben des 11 BDSG wird unter anderem als Kernelement ein technischorganisatorisches Sicherheitskonzept nach 9 BDSG nebst Anlage gefordert, dessen Voraussetzungen nachfolgend dargestellt werden. a.) Kontrollbereiche nach Anlage zu 9 BDSG Es sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, 1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle), 2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle), 3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle), 4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle), 5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle), 6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle), 7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle), 8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können (Trennungskontrolle).

10 Seite 10 b.) Konkrete Sicherheitsmaßnahmen In IT-technischen Begrifflichkeiten ausgedrückt, bedeuten die technisch-organisatorischen Maßnahmen nach 9 BDSG nebst Anlage insbesondere (nachfolgende technische Vorgaben sind ratsam, aber nicht abschließend, sondern beispielhaft): Zutrittskontrolle verlangt räumlich-physische Sicherungsmaßnahmen, wie z.b. einbruchsicheres Glas, Personenkontrollen, Authentifizierung etc. Empfohlen werden zertifizierte Rechenzentren (z.b. ISO oder SAS 70 Type II-Zertifizierung). Die Nutzung eines zertifizierten Rechenzentrums erleichtert dem Auftraggeber die Prüfung der technisch-organisatorischen Vorgaben, ist daher ratsam, aber nicht zwingend. Eine Prüfung der technisch-organisatorischen Vorgaben kann auch durch externe Auditoren, Konzernrevision, Wirtschaftsprüfer etc. erfolgen. Zugangskontrolle/Weitergabekontrolle verlangt z.b. Passwortverwaltung, Firewall, Verschlüsselung, Protokollierung und regelmäßige Auswertung von Missbrauchsversuchen Zugriffskontrolle, Trennungskontrolle verlangt z.b. effektive, rollenbasierte Rechteverwaltung; Berechtigungskonzept; Trennbarkeit der Datenbestände, Mandantenfähigkeit der Systeme Eingabekontrolle verlangt z.b. Protokollierung der Zugriffe und Veränderungen, regelmäßige Auswertung der Protokollierungen, Aktivitätsprotokolle sind empfehlenswert Verfügbarkeitskontrolle verlangt z.b. vorbeugende, erkennende und behebende Maßnahmen gegen Computerviren, Datensicherung (Backup), Monitoring von Sicherheitsapplikationen, Aktualisierung der Virensignaturen etc. 3. Subunternehmer Die eingeschalteten Subunternehmer sollen im Zusatzvertrag für die Auftragsdatenverarbei- tung konkret benannt werden, soweit sie bereits bekannt sind, oder ihre Einschaltung muss unter dem Zustimmungsvorbehalt des Auftraggebers stehen, soweit sie erst künftig bekannt werden. VI. Datentransfer ins Ausland Nach der Europäischen Datenschutzrichtlinie 95/46/EG und der entsprechenden Umsetzung im BDSG können im Rahmen eines Cloud-Services zwei Voraussetzungen für eine rechtmä-

11 Seite 11 ßige Datenübermittlung ins Ausland unterschieden werden. Notwendig ist demnach stets eine zweistufige Prüfung: 1. Stufe: Erlaubnistatbestand 2. Stufe: angemessenes Datenschutzniveau 1. Erlaubnistatbestand Für die Übermittlung der Daten muss zunächst ein Erlaubnistatbestand bestehen. Dieser ergibt sich aus einer gesetzlichen Ermächtigungsgrundlage (Erlaubnisnorm) oder einer Einwilligung der Betroffenen. In Frage kommen vorliegend als Erlaubnisnorm für den Transfer von Beschäftigtendaten insbesondere 32 BDSG sowie einschlägige Betriebs- oder Dienstvereinbarungen; für den Transfer von Beschäftigten- und Kundendaten kommen insbesondere 28 Abs. 1 Nr. 2 BDSG (Wahrnehmung berechtigter Interessen) oder im Falle der Auftragsdatenverarbeitung innerhalb der EU und des EWR auch 11 BDSG in Betracht. Die Wahrnehmung berechtigter Interessen gemäß 28 Abs. 1 Nr. 2 BDSG erfordert ein überwiegendes betriebliches Interesse des Auftraggebers für den Einsatz der Web-Security als Cloud-Service. Aufgrund einer Güterabwägung nach dem Verhältnismäßigkeitsprinzip ist zu beurteilen, ob die Web-Security als Cloud-Service für den Auftraggeber erforderlich und angemessen ist. In die einzelfallbezogene Gesamtabwägung der relevanten Belange sind alle beteiligten Interessen mit einzubeziehen, insbesondere Aspekte wie die höhere Effizienz-, Sicherheit und Professionalität der cloudbasierten Lösung, Kosteneinsparung, geringerer Administrationsaufwand, Serverstandort in Deutschland, Zertifizierung der Dienstleister etc. Kommt man zu dem Ergebnis, dass die Vorteile für den konkreten Auftraggeber die möglichen Nachteile überwiegen, so ist eine Legitimation nach 28 Abs. 1 Nr. 2 BDSG gegeben. 2. Angemessenes Datenschutzniveau Auf der zweiten Stufe geht es um die Sicherstellung eines angemessenen Datenschutzniveaus beim ausländischen Dienstleister. Diese Vorgabe findet sich in Artikel 25 der Datenschutzrichtlinie, in Deutschland umgesetzt durch 4b BDSG. Hat der Dienstleister seinen Sitz in einem Mitgliedstaat der EU oder einem Vertragsstaat des EWR, so ist wegen der Harmonisierung durch die Europäischen Datenschutzrichtlinien automatisch ein ausreichendes Datenschutzniveau sichergestellt. Darüber hinaus hat die EU-Kommission für bestimmte Länder (z.b. Argentinien, Israel, Kanada, Schweiz) entschieden, dass die dortigen Datenschutzbestimmungen generell ein an- gemessenes Datenschutzniveau sicherstellen. Für Dienstleister mit Sitz in diesen sog. siche-

12 Seite 12 ren Drittstaaten ist daher die 2. Stufe (angemessenes Datenschutzniveau) ebenso unproblematisch erfüllt wie innerhalb der EU. Für einen Datentransfer in die USA sind die Vorgaben des sog. Safe Harbor Frameworks zu beachten. Demnach können US-Dienstleister beauftragt werden, wenn sie sich im Wege der Selbstverpflichtung den Maßgaben von Safe Harbor unterwerfen und auf der dafür vorgesehen Liste des US-Handelsministeriums registrieren lassen (siehe Neben den benannten Möglichkeiten kann ein angemessenes Datenschutzniveau gemäß 4b, 4c BDSG beim Auslandsdienstleister auch erreicht werden durch: den Abschluss eines Vertrags unter Einbeziehung der EU-Standardvertragsklauseln die Einführung von Verbindlichen Unternehmensrichtlinien (Binding Corporate Rules, BCR) Horst Speichert Rechtsanwalt Lehrbeauftragter Universität Stuttgart IFM-Experte für IT-Sicherheit und Datenschutz Die Kontaktdaten von RA Horst Speichert finden Sie im Expertenbereich unserer Homepage.