DAV zum Cloud Computing
Der Ausschuss Informationsrecht des Deutschen Anwaltvereins hat zum Thema Cloud Computing, speziell aus datenschutzrechtlicher Sicht Stellung genommen.
Seine zentralen Thesen lauten:
- Cloud Computing mit Dienstleistern außerhalb der EU ist (rechtlich) derzeit nicht möglich.
- Wegen der strengen deutschen Regeln zur Auftragsdatenverabreitung ist Cloud Computing in der Regel selbst dann unzulässig, wenn die Datenverarbeitung in solchen Ländern stattfindet, die nach Ansicht der EU ein geeignetes Datenschutzniveau aufweisen.
Das bedeutet aber im Grunde nichts anderes, als, dass die Cloud-Dienste von amerikanischen Anbietern wie Apple oder Google nach deutschem Datenschutzrecht unzulässig sind und, dass eigentlich jegliches Cloud Computing bei denen die Server außerhalb der EU stehen, nicht den Anforderungen unseres Datenschutzrechts genügt.
Bereits der Bundesdatenschutzbeauftragten hatte in seinem letzten Tätigkeitsbericht zum Ausdruck gebracht, dass er Cloud Computing als globales Modell für nicht mit dem Datenschutzrecht vereinbar hält. Dass die Vorschriften über die Auftragsdatenverarbeitung bei entsprechender Auslegung auch das Hosting in Frage stellen können, habe ich bereits in einem früheren Beitrag erläutert.
Au weia. Die Grünen haben die Auseinandersetzung mit ihren Fundamentalisten und Totalverweigerern schon hinter sich, dem DAV stehen diese Mühen noch bevor. Beispiele für den Unsinn:
Der Justiziar von heise schreibt im Sicherheitsheft der c’t, dass schon eine private Nutzung eines Cloudservices mit Hosting der personenbezogenen Daten in USA rechtswidrig sei. Der §1, Absatz 2, Nummer 3 BDSG sagt das Gegenteil. Deswegen hätte der DAV zu Cloud for Users differenzierter nachdenken müssen, statt unter 1.) mit Unternehmen eine Sauce aufzumachen. Ein Excel-Sheet mit personenbezogenen Daten der Familie bei Google in Californien zu speichern ist legal nach dem BDSG. Muss der DAV wohl übersehen haben.
Außerhalb der EU und des EWR ist Cloudcomputing mit den USA anders als vom DAV behauptet einfach, wenn es dem Safe-Harbor-Abkommen der EU mit den USA entspricht. Es gibt keine deutsches Gesetz, kein höchtsrichterliches Urteil, dass die Gültigkeit des Abkommens verbietet. Wir haben Meinungsfreiheit, deswegen darf man das Gegenteil meinen, aber es bleibt unsachlich.
Die Meinung des DAV, dass man eo ipso zunächst ein mal von einem irgendwo gelagerten Standort ausgehen sollte, ist ebenso unsachlich. Das sich ein RZ in China befindet, dessen Leistungen in D angeboten werden ist eher selten. Auch ist bisher kein Fall bekannt, in dem die Bearbeitung von personenbezogenen Daten auf Rechner von Call-Centern in Indien beanstandet wurde. Auch nicht nach §11 BDSG.
„Diese Herrschaft über die Weisungen ist faktisch nicht durch optisch – physikalische Inspektionen o.ä. prüfbar“
Dieser Satz ist besonders schön: Sprachlich ist er falsch (es müsste physisch heißen, nicht physikalisch). Inhaltlich ist er dummes Zeug. Welcher Mensch ist schon einmal durch Rechenzentrum gegangen und hat sich optisch-physisch überzeugt, dass Daten auf einer Festplatte gelöscht wurden? Wer solchen Unsinn schreibt, sollte nicht in der Nähe von IT beraten. Wie will ein einzelner Rechtsanwalt heute denn unter Windows beweisen, dass er in seinem Büro personenbezogene Daten, womöglich noch durch §203 StGB geschützte, auf seiner Platte gelöscht hat. Was dem Rechtsanwalt nicht zugemutet wird, soll aber dem Cloud-Anbieter zugemutet werden mit zertifizierten Prüfverfahren? Voll Panne. Audit-Pflicht, Zertifiziertes Windows, sanktionsbewehrt im RA-Büro unserer Datenschutzfundis im DAV :-)
„In der Bundesrepublik Deutschland ist eine privilegierte Auftragsdatenverarbeitung nach den
Regelungen des Bundesdatenschutzgesetzes sogar in sicheren Drittländern nicht möglich.“
Das ist richtig. Man kann nicht gleichzeitig in der Bundesrepublik und im sicheren Drittland sein. Sprachlich völlig entglitten.
Man könnte noch mehr sagen zum indirekt angesprochen Patriot Act, zu den nicht behandelten Fragestellungen aus HGB und AO, die Diskussionen über das BDSG überflüssig machen wie die Spekulationen über Länder außerhalb von EU, EWR und USA, wie die Nichtbearbeitung des öffentlichen Dienstes usw. Aber ich glaube das lohnt nicht mit dem DAV.
Zum einen ist der DAV ja hoch befangen, da mit der Beratung zum BDSG existentielle wirtschaftliche Interessen verbunden sind, zum anderen kann ja jeder selbst Stellung nehmen:
http://ec.europa.eu/yourvoice/ipm/forms/dispatch?form=cloudcomputing&lang=de
Comment by Jan Dark — 25.08, 2011 @ 19:50
Ich weiß zwar nicht, was der Heise-Justitiar mit den Ausführungen des DAV zu tun hat, aber den Hinweis auf § 1 Abs. 2 Nr. 3 BDSG verstehe ich nicht. Die Tätigkeit des Hosters oder Cloud-Dienstleisters ist nicht persönlicher oder familiärer Natur. Die Speicherung von personenbezogenen familiären Daten fällt deshalb natürlich in den Anwendungsbereich des BDSG.
Ganz unabhängig davon, dass die Viele das Safe-Harbor-Abkommen für unzureichend halten, weil es generell nicht den materiellen Anforderungen europäischen Datenschutzrechts genügt, geht es hier spezifisch um die zusätzlichen Anforderungen des § 11 BDSG.
Die Einschätzung des DAV entspricht der geltenden Rechtslage.
Comment by Stadler — 25.08, 2011 @ 20:28
Im Gesetz steht nicht, dass der Hoster eine Tätigkeit persönlicher oder familärer Natur ausüben müsse, sondern
„es sei denn, die Erhebung, Verarbeitung oder Nutzung der Daten erfolgt ausschließlich für persönliche oder familiäre Tätigkeiten.“
Ebenso so muss der Hoster auch die ärtzliche Schweigepflicht beachten, wenn der Auftraggeber für ärztliche Tätigkeiten erhebt, … Der Hoster muss dabei kein Arzt sein.
Es steht ganz deutlich, dass es *für* persönliche oder familiäre Tätigkeiten erfolgt nicht *als*.
Das wäre ja noch schöner, wenn Hoster sagen könnten, ich bin ja kein Arzt, also trifft mich der §203 StGB nicht. Just aus dem grund haben wir die Verschärfung in der Auftragsdatenverarbeitung. Ausser das das BDSG für persönliche oder familiäre Tätigkeiten gar nicht gilt, egal ob der Familienmitglieder oder Erfüllungshilfe diese durchführen.
Dass ein Richter oder ein Gesetzgeber die Meinung des DAV zur Rechtslage teilt, habe ich nicht finden können. Mir ist auch kein Gerichtsurteil zur Nichtgeltung des Safe-Harbor-Abkommens bekannt, wohl aber viele Meinungen von Nicht-Richtern. ich befürchte eher, dass hier durch die Fundamentalisten Rechtsunsicherheit produziert wird.
Comment by Jan Dark — 25.08, 2011 @ 22:17
Noch eine Bemerkung zum Bundesdatenschutzbeuftragten. Bei Stadler heisst es:
„Bereits der Bundesdatenschutzbeauftragten hatte in seinem letzten Tätigkeitsbericht zum Ausdruck gebracht, dass er Cloud Computing als globales Modell für nicht mit dem Datenschutzrecht vereinbar hält. “
In der Quelle heisst es dagegen:
„Cloud Computing in seiner Reinform – als ein offenes, globales Modell – ist mit dem geltenden Datenschutzrecht schwer in Einklang zu bringen.“
Zwischen schwer vereinbar und nicht vereinbar besteht ein Unterschied. Deshalb auch die Empfehlung:
„Ich empfehle der Bundesverwaltung und den meiner Datenschutzkontrolle unterliegenden
sonstigen Stellen, Dienstleitungen über Cloud Computing nur dann zu realisieren, wenn der Datenschutz rechtlich, technisch und organisatorisch sichergestellt wird. Voraussetzungen sind insbesondere gesicherte gesetzliche Grundlagen für den Datenschutz und eine unabhängige Datenschutzkontrolle. Sensible Daten dürfen auch beim Cloud Computing grundsätzlich nicht außerhalb des EWR verarbeitet werden (Nr. 5.6).“
Damit wendet sich der DSB auch gegen SWIFT, aber äussert sich sehr differenziert. Als Arbeitshypothese nur die maximale Cloud-Lösung des nicht näher geografisch bestimmbaren Leistungserbringungsort entspricht nicht der Realität des Marktes der Anbieter und Nachfrager. Bei jeder Nutzung von Cloud- und Hosting-Lösungen, muss der Auftraggeber eine Reihe von Rechtsnormen ins Kalkül ziehen, z.B. auch HGB und AO und nicht nur BDSG. Das wissen auch die Anbieter und man sollte nicht so tun, als wenn diese alle im rechtsfreien Raum operierten. Es gehört zu den Standardfragen, wo die beteiligten Rechenzentren physisch stehen. Wikiileaks nutzt auch keine Rechner in China, Iran oder USA inkl. Guantanamo.
Comment by Jan Dark — 25.08, 2011 @ 22:29
ihr juristenfuzzis!
da ist mal nen gesetz vernünftig und macht dinge wie die üble tracking-einbindung des like-buttons als webwanze und „cloud computing“ (was ist das eigentlich) legal unmöglich. und dann ist das auf einmal ein problem? ARGH!
Comment by tyler durden — 25.08, 2011 @ 23:36
@Tyler Durden
Sehr schön auf keinen Punkt gebracht. In der Realität werden viele Teile des Datenschutzrechts gar nicht angewandt, weil komplett unpraktikabel. Sollte die Rechtsauffassung so manch Datenschutzstelle tatsächlich durchgesetzt werden, wird – und ich denke, das steht hinter der Einschätzung des DAV – ein Internet in Deutschland unmöglich. Egal, was wir machen, im Moment, in dem wir unsere Computer [übrigens auch Smartphones] an die Außenwelt hängen, werden Daten außerhalb unseres Zugriffs verarbeitet.
Bedeutet das, den Datenschutz abzuschaffen? Nein. Die gegenwärtigen Bestimmungen müssen halt mal gründlich überarbeitet werden, bevor die gesammelten Richtlinien überhaupt nicht mehr ernstgenommen werden.
Comment by Dierk — 26.08, 2011 @ 08:51
Das erzähle ich seit 2 jahren aber auf mich hört ja keiner.
Selbstverständlich gilt vergleichbares auch für die diversen ausländischen online speicherplatz anbieter.
mfg
yb
Comment by yah bluez — 26.08, 2011 @ 08:59
Auch wenns den hier kommentierenden Cloud-Computing-Anhängern nicht passt:
„Cloud-Computing“ ist keinesfalls notwendig, sondern ein reiner Werbe-Slogan für Altbekanntes. Es ändert am Datenschutzrecht nichts.
Da mit „Cloud-Computing“ keinerlei Innovation verbunden war, müssen jetzt auch deswegen keine Gesetze angepasst werden.
Neu ist allenfalls der Datenhunger der Anbieter, die ihre Nutzer oftmals totalüberwachen wollen. Man denke nur an die „Synchronisation von Adressen und Terminen über die Cloud“.
Viele Grüsse,
VB.
Comment by Volker Birk — 26.08, 2011 @ 09:28
Nur mal eine Facette aus der ganzen Problematik herausgegriffen:
Wenn man die Dienste von Facebook, Google, Flickr usw. im weiteren Sinne als Hosting und Cloud Computing, oder als Datenverarbeitung nach BDSG betrachtet, dann ist ja im allgemeinen das Ziel der privaten Anwender eine DV zu persönlichen oder familiären Zwecken. Damit fällt dies meiner Ansicht nicht unter das BDSG und dem Nutzer kann es in rechtlicher Hinsicht egal sein, wo die Daten liegen. Dass er andere Gründe haben mag, seine Daten dort nicht zu speichern, ist hier nicht relevant.
Wenn aber die Anbieter (also Facebook, Google usw.) die Daten verwenden, um z.B. Werbung für sich und andere zu verteilen, ist das erst mal deren Problem. Denn dann werden die anvertrauten Daten ja nicht mehr zu privaten und familiären Zwecken verarbeitet. Sofern der Nutzer mit der Nutzung der Dienste einen Vertrag mit einer deutschen Niederlassung geschlossen hat, hat diese ein rechtliches Problem. Ob er als Mitwisser (gleich Mittäter?) rechtlich belangt werden kann, ist eine andere Frage.
Sofern der Nutzer aber einen ausländischen Dienst direkt nutzt (sprich Anbieter und Webserver stehen im Ausland), handelt der Anbieter nach dem in seinem Land verbindlichen Recht, oder? Das BDSG wirkt ja nur solange, wie die Daten sich in Deutschland befinden. Gut, der Anbieter muss aufpassen, welche Daten er nach Deutschland schickt. Könnte ja gegen das BDSG verstoßen.
Nicht private Nutzer sollten die AGB der Anbieter genau lesen und ggf. die Finger davon lassen. Wo die Daten verarbeitet werden, wird dort zwar auch nicht unbedingt stehen, aber das ist eher ein Grund, vorsichtig zu sein.
Was mir noch ein wenig Kopfschmerzen bereitet, ist die Formulierung „ausschließlich für persönliche oder familiäre Tätigkeiten“. Fallen da die Kontakte mit Freunden aus Real- und Onlinewelt darunter? Wie ist es mit meinen privaten Geschäftsbeziehungen, kann ich deren Kontakte online verwalten? Oder kann ich gar die Kontaktdaten meiner Geschäftspartner aus meiner beruflichen Tätigkeit bei Google abspeichern, wenn ich diese nur „persönlich“ nutze?
Mir scheint, unsere Gesetze lassen mehr Fragen offen als sie klären, und das nicht nur weil sich die Welt ständig verändert.
Comment by Werner — 26.08, 2011 @ 10:04
@Volker Birk
„Da mit “Cloud-Computing” keinerlei Innovation verbunden war, müssen jetzt auch deswegen keine Gesetze angepasst werden.“
Dass wegen Cloud-Computing keine Gesetze angepasst werden müssen, ist richtig. Dass es keine Innovation ist, ist falsch. Früher konnte ich Office nur lokal verwenden. Heute kann ich wählen, ob ich Google Apps oder Office 365 in der Cloud mache. In beiden Fällen kann ich die Daten beim Hoster speichern. Wenn ich damit einen Rundbrief an meine Familie schreibe und alle Adressen als personenbezogene Daten speichere, dann ändert sich nichts daran, dass für familiäre Tätigkeiten das Bundesdatenschutzgesetz nicht gilt. Auch wenn der Hoster in Kalifornien steht. Die Strafgesetzgebung für Patientendaten nach §203 StGB entfällt auch nicht, wenn der Hoster kein Arzt ist.
Der Herr Stadler, der DAV und der Justiziar wollen für familiäre Tätigkeiten nun einen schriftlichen Vertrag für Auftragsdatenverarbeitung verbindlich machen inklusive Kontrolle des Datenschutzes in den betroffenen Rechenzentren durch den Auftraggeber (Familienoberhaupt oder Onkel). Diese extreme fundamentalistische Position wird nicht überall so gesehen. Z.B. sieht das Peter Hustinx, der Europäische Datenschutzbeauftragte völlig anders:
„In diesem Artikel wird die Datenverarbeitung, die „von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten“ vorgenommen wird (die „Ausnahmeregelung für familiäre Tätigkeiten“), vom Anwendungsbereich der Datenschutzrichtlinie ausgenommen.“ Siehe auch §1, Absatz2, Nr. 3 BDSG 2009.
Wenn ich bei Dunkel.de Cloudservices bestelle, die in drei deutschen Rechenzentren erbracht werden, die untereinander Lastausgleich, Storagedoppelung und elastisches Zu- und Abbuchen von SaaS-Diensten durch den Kunden mit schöner §11-Auftragsdatenverarbeitung liefern, dann habe ich überhaupt keine datenschutzrechtlichen Probleme mit dem Cloud Computing. Ganz anders als in dem fundamentalistischen Rundumschlag, den der DAV von sich gibt. Hier wird parziell unsachlich argumentiert.
Comment by Jan Dark — 26.08, 2011 @ 10:04
Frage eines Unwissenden
Was ist mit den natürlichen Personen, welche die Daten ausschließlich für persönliche oder familiäre Tätigkeiten nutzen, dem Provider aber die Nutzung der Daten oder sogar die Rechte an den Daten (Fotos meiner Freunde auf Facebook) abtreten. Der Nutzer erkauft sich u.A. mit der Freigabe der Daten ein Nutzungsrecht an der Cloud. Damit nutzt er die nicht mehr nur persönlich, und fällt somit unter das BDSG, oder…
Comment by turner — 30.08, 2011 @ 16:31
@turner
„Was ist mit den natürlichen Personen, welche die Daten ausschließlich für persönliche oder familiäre Tätigkeiten nutzen, dem Provider aber die Nutzung der Daten oder sogar die Rechte an den Daten (Fotos meiner Freunde auf Facebook) abtreten. Der Nutzer erkauft sich u.A. mit der Freigabe der Daten ein Nutzungsrecht an der Cloud. Damit nutzt er die nicht mehr nur persönlich, und fällt somit unter das BDSG, oder…“
Das ist richtig. So wird in Kiel gedacht. Alles muss stringent ins BDSG abgebildet werden. Sie haben noch den Internet Service Provider vergessen, der ihre persönlichen Daten transportiert. Das ist eine glasklare Auftragsdatenverarbeitung nach §11 BDSG und wenn sie Oma eine Mail mit Fotos aus dem Urlaub schicken, dann müssen Sie Sie zwingend eine Datenschutzvereinbarung mit allen ISP zwischen sich und Omas in Schriftform treffen und alle Router persönlich inspizieren, damit Oma als von Ihnen Betroffene nicht unnötig kompromittiert wird. Selbstverständlich gilt das auch für die Briefpost. Und wenn Sie in Ländern abschicken, deren Geheimdienste nicht klar geregelt ist, dann müssen Sie auch mit denen eine Datenschutzvereinbarungen treffen wegen Auftragsdatenverarbeitung. Wenn Oma dann wissen will, was Sie im Urlaub gegessen haben, dann schicken Sie sie auf die Wikileaks-Seite, wo die Abhörprotokolle von der NSA gelagert sind. Wenn Sie eine schriftliche Auftragsdatendatenverarbeitungsvereinbarung mit der NSA oder hilfsweise CIA getroffen haben. Und wenn Sie nach Pakistan reisen udn Oma die Mail schicken, dann denken Sie bitte daran, dass Sie wegen der verbotenen Verschlüsselung auch dem ISI die uneingeschränkte Nutzung ihrer E-Mail an Oma eingeräumt haben. Zumal damit auch die kostenlosen Flüge nach Guantanamo verlost werden. Aber denken Sie daran, den geldwerten Vorteil der kostenlosen Unterbringung im rechtsfreien Raum ordentlich zu versteuern. Weil ja Schäuble mit der Steuerfahndung auch an der Wolke klebt, auf der Oma schwebt, wenn Sie sich nicht beeilen.
Als Rheinländer begrüße ich es außerordentlich, dass auch Sie für den ganzjährigen Karneval eintreten. Alaaf und Helau! Hummel, Hummel für den ULD.
Ach so: Facebook hat seine Rechenzentren nicht in der Cloud. Die wissen wo ihre Rechner stehen. „Sie wissen nicht, was sie tun“ war ein anderer Film, der wird gerade in Kiel gedreht.
Nebenbei: Kaufen ist eine Tätigkeit mit Geld. Beim Tausch gehts ohne. Aber stellen Sie sich ruhig auf die Straße, nageln Sie Ihre Urlaubsfotos an einen Baum udn sagen dann, sie würden das Recht der Nutzung des Baumes zum Nageln damit erkaufen, dass die der Kommune als Eigentümer des Baumes das uneingeschränkte Recht der Nutzung Ihrer Urlaubsbilder einräumen. Ich bin mir nicht sicher, ob die auf eine Ahndung wegen Sachbeschädigung verzichten. Aber versuchen Sie es, bei Luther hat das Nageln auch geklappt. Sagt man.
Comment by Jan Dark — 30.08, 2011 @ 17:05
Es ist wie mit dem Onlinebanking. Irgendwann setzt es sich durch. Der Effizienzgewinn ist nicht von der Hand zu weisen. Ein Bekannter von mir in den USA nutzt schon seit einiger Zeit eine Onlinelösung für sein Kanzleimanagement (Practice Panther) und arbeitet mal eben zwischendurch von seinem Telefon oder Pad. Über kurz oder lang wird es hierzulande ganz ähnlich ausschauen.
Comment by Hendrik Kaminski — 2.02, 2015 @ 21:57