Wolkenfreier Himmel beim Cloud Computing? – Die große Hürde Datenschutz
Das Datenschutzrecht ist ein scharfes Schwert. Cloud Computing und das deutsche Datenschutzrecht vertragen sich kaum miteinander. Schuld daran ist die Natur das Cloud Computing, praktisch unkontrollierbar unzählige Server in der ganzen Welt zu nutzen. Lesen Sie heute, in welchen Fällen das deutsche Bundesdatenschutzgesetz überhaupt auf die Thematik „Cloud Computing“ Anwendung findet.
Das Datenschutzrecht als ernsthaftes Hindernis
Dieser Beitrag liefert einen Überblick über die Anwendbarkeit des deutschen Bundesdatenschutzgesetzes. Zum einen stellt sich die Frage, welche Art von Daten überhaupt vom Bundesdatenschutzgesetz erfasst wird. Zum anderen muss geklärt werden, ob auch bei internationalen Bezügen das deutsche Datenschutzrecht gilt.
Lesen Sie zur Einführung in die Thematik „Cloud Computing“ zudem diesen Artikel zum Start der Serie „Wolkenfreier Himmel beim Cloud Computing“.
Wann gilt das Bundesdatenschutzgesetz?
Personenbezogene Daten
Die Anwendbarkeit des BDSG ist in § 1 geregelt.
Das Bundesdatenschutzgesetz (kurz: BDSG) gilt nach § 1 Absatz 2 für die Erhebung, Verarbeitung und Speicherung personenbezogener Daten. In § 3 Absatz 1 BDSG ist definiert, was unter dem Begriff personenbezogene Daten zu verstehen ist. Demnach sind personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person, dem sog. Betroffenen im Sinne des BDSG.
Hierunter fallen beispielsweise Namens- und Geburtsdaten, aber auch Gesundheitsdaten sowie viele weitere mehr.
Das BDSG ist somit nicht anwendbar, wenn (wirksam) verschlüsselte personenbezogene Daten verarbeitet oder gespeichert werden, da es sich bei diesen verschlüsselten Daten dann nicht mehr um solche mit Personenbezug handelt.
Cloud Computing, bei dem keine personenbezogenen Daten an Server im Ausland zwecks Speicherung gesendet werden, ist daher datenschutzrechtlich unproblematisch.
Anwendbarkeit des deutschen Datenschutzrechts
Zur Frage Anwendbarkeit des Gesetzes bei internationalen Sachverhalten sind in § 1 Absatz 5 BDSG Regelungen enthalten.
Demnach ist das BDSG immer dann anwendbar, wenn in Deutschland Daten erhoben oder verarbeitet (und gespeichert) werden (sog. Territorialitätsprinzip).
Dies gilt jedoch nicht, wenn die Datenerhebung oder -verarbeitung durch eine Stelle geschieht, die in einem Land der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR, dazu gehören Island, Liechtenstein und Norwegen) ihren Sitz hat. Dann ist das Datenschutzrecht dieses Landes anzuwenden (sog. Sitzlandprinzip).
Hintergrund dieser Bestimmung ist, dass aufgrund der europaweiten Harmonisierung des Datenschutzrechts ein weitgehend gleicher Schutzstandard in allen Länder der EU und des EWR für Daten besteht. Es ist nicht notwendig, dass eine im europäischen Ausland sitzende, Daten in Deutschland erhebende Stelle dem BDSG unterliegt, da sie schon anderen wirksamen Gesetzen unterliegt.
Wie jedoch in § 1 Absatz 5 BDSG ausdrücklich bestimmt ist, ist das BDSG anzuwenden, wenn ein Unternehmen aus dem europäischen Ausland personenbezogene Daten durch eine Niederlassung in Deutschland erhebt, verarbeitet oder speichert.
Cloud Computing-Dienstleister aus EU- oder EWR-Staaten, die unmittelbar von diesen - und nicht von einer Niederlassung in Deutschland aus - mit personenbezogenen Daten operieren, sind nicht an die gesetzlichen Regelungen des BDSG gebunden.
Anwendbarkeit bei außereuropäischem Auslandsbezug
Wenn Unternehmen aus außereuropäischen Staaten bzw. mit dortigem Firmensitz personenbezogene Daten in Deutschland erheben, so kommt in jedem Fall das deutsche BDSG zur Anwendung.
Cloud Computing-Dienstleister aus außereuropäischen Ländern, die in Deutschland operieren, müssen sich somit an die deutschen Datenschutzgesetze halten.
Ausblick: Cloud Computing im Konflikt mit dem deutschen Datenschutzrecht
Nachdem die Anwendbarkeit des deutschen Datenschutzrechts geklärt ist, kann nun beleuchtet werden, in welche Konflikte Cloud Computing mit dem BDSG geraten kann und wie diese – wenn überhaupt möglich – vor dem Hintergrund der aktuellen Rechtslage gelöst werden können.
Fazit
In aller Regel findet bei der Erhebung, Verarbeitung und Speicherung personenbezogener Daten das deutsche Bundesdatenschutzgesetz Anwendung.
Nur falls ein Unternehmen vom EU- oder EWR-Ausland aus, d.h. nicht durch eine Niederlassung in Deutschland, personenbezogene Daten erhebt, verarbeitet oder speichert, ist das BDSG nicht anwendbar.
Welche Probleme aufgrund der Anwendbarkeit des BDSG bestehen, können Sie an dieser Stelle in Kürze im nächsten Artikel der Serie zum Thema „Cloud Computing“ lesen.
Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .
© mike_experto - Fotolia.com
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
Weitere News
1 Kommentar
Grundsätzlich ist ja das DSG des Mitgliedstaats anwendbar, in dem die erhebende verantwortliche Stelle Ihren Sitz hat, vgl. § 1 Abs. 5 BDSG sowie Art. 4 I lit. a DSRL. Sofern man der h.M. folgt und das Cloud-Computing als Auftragsdatenverarbeitung i.S.d. § 11 BDSG identifiziert, sitzt meines Erachtens die verantwortliche Stelle ( hier der deutscher User), der einen Cloud-Dienst in einem anderen EWR-Staat nutzt, in Deutschland (vgl. § 11 Abs. 1 BDSG), so dass auf den Cloud-Dienst deutsches Datenschutzrecht Anwendung finden müsste.