Aus datenschutzrechtlicher Sicht lässt sich die Bewertung von Cloud Services auf vier grundlegende Fragestellungen herunterbrechen. Diese vier Schritte sind im Cloud Privacy Check von EuroCloud Österreich zusammengefasst. [...]
Vor wenigen Wochen, Anfang Oktober dieses Jahres, hat der Europäische Gerichtshof das umstrittene Safe-Harbour-Abkommen zwischen der EU und den USA für ungültig erklärt. Zu gravierend seien die Unterschiede zwischen den beiden Rechtssystemen – Safe Harbour sei mit dem europäischen Grundrecht auf Datenschutz nicht vereinbar, so die Begründung. Personenbezogene Daten sind demnach in den USA nicht ausreichend vor dem Zugriff durch Behörden und Geheimdienste geschützt. Datentransfers in die USA auf Basis von Safe Harbour, die bisher genehmigungsfrei waren, sind daher seit 6.10.2015 nicht mehr genehmigungsfrei und bedürfen nun einer Zustimmung der Österreichischen Datenschutzbehörde.
Eine gute Sache, wie der Salzburger Rechtsanwalt Clemens Thiele sagt: „Mit Safe Harbour war es möglich, so zu tun, als ob die Daten sicher sind.“ Denn schon vor der Aufhebung von Safe Harbour galten die USA aus EU-Sicht als Drittland ohne angemessenes Schutzniveau. Diese Tatsache konnten Anbieter jedoch umgehen, indem sie das Safe-Harbour-Abkommen unterschrieben, was nun nicht mehr möglich ist. Die EU-Kommission will sich nun möglichst rasch um ein neues Abkommen mit den USA bemühen, was Thiele zufolge jedoch nicht einfach sein wird. „Die USA müssten dazu ihre Datenschutzgesetze grundlegend überarbeiten und an europäisches Niveau anpassen. Und das wird nicht so schnell passieren.“
DATEN IN EUROPA REICHT NICHT
Die einzige Lösung, die kurzfristig machbar wäre, ist laut Thiele, dass sich US-Anbieter an EU-Recht anpassen. Doch auch dieser Weg wird von US-Behörden nicht gerade unterstützt. Microsoft zum Beispiel prüft gerade, ob die amerikanische Regierung damit einverstanden ist, dass der Konzern Daten von europäischen Kunden in Europa speichert und damit dem Zugriff durch US-Behörden entzieht. Ob das für die amerikanische Regierung OK ist, bleibt abzuwarten und ist zumindest anzuzweifeln. Dass Daten in Europa gespeichert werden, die Konzernmutter jedoch in den USA sitzt, hilft derzeit jedenfalls nicht, wie Thiele bestätigt. „Schon das verletzt bereits europäisches Recht.“
Natürlich gibt es weiterhin die Möglichkeit, rechtskonform Cloud Services zu nutzen – einfacher ist das mit dem Ende von Safe Harbour aber nicht geworden. Beispiele dafür wären zum Beispiel die freiwillige Abschließung von individuellen Verträgen, die ein angemessenes Datenschutzniveau gewährleisten (EU-Standardvertragsklauseln, Corporate Binding Rules), die Zustimmung des Einzelnen in Form von Opt-in oder besondere internationale Abkommen wie das Fluggastdatenpaket oder das Zahlungsverkehrsdatenabkommen SWIFT.
Um derartige individuelle Verträge aufsetzen zu können, müssen Betroffene jedoch erst einmal den Rechtsdschungel im Bezug auf die Cloud durchschauen. Hilfestellung dabei gibt dabei der Cloud Privacy Check (CPC), der im Internet unter der Adresse http://www.cloudprivacycheck.eu/de/ zu finden ist. Diese sogenannte „Legal Toolbox“ für die Cloud-Nutzung wurde unter Federführung von Tobias Höllwarth, Vorstand von EuroCloud Österreich und Initiator der Initiative Trust in Cloud, gemeinsam mit den drei Rechtsanwälten Jens Eckhardt (Deutschland), Clemens Thiele (Österreich) und Christian Laux (Schweiz) erarbeitet und ist laut Höllwarth „das wichtigste Produkt der Trust-in-Cloud-Kampagne“.
Ziel des Cloud Privacy Checks, der übrigens auch mit der Österreichischen Datenschutzbehörde abgestimmt wurde, die sich jedoch vorbehält, im Einzelfall eventuell anders zu entscheiden, ist es, auf einer einzigen A4-Seite das Thema Datenschutz und Cloud zu 90 Prozent abzubilden und damit für 90 Prozent aller Personen, die sich damit befassen müssen, eine verständliche und tragfähige Informationsbasis zu liefern. „Der CPC ersetzt damit zwar nicht juristische Fachexpertise, aber er strukturiert und vereinfacht ein komplexes Thema ohne Verlust von wesentlichen Informationen“, erklärt Höllwarth. Entscheidend ist dabei die Strukturierung einer Vielzahl von Fragen in vier Themenblöcke, die schrittweise abgearbeitet werden können – vom einfachsten bis zum kompliziertesten Fall. Als besonders hilfreich erweist sich dabei die jeweilige Zuordnung von juristischen Werkzeugen, die für die einzelnen Schritte erforderlich sind und die dann im Detail von Juristen zu erstellen bzw. zu beurteilen sind. Der CPC teilt sich in folgende vier Bereiche:
SICHERE NUTZUNG: 4 SCHRITTE
Schritt 1 – Personendaten: Der CPC kommt dann zum Tragen, wenn Personendaten bearbeitet werden.
Schritt 2 – Beizug eines Dritten: Dieser Schritt trägt dem Umstand Rechnung, dass Cloud Services durch externe Dienstleister erbracht werden.
Schritt 3 – Auslandsbezug: Externe Dienstleister erbringen ihre Leistungen oft im Ausland beziehungsweise aus dem Ausland heraus.
Schritt 4 – Subunternehmer: Externe Dienstleister bedienen sich wiederum weiterer Dienstleister zur Erbringung des Cloud Services. Diese weiteren Dienstleister erbringen unter Umständen ihre Teilleistung wiederum in bzw. aus weiteren Ländern heraus.
Jeder dieser vier Bereiche markiert aus datenschutzrechtlicher Sicht eine Weichenstellung. Je nach Beantwortung dieser weichenstellenden Fragen fordert das Datenschutzrecht bestimmte Maßnahmen zur Wahrung des Datenschutzes. Der Cloud Privacy Check (CPC) bildet diese vier grundlegenden Fragestellungen ab, zeigt die Antworten auf und verdeutlicht damit Folgendes: Die Bewertung von Cloud Services lässt sich auf vier grundlegende Fragestellungen herunterbrechen und ermöglicht damit eine übersichtliche Bewertung von Cloud Services in vier Schritten. „Cloud Services können dann datenschutzkonform genutzt werden, wenn zu jeder dieser grundlegenden Fragestellungen die verlangten Maßnahmen entsprechend der Bewertung der Frage ergriffen werden“, erklärt Höllwarth.
Da es derzeit kein EU-weit einheitliches Datenschutzrecht gibt, können sich im Rahmen der Beantwortung der vier Kernfragen des CPC bei einer Detailbetrachtung nationale Besonderheiten ergeben. Auch auf diese lokalen Besonderheiten geht der CPC ein. Derzeit sind diese Besonderheiten für Deutschland, Österreich und die Schweiz verfügbar. (oli)
Be the first to comment