Cloud Computing – so heißt der aktuellste Trend der IT-Branche. Steve Ballmer und Rene Obermann bestätigten dies erst wieder auf der „Internationalen Cloud Computing Conference“ in Köln, am 6. Oktober 2010. Die aus den USA kommende Entwicklung setzt sich zunehmend auch in Deutschland durch. Dennoch bestehen derzeit rechtliche Probleme, insbesondere in Bezug zur Sicherheit und zum Datenschutz. Letzteres soll hier Gegenstand der Untersuchung sein. Die folgende Ausarbeitung wird sich primär auf Ausführungen zum Bundesdatenschutzgesetzt (BDSG) beschränken. Dabei wird schwerpunktmäßig die Auftragsdatenverarbeitung nach § 11 BDSG behandelt.
Inhaltsverzeichnis
A. Einleitung
B. Cloud Computing – Was ist das?
I. Begriffserläuterung
II. Die verschiedenen Konzepte des Cloud Computing
1. Technische Konzepte
a) Infrastructure as a Service (IaaS)
b) Platform as a Service (PaaS)
c) Software as a Service (SaaS)
d) Abgrenzung
2. Organisationsformen
C. Datenschutz und Cloud Computing
I. Anwendbarkeit des BDSG
1. Anwendbarkeit des Datenschutzrechtes generell
2. Anwendbarkeit des nationalen Datenschutzrechts (BDSG)
3. Zwischenergebnis
II. Verbot mit Erlaubnisvorbehalt, § 4 Abs. 1 BDSG
1. Privilegierung durch Auftragsverarbeitung, § 11 BDSG
a) Anwendbarkeit
aa) Cloud Anbieter als Dienstebanbieter i.S.d. TKG
bb) Cloud Computing als Telemdien i.S.d. TMG
cc) Sonstige bereichsspezifische Vorschriften und Zulässigkeitsschranken
b) Voraussetzungen
aa) Personenbezogene Daten
bb) Im Auftrag (Weisungsabhängigkeit, § 11 Abs. 3 BDSG)
(1) Abgrenzung
(a) Noch keine Auftragsverarbeitung
(b) Bereits eine Funktionsübertragung
(2) Gegenstand und Inhalt des Auftrages
(a) Nr. 1: Gegenstand und Dauer
(b) Nr. 2: Umfang, Art und Zweck
(c) Nr. 3: Datensicherheitsmaßnahmen, § 9 BDSG
(d) Nr. 4: Berichtigung, Löschung und Sperrung
(e) Nr. 5: Pflichten des Auftragnehmers
(f) Nr. 6: Unterauftragsverhältnisse
(g) Nr. 7: Kontrollrechte des Auftraggebers
(h) Nr. 8: Mitteilungspflichten
(i) Nr. 9: Umfang der Weisungsbefugnis
(j) Nr. 10: Rückgabepflicht in Bezug auf überlassene Datenträger
(3) Sonstige Pflichten des Auftraggebers
(4) Zusammenfassung
cc) Durch andere Stellen
(1) Öffentliche Stellen (§ 1 Abs. 2 Nr. 1 und Nr. 2 BDSG)
(2) Nicht-öffentliche Stellen (§ 1 Abs. 2 Nr. 3 BDSG)
dd) Erheben, verarbeiten oder nutzen
ee) Kein Dritter (§ 3 Abs. 8 BDSG)
c) Zwischenergebnis
2. Andere Erlaubnisnormen
a) Einwilligung
b) Gesetzliche Erlaubnistatbestände
III. Lösungsvorschläge
1. Problem: Internationalität
a) Cloud Computing nur im EU/EWR-Bereich
b) Analoge Anwendung des § 11 BDSG
aa) Planwidrige Regelungslücke
bb) Vergleichbare Interessenlage
cc) Zwischenergebnis
c) Ergebnis für die Internationalität
2. Problem: Vereinbarkeit mit dem BDSG
D. Fazit
Zielsetzung & Themen
Das Hauptziel dieser Seminararbeit ist die Untersuchung der rechtlichen Problematik von Cloud Computing unter besonderer Berücksichtigung des deutschen Bundesdatenschutzgesetzes (BDSG), wobei der Schwerpunkt auf der Auftragsdatenverarbeitung gemäß § 11 BDSG liegt.
- Technische und organisatorische Konzepte des Cloud Computing
- Anwendbarkeit des BDSG auf Cloud-Dienste
- Herausforderungen bei der Auftragsdatenverarbeitung nach § 11 BDSG
- Internationalität der Datenhaltung und Konsequenzen für den Datenschutz
- Lösungsvorschläge für die Vereinbarkeit von Cloud-Technologien mit deutschem Datenschutzrecht
Auszug aus dem Buch
I. Begriffserläuterung
Eine einheitliche Definition für Cloud Computing existiert nicht. Übersetzt bedeutet es soviel wie „Datenverarbeitung in der Wolke“, was keine neuen Erkenntnisse liefert. Deshalb ist durch die Funktionsweise der Begriff zu erläutern.
Bislang speichert der Großteil der Computer-Nutzer seine Daten lokal auf seinen internen oder externen Festplatten sowie auf Servern, die sich in den eigenen Wohn- bzw. Geschäftsräumen befinden. Ausnahmen hiervon sind schon heutzutage E-Mail Accounts und Websites. Durch das Cloud Computing werden Dokumente, Fotos, Videos, etc. – anders als bisher – nicht mehr auf dem heimischen Rechner abgelegt, sondern irgendwo „in der Wolke”, womit über die ganze Welt verteilte Datenzentren gemeint sind. Die Internetnutzer können dann überall und mit allen Geräten auf ihre Daten zugreifen und mit anderen Nutzern teilen. Wo die Daten tatsächlich (physisch) gespeichert sind, spielt für den Nutzer keine Rolle und ist für ihn nicht mehr sicher feststellbar; irgendwo in der Wolke, bei sehr unterschiedlichen Servern bzw. Serverfarmen, die einem bestimmten Anbieter, aber auch unterschiedlichen Anbietern gehören können, und innerhalb des Systems beliebig verschoben werden können.
Zusammenfassung der Kapitel
A. Einleitung: Diese Einleitung führt in den aktuellen IT-Trend Cloud Computing ein und definiert das Untersuchungsziel, nämlich die datenschutzrechtliche Problematik mit Fokus auf das BDSG und die Auftragsdatenverarbeitung zu beleuchten.
B. Cloud Computing – Was ist das?: In diesem Kapitel werden die technischen und organisatorischen Konzepte von Cloud Computing erläutert, um ein Verständnis für die Funktionsweise jenseits der bloßen Begriffsdefinition zu schaffen.
C. Datenschutz und Cloud Computing: Das Hauptkapitel untersucht die Anwendbarkeit des Datenschutzrechts und des BDSG auf Cloud-Dienste, analysiert die Anforderungen an die Auftragsverarbeitung nach § 11 BDSG und erörtert Lösungsmöglichkeiten für die Internationalität der Datenverarbeitung.
D. Fazit: Das Fazit fasst zusammen, dass Cloud Computing nach derzeitigem Stand oft nicht mit den Anforderungen des BDSG vereinbar ist und entweder eine Änderung der Praxis oder eine rechtliche Anpassung, wie die analoge Anwendung des § 11 BDSG, notwendig ist.
Schlüsselwörter
Cloud Computing, Datenschutz, Bundesdatenschutzgesetz, BDSG, Auftragsdatenverarbeitung, § 11 BDSG, IT-Outsourcing, Personenbezogene Daten, Internationalität, Datensicherheit, Datenschutzbeauftragter, Public Cloud, Private Cloud, Hybrid Cloud, Auftragnehmer
Häufig gestellte Fragen
Worum geht es in dieser Arbeit grundsätzlich?
Die Arbeit befasst sich mit der rechtlichen Analyse von Cloud Computing in Deutschland, insbesondere unter dem Aspekt des Datenschutzes und der datenschutzrechtlichen Zulässigkeit dieser Dienste.
Was sind die zentralen Themenfelder?
Zentral sind die Einordnung von Cloud-Diensten in bestehende Gesetze, die Anforderungen an die Auftragsdatenverarbeitung sowie die Probleme, die sich aus der internationalen Verteilung von Daten in der Cloud ergeben.
Was ist das primäre Ziel der Untersuchung?
Ziel ist es zu klären, ob und wie Cloud Computing mit den strengen Anforderungen des Bundesdatenschutzgesetzes (BDSG), speziell der Auftragsdatenverarbeitung gemäß § 11 BDSG, in Einklang gebracht werden kann.
Welche wissenschaftliche Methode wird verwendet?
Die Arbeit folgt einer rechtswissenschaftlichen Analyse, bei der existierende Gesetze und die aktuelle Literatur zu Cloud-Diensten sowie entsprechende Gerichtsurteile ausgewertet werden, um die Anwendbarkeit des BDSG zu prüfen.
Was wird im Hauptteil der Arbeit behandelt?
Der Hauptteil analysiert die Anwendbarkeit des BDSG, die Voraussetzungen für eine privilegierte Auftragsdatenverarbeitung nach § 11 BDSG, die Problematik der Internationalität bei der Datenhaltung sowie alternative Erlaubnisnormen für die Cloud-Nutzung.
Welche Schlüsselwörter charakterisieren die Arbeit?
Die Arbeit wird maßgeblich durch die Begriffe Cloud Computing, Datenschutz, BDSG, Auftragsdatenverarbeitung, IT-Outsourcing und internationale Datenverarbeitung charakterisiert.
Warum ist die internationale Datenhaltung ein Problem für das deutsche Datenschutzrecht?
Das Problem besteht darin, dass Cloud-Dienste oft weltweit verteilte Server nutzen, was eine klare Zuordnung zum deutschen Territorialitätsprinzip erschwert und die Einhaltung deutscher Datenschutzstandards im Ausland, außerhalb des EU/EWR-Bereichs, kaum kontrollierbar macht.
Warum ist eine Einwilligung des Betroffenen in der Cloud oft nicht praktikabel?
Die Einholung einer wirksamen Einwilligung erfordert vom Betroffenen ein Verständnis der Tragweite sowie die Nennung aller beteiligten Unternehmen, was bei der Dynamik und Intransparenz von Cloud-Strukturen, insbesondere bei häufig wechselnden Unterauftragnehmern, kaum praktikabel umsetzbar ist.
- Quote paper
- Fabian Janisch (Author), 2011, Cloud Computing und Datenschutz, Munich, GRIN Verlag, https://www.grin.com/document/180223
