Sicherer Umgang mit der Cloud

Rechtssicher in der Cloud: Ihre Daten bei Dropbox, iCloud, Google Drive & Co

Fachlich geprüft von: Rechtsanwältin Annika Haucke Rechtsanwältin Annika Haucke
(56 Bewertungen, 3.63 von 5)

Das Wichtigste in Kürze

  • Befindet sich der Cloud-Anbieter innerhalb der EU und hat ein Cloud-Kunde seinen Wohnsitz in Deutschland, findet in der Regel deutsches Datenschutzrecht Anwendung.
  • Datenschutzrechtlich problematisch ist es, wenn außereuropäische Cloud-Services genutzt werden sollen.
  • Prüfen Sie die Nutzungsbedingungen der einzelnen Cloud-Anbieter, bevor Sie sich für eine Cloud-Lösung entscheiden.

Worum geht's?

Immer mehr Anbieter stellen Nutzern große Mengen an Datenspeicher online zur Verfügung. Neben den bekannten Cloud-Diensten Dropbox, iCloud und Skydrive ist Google vor wenigen Tagen mit seinem eigenen Dienst GoogleDrive gestartet. Wir zeigen Ihnen, was Sie aus rechtlicher Sicht über die Datenwolke wissen müssen.

1. Was ist „Cloud-Computing“ technisch und rechtlich?

Bei „Cloud-Verträgen“ handelt es sich rechtlich gesehen nicht um einen Vertrag, der sich einem konkreten Vertragstypus des BGB zuordnen lässt. Hier muss bei jedem Anbieter im Einzelfall geprüft werden, wie das konkrete Nutzungsverhältnis vertraglich ausgestaltet wurde. In aller Regel wird es sich um einen sogenannten gemischten Vertrag handeln, der - je nachdem, welche Leistungen vom Anbieter erbracht werden - schwerpunktmäßig als Mietvertrag, Werkvertrag oder Dienstvertrag behandelt wird.

Wird beispielsweise Speicher zur Verfügung gestellt, der gegen ein kostenpflichtiges Upgrade auch noch erweitert werden kann (z.B. wie im Fall von Dropbox), so handelt es sich schwerpunktmäßig um einen Vertrag mit Mietcharakter nach den §§ 535ff. BGB. Je nachdem, wie der Nutzungsvertrag eingeordnet wird, unterscheiden sich dann die Rechte und Pflichten der Nutzers, etwa bei auftretenden Mängeln.

2. Cloud-Anbieter und der Datenschutz: Wie sicher sind Ihre Daten?

Das Deutsche Datenschutzrecht findet auf „Cloud-Dienste“ grundsätzlich dann Anwendung, wenn es sich bei den in der Cloud gespeicherten Daten um sogenannte „personenbezogene Daten“ gem. § 3 Nr. 1 BDSG handelt. Dies sind „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“, also die Daten eines Menschen.

Gerade nicht vom deutschen Datenschutzrecht erfasst sind damit Daten über juristische Personen (wie GmbH, AG, etc.) sowie anonyme Daten. Etwas anderes gilt jedoch für pseudonymisierte Daten nach § 3 Nr. 6a BDSG, bei denen zwar kein unmittelbarer Personenbezug besteht, dieser Personenbezug aber hergestellt werden kann (z.B. wenn eine Person eine bestimmte Ziffer trägt und sie über die Ziffer identifiziert werden kann). Je nachdem, ob Dateien in der Cloud Personenbezug aufweisen oder nicht, sind diese folglich vom Schutz des Datenschutzgesetzes erfasst oder nicht.

Bei der Frage, welches Datenschutzrecht Anwendung findet, ist ein genauerer Blick auf Anbieter und Nutzer des Cloud-Dienstes notwendig. Befindet sich der Cloud-Anbieter  innerhalb der EU und hat ein Cloud-Kunde seinen Wohnsitz in Deutschland, kann in der Regel davon ausgegangen werden, dass deutsches Datenschutzrecht Anwendung findet.

Nach der Europäischen Datenschutzrichtlinie (RL 95/46/EG) stellt eine grenzüberschreitende Datenverarbeitung innerhalb der EU nämlich kein rechtliches Hindernis mehr dar (vgl. Art. 1 Abs. 2 EU-DSRL)- Deutsches Datenschutzrecht ist also immer anwendbar, wenn personenbezogene Daten einer Person mit Wohnsitz in Deutschland von einem Cloud-Anbieter mit Niederlassung in Deutschland verarbeitet werden.

3. Datenschutzprobleme bei Cloud-Anbietern außerhalb Europas?

Insbesondere bei außer-europäischen Anbietern von Cloud-Diensten (z.B. Google) bestehen aus rechtlicher Sicht oftmals Bedenken. Da diese Länder oft über ein Datenschutzniveau verfügen, das nicht den europäischen Gesetzen entspricht, werden viele der dort geltenden Regelungen von europäischen Datenschützern oft als unzulässig eingestuft. Eine Pauschallösung für die Behandlung der datenschutzrechtlichen Probleme im Zusammenhang mit ausländischen Cloud-Anbietern gibt es aber bisher nicht. Grundsätzlich wird die Übermittlung von Daten per Cloud an einen ausländischen Anbieter als unzulässig angesehen, da es hierfür keine datenschutzrechtliche Legitimation gibt und in der Regel kein angemessenes Datenschutzniveau besteht. Will man dennoch einen außereuropäischen Anbieter für einen Cloud-Dienst nutzen, empfiehlt es sich, das Übermitteln von personenbezogenen Daten in die Wolke zu vermeiden und ausschließlich nicht-personenbezogene Daten zu verwenden. Was den praktischen Nutzen der Dienste dann aber stark einschränkt.

4. Datenverlust und Hackerangriffe: Wann haftet der Cloud-Anbieter?

Für Nutzer von Cloud-Speicher-Diensten stellt sich natürlich die Frage, ob der Anbieter haftet, wenn er einem Hackerangriff zum Opfer gefallen ist und die Daten des Nutzers betroffen sind. Entscheidend für einen zivilrechtlichen Schadensersatzanspruch bei gehackten Cloud-Daten ist also die Frage, ob dem Anbieter die Verletzung von Sorgfaltsanforderungen, also ein Verschulden (Vorsatz oder Fahrlässigkeit) nachgewiesen werden kann. Dies ist beispielsweise dann der Fall, wenn der Anbieter anerkannte Sicherheitsstandards nicht einhält und aufgrund dessen der Hacking-Angriff erst ermöglicht wurde.

Bisher ist jedoch kein Urteil eines Gerichts in der deutschen Rechtsprechung bekannt, dass einen solchen Schadensersatzanspruch gewährt hätte oder über einen solchen Fall zu entscheiden gehabt hätte.

5. Das Kleingedruckte: Die Nutzungsbedingungen der Cloud-Computing im Vergleich

Entscheiden Sie sich dazu, Ihre Daten in die Cloud auszulagern, sollten Sie vor der Nutzung die Nutzungsbedingungen (AGB, terms and conditions) des jeweiligen Anbieters genau ansehen.

Nutzungsbedingungen von Dropbox

Auch im Fall von Dropbox bleibt der Nutzer alleiniger Inhaber der Rechte an den Dateien. Trotzdem ist zu beachten, dass auch bei der Nutzung von Dropbox zumindest die für das Betreiben des Services notwendigen, eingeschränkten Rechte auf den Betreiber übertragen werden. Insbesondere sollen laut dem Betreiber des Cloud-Dienstes dadurch Backups auf rechtlicher Ebene abgedeckt werden.

Zur Website von Dropbox

Nutzungsbedingungen von Dropbox

 

Nutzungsbedingungen von Google Drive

Im Fall von Google Drive ist zunächst zu erwähnen, dass sich Google in Deutschland weit weniger Rechte einräumen lässt als es dies im englischsprachigen Raum macht. So stellt Google zunächst klar, dass der Nutzer alle Urheberrechte und bestehenden gewerblichen Schutzrechte behält. Allerdings wird durch die Einstellung von Daten in die Cloud Google ein unentgeltliches, nicht ausschließliches, aber weltweites und zeitlich unbegrenztes Recht eingeräumt, die Inhalte ausschließlich zum Zweck der Erbringung des Dienstes und in dem nötigen Umfang zu nutzen. So wird Google unter anderem das Recht eingeräumt, die Inhalte technisch zu vervielfältigen und die Daten öffentlich zugänglich zu machen, sofern eine öffentliche Zugänglichmachung durch den Nutzer beabsichtigt wird oder ausdrücklich eine solche Zugänglichmachung bestimmt wurde.

Zur Website von Google Drive

Nutzungsbedingungen von Google Drive

 

Nutzungsbedingungen Apple iCloud

Auch Apple bitte einen eigenen Online-Speicher-Dienst mit Namen iCloud. Apple lässt sich hier an den hochgeladenen Inhalten ein weltweites einfaches Nutzungsrecht einräumen, allerdings nur, soweit dies nötig ist, um den Dienst zu betreiben.

Zur Website von Apple iCloud

Nutzungsbedingungen Apple iCloud

 

Nutzungsbedingungen von Microsoft OneDrive (Früher: SkyDrive)

Wie bei Dropbox erhebt auch Microsoft OneDrive keine Eigentumsansprüche an den in die Cloud eingestellten Daten. Allerdings erklärt man sich durch Nutzung von OneDrive ebenfalls damit einverstanden, dass Microsoft die Cloud-Inhalte „in dem für die Bereitstellung des Services erforderlichen Umfangs innerhalb des Services verwendet, ändert, kopiert, vertreibt und veröffentlicht, jedoch nur, um den Vertrag mit ihnen zu erfüllen.“

Zur Website von Microsoft Skydrive

Nutzungsbedingungen von Microsoft SkyDrive

 

Fazit

Bei allen Vorteilen aus technischer Sicht ist bei der Nutzung von Cloud-Computing Diensten aus rechtlicher Sicht Vorsicht geboten: durch die unbestimmten Formulierungen in den Nutzungsbedingungen wird den Cloud-Anbietern ein weiter Spielraum eingeräumt, die eigenen Daten zu nutzen. Aus datenschutzrechtlicher Sicht ist dabei vor allem Zurückhaltung geboten, wenn außereuropäische Cloud-Services genutzt werden sollen. Will der Nutzer daher auf Nummer sicher gehen, so sollte die Devise heißen: so viele Daten wie nötig, so wenig Daten wie möglich.

Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.

Rechtsanwältin Annika Haucke
Annika Haucke
Rechtsanwältin

Annika Haucke ist Rechtsanwältin und Journalistin (Freie Journalistenschule). Als Fachredakteurin von eRecht24 bereitet sie Beiträge verständlich auf und gibt praxisnahe Handlungsempfehlungen. Rechtsanwältin Haucke ist auf Medienrecht spezialisiert und hat darüber hinaus mehrjährige redaktionelle Erfahrung in weiteren Rechtsgebieten, z.B. Steuer-und Medizinrecht. Seit 2013 veröffentlichte sie eine Vielzahl von Artikeln und Ratgebern, u. a. bei Stiftung Warentest, Tagesspiegel Background und Computerwoche.

Jensen
Die Frage ist doch auch:
Muß ich meinen Geschäftspartner (GS) mitteilen, das meine/seine Daten in der Cloud gespeichert werden ?
Und wenn ja = was ist, wenn der GS das ablehnt, weil z.B. Googel Cloud und das Risiko des "Datendiebstahls " bzw. Weiterverwertun g zu hoch ist.

Zitat aus euren Artikel: "[..] die Inhalte ausschließlich zum Zweck der Erbringung des Dienstes und in dem nötigen Umfang zu nutzen. So wird Google unter anderem das Recht eingeräumt, die Inhalte technisch zu vervielfältigen und die Daten öffentlich zugänglich zu machen, sofern eine öffentliche Zugänglichmach ung durch den Nutzer beabsichtigt wird oder ausdrücklich eine solche Zugänglichmach ung bestimmt wurde"

zum Zweck der Erbringung des Dienstes = Googel lebt ja von User-Daten. Ohne diese kann Googel die Erbringung der Dienste ja nicht sicherstellen. Allein das ist ja schon eine recht bedenkliche bzw. schwammige Aussage.

Also: @e-recht24: Muß ich es meinen GS gegenüber anzeigen ?

3
Rico
Hallo,zunächst herzlichen Dank für die Ausführungen.Derzeit interessiere ich mich für einen Dienst, der über das Google Data Center gehostet wird. Ich finde leider keine passenden Ausführungen zu meiner grundsätzlichen Frage: Ist das Google Data Center grundsätzlich auf der "whitelist" zu führen oder auf der "blacklist"?! Kann mir hierzu jemand konkret helfen?Besten Dank vorab!
2
Chris Thoss
Ich würde grundsätzlich einmal aus technischer Sicht sagen, das die Dienste selbst kein rechtliches Problem dasrtellen. Lediglich sind die Daten und dessen Sensibilität eher das große Thema. Aus technischer Sicht kann man also Pauschal sagen, verschlüsselt eure Daten selbst mit Veracrypt Conainern oder sonstige Verschlüsselungsso ftware, die mindestens 256 BIT AES als Alghoritmus enthält, besser 1024 BIT - 4096 BIT. Wenn ihr mit Conainern arbeitet könnt ihr zig Dateien in eine Datei verschlüsselt und auch DGSVO Konform in die Cloud geben - unabhängig ob Google Drive, Dropbox und wie sie alle heißen. Die DGSVO lebt es doch vor - Daten, die das Unternehmen verlassen - egal wie müssen verschlüsselt auf den Endgeräten vorliegen und dürfen auch nur verschlüsselt weiter gegeben werden. Unterm Strich einmal zur Frage: Datenschutz spielt nach einer sicheren Verschlüsselung im 1024 Bit und höheren Bereich dann keine Rolle mehr, sofern ihr euch an die Regeln haltet, das ihr wirklich auch sichere Passwörter oder Mehrfaktor Authorisierunge n für die Dechiffrierung verwendet. Securstar Drivecrypt arbeitet z.B. mit Containern und eine starke 1344 Bit Verschlüsselung. Viel mehr kann man nicht machen, wenn man Daten außer Haus geben will, oder man setzt sich eine Firmencloud auf und da gibt es auch sehr gute Lösungen. So long - Chris Thoss
3
Greg
Probiert mal Leitz Cloud unter: https://www.leitz-cloud.com/de-de aus. Ist soweit absolut klasse für Gruppen und Unternehmen. Alles in Deutschland und DSGVO konform. Ich habe recherchiert und haben auch keine Kontakte oder Verbindungen zu US Personal oder US Unternehmen. Echt gut!
5
damianduchamps
Google hat mittlerweile für sein Angebot sogar das C5 Testat des BSI. Das ist schon eine Menge wert. Auch die MS Cloud Deutschland mit dem entsprechenden Office 365 hat dieses Testat. Nutzt aber nichts, da dieses Angebot Anfang 2019 ausläuft. Das normale Office 365 hat bisher kein C5 Testat.Rein formell, nach den Angaben der Dokumentation der Cloud Anbieter, sind alle DS-GVO compliant. Ob das in der Praxis zutrifft, muss man selbst herausfinden.
2
Si
[quote name="JCP"] Von einem "Lehrer" sollte man eine Vorbildfunktion erwarten können welche in der heutigen Zeit leider sehr mangelhaft ist!Wie wäre es mit "Vorbild wie man seine Daten sicher speichert und was man über sich Preis gibt" JCP?Man kann sich vor der Technik nicht verschließen... nutzen und es richtig machen! Und das wird in dem Artikel meines Erachtens auch nicht klar!
0
Ein Neuling
Flo sagte :
Insbesondere unter dem Blickpunkt der GoogleDrive ist glaube ich nur bei nicht personenbezogen en Daten zulässig.Office365 ist meines Wissens auf Grund des Treuhandmodells zulässig. Ist das generell korrekt?
Auf der Google-Seite lese ich "Sie können sich darauf verlassen, dass Google die Datenschutz-Grundverordnung in allen Google-Cloud-Diensten einhält. " (Quelle: https://www.google.com/intl/de_ALL/cloud/security/gdpr/)Ist das nicht so zu verstehen, dass Google Drive auch DSGVO-konform ist?

3
Flo
Danke für diesen Artikel. Insbesondere unter dem Blickpunkt der DSGVO erhält das Thema eine neue Priorität.Ich wäre sehr dankbar, wenn Sie GoogleDrive und Office365 unter dem Blickwinkel der DSGVO ergänzen könnten.GoogleDrive ist glaube ich nur bei nicht personenbezogen en Daten zulässig.Office365 ist meines Wissens auf Grund des Treuhandmodells zulässig. Ist das generell korrekt?
3
dgsvo-monster
Schade das der Autor nicht zeigt..
2
wolliberlin
Es gibt doch verschiedene Möglichkeite n seine Daten nicht in die Cloud geben zu müssen. Man kann zum Beispiel sich selbst zuhause eine Cloud einrichten. Man kann die Daten(Fotos) auf externen Laufwerken zuhause lagern. Im übrigen dauert das hochladen in die Cloud ziemlich lange und die Software dafür ist meist nicht ausgereift. Am besten ist es die Daten nicht aus dem Haus zu geben, da auf verschiedenen Ebenen auf die Daten zugegriffen werden kann.
0

Diese Beiträge könnten Sie ebenfalls interessieren:
Weiterlesen...
DSGVO und Datenschutzmanagement: Darauf müssen Sie bei der Wahl Ihrer Datenschutzsoftware achten
Weiterlesen...
DSGVO: Datenschutzkontrollen durch die Datenschutzbehörden
Weiterlesen...
Die DSGVO und Datenpannen: Wann sind Sie zu einer Meldung verpflichtet?
Weiterlesen...
Private Termine in geschäftlichem Kalender: Dürfen Arbeitgeber mitlesen?
Weiterlesen...
Das neue TTDSG: Neues bei Cookies und Co. für Webseitenbetreiber und Agenturen
Weiterlesen...
Oft vergessen, aber Pflicht für jeden Unternehmer: Das DSGVO Verarbeitungsverzeichnis
Weiterlesen...
Coronavirus und Verdienstausfall: die 18 häufigsten Fragen zu Quarantäne, Krankschreibung und Kurzarbeit
Weiterlesen...
Social Media Guidelines: Wie kommunizieren Ihre Mitarbeiter bei Facebook & Co?
Weiterlesen...
DSGVO: Der neue eRecht24 Datenschutz-Generator ist online
Weiterlesen...
Chatbots und die DSGVO: Wie setze ich Chatbots DSGVO-konform ein?
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details
Support