Worum geht's?
Immer mehr Anbieter stellen Nutzern große Mengen an Datenspeicher online zur Verfügung. Neben den bekannten Cloud-Diensten Dropbox, iCloud, Microsoft OneDrive und Google Drive gibt es noch viele weitere Dienste, die Cloud-Services anbieten. Bereits seit einigen Jahren existiert nun die Datenschutzgrundverordnung und macht natürlich auch vor dem Cloud-Computing nicht Halt.
Was genau ist im Hinblick auf die Datensicherheit beim Cloud-Computing zu beachten? Welche Arten des Cloud-Computings gibt es? Wie können Sie beim Cloud-Computing Sicherheit und eine DSGVO-konforme Cloud feststellen? Wir zeigen Ihnen, was Sie aus rechtlicher Sicht über die Datenwolke wissen müssen.
1. Was ist Cloud-Computing?
Bei einer „Cloud“ handelt es sich aus dem Englischen übersetzt um eine „Wolke“. Beim Cloud-Computing werden vor allem Daten gespeichert. Dies ist aber nicht die einzige Funktion einer Cloud. Generell wird nämlich ein IT-Service über das Internet zur Verfügung gestellt. Folgende Punkte können das sein:
- Online-Speicherplatz für Daten
- Verschiedene Anwendungen (z. B. Online-Textprogramm, Online-Bildbearbeitung, Online-Tabellensoftware etc.)
- Infrastruktur-Services (Server, die durch Dritte betrieben werden)
Der Zugriff auf die IT-Ressourcen erfolgt im Internet mittels remote access, also Fernzugriff. Nutzer können aus der Ferne von Servern oder Datenbanken auf Ihre Inhalte zugreifen. Werden Daten in die „Wolke“ geladen, handelt es sich dabei um eine Auftragsverarbeitung gemäß DSGVO. Der Cloud-Anbieter verwaltet als externer Dienstleister die Daten seiner Kunden. Der Nutzer muss in diesem Fall allerdings sicherstellen, dass er die Regelungen des Datenschutzes eingehalten werden.
Technische und rechtliche Aspekte vom Cloud-Computing
Bei „Cloud-Verträgen“ handelt es sich rechtlich gesehen nicht um einen Vertrag, der sich einem konkreten Vertragstypus des BGB zuordnen lässt. Hier muss bei jedem Anbieter im Einzelfall geprüft werden, wie das konkrete Nutzungsverhältnis vertraglich ausgestaltet wurde. In aller Regel wird es sich um einen sogenannten gemischten Vertrag handeln, der - je nachdem, welche Leistungen vom Anbieter erbracht werden - schwerpunktmäßig als Mietvertrag, Werkvertrag oder Dienstvertrag behandelt wird.
WUSSTEN SIE'S?
Wird beispielsweise Cloud-Speicher zur Verfügung gestellt, der gegen ein kostenpflichtiges Upgrade auch noch erweitert werden kann (z.B. wie im Fall von Dropbox), so handelt es sich schwerpunktmäßig um einen Vertrag mit Mietcharakter nach den §§ 535ff. BGB. Je nachdem, wie der Nutzungsvertrag eingeordnet wird, unterscheiden sich dann die Rechte und Pflichten der Nutzers, etwa bei auftretenden Mängeln.
2. Die Arten des Cloud-Computings
Cloud-Anbieter stellen externen Speicherplatz im Internet zur Verfügung, um Inhalte auslagern zu können. Hierbei gilt es zwischen verschiedenen Arten zu unterscheiden:
- Infrastructure-as-a-Service (IaaS)
- Platform-as-a-Service (PaaS)
- Software-as-a-Service (SaaS)
Welche einzelnen Services die verschiedenen Arten umfassen, können Sie unserer folgenden Grafik entnehmen:
3. Computing in einer Cloud: Datenschutz, Datensicherheit und DSGVO
Das deutsche und europäische Datenschutzrecht findet auf „Cloud-Dienste“ grundsätzlich dann Anwendung, wenn es sich bei den in der Cloud gespeicherten Inhalten um sogenannte „personenbezogene Daten“ gem. Art. 4 Nr. 1 DSGVO und § 3 Nr. 1 BDSG handelt. Dies sind gemäß Art. 4 DSGVO „ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen“, also die Daten eines Menschen.
Gerade nicht vom Datenschutzrecht erfasst sind damit Daten über juristische Personen (wie GmbH, AG, etc.) sowie anonyme Daten. Je nachdem, ob Dateien in der Cloud Personenbezug aufweisen oder nicht, sind diese folglich vom Schutz des Datenschutzgesetzes erfasst oder nicht.
Zusätzlich zum BDSG trat im Mai 2018 die Datenschutzgrundverordnung (DSGVO) in Kraft und gilt damit EU-weit. Da sich die DSGVO zu großen Teilen mit dem BDSG deckt, bieten Cloud-Anbieter mit Servern in Deutschland und allgemein in der EU die größte Datenschutzsicherheit.
Bei der Frage, welches Datenschutzrecht Anwendung findet, ist ein genauerer Blick auf Anbieter und Nutzer des Cloud-Dienstes notwendig. Befindet sich der Cloud-Dienst innerhalb der EU und hat ein Cloud-Kunde seinen Wohnsitz in Deutschland, kann in der Regel davon ausgegangen werden, dass die Datenschutzgrundverordnung Anwendung findet.
Nach der DSGVO stellt eine grenzüberschreitende Datenverarbeitung innerhalb der EU kein rechtliches Hindernis dar. Das europäische Datenschutzrecht ist also immer anwendbar, wenn personenbezogene Daten einer Person mit Wohnsitz in einem EU-Land von Cloud-Diensten mit Niederlassung in einem EU-Land auf EU-Servern verarbeitet werden.
4. Datenschutzprobleme bei Cloud-Anbietern außerhalb Europas?
Im Juli 2020 wurde zudem das umstrittene EU-US Privacy Shield vom Europäischen Gerichtshof (EuGH) gekippt. Obwohl diese Entscheidung hauptsächlich den Datentransfer in die USA betrifft, muss gemäß Datenschutzgrundverordnung grundsätzlich das Datenschutzniveau von sogenannten „Drittländern“ außerhalb der EU gecheckt werden.
AUFGEPASST
Wichtig ist hierbei auch beim Cloud-Computing, dass die Anbieter, deren Server sich in Drittländern befinden, den entsprechenden Standardvertragsklauseln des europäischen Datenschutzes entsprechen. In der Regel befolgen US-amerikanische Cloud-Anbieter die amerikanischen Datenschutzbestimmungen. Dementsprechend ist ein Datenexport in eine US-Cloud mit großem Risiko verbunden und in der Regel nicht DSGVO-konform.
Will man dennoch einen außereuropäischen Anbieter für einen Cloud-Dienst nutzen, empfiehlt es sich, das Übermitteln von personenbezogenen Daten in die Wolke zu vermeiden und ausschließlich nicht-personenbezogene Inhalte zu verwenden. Was den praktischen Nutzen der Dienste dann aber stark einschränkt.
5. Wie kann ich selbst checken, ob die Cloud DSGVO-konform ist?
Klar ist, Cloud-Anbieter, die Ihren Serverstandort in der EU haben, müssen DSGVO-konform sein und können meistens bedenkenlos von Unternehmen auch für sensible Inhalte genutzt werden. Bevor Sie sich für einen Cloud-Dienst entscheiden, sollten Sie den Einsatzzweck und die Daten definieren, die gespeichert werden sollen. Denn auch hier gibt es Unterschiede.
Grundsätzlich sollten Sie auch auf die verschiedenen Sicherheitszertifikate und Verschlüsselungen achten. Folgende Kriterien sollten Sie unbedingt beachten:
- Cloud Computing Zertifikat
Hierzu gehört beispielsweise das „Trusted Cloud“ Zertifikat vom BMWi, die EuroCloud-SaaS-Zertifizierung oder das TÜV-Prüfzeichen. Nicht dazu zählt das Zertifikat nach der internationalen Norm ISO/IEC 27001, denn hiermit wird keine Aussage über die Datenschutzstandards getroffen.
- Serverstandort des Cloud-Anbieters
Je nach Standort der Server gilt unterschiedliches Datenschutzrecht. Die Datenschutzgrundverordnung bietet die höchsten Sicherheitsstandards im Datenschutzrecht, sodass Serverstandorte innerhalb der EU in der Regel unbedenklich sind.
- Nutzungsbedingungen
Trotz eines EU-Serverstandorts kann jeder Cloud-Anbieter in den Nutzungsbedingungen – natürlich innerhalb des gesetzlichen Rahmens – sich bestimmte Zugriffs- und Nutzungsrechte der Inhalte einräumen. Hierbei ist Vorsicht geboten!
- Datenverschlüsselung
Über sogenannte Verschlüsselungssoftware lassen sich die Daten in der Cloud sicher verschlüsseln. Dies kann beispielsweise über eine Ende-zu-Ende-Verschlüsselung geschehen oder durch die Verschlüsselung der auf der Cloud gespeicherten Daten, sodass selbst der Cloudanbieter diese nicht entschlüsseln kann (z. B. mit Boxcryptor).
6. Datenverlust und Hackerangriffe: Wann haftet der Cloud-Anbieter?
Für Nutzer von Cloud-Speicher-Diensten stellt sich natürlich die Frage, ob der Anbieter haftet, wenn er einem Hackerangriff zum Opfer gefallen ist und die Inhalte des Nutzers betroffen sind.
Entscheidend für einen zivilrechtlichen Schadensersatzanspruch bei gehackten Cloud-Daten ist die Frage, ob dem Anbieter die Verletzung von Sorgfaltsanforderungen, also ein Verschulden (Vorsatz oder Fahrlässigkeit) nachgewiesen werden kann. Dies ist beispielsweise dann der Fall, wenn der Anbieter anerkannte Sicherheitsstandards nicht einhält und aufgrund dessen der Hacking-Angriff erst ermöglicht wurde.
Bisher ist jedoch kein Urteil eines Gerichts in der deutschen Rechtsprechung bekannt, dass einen solchen Schadensersatzanspruch gewährt hätte oder über einen solchen Fall zu entscheiden gehabt hätte.
7. Ein Blick in die Zukunft: Gaia-X als europäische Cloud
Bei Gaia-X handelt es sich um ein Projekt von verschiedenen Vertretern und Wirtschaft, Politik und Wissenschaft in Europa. Ziel ist eine vernetzte und sichere Dateninfrastruktur zu schaffen. Dazu soll eine europäische Cloud entstehen, die selbstverständlich den Datenschutz-Regelungen entspricht.
So soll es Unternehmern möglich sein, Inhalte zu sammeln, zu teilen und gleichzeitig darüber die Kontrolle zu behalten. Bis die Cloud-Infrastruktur an den Start geht, ist es aber noch ein langer Weg.
MEHR ERFAHREN?
Weitere Informationen zu dem Thema erhalten Sie beim Bundeswirtschaftsministerium (BWMi).
8. Das Kleingedruckte: Die Nutzungsbedingungen von Cloud-Computing im Vergleich
Entscheiden Sie sich dazu, Ihre Daten in die Cloud auszulagern, sollten Sie vor der Nutzung die Nutzungsbedingungen (AGB, terms and conditions) des jeweiligen Anbieters genau ansehen.
Nutzungsbedingungen von Dropbox
Im Fall von Dropbox bleibt der Cloud-Nutzer alleiniger Inhaber der Rechte an den Dateien. Trotzdem ist zu beachten, dass Dropbox den Datenschutz nicht so eng sieht. - Zumindest überträgt der Anbieter die für das Betreiben des Services notwendigen, eingeschränkten Rechte auf den Betreiber. Insbesondere sollen laut dem Betreiber des Cloud-Dienstes dadurch Backups auf rechtlicher Ebene abgedeckt werden. Auch wenn Dropbox selbst behauptet, DSGVO-konform zu sein, sollten Sie dies mit Vorsicht betrachten.
Nutzungsbedingungen von Dropbox
Nutzungsbedingungen von Google Drive
Im Fall von Google Drive ist zum Datenschutz zunächst zu erwähnen, dass sich Google in Deutschland weit weniger Rechte einräumen lässt als es dies im englischsprachigen Raum macht. So stellt Google zunächst klar, dass der Nutzer alle Urheberrechte und bestehenden gewerblichen Schutzrechte behält.
Allerdings wird durch die Einstellung von Inhalten in die Cloud Google ein unentgeltliches, nicht ausschließliches, aber weltweites und zeitlich unbegrenztes Recht eingeräumt, die Inhalte ausschließlich zum Zweck der Erbringung des Dienstes und in dem nötigen Umfang zu nutzen. So wird Google unter anderem das Recht eingeräumt, die Inhalte technisch zu vervielfältigen und die Daten öffentlich zugänglich zu machen, sofern eine öffentliche Zugänglichmachung durch den Nutzer beabsichtigt wird oder ausdrücklich eine solche Zugänglichmachung bestimmt wurde.
Nutzungsbedingungen von Google Drive
Nutzungsbedingungen Apple iCloud
Apple bietet einen eigenen Online-Speicher-Dienst mit Namen iCloud. Apple lässt sich hier an den hochgeladenen Inhalten ein weltweites einfaches Nutzungsrecht einräumen, allerdings nur, soweit dies nötig ist, um den Dienst zu betreiben. Da die Daten in der „Wolke“ nur teilweise verschlüsselt versendet und hinterlegt werden, nimmt es die iCloud mit Datenschutz nicht ganz so genau.
Nutzungsbedingungen Apple iCloud
Nutzungsbedingungen von Microsoft OneDrive (Früher: SkyDrive)
Wie regelt Microsoft OneDrive den Datenschutz? Genauso wie bei Dropbox erhebt auch Microsoft OneDrive keine Eigentumsansprüche an den in die Cloud eingestellten Daten. Allerdings erklärt man sich durch Nutzung von OneDrive ebenfalls damit einverstanden, dass Sie Microsoft die Cloud-Inhalte „beispielsweise zur Erstellung von Kopien, zur Speicherung, Übertragung, Umformatierung, Verteilung über Kommunikationsinstrumente und Anzeige Ihrer Inhalte in den Diensten“ zur Verfügung stellen.
Nicht alle Daten, die über Microsoft OneDrive oder Microsoft Office 365 in der Cloud verarbeitet werden, können auch auf europäische Rechenzentren ausgelagert werden. Dementsprechend ist auch OneDrive bezüglich DSGVO-Konformität mit Vorsicht zu genießen.
Nutzungsbedingungen von Microsoft OneDrive
9. Fazit zum Thema Cloud und Datenschutz
Bei allen Vorteilen aus technischer Sicht ist bei der Nutzung von Cloud-Computing Diensten aus rechtlicher Sicht Vorsicht geboten: durch die unbestimmten Formulierungen in den Nutzungsbedingungen wird den Cloud-Anbietern ein weiter Spielraum eingeräumt, die eigenen Daten zu nutzen. Aus datenschutzrechtlicher Sicht ist dabei vor allem Zurückhaltung geboten, wenn außereuropäische Cloud-Services genutzt werden sollen. Will der Nutzer daher auf Nummer sicher gehen, so sollte die Devise heißen: so viele Daten wie nötig, so wenig Daten wie möglich.
10. FAQ: Cloud Computing und Datenschutz
Alles, was Sie wissen müssen