Kanzlei Mitarbeiter Kontakt Impressum Datenschutz

Datenschutz bei SaaS und Cloud Computing

21.01.2011 | Datenschutz und IT-Sicherheit | Cloud Computing und SaaS | von Carsten Gerlach

Datenschutz ist ein kritischer Aspekt von Software-as-a-Service und Cloud-Computing-Angeboten und kann ein rechtliches K.O.-Kriterium sein. Vor allem bei ausländischen und internationalen SaaS- bzw. Cloud-Computing-Providern entstehen datenschutzrechtliche Probleme. Die datenschutzrechtliche Fragen bei SaaS und Cloud Computing sind lösbar, müssen aber bei der Auswahl des SaaS-/Cloud-Computing Providers und der Vertragsgestaltung berücksichtigt werden.

Datenschutz-Grundsätze bei Software as a Service und Cloud Computing


Wenn personenbezogene Daten in der Cloud verarbeitet werden, die unter die EU- Datenschutzrichtlinie bzw. unter das Bundesdatenschutzgesetz (BDSG) fallen, ist der SaaS-/Cloud-Computing-Provider Auftragsdatenverarbeiter im Sinne der §§ 9, 11 BDSG und Art. 17 der EU-Datenschutzrichtlinie. Die Vorgaben des BDSG für die Vertragsgestaltung müssen daher berücksichtigt werden.

Besondere Anforderungen gelten, wenn personenbezogene Daten in Nicht-EU-Staaten weiterverarbeitet oder gespeichert werden. Der Cloud-Computing- bzw. SaaS-Provider muß dann ein "adäquates Schutznievau" sicherstellen - z.B. durch Vereinbarung besonderer Vertragsbestimmungen über die Übermittlung personenbezogener Daten.

Anwendungsbereich der Datenschutzgesetze


Datenschutzprobleme entstehen nur dort, wo personenbezogene Daten betroffen sind oder sein können.

Der Begriff der personenbezogene Daten ist im Bundesdatenschutzgesetz (BDSG) und der EG-Datenschutzrichtlinie (Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr) definiert.

Beispielsweise enthalten CRM-Daten oder E-Mails in der Regel personenbezogene Daten. Echtzeit-Kommunikation (z.B. per VOIP) umfaßt i.d.R. ebenfalls personenbezogene Daten (z.B. das "wer", "wann" und "was" der Kommunikation - wobei die Kommunikationsinhalte zusätzlich dem Fernmeldegeheimnis unterfallen).

Datenübermittlung in das Ausland


Besonders problematisch gestaltet sich die Lage, wenn sich der Saas- bzw. Cloud-Computing-Provider im Ausland befindet oder dort Rechenzentren betreibt.

Gemäß § 4b, § 4c BDSG und Art. 25 und Art. 26 der EG-Datenschutzrichtlinie darf eine Übermittlung von personenbezogenen Daten in einen Nicht-EU-Staat nur dann erfolgen, wenn in den jeweiligen Ländern ein "adäquates Datenschutzniveau" sichergestellt ist.

Praktisch kann ein solches "adäquates Schutzniveau" folgendermaßen sichergestellt werden:

  • Ein adäquates Schutzniveau für Daten, die in den USA verarbeitet werden, liegt dann vor wenn ein Unternehmen den sogenannten Safe-Harbour-Bestimmungen zugestimmt hat (http://www.export.gov/Safeharbor/). Derzeit sind nur wenige US-Unternehmen auf der Safe-Harbor-Liste eingetragen.

  • Auch vertragliche Regelungen können ein "adäquates Datenschutzniveau" sicherstellen. Die EU hat für die Übermittlung von persönlichen Daten Standard-Vertragsklauseln veröffentlicht (ABl. EG vom 12.2.2010, No. L 39/5). Wenn diese Klauseln mit dem SaaS- bzw. Cloud-Computing-Provider vereinbart wurden, wird ein angemessenes Maß an Sicherheit für die Daten angenommen.

Da der Nutzer beim Cloud Computing in der Regel nicht weiß, auf welchen Servern in welchen Orten und Ländern seine Daten gerade lagern bzw. verarbeitet werden, muß das Problem der möglichen Datenübermittlung in das Nicht-EU-Ausland vor Vertragsschluß geklärt und gelöst werden. Einige SaaS- und Cloud-Anbieter sind daher bereits dazu übergegangen, eine Übermittlung von Daten außerhalb der EU auszuschließen - d.h. zuzusagen, daß alle Rechenzentren in der EU betrieben werden.

Auftragsdatenverarbeitung


Gemäß § 11 BDSG und Art. 17 EG-Datenschutzrichtlinie sind SaaS und Cloud-Computing-Services Auftragsdatenverarbeitung: der SaaS- bzw. Cloud-Computing-Provider verarbeitet Daten im Auftrag des Kunden.

Der SaaS-Vertrag bzw. Cloud-Computing-Vertrag muß daher Klauseln enthalten, die § 11 Abs. 2 BDSG und Art. 17 EG-Datenschutzrichtlinie entsprechen. Dies beinhaltet insbesondere die folgenden Verpflichtungen:
  • Der SaaS-/Cloud-Computing-Provider muß die Vorgaben zu Datenschutz und Datensicherheit nach § 9 BDSG, der Anlage zu § 9 BDSG und Art. 17 EG-Datenschutzrichtlinie befolgen. Dies beinhaltet u.a. die Vorlage eines Datenschutz- und Sicherheitskonzepts, das vom Kunden möglichst vor Vertragsschluß geprüft werden sollte.
  • Der Kunde muß zur Überprüfung und Kontrolle der Einhaltung der datenschutzrechtlichen Pflichten berechtigt sein.
  • Wenn der Cloud-Computing- bzw. SaaS-Anbieter Unterauftragsverhältnisse mit Subunternehmen hinsichtlich der Cloud-Dienste schließt, müssen auch die Subunternehmer den datenschutzrechtlichen Standards gerecht werden.

Zeritifizierungen


Die datenschutzrechtliche Konformität eines SaaS- bzw. Cloud-Computing-Angebots kann durch Zeritifizierungen nachgewiesen bzw. bestätigt werden. Bei der Vorlage derartiger Zertifikate ist jedoch eine genaue Prüfung dringend erforderlich. Näheres dazu finden Sie in unserem Artikel zu Zertifizierung und Compliance bei SaaS und Cloud-Computing.


Weitere Informationen zum Thema Vertraulichkeit und Geheimhaltung bei Software as a Service (SaaS) und Cloud Computing finden Sie hier.

Haben Sie Fragen oder benötigen Sie Beratung zum Datenschutz und Cloud Computing bzw. SaaS? Nehmen Sie mit uns Kontakt auf - über das untenstehende Kontaktformular oder telefonisch mit Rechtsanwalt Carsten Gerlach über (030) 2005420.

23.09.2023

Ausgezeichnet


JUVE-Handbuch 2016/2017 empfiehlt erneut TCI Rechtsanwälte

mehr

 

Datenschutzgrundverordnung (DSGVO)

Am 25. Mai 2018 tritt die Datenschutz-Grundverordnung (DS-GVO) in Kraft. Wir beraten Sie zu den neuen Anforderungen, den drohenden Risiken und zur der Umsetzung erforderlicher Maßnahmen zur Gewährleistung der Datenschutz- Compliance.

mehr

 

IT-Beschaffung und Ausschreibung

Sie finden bei uns Informationen zur Ausschreibung und Beschaffung von Software durch die öffentliche Hand - z.B. Beschaffung von Gebrauchtsoftware, Open-Source-Software oder über Rahmenverträge.

mehr

 

Aktuelle Veröffentlichungen

Carsten Gerlach, Sicherheitsanforderungen für Telemediendienste - der neue § 13 Abs. 7 TMG, in: CR 2015, 581


Carsten Gerlach, Personenbezug von IP-Adressen, in: CR 2013, S. 478


Carsten Gerlach, Vergaberechts- probleme bei der Verwendung von Open-Source-Fremdkomponenten, in: CR 2012, S. 691


Michael Karger, BGH: "Handlungsanweisung" für Hostprovider bei möglicherweise persönlichkeitsrechtsverletzendem Blogbeitrag, in: GRUR-Prax 2012, S. 35

 

IT-Recht im beck-blog

blog zum IT-Recht von Dr. Michael Karger im Experten-blog des Verlags C.H. Beck