79,99 €
Cloud Computing steht für das flexible, dynamische, skalierbare und bedarfsorientierte Anbieten, Nutzen und Abrechnen von Infrastruktur- und Anwendungskomponenten über das Internet »als Dienst«. Die vielfältigen Chancen und Vorteile von Cloud Computing treffen jedoch auf einen Rechtsrahmen, der die Besonderheiten (global) verteilter, multimandantenfähiger und virtualisierter IT-Infrastrukturen konzeptionell noch gar nicht zu berücksichtigen hatte. Die zentralen Herausforderungen von Cloud Computing an den Rechtsrahmen für Datenschutz werden auf Grundlage des BDSG und der Entwicklungen im Zuge der EU-Datenschutzreform praxisnah und anhand typischer Spannungsfelder erörtert. Im Fokus stehen das anzuwendende Datenschutzrecht, der Personenbezug von Daten, die Daten- und Informationssicherheit sowie die Auftragsdatenverarbeitung. Da globale Datenströme das technische Rückgrat einer globalisierten Weltwirtschaft bilden, liegt ein Schwerpunkt auch auf internationalen Datentransfers – aus Gründen der Praxisrelevanz vor allem in die USA auf Basis der »Safe-Harbor-Vereinbarung«.
Das E-Book können Sie in Legimi-Apps oder einer beliebigen App lesen, die das folgende Format unterstützen:
THORSTEN HENNRICH
Cloud Computing – Herausforderungen an den Rechtsrahmen für Datenschutz
Internetrecht und Digitale Gesellschaft
Herausgegeben von
Dirk Heckmann
Band 4
Die Juristische Fakultät der Universität Passau hat diese Arbeit im Jahre 2015 als Dissertation angenommen.
Bibliografische Information der Deutschen Nationalbibliothek
Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.
Alle Rechte vorbehalten © 2016 Duncker & Humblot GmbH, BerlinFremddatenübernahme: L101 Mediengestaltung, Berlin Druck: buchbücher.de gmbH, Birkach Printed in Germany
ISSN 2363-5479 ISBN 978-3-428-14780-9 (Print) ISBN 978-3-428-54780-7 (E-Book) ISBN 978-3-428-84780-8 (Print & E-Book)
Gedruckt auf alterungsbeständigem (säurefreiem) Papier entsprechend ISO 9706
Internet: http://www.duncker-humblot.de
Meiner Familie
Vorwort
Cloud Computing steht für das flexible, dynamische, skalierbare und bedarfsorientierte Anbieten, Nutzen und Abrechnen von Infrastruktur- und Anwendungskomponenten über das Internet „als Dienst“. Die vielfältigen Chancen und Vorteile von Cloud Computing treffen jedoch auf einen Rechtsrahmen, der die Besonderheiten (global) verteilter, multimandantenfähiger und virtualisierter IT-Infrastrukturen konzeptionell noch gar nicht zu berücksichtigen hatte.
Die zentralen Herausforderungen von Cloud Computing an den Rechtsrahmen für Datenschutz werden auf Grundlage des BDSG und der Entwicklungen im Zuge der EU-Datenschutzreform praxisnah und anhand typischer Spannungsfelder erörtert. Im Fokus stehen das anzuwendende Datenschutzrecht, der Personenbezug von Daten, die Daten- und Informationssicherheit sowie die Auftragsdatenverarbeitung. Da globale Datenströme und weltweite Netzwerke das technische Rückgrat einer globalisierten Wirtschaft und Gesellschaft bilden, liegt ein Schwerpunkt auch auf internationalen Datentransfers – aus Gründen der Praxisrelevanz vor allem in die USA auf Basis der „Safe-Harbor-Vereinbarung“.
Die vorliegende Arbeit wurde im ersten Halbjahr des Jahres 2015 von der Juristischen Fakultät der Universität Passau als Dissertation angenommen.
Sehr herzlich danke ich meinem Doktorvater, Herrn Prof. Dr. Dirk Heckmann, für die hervorragende Unterstützung und Betreuung des Promotionsvorhabens sowie für die Aufnahme in seine Schriftenreihe. Insbesondere die Gelegenheit zur Mitwirkung an einer Studie zum sicheren Einsatz von Cloud Computing für Kommunen ermöglichte Grundlagenforschung zum „status quo“ von IT-Outsourcing der öffentlichen Hand. Forschungsergebnisse dieser Studie sind auch in die vorliegende Arbeit eingeflossen.
Herrn Prof. Dr. Kai von Lewinski danke ich herzlich für die Erstellung des Zweitgutachtens und seine wertvollen Hinweise.
Ganz besonders danke ich meinen Eltern, Hiltrud und Lothar Hennrich, sowie meinen verstorbenen Großeltern, Hedwig und Franz Englmaier, die mit ihrer unschätzbaren und vielfältigen Unterstützung meine Ausbildung und diese Arbeit ermöglicht haben. Ihnen und meiner ganzen Familie – auch meinem kleinen Neffen und Patenkind Felix, der auf seine lustige Art oft zur Entspannung beitrug – ist diese Arbeit gewidmet.
[8] Bei meinem Bruder Matthias Hennrich bedanke ich mich für technischen Input zum Thema Cloud Computing, zahlreiche Anregungen sowie für die Möglichkeit, jederzeit auf sein großes Know-how in diesem Bereich zurückgreifen zu können. Durch die gemeinsame Führung eines Colocation- / Hosting-Anbieters seit dem Jahr 2001 konnte für diese Arbeit zugleich auf jahrelange Praxiserfahrung mit Cloud- und Virtualisierungstechnologien zurückgegriffen werden.
Meinem Bruder Dr. Stephan Hennrich danke ich für seine vielfältige Unterstützung, insbesondere für zahlreiche Diskussionen und wertvolle Tipps rund um diese Arbeit. Er hatte stets ein offenes Ohr für meine Anliegen und nahm sich auch bei komplexen juristischen Themen immer gerne die notwendige Zeit.
Für zahlreiche Gespräche, Feedback und gemeinsame Veröffentlichungen danke ich vor allem Herrn Dr. Fabian Niemann und Herrn Dr. Michael Marc Maisch.
Neben diversen Fachaufsätzen und Studien ist diese Arbeit das zentrale Ergebnis einer jahrelangen rechtlichen Befassung mit der Materie Cloud Computing, die auch künftig weitergehen wird.
Die Untersuchung wurde im September 2014 abgeschlossen. Die nachfolgende rechtliche Entwicklung wurde bis Juli 2015 berücksichtigt.
Frankfurt am Main, im Juli 2015 Thorsten Hennrich
Inhaltsübersicht
A.
Einleitung
I.
Cloud Computing – I.„as a Service“ .
II.
Chancen und Risiken innovativer Technologielösungen als Herausforderungen an einen Rechtsrahmen.
III.
Gang der Darstellung.
B.
Die Grundlagen von Cloud Computing
I.
Von Mainframes zu Datenwolken.
II.
Technische Rahmenbedingungen für Cloud Computing.
III.
Basistechnologien von Cloud Computing.
IV.
Begriff und Definition von Cloud Computing.
V.
Service Modelle.
VI.
Bereitstellungsmodelle.
VII.
Die geographischen Dimensionen von Cloud Computing.
C.
Zentrale Herausforderungen von Cloud Computing an den Rechtsrahmen für Datenschutz
I.
Einleitung – Das Spannungsfeld zwischen Cloud Computing und Datenschutz.
II.
Das anzuwendende Datenschutzrecht bei einem „Rechnen in Datenwolken“.
III.
Der Personenbezug von Daten.
IV.
Internationale Datentransfers.
V.
Allgemeine Datenund Informationssicherheit (§ 9 BDSG).
VI.
Auftragsdatenverarbeitung (§ 11 BDSG).
VII.
Datenübermittlung (nach § 28 Abs. 1 S. 1 Nr. 2 BDSG).
D.
Zusammenfassung
I.
Herausforderungen an das anzuwendende Datenschutzrecht.
II.
Herausforderungen an den Personenbezug von Daten.
III.
Herausforderungen im Kontext internationaler Datentransfers an EU. Standardvertragsklauseln und verbindliche Unternehmensregelungen.
IV.
Herausforderungen an transatlantische Datentransfers in die US. auf Basis von Safe Harbor.
V.
Herausforderungen an die Grundsätze der Daten- und Informationssicherheit.
VI.
Herausforderungen an eine Auftragsdatenverarbeitung.
VII.
Herausforderungen an eine Datenübermittlung.
Literaturverzeichnis
Sachverzeichnis
Inhaltsverzeichnis
A.
Einleitung
I.
Cloud Computing – IT „as a Service“
II.
Chancen und Risiken innovativer Technologielösungen als Herausfor- derungen an einen Rechtsrahmen
III.
Gang der Darstellung
B.
Die Grundlagen von Cloud Computing
I.
Von Mainframes zu Datenwolken
1.
Meilensteine des Informationszeitalters auf dem Weg zur Cloud
2.
Cloud Computing – Evolution oder Revolution?
II.
Technische Rahmenbedingungen für Cloud Computing
1.
Breitbandige Internetzugänge und mobile Kommunikation
2.
Vielfältige Zugangsgeräte
a)
Von PC bis Smartphone – Zugangsgeräte in Zeiten wachsender mobiler Kommunikation
b)
Zugangsgeräte in einem Smart Grid und Internet der Dinge
c)
Thin Clients und Zero Clients
3.
Einfache Zugriffsmöglichkeiten via Browser oder App
4.
Leistungsstarke Hardware und breitbandige Standortvernetzung
III.
Basistechnologien von Cloud Computing
1.
Grid Computing
2.
Computer Cluster
3.
Service-orientierte Architekturen (SOA)
4.
Virtualisierung
a)
Systemvirtualisierung durch einen Hypervisor
b)
Anwendungsvirtualisierung
c)
Vorteile
5.
Server-based Computing und Application Service Providing
IV.
Begriff und Definition von Cloud Computing
1.
Einleitung
2.
The NIST Definition of Cloud Computing
3.
Definition des BSI
4.
Stellungnahme und zugrunde gelegte Begriffsdefinition
5.
Abgrenzung zu „klassischem“ IT-Outsourcing
V.
Service Modelle
1.
Einleitung – Der Gedanke von „IT / Everything as a Service“ (XaaS)
2.
Infrastructure as a Service (IaaS)
a)
Wesentliche Charakteristika und Vorteile
b)
Praxisbeispiele
aa)
Amazon Web Services
(1)
Amazon Elastic Compute Cloud (Amazon EC2)
(2)
Amazon Simple Storage Service (Amazon S3)
(3)
Availability Zones und Regionen
bb)
Dropbox
3.
Platform as a Service (PaaS)
a)
Wesentliche Charakteristika und Vorteile
b)
Praxisbeispiele
4.
Software as a Service (SaaS)
a)
Wesentliche Charakteristika und Vorteile
b)
Praxisbeispiele
aa)
Microsoft Office 365
bb)
Google Apps for Business
cc)
salesforce.com
dd)
Apple iCloud
5.
Weitere Ausprägungen und Spezifizierungen
VI.
Bereitstellungsmodelle
1.
Public Cloud
a)
Charakteristika und wesentliche Elemente
b)
Vor- und Nachteile von Public Clouds
2.
Private Cloud
a)
Charakteristika und wesentliche Elemente
b)
Vor- und Nachteile von Private Clouds
c)
„Echtes“ Cloud Computing in der Private Cloud? – Eine Frage des begrifflichen Verständnisses
3.
Spezielle Ausprägungen
a)
Hybrid Cloud
b)
Virtual Private Cloud
c)
Community Cloud
d)
Regionale Clouds und weitere Unterteilungen
VII.
Die geographischen Dimensionen von Cloud Computing
C.
Zentrale Herausforderungen von Cloud Computing an den Rechtsrahmen für Datenschutz
III.
Einleitung – Das Spannungsfeld zwischen Cloud Computing und Da- tenschutz
II.
Das anzuwendende Datenschutzrecht bei einem „Rechnen in Daten- wolken“
1.
Einleitung
2.
Rechtsrahmen – § 1 BDSG
a)
Territorialitätsprinzip
b)
Kollisionsrechtliche Regelungen nach § 1 Abs. 5 BDSG
aa)
Kollisionsregelung gegenüber EU / EWR-Staaten (§ 1 Abs. 5 S. 1 BDSG)
(1)
Sitzprinzip
(2)
Niederlassungsprinzip
bb)
Kollisionsregelung gegenüber Drittstaaten (§ 1 Abs. 5 S. 2–4 BDSG)
3.
Herausforderungen von Cloud Computing an das anzuwendende Datenschutzrecht
a)
Die Herausforderung der Bestimmung des Datenverarbeitungsstandorts und dessen territoriale Zuordnung zu einer Jurisdiktion bei grenzüberschreitenden Datenverarbeitungsszenarien
aa)
Charakteristika dieser Herausforderung
(1)
Verteiltes, IT-systemunabhängiges und standortübergreifendes Rechnen
(2)
Datenreplikationen in hochverfügbaren Storage-Clustern
(3)
Intransparente Anbieterinformationen und ungleiche Verhandlungskonstellationen
bb)
Bewertung dieser Herausforderung
(1)
Auswirkungen auf die Bestimmung des anzuwendenden Datenschutzrechts
(a)
Höhere Abstraktionsebene bei Standortbestimmung: Berücksichtigung sämtlicher der Datenwolke zu- grunde liegenden Standorte
(b)
Orientierung an allgemeinen Handlungsempfehlungen für Cloud Computing
(2)
Auswirkungen auf die datenschutzrechtliche Verantwortlichkeit
(a)
Keine oder nur unzureichende Kenntnis über Da- tenverarbeitungsstandorte
(b)
Kenntnis über Datenverarbeitungsstandorte
(aa)
Eingrenzbare Datenwolken
(bb)
Jurisdiktionsübergreifende Datenwolken
(cc)
Rechtliche Folgen einer jurisdiktionsübergreifenden Cloud-Infrastruktur
(3)
Ergebnis
cc)
Cloud Computing und die Anwendbarkeit des BDSG bei Kenntnis über die Datenverarbeitungsstandorte – Ein Blick auf praxisrelevante Datenverarbeitungsszenarien
(1)
Sicht eines datenschutzrechtlich verantwortlichen Nutzers aus Deutschland
(a)
Datenverarbeitung außerhalb von EU und EWR (Drittstaaten)
(b)
Datenverarbeitung in „EU-Clouds“
(c)
Datenverarbeitung in Deutschland (einschließlich EU-Stellen)
(d)
Ergebnis
(2)
Cloud Computing und die Anwendbarkeit des BDSG bei einer außereuropäischen Stelle
(a)
§ 1 Abs. 5 S. 2 BDSG
(b)
Inländische Mittel
(aa)
Technische Betrachtung
(bb)
Normative Auslegung
(cc)
Ergebnis
(c)
Teleologische Reduktion des Anwendungsbereichs von § 1 Abs. 5 S. 2 BDSG (im Fall der Verarbei- tung personenbezogener Daten ohne Verbindung zur EU)
(aa)
Sicht der Art.-29-Datenschutzgruppe zu Art. 4 Abs. 1 lit.c) EG-Datenschutz-Richtlinie
(bb)
Sicht des Düsseldorfer Kreises
(cc)
Ergebnis
b)
Die Herausforderung der intransparenten Struktur multinationaler Konzerne als Cloud-Anbieter
4.
Das anzuwendende Datenschutzrecht nach der EU-Datenschutzreform
a)
Hintergründe der Datenschutzreform und Cloud-Computing- Strategie der Kommission
aa)
Die Entwicklung einer Strategie für Cloud Computing
bb)
Cloud Computing „Public Consultation“ der Kommission
cc)
Strategiepapier der Kommission zu Cloud Computing
b)
Bewertung des geplanten Rechtsrahmens für das anzuwendende Datenschutzrecht
aa)
Anwendung auf die für die Datenverarbeitung Verantwortlichen in der Union – Art.3 Abs. 1 DS-GVO-E
bb)
Anwendung der EU-Vorschriften auf für die Datenverar- beitung Verantwortliche in Drittländern – Art.3 Abs.2 DS- GVO-E
(1)
EU-Bürger als Leistungsadressat bei Waren oder Dienstleistungen
(a)
Allgemein in Betracht kommende Anknüpfungskriterien
(b)
Übertragung i. R. v. Art. 4 Abs. 1 lit. Mc) EG-Datenschutz- Richtlinie anzulegender Kriterien
(c)
Überlegungen zum Adressatengedanken bei Cloud Computing
(d)
Zwischenfazit – Weitere Präzisierung der heranzu- ziehenden Kriterien
(e)
Drei- oder Mehrpersonenverhältnisse
(2)
Rückgriff auf inländische Mittel
(3)
Aufsicht außereuropäischer Anbieter und Rechtsdurchsetzung
(4)
Stellungnahme – Licht und Schatten bei der Anwendung der DS-GVO auf außereuropäische Stellen
5.
Die rechtsordnungsübergreifende Herausforderung von uneinheitlichen nationalen Datenschutzvorschriften in den Mitgliedstaaten
a)
Die Rechtszersplitterung als Hindernis bei der Cloud-Service- Erbringung
b)
Ein einheitlicher Rechtsrahmen durch die EU-Datenschutzreform
III.
Der Personenbezug von Daten
1.
Einleitung
2.
Rechtsrahmen – Personenbezogene Daten (§ 3 Abs.1 BDSG)
a)
Bestimmtheit
b)
Bestimmbarkeit
aa)
Absoluter Personenbezug
bb)
Relativer Personenbezug
cc)
Auswirkungen an dem Beispiel von dynamisch vergebenen IP-Adressen
dd)
Neuere Entwicklungen und EU-Datenschutzreform
3.
Die Herausforderung von datenschutzneutralen Verarbeitungsmög- lichkeiten in einer Cloud durch Datenveränderung
4.
Bewertung
a)
Nutzerseitige Datenveränderung außerhalb der Cloud
aa)
Anonymisierung – § 3 Abs. 6 BDSG
(1)
Absolute, „echte“ Anonymisierung
(2)
Faktische, „unechte“ Anonymisierung
(3)
Einsatzbereich bei Cloud Computing
bb)
Pseudonymisierung und Verschlüsselung
(1)
Pseudonymisierung – § 3 Abs.6a BDSG
(2)
Verschlüsselung von Daten
(a)
Rechtliche Einordnung reversibler Verschlüsse- lungstechniken
(b)
Der Re-Identifizierungsaufwand bei Verschlüsse- lungstechniken
(aa)
Allgemeines zu dem Re-Identifizierungsaufwand
(bb)
Der Re-Identifizierungsaufwand im Lichte von „cloud power“, Datenreplikationen, Snapshots und verteilter Datenverarbeitungen
(cc)
Ergebnis zu dem Re-Identifizierungsaufwand bei Verschlüsselungstechniken
(c)
Einsatzbereich reversibel verschlüsselter Daten bei Cloud Computing
(aa)
Cloud-Storage
(bb)
Weitergehende Datenverarbeitungszwecke (mit Rechenoperationen)
a)
Unverschlüsselte Daten im Zeitpunkt der Verarbeitung
ß)
Homomorphe Verschlüsselung
(d)
Ergebnis zu der Verschlüsselung von Daten
cc)
Ergebnis zu nutzerseitig veränderten Daten außerhalb der Cloud
b)
Verschlüsselung in der Cloud
5.
Lösungsmöglichkeiten – Überlegungen zu einem künftigen Rechts- rahmen
IV.
Internationale Datentransfers
1.
Einleitung – Globale Datenwolken und Datenströme in einem digitalen Zeitalter
2.
Der allgemeine Rechtsrahmen für internationale Datentransfers (§§ 4b, 4c BDSG)
a)
Freier Datenverkehr im Anwendungsbereich des EU-Rechts (§ 4b Abs.1 BDSG)
b)
Grundsätzliches Übermittlungsverbot bei Drittstaatentransfers (§ 4b Abs.2 S.2 BDSG)
c)
Die Angemessenheit des Datenschutzniveaus (§ 4b Abs.3 BDSG)
d)
Angemessenheitsentscheidung der Kommission
e)
Ausnahmetatbestände nach § 4c BDSG
3.
Herausforderungen von Cloud Computing an den Rechtsrahmen für internationale Datentransfers
a)
Die Herausforderung der Bestimmung einer Empfangsdestination und deren territoriale Zuordnung bei grenzüberschreitenden Datenverarbeitungsszenarien
b)
Flexible und bedarfsgerechte Nutzungsszenarien als Herausforderung an Vertragsklauseln als ausreichende Garantien eines angemessenen Schutzniveaus
aa)
Charakteristika dieser Herausforderung
bb)
EU-Standardvertragsklauseln
(1)
Rechtsrahmen – Kennzeichnende Elemente von Standardvertragsklauseln
(2)
Cloud-spezifische Bewertung von Standardvertrags- klauseln
(a)
Zeitlicher und wirtschaftlicher Aufwand
(b)
Anpassungsmöglichkeiten auf Seiten eines Cloud- Anbieters
(c)
Aufsichtsbehördliche Ansicht der ergänzenden Be- rücksichtigung von § 11 Abs. 2 BDSG entspre- chenden Anforderungen (am Beispiel der „Orien- tierungshilfe Cloud Computing“)
(d)
Ergebnis – Notwendigkeit eines differenzierten Umgangs
cc)
Verbindliche Unternehmensregelungen („Binding Corporate Rules“)
(1)
Rechtsrahmen
(a)
Kennzeichnende Elemente
(b)
Genehmigungspflicht
(c)
Kooperationsverfahren und „mutual recognition“
(2)
Cloud-spezifische Bewertung von verbindlichen Unter- nehmensregelungen
(a)
Anwendungsbereich bei Cloud Computing: Private Clouds
(b)
Vereinfachungen und Standardisierungen
(c)
Processor Binding Corporate Rules
dd)
Vertragsklauseln nach der geplanten EU-Datenschutzreform
(1)
Datenübermittlung auf Grundlage eines Angemessenheitsbeschlusses der Kommission (Art. 41 DS-GVO-E)
(2)
Datenübermittlung auf Grundlage geeigneter Garantien (Art.42 DS-GVO-E)
(3)
Stellungnahme und Überlegungen zu einem künftigen Rechtsrahmen
c)
Die Herausforderung globaler Unterauftragsverhältnisse
d)
Transatlantische Datentransfers in die USA – Die Marktdominanz und hohe Beliebtheit von US-Cloud-Anbietern als Herausforderung an einen praxistauglichen Rechtsrahmen
aa)
Die „Safe-Harbor-Vereinbarung“ als Sonderregelung für Datentransfers in die USA
(1)
Einleitung – Freiwillige Selbstregulierung des US-Da- tenempfängers
(2)
Rechtsrahmen – Gegenstand und Inhalt der Safe-Harbor- Kommissionsentscheidung
(a)
Die Angemessenheit des von den Safe-Harbor- Grundsätzen gewährleisteten Schutzes
(b)
Die sieben Grundsätze des „sicheren Hafens“ zum Datenschutz
(aa)
Informationspflicht („Notice“)
(bb)
Wahlmöglichkeit („Choice“)
(cc)
Weitergabe („Onward Transfer“)
(dd)
Sicherheit („Security“)
(ee)
Datenintegrität („Data Integrity“)
(ff)
Auskunftsrecht („Access“)
(gg)
Durchsetzung („Enforcement“)
(c)
Safe-Harbor-Beitritt einer US-Organisation
(aa)
Selbstzertifizierung durch öffentliche Verpflichtung zu den Safe-Harbor-Grundsätzen
(bb)
US-Organisation unterliegt den gesetzlichen Befugnissen einer staatlichen Einrichtung
(3)
US-Cloud-Anbieter und Safe Harbor
(4)
Safe or Unsafe Harbor? – Datenwolkentaugliche Vereinbarung oder Schönwetterabkommen?
(a)
Praxiserfahrungen in dem ersten Jahrzehnt des Ab- kommens
(aa)
Umsetzungsberichte der Kommissionsdienst- stellen aus den Jahren 2002 und 2004
(bb)
Safe Harbor: Fact or Fiction? – Die „Galexia- Studie“ aus dem Jahr 2008
(cc)
Zwischenergebnis
(b)
Auswirkungen und Folgen der Kritiken an Safe Harbor
(aa)
Safe Harbor aus der Sicht der Aufsichtsbehörden Datenschutz
a)
Der Beschluss des Düsseldorfer Kreises vom 28./29. April 2010
ß)
Orientierungshilfe Cloud Computing
?)
Art.-29-Datenschutzgruppe – Stellungnahme zum Cloud Computing (WP 196)
d)
Weitere Ansichten (exemplarisch)
e)
Stellungnahme – Dokumentations- und Nachweispflichten in flexiblen Nutzungsszenarien
(bb)
Safe Harbor aus Sicht der juristischen Literatur
(cc)
Safe Harbor aus Sicht der Kommission – Mitteilung aus dem November 2013
(dd)
Safe Harbor aus Sicht des Europäischen Par- laments – Entschließung vom 12. März 2014
(c)
Ein vergleichender Blick über den Atlantik – An- sichten und Entwicklungen in den USA
(aa)
Safe Harbor und Cloud Computing aus Sicht des US-Handelsministeriums
a)
Stellungnahme der International Trade Ad- ministration zu WP 196 der Art.-29-Daten- schutzgruppe – „Clarifications Regarding the U.S.-EU Safe Harbor Framework and Cloud Computing“
ß)
Anmerkung
(bb)
Die (fehlende) Durchsetzung durch die FTC – Entwicklungen in den letzten Jahren
a)
Erste Verfahren der FTC zu dem Vorliegen der Selbstzertifizierung an sich
ß)
Der Google-Buzz-Vergleich
?)
Vergleiche der FTC mit Facebook und MySpace
d)
Vergleiche der FTC mit US-Unternehmen in der ersten Hälfte des Jahres 2014
e)
„Privacy Enforcement and Safe Harbor“ – Stellungnahme von Mitarbeitern der FTC an die Kommission aus dem November 2013
?)
Stellungnahme
(d)
Ergebnis – Safe Harbor als geltender Rechtsrahmen auch für Cloud Computing
bb)
Vorschläge für eine Verbesserung des Safe-Harbor-Rechts- rahmens zur Wiederherstellung von Vertrauen im Zuge der NSA-Überwachungsaffäre
(1)
Vorschläge der Kommission aus dem November 2013
(2)
Verbesserungsvorschläge der Art.-29-Datenschutzgrup- pe zu Safe Harbor
cc)
Vorlage an den EuGH zur Verbindlichkeit der Safe-Harbor- Kommissionsentscheidung durch den irischen High Court in Dublin
dd)
Gedanken zu einem künftigen Rechtsrahmen für transatlan- tische Datentransfers; „EU-Safe-Harbour“
e)
Weitere Auswirkungen der Überwachungsaktivitäten der NSA auf internationale Datentransfers in die USA
aa)
Reaktion der Datenschutzkonferenz – Pressemitteilung vom 24. Juli 2013
bb)
Stellungnahme.
V.
Allgemeine Daten- und Informationssicherheit (§ 9 BDSG)
1.
Einleitung
2.
Rechtsrahmen
a)
Schutzziele der Daten- und Informationssicherhei
b)
Technische und organisatorische Daten- und Informationssicherheit nach § 9 BDSG und dessen konkretisierender Anlage
c)
Die Daten- und Informationssicherheit außerhalb des BDSG
3.
Herausforderungen von Cloud Computing an die Daten- und Informationssicherheit
a)
Technische und organisatorische Risiken auf den Ebenen einer IT-Sicherheitsarchitektur
aa)
Infrastruktur- / Rechenzentrumsebene (Sicherheit von Gelände und Gebäude)
(1)
Gefährdungslage und typische technische und organisatorische Maßnahmen
(2)
Colocation und Serverhousing als klassisches Praxisbeispiel auf Rechenzentrumsebene
(3)
Bewertung
bb)
IT-System-Ebene und Systemvirtualisierung (Sicherheit der Server, Router, Switches und anderer IT-Systeme; Sicherheit virtueller IT-System-Umgebungen)
(1)
Gefährdungslage und typische technische und organisa- torische Maßnahmen
(2)
Bewertung
cc)
Netzwerkebene
(1)
Gefährdungslage und typische technische und organisa- torische Maßnahmen
(2)
Bewertung
dd)
Anwendungs- / Software-Ebene
(1)
Gefährdungslage und typische technische und organisatorische Maßnahmen
(2)
Bewertung
ee)
Ebenenübergreifende, allgemeine Gefahren
(1)
Administrative Schnittstellen
(2)
Anbieterabhängigkeit („vendor lock-in“), Portabilität und Insolvenz eines Anbieters
(3)
Verfügbarkeit eines Cloud-Services und der Leitungswege
(4)
Vervielfältigung und Verteilung von Daten aufgrund von breitbandigen Datenleitungen und schnellen Glas- faserverbindungen
(5)
Die Löschung von Daten bei einem verteilten Rechnen
ff)
Ergebnis – Neue Konzepte zur Gewährleistung der Daten-und Informationssicherheit bei Cloud Computing und modernen Formen der Datenverarbeitung
gg)
Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz)
hh)
EU-Datenschutzreform
b)
Die Herausforderung der potentiellen Zugriffsmöglichkeiten durch Sicherheitsbehörden in Drittstaaten am Beispiel des USA PATRIOT Act
aa)
USA PATRIOT Act – Ausweitung sicherheitsbehördlicher Befugnisse zur Terrorismusbekämpfung
(1)
Foreign Intelligence Surveillance Act (FISA)
(2)
National Security Letter (NSL)
(3)
Statistiken zur „FISA Implementation“
bb)
Auswirkungen auf die Daten- und Informationssicherheit bei Cloud Computing
(1)
Extraterritoriale Auswirkungen des USA PATRIOT Act – Kreis der von US-Anordnungen potentiell betroffenen Unternehmen
(2)
Folgen für den Cloud-Anbieter – Rechtsunsicherheiten aufgrund konträrer Verpflichtungen zweier Rechtsordnungen
(3)
Folgen für den Cloud-Nutzer – Eingeschränkte Wahrnehmung der datenschutzrechtlichen Verantwortlichkeit (etwa aufgrund einer fehlenden Kenntnis durch eine „gag order“)
cc)
Entscheidung des „United States District Court for the Southern District of New York“ vom 25. April 2014
dd)
Handlungsbedarf zur Beseitigung bestehender Rechtsunsi- cherheiten
ee)
EU-Datenschutzreform
VI.
Auftragsdatenverarbeitung (§ 11 BDSG)
1.
Einleitung – Modernes IT-Outsourcing
2.
Das „Privileg“ der Auftragsdatenverarbeitung
3.
Abgrenzung zur Funktionsübertragung – Cloud Computing als klas- sische Konstellation einer Auftragsdatenverarbeitung
4.
Internationale Auftragsdatenverarbeitung
a)
Rechtsrahmen – § 3 Abs.8 S.3 BDSG
b)
Herausforderungen von Cloud Computing
aa)
Die Sicherstellung einer Datenverarbeitung auf EU/EWR- Gebiet
bb)
Die rechtliche Privilegierung einer internationalen Auftragsdatenverarbeitung in „sicheren Drittstaaten“ als Herausforderung der globalen Dimension von Cloud Computing
(1)
Ausgangslage und Problematik
(2)
Privilegierung bei festgestelltem angemessenen Schutzniveau („sicherer Drittstaat“)
(a)
Fehlende Grundlage im BDSG und Gleichstel- lungsgebot
(b)
Gesetzesänderungsvorschlag des Bundesrates
(c)
Stellungnahme
(3)
Privilegierung bei Einsatz von Standardvertragsklauseln für Auftragsdatenverarbeiter („Set III“)
(a)
Modifizierte Erforderlichkeitsprüfung i. R. v. § 28 Abs.1 S. 1 Nr. 2 BDSG
(b)
Richtlinienkonforme Auslegung
(aa)
Vollharmonisierungswirkung der EG-Daten- schutz-Richtlinie
(bb)
Begriffsverständnis i.S.d. EG-Datenschutz- Richtlinie
(c)
Analogie zu § 3 Abs.8 BDSG
(d)
Stellungnahme
cc)
Unterauftragsdatenverarbeitung in Drittstaaten
c)
Ergebnis und Blick auf die Datenschutzreform
5.
Anforderungen nach § 11 BDSG
a)
Vertragliche Festlegungen bei Auftragserteilung – Verhandlungs- konstellationen im Anbieter-Nutzer-Verhältnis und die Verhand- lungsbereitschaft von Cloud-Anbietern.
aa)
Rechtsrahmen – § 11 Abs.2 S.2 BDSG
bb)
Anbieterseitige Mitwirkungshandlungen als Herausforderung von Cloud Computing
cc)
Bewertung
dd)
Lösungsmöglichkeiten und Anforderungen an einen künftigen Rechtsrahmen
b)
Form der Auftragserteilung
aa)
Rechtsrahmen ? § 11 Abs.2 S.2 BDSG
bb)
Herausforderungen von Cloud Computing: Flexible Nutzungsmodelle und vielfältige Zugangsgeräte
cc)
Bewertung
dd)
Lösungsmöglichkeiten und Anforderungen an einen künftigen Rechtsrahmen
ee)
EU-Datenschutzreform
c)
Technische und organisatorische Maßnahmen – Auswahlentscheidung, vertragliche Festlegung und Auftragskontrolle
aa)
Rechtsrahmen
(1)
Sorgfältige Auswahlentscheidung – § 11 Abs.2 S.1 BDSG
(2)
Vertragliche Festlegung – § 11 Abs.2 S.1, S.2 Nr.3 BDSG, § 9 BDSG i.V.m.Anlage zu § 9 BDSG
(3)
Auftragskontrolle – § 11 Abs.2 S.2 Nr.7, S.4 BDSG 259
bb)
Herausforderungen von Cloud Computing
(1)
Intransparente Anbieterinformationen und eine hohe technische Komplexität
(a)
Charakteristika dieser Herausforderungen
(aa)
Intransparente Anbieterinformationen zu den Datenverarbeitungsstandorten und den dort implementierten technischen und organisatori- schen Maßnahmen
(bb)
Die technische und organisatorische Komplexität von Cloud-Umgebungen
(b)
Bewertung und Lösungsmöglichkeiten
(2)
Standortkontrollen in Zeiten eines verteilten Rechnens
(a)
Charakteristika dieser Herausforderung
(aa)
Fehlende Kontrollmöglichkeiten
(bb)
Praktische Handhabung eines „Vor-Ort-Kontroll- Tourismus“
(cc)
Kontrolle geographisch verteilter Standorte
(b)
Bewertung und Lösungsmöglichkeiten
(3)
Zwischenfazit zu den Herausforderungen von Cloud Computing
(a)
Zielkonflikt zwischen dem Rechtsrahmen und mo- dernen Datenverarbeitungsformen
(b)
Zeitgemäße Auslegung des geltenden Rechts (Tech- nische und organisatorische Maßnahmen im Lichte der technologischen Realität)
(aa)
Enge, wortlautgetreue Auslegung
(bb)
Cloud-spezifische Auslegung
(4)
Die Vielfalt der gegenwärtig in Bezug genommenen Zertifizierungen
(a)
ISO / IEC 27001 (einschließlich ISO / IEC 27002, ISO / IEC 27017, ISO / IEC 27018)
(aa)
Darstellung des Standards
(bb)
Bewertung
(cc)
Ausblick auf Weiterentwicklungen: ISO / IEC 27017 (Cloud Computing auf Basis von ISO / IEC 27002) und ISO / IEC 27018 (Datenschutz in Public Clouds)
(b)
ISO 9001
(c)
SAS 70, SSAE 16 und ISAE 3402
(aa)
Darstellung der Standards
(bb)
Bewertung
(d)
TRUSTe Privacy Program
(e)
Cloud Security Alliance STAR Certification
(f)
EuroCloud Star Audit
(aa)
Gegenstand der Zertifizierung
(bb)
Bewertung
(g)
Ergebnis – Die Entwicklung geeigneter Zertifizierungen für das Cloud-Zeitalter
cc)
Lösungsmöglichkeiten, Anforderungen an einen künftigen Rechtsrahmen und EU-Datenschutzreform
d)
Unterauftragsverhältnisse (§ 11 Abs. 2 S. 2 Nr. 6 BDSG)
aa)
Rechtsrahmen
bb)
Herausforderungen von Cloud Computing
cc)
Bewertung
dd)
Lösungsmöglichkeiten und Blick auf die EU-Datenschutzreform
e)
Weisungen (§ 11 Abs.2 S.2 Nr.9, Abs.3 BDSG)
aa)
Rechtsrahmen
bb)
Herausforderungen von Cloud Computing
cc)
Bewertung
dd)
Lösungsmöglichkeiten und Blick auf die EU-Datenschutzre form
f)
Rückgabe überlassener Datenträger und Löschung von Daten (§ 11 Abs. 2 S. 2 Nr. 10 BDSG).
aa)
Rechtsrahmen
bb)
Herausforderungen von Cloud Computing
cc)
Bewertung
dd)
Lösungsmöglichkeiten und Blick auf die EU-Datenschutzreform
VII.
Datenübermittlung (nach § 28 Abs. 1 S. 1 Nr. 2 BDSG)
1.
Wahrung berechtigter Interessen der verantwortlichen Stelle
2.
Erforderlichkeit
3.
Interessenabwägung
4.
Ergebnis
D.
Zusammenfassung
I.
Herausforderungen an das anzuwendende Datenschutzrecht
II.
Herausforderungen an den Personenbezug von Daten
III.
Herausforderungen im Kontext internationaler Datentransfers an EU- Standardvertragsklauseln und verbindliche Unternehmensregelungen
IV.
Herausforderungen an transatlantische Datentransfers in die USA auf Basis von Safe Harbor
V.
Herausforderungen an die Grundsätze der Daten- und Informationssi- cherheit
VI.
Herausforderungen an eine Auftragsdatenverarbeitung
VII.
Herausforderungen an eine Datenübermittlung
Literaturverzeichnis
Sachverzeichnis
Abkürzungsverzeichnis