Jusletter IT

Cloud Computing und das neue Datenschutzregime der EU

Lichten sich die Wolken?

  • Author: Christian Tautschnig
  • Category: Scientific Articles
  • Region: Austria
  • Field of law: Data Protection
  • Citation: Christian Tautschnig, Cloud Computing und das neue Datenschutzregime der EU, in: Jusletter IT 12 September 2012
Nach beinahe zwei Jahrzehnten im sich selbst überholenden Informationszeitalter soll das europäische Datenschutzrecht auf neue Beine gestellt werden. Phänomene der letzten Jahre wie soziale Netzwerke und Cloud Computing stellen den rechtlichen Rahmen im Bereich des Datenschutzes nach und nach vor unlösbare Probleme. Um zu verhindern, dass der Datenschutz im Zuge des rasanten technologischen Fortschritts nicht früher oder später auf der Strecke bleibt, sind gewisse – teilweise tiefgreifende – Anpassungen des Datenschutzrechts unumgänglich. Die Europäische Kommission hat Anfang des Jahres 2012 einen Vorschlag zu einer umfassenden Reform des europäischen Datenschutzrechts veröffentlicht, der im Rahmen dieses Beitrags hinsichtlich der Auswirkungen insbesondere auf den Bereich des Cloud Computing untersucht werden soll.

Inhaltsverzeichnis

  • 1. Einleitung
  • 2. Grundlagen
  • 2.1. Cloud Computing
  • 2.2. Datenschutzrecht
  • 3. Cloud Computing und das geltende Datenschutzrecht
  • 3.1. Rollenverteilung
  • 3.2. Voraussetzungen
  • 4. Neuer Datenschutz-Rechtsrahmen der EU
  • 4.1. Vorschlag der Europäischen Kommission
  • 4.2. Datenschutz-Grundverordnung
  • 4.3. Cloud Computing
  • 5. Gegenüberstellende Analyse
  • 5.1. Anwendungsbereich
  • 5.2. Übermittlung an Auftragsverarbeiter
  • 5.3. Datensicherheit
  • 6. Ausblick
  • 7. Zusammenfassung

1.

Einleitung ^

[1]

«Ensuring the Cloud happens with Europe, not to Europe». So betitelte Neelie Kroes, Vize-Präsidentin der Europäischen Kommission und verantwortlich für die Digitale Agenda, eine Rede1 betreffend die Strategie der Europäischen Union im Zusammenhang mit Cloud Computing. War es anfänglich noch schwierig in Cloud Computing mehr als einen bloßen Hype zu sehen, haben insbesondere die damit erzielten und erzielbaren Umsätze mittlerweile die meisten Zweifler eines Besseren belehrt. Nicht zuletzt aufgrund der wirtschaftlichen Bedeutung nahm man sich im Lauf der letzten Jahre auch auf europäischer Ebene dieses Themas an. So sah beispielsweise die Digitale Agenda für Europa im Jahr 2010 vor, es «sollte eine EU-Strategie zum «Cloud Computing», insbesondere für den staatlichen und den Wissenschaftsbereich, entwickelt werden».2 Als Schlüsselelemente der zu entwickelnden Cloud Computing Strategie definiert die Kommission dabei die Schaffung eines geeigneten rechtlichen Rahmens, einer technischen und wirtschaftlichen Basis sowie eines entsprechenden Marktes.3

[2]

Beschäftigt man sich nun mit dem notwendigen rechtlichen Rahmen, landet man zwangsläufig im Bereich des Datenschutzrechts. Aktuelle Basis des Datenschutzrechts innerhalb der Europäischen Union ist die Richtlinie 95/46/EG4 (Datenschutzrichtlinie). Führt man sich vor Augen, dass in den beinahe 17 Jahren seit ihrem Inkrafttreten am 13. Dezember 1995 – zu diesem Zeitpunkt kann man das Internet, wie wir es heute kennen, noch nicht einmal als in seinen Kinderschuhen steckend bezeichnen – aus damaliger Sicht wohl unglaubliche Entwicklungen ihren Lauf nahmen, erscheint es nahezu verwunderlich, dass angesichts von Phänomenen wie sozialen Netzwerken oder auch Cloud Computing datenschutzrechtliche Adaptierungen Mangelware sind.

[3]

Unter anderem wohl auch aufgrund der datenschutzrechtlichen Fragestellungen rund um das Thema Cloud Computing, hat die europäische Kommission am 25. Januar 2012 einen Vorschlag zu einer «Runderneuerung» des europäischen datenschutzrechtlichen Rahmens gemacht.5

[4]

Dieser Beitrag soll Änderungen, die sich im Falle einer Implementierung des Vorschlages der Kommission im Bereich des Cloud Computing ergeben würden, vorstellen und erörtern, wobei für Vergleichszwecke bzw. eine Gegenüberstellung das österreichische Datenschutzrecht – konkret also das in Umsetzung der Datenschutzrichtlinie ergangene Datenschutzgesetz 20006 (DSG 2000) – herangezogen und – soweit einschlägig – auf die nicht deckungsgleiche europäisch harmonisierte Rechtslage hingewiesen wird.

2.

Grundlagen ^

2.1.

Cloud Computing ^

[5]

Da eine eingehende Auseinandersetzung mit dem Themenbereich Cloud Computing den Rahmen dieses Beitrages sprengen würde, sei hier kurz zusammengefasst, dass es sich bei Cloud Computing um physische und virtuelle Ressourcen (Rechenleistung, Speicher, etc.), die einer Vielzahl von Nutzern, je nach Bedarf dynamisch skalierbar, mittels Standardschnittstellen über das Internet zur Verfügung gestellt werden, bzw. von diesen eigenständig abgerufen sowie administriert werden können und nach Nutzung (pay-per-use) verrechnet werden, handelt.7 Den so erzielbaren Vorteilen universeller Verfügbarkeit, Ressourcenoptimierung und markanter Kosteneinsparungen stehen jedoch teilweise massive Bedenken in puncto Datenschutz und Datensicherheit gegenüber8, was nicht zuletzt aufgrund der systemimmanenten, grundsätzlich willkürlichen Platzierung der für die Leistungserbringung notwendigen Serverstandorte und des dadurch teilweise nicht mehr feststellbaren physischen Speicherorts, nicht jeder Grundlage entbehrt.

2.2.

Datenschutzrecht ^

[6]

Datenschutzrecht9 regelt die Verarbeitung10 personenbezogener Daten – also Informationen, die die Identität einer Person (betroffene Person11) bestimmen oder bestimmbar machen. Während die Datenschutzrichtlinie nur Daten natürlicher Personen als vom Recht auf Datenschutz erfasst vorsieht, schützt das österreichische Datenschutzgesetz darüberhinaus – und im Gegensatz zu den meisten anderen EU-Mitgliedsstaaten – auch Daten juristischer Personen, womit unternehmensbezogene Daten ebenfalls in den Schutzbereich fallen.

[7]

Österreichisches Datenschutzrecht – oder sinngemäß das eines anderen Mitgliedsstaates – ist anwendbar, wenn die Datenverarbeitung entweder im Inland oder im EU-Ausland für eine inländische Zweigniederlassung des jeweiligen Datenverwenders – von der Datenschutzrichtlinie als «für die Verarbeitung Verantwortlicher»12 , vom DSG 2000 als «Auftraggeber»13 bezeichnet – erfolgt.14

[8]

Als Verarbeitung von Daten gilt für Zwecke des Datenschutzrechts jede Form der Handhabung von Daten, wobei der österreichische Gesetzgeber überdies eine Unterscheidung zwischen «Verarbeiten» und «Übermitteln» vorgesehen hat. Der für die Verarbeitung Verantwortliche kann zur Datenverarbeitung «Auftragsverarbeiter» – nach dem DSG 2000 «Dienstleister» – heranziehen. Während das DSG 2000 in diesem Zusammenhang von «Überlassung» spricht, die in gewisser Hinsicht gegenüber einer «Übermittlung» – welche an Personen, die nicht Auftragsverarbeiter oder betroffene Person sind, stattfindet – privilegiert ist, ist diese Unterscheidung der Datenschutzrichtlinie fremd.15

[9]

Da sich der Kern der folgenden Ausführungen um das Verhältnis zwischen dem für die Datenverarbeitung Verantwortlichen und dem Auftragsverarbeiter bewegt, wird auf die Rechtmäßigkeit der Datenverwendung durch ersteren nicht weiter eingegangen und diese vorausgesetzt.

[10]

Datenschutzrecht16 regelt die Verarbeitung personenbezogener Daten – also Informationen, die die Identität einer Person (betroffene Person) bestimmen oder bestimmbar machen. Während die Datenschutzrichtlinie nur Daten natürlicher Personen als vom Recht auf Datenschutz erfasst vorsieht, schützt das österreichische Datenschutzgesetz darüberhinaus – und im Gegensatz zu den meisten anderen EU-Mitgliedsstaaten – auch Daten juristischer Personen, womit unternehmensbezogene Daten ebenfalls in den Schutzbereich fallen. 

 

 

3.

Cloud Computing und das geltende Datenschutzrecht ^

3.1.

Rollenverteilung ^

[11]

Bei der Verwendung von Cloud Computing-Angeboten besteht aus datenschutzrechtlicher Sicht folgende Rollenverteilung: Der für die Datenverarbeitung Verantwortliche verarbeitet Daten der betroffenen Person nicht (zur Gänze) selbst, sondern nutzt dafür Cloud-Dienste eines Cloud-Providers, welcher als Auftragnehmer die ihm überlassenen Daten zur «Herstellung eines ihm aufgetragenen Werkes»17 verwendet und damit zum Auftragsverarbeiter(/Dienstleister) wird.

3.2.

Voraussetzungen ^

[12]

Eine Verarbeitung im Auftrag ist nur unter der Voraussetzung zulässig, dass (1) der Auftragsverarbeiter ausreichende Gewähr hinsichtlich der für die Verarbeitung zu treffenden technischen und organisatorischen Sicherheitsmaßnahmen bietet, (2) sich hierzu auch vertraglich verpflichtet und (3) deren Vorhandensein vom für die Verarbeitung Verantwortlichen überprüft wird. Auftragsverarbeiter treffen darüber hinaus die gesetzlichen Verpflichtungen des § 11 DSG 2000, wonach sie unter anderem verpflichtet sind, Daten ausschließlich im Auftrag des für die Verarbeitung Verantwortlichen zu verwenden, alle gemäß § 14 DSG 2000 vorgeschriebenen Datensicherheitsmaßnahmen zu treffen und weitere Dienstleister nur mit Billigung des Auftraggebers heranzuziehen. Die genauere Ausgestaltung dieser Pflichten ist schriftlich festzulegen18 – soll ein nicht-österreichischer Auftragsverarbeiter herangezogen werden, sind die Vorschriften des § 11 DSG 2000 mit diesem zwingend zum Inhalt eines schriftlichen Vertrags zu machen.19

[13]

Die Heranziehung ausländischer Auftragsverarbeiter ist – sofern sie nicht ausdrücklich genehmigungsfrei gestellt ist – nur mit Genehmigung der Datenschutzkommission20 zulässig.21 Genehmigungsfrei herangezogen werden dürfen Auftragsverarbeiter unter den Voraussetzungen des § 12 DSG 2000, also unter anderem, wenn sie sich innerhalb des EWR oder in Drittstaaten mit angemessenem Datenschutz befinden sowie in ausdrücklich angeführten Ausnahmefällen auch, wenn sie ihren Sitz in anderen Drittstaaten haben.22 Welche Drittstaaten über ein angemessenes Datenschutzniveau verfügen, wird mittels Entscheidung der Europäischen Kommission festgestellt.23 Außerhalb der so festgelegten Staaten und des EWR dürfen Auftragsverarbeiter nur nach Genehmigung – welche nur zu erteilen ist, sofern im Einzelfall nachgewiesen wird, dass ein dem europäischen entsprechendes Datenschutzniveau sichergestellt ist – herangezogen werden. Für das Bestehen eines dementsprechenden Datenschutzniveaus spricht insbesondere die Verwendung der Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern der Europäischen Kommission.24

[14]

Entsprechend den obigen Ausführungen bedeutet das konkret, dass der für die Verarbeitung Verantwortliche nur einen Cloud-Provider beauftragen darf, der vertraglich gewährleistet, ausreichende technische und organisatorische Sicherheitsmaßnahmen zu treffen. Das Vorhandensein dieser Sicherheitsmaßnahmen hat er in weiterer Folge auch zu überprüfen, wobei nach Dohr/Pollirer/Weiss/Knyrim dieser Prüfpflicht bereits durch Vorlage einer Gewerbeberechtigung genüge getan sein soll.25

[15]

Für die weitere Vorgehensweise ist entscheidend, wohin Daten übermittelt werden sollen – wo sich also der Cloud-Provider bzw. dessen Server befinden. Befindet sich der Cloud-Provider nicht in Österreich, ist eine schriftliche Vereinbarung – beinhaltend die Verpflichtungen nach § 11 DSG 2000 – zu treffen. Sitzt er außerhalb des EWR und auch nicht in einem von der Kommission als mit einem angemessenen Datenschutzniveau ausgestattet festgestellten Drittstaat, ist eine Genehmigung der Datenschutzkommission einzuholen. Um die Genehmigung zu erhalten, ist ein im Einzelfall angemessener Datenschutz oder eine – trotz Übermittlung ins Ausland – ausreichende Wahrung schutzwürdiger Geheimhaltungsinteressen der betroffenen Person nachzuweisen26, was am leichtesten durch Verwendung der Standardvertragsklauseln der Europäischen Kommission gelingen wird.

4.

Neuer Datenschutz-Rechtsrahmen der EU ^

4.1.

Vorschlag der Europäischen Kommission ^

[16]

Der von der Europäischen Kommission vorgeschlagene Rahmen für ein neues Datenschutzrecht der EU besteht aus zwei Rechtsakten. So sollen eine Verordnung «zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung)»27 sowie eine Richtlinie «zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr»28 geschaffen werden.

[17]
Für die Zwecke dieses Beitrags ist insbesondere der Vorschlag einer Datenschutz-Grundverordnung von Relevanz, weshalb sich die folgenden Ausführungen auch auf diese beschränken werden. Da eine vollinhaltliche Darstellung den Rahmen dieses Beitrags sprengen würde, wird in weiterer Folge versucht, die für den Bereich Cloud Computing maßgeblichen und markanten Änderungen herauszuarbeiten.

4.2.

Datenschutz-Grundverordnung ^

[18]

Bereits die Tatsache, dass nach dem Vorschlag der Kommission eine Datenschutz-Grundverordnung29 die Grundlage des künftigen Datenschutzrechts bilden soll, stellt eine markante Veränderung im Vergleich zur geltenden Rechtslage dar. Während zum jetzigen Zeitpunkt von allen in mehreren Mitgliedsstaaten ansässigen Datenverarbeitern im Extremfall sämtliche in Umsetzung der Datenschutzrichtlinie geschaffenen mitgliedsstaatlichen Datenschutz-Rechtsakte zu berücksichtigen sind, wäre mit Inkrafttreten einer Verordnung erstmals eine vereinheitlichte Rechtslage im Bereich des Datenschutzes der Europäischen Union hergestellt.

[19]

Die Verordnung wäre anwendbar, soweit eine Verarbeitung personenbezogener Daten «im Rahmen der Tätigkeiten» einer Niederlassung eines für die Verarbeitung Verantwortlichen oder Auftragsverarbeiters in der Europäischen Union erfolgt. Darüber hinaus wäre eine Anwendbarkeit gegeben, soweit eine Verarbeitung personenbezogener Daten von in der Union ansässigen betroffenen Personen durch einen nicht in der Union niedergelassenen für die Verarbeitung Verantwortlichen den Zweck verfolgt, (1) diesen Personen in der Union Waren oder Dienstleistungen anzubieten oder (2) ihr Verhalten zu beobachten.30 Der räumliche Anwendungsbereich der Verordnung ist somit im Vergleich zur geltenden Rechtslage – die zusammengefasst Datenverarbeitung innerhalb der Union erfasst – bedeutend weiter gefasst. Eine derartige Erweiterung des Anwendungsbereiches des Datenschutzrechts ist allgemein ein vorrangiges Anliegen der Kommission. Dies lässt sich auch aus den – zwar nicht verbindlichen, aber aussagekräftigen – Erwägungsgründen 19 und 20 in Verbindung mit Art. 3 der Verordnung, denen die Idee zugrunde liegt, einen möglichst nicht ausschaltbaren Datenschutz zu schaffen, deutlich erkennen. Bereits in Ihrem «Ersten Bericht über die Umsetzung der Datenschutzrichtlinie» aus dem Jahr 200331 stellte die Kommission fest, dass Art. 4 der Datenschutzrichtlinie – der ihren räumlichen Anwendungsbereich definiert – «die am häufigsten kritisierte Vorschrift der Richtlinie» sei. Während Art. 4 der Datenschutzrichtlinie noch die Aufgabe hatte, Kollisionen zwischen mitgliedsstaatlichen Datenschutzgesetzen zu verhindern, soll Art. 3 der Verordnung eine möglichst weitreichende Anwendbarkeit des europäischen Datenschutzrechts als Gesamtheit garantieren.

[20]
Eine weitere – zumindest für Österreich – grundlegende Änderung betrifft die Reichweite des Begriffs der personenbezogenen Daten. Wie bereits die Datenschutzrichtlinie sieht die Verordnung nur den Schutz der Daten natürlicher Personen vor – unternehmensbezogene Daten wären somit vom Schutzbereich nicht mehr erfasst, da es sich bei der Verordnung schließlich nicht mehr um eine bloße Harmonisierung, sondern um eine Vereinheitlichung handeln würde und folglich abweichende mitgliedsstaatliche Regelungen ausgeschlossen sind.

4.3.

Cloud Computing ^

[21]

An der grundsätzlichen datenschutzrechtlichen Systematik im Zusammenhang mit Auftragsverarbeitern würde sich mit Inkrafttreten der Verordnung in ihrer aktuellen Form nicht viel ändern. Der für die Verarbeitung Verantwortliche darf sich eines Auftragsverarbeiters bedienen und somit auch einen Cloud-Provider hierfür heranziehen. Der Auftragsverarbeiter hat – wie nach geltender Rechtslage – «hinreichende Garantien» für die Einhaltung der in der Verordnung festgelegten Anforderungen hinsichtlich technischer und organisatorischer Sicherheitsvorkehrungen und Maßnahmen zu bieten.32 Grundlage hierfür hat ein Vertrag zu sein, der inhaltlich den bereits erwähnten Verträgen betreffend die Pflichten eines Auftragsverarbeiters nach § 11 DSG 2000 (also insbesondere Tätigkeit nur auf Weisung, festgelegte Datensicherheitsmaßnahmen, Mitarbeiter zur Vertraulichkeit verpflichtet und Subdienstleister nur mit Genehmigung) entspricht und zu «dokumentieren» ist, was Schriftlichkeit nahe legen dürfte.33 Erwähnenswert ist in diesem Zusammenhang, dass die zu treffenden Datensicherheitsmaßnahmen nach Art. 17 Datenschutzrichtlinie von den mitgliedsstaatlichen Gesetzgebern nur für den für die Verarbeitung Verantwortlichen gesetzlich verpflichtend vorzusehen, dem Auftragsverarbeiter demgegenüber nur verpflichtend vertraglich zu überbinden waren – wohingegen die Verordnung – wie das DSG 2000 in § 14 bereits bisher – den für die Verarbeitung Verantwortlichen und den Auftragsverarbeiter als für die Sicherheit verantwortlich vorsehen. Außerdem soll nach Art. 30 Abs. 3 und 4 der Verordnung der Kommission die Befugnis verliehen werden, genauere Vorschriften für die konkrete Ausgestaltung der zu treffenden Datensicherheitsmaßnahmen zu erlassen. Im Zusammenspiel mit Art. 39 der Verordnung, der die Förderung und mögliche Regulierung datenschutzspezifischer Zertifizierungsverfahren vorsieht, kann dies einen deutlichen Schritt in Richtung einer verstärkten Einbeziehung sicherheitstechnischer Aspekte in den Bereich des Datenschutzrechts markieren.

[22]

Mit der neu vereinheitlichten Rechtslage wäre – abgesehen von umfangreichen Dokumentationspflichten34 – unter Berücksichtigung des Vorgesagten die Heranziehung jedes in der EU ansässigen Auftragsverarbeiters ohne weitere Erfordernisse zulässig.

[23]
Grundvoraussetzung für die Übermittlung von Daten an Auftragsverarbeiter außerhalb der EU ist, dass sowohl der für die Verarbeitung Verantwortliche als auch der Auftragsverarbeiter sämtliche Bestimmungen der Verordnung einhalten.35
[24]
Wie bisher kann die Kommission mittels Beschluss die Angemessenheit des Datenschutzniveaus von Drittstaaten feststellen, was in weiterer Folge eine genehmigungsfreie Übermittlung ermöglicht.
[25]
War bisher jedoch – abgesehen von den in § 12 Abs. 3 DSG 2000 aufgelisteten Fällen – für die Heranziehung von Auftragsverarbeitern aus nicht beschlussmäßig dem europäischen Datenschutzniveau gleichgestellten Drittstaaten ausnahmslos eine Genehmigung der Datenschutzkommission notwendig, kann eine Genehmigung nach der Verordnung unterbleiben, sofern in einem «rechtsverbindlichen Instrument geeignete Garantien zum Schutz personenbezogener Daten» vorgesehen sind.36 Als derartige Garantien eignen sich (1) von einer Aufsichtsbehörde genehmigte verbindliche unternehmensinterne Vorschriften (Binding Corporate Rules) – also für alle Mitglieder einer Unternehmensgruppe verbindliche Datenschutzvorschriften –, (2) von der Kommission angenommene Standarddatenschutzklauseln oder von einer Datenschutzaufsichtsbehörde angenommene Standarddatenschutzklauseln, sofern diesen von der Kommission allgemeine Gültigkeit zuerkannt wurde.37
[26]

Ohne geeignete Garantien in einem rechtsverbindlichen Instrument, ist grundsätzlich vor jeder Übermittlung eine Genehmigung einer Aufsichtsbehörde einzuholen. Ähnlich den bereits in § 12 Abs. 3 DSG 2000 enthaltenen Ausnahmen sieht auch Art. 44 der Verordnung einen Katalog nicht genehmigungspflichtiger Fälle vor, wobei die Verordnung das Erfordernis der Zustimmung der betroffenen Person38 um eine Informationspflicht bezüglich der Risiken einer Datenübermittlung in einen Drittstaat ohne angemessenes Datenschutzniveau und/oder geeignete Garantien erweitert und diese Zustimmung nicht mehr nur ohne Zweifel zu erteilen ist, sondern es sich um eine «explizite Willensbekundung»39 zu handeln hat. Diesbezüglich ist die deutsche Übersetzung des Verordnungsentwurfes irreführend, da diese in Art. 44 von «Zustimmung» spricht – der Begriff der «expliziten Willensbekundung» jedoch nur in der Definition der «Einwilligung der betroffenen Person» auftaucht. Dass Art. 44 auf die qualifizierte Einwilligung nach Art. 4 Z 8 abstellt, ergibt sich jedoch eindeutig aus der englischen Version des Verordnungsentwurfes, die in beiden Bestimmungen von «the data subject’s consent» spricht.

5.

Gegenüberstellende Analyse ^

5.1.

Anwendungsbereich ^

[27]

Bereits der Vorschlag, das zukünftige Datenschutzrecht in Form einer Verordnung zu regeln, wäre eine markante, aber zweifellos notwendige Veränderung. Wie die Datenschutzpraxis internationaler Konzerne in Gestalt der örtlichen Platzierung ihrer europäischen Niederlassungen gezeigt hat, ist ein europäisches Datenschutzrecht – basierend auf unterschiedlich umgesetzten mitgliedsstaatlichen Datenschutzgesetzen – nur so stark wie sein schwächstes Glied. Meines Erachtens kann im Informationszeitalter, in dem Datenschutz längst eine globale Dimension erreicht hat, dieser nur durch territorial weit reichende und einheitliche Vorschriften und Maßnahmen gestärkt und gesichert werden. Solange dies auf globaler Ebene nicht möglich ist, ist hier zumindest ein (geschlossenes) Tätigwerden der Europäischen Union gefordert. Nach der für das Jahr 1995 sehr fortschrittlichen Datenschutzrichtlinie, hat der nächste Schritt nicht mehr harmonisierend sondern vereinheitlichend zu erfolgen. Es wäre meiner Meinung nach insgesamt also durchaus zu begrüßen, würde sich die europäische Union im Bereich des Datenschutzrechts eine einheitliche Grundlage «verordnen». Nur mit einem europäisch geschlossenen Auftreten ließe sich wohl auch erreichen, dass der räumliche Anwendungsbereich des europäischen Datenschutzrechts nicht mehr nur auf Datenverarbeitung im Rahmen der Tätigkeit eines für die Verarbeitung Verantwortlichen oder Auftragsverarbeiters begrenzt bleibt, sondern darüber hinaus auch die Verarbeitung von Daten von innerhalb der Europäischen Union ansässigen Betroffenen durch nicht in der EU ansässige für die Verarbeitung Verantwortliche in die Verordnung aufgenommen, in weiterer Folge auch durchgesetzt werden und so zu einem effektiven Schutz führen kann. Diese Erweiterung des räumlichen Anwendungsbereiches dürfte nun zwar keine direkten Auswirkungen auf den Bereich des Cloud Computing haben, verdeutlicht jedoch die Tendenz zu einer Verstärkung und auch verstärkten Durchsetzung des Rechts auf Datenschutz. Während der Anwendungsbereich der Datenschutzrichtlinie noch vom Sitzprinzip bzw. auch dem Territorialitätsprinzip40 geprägt war, scheint sich die Entwicklung – in Anbetracht des Gefahrenpotenzials notwendigerweise – nunmehr in Richtung des speziell aus dem Kartellrecht bekannten Auswirkungsprinzips41 zu bewegen. Da man sich bewusst sein muss, dass man es in Fällen von Datenschutzverletzungen aufgrund der «Vorzüge» der modernen Kommunikationstechnik mit irreparablen Schäden zu tun hat, erscheint es – analog der kartellrechtlichen Fusionskontrolle – sinnvoll, Sachverhalte proaktiv den Regeln des Ortes zu unterstellen, an dem die Auswirkungen bzw. Schäden eintreten würden.

[28]
Die Ausklammerung unternehmensbezogener Daten aus dem Anwendungsbereich der Verordnung dürfte insgesamt wohl keine große Schwächung des Datenschutzes mit sich bringen, im Gegenzug jedoch Wirtschaftstätigkeiten, die ohne die Handhabung von Daten natürlicher Personen auskommen, erleichtern.

5.2.

Übermittlung an Auftragsverarbeiter ^

[29]
Die Änderungsvorschläge für Regelungen im Zusammenhang mit der Heranziehung von Auftragsverarbeitern dürften – zumindest in gewisser Hinsicht – geprägt sein durch aufgetauchte datenschutzrechtliche Schwachstellen bzw. Probleme im Bereich des überproportional wachsenden Marktes für Dienstleistungen aus der Cloud.
[30]
Nach dem Verordnungsentwurf unproblematisch und ohne großen Verwaltungsaufwand möglich, wäre wie bisher die Heranziehung von Auftragsverarbeitern innerhalb der Europäischen Union sowie aus Drittstaaten mit einem Datenschutzniveau, das dem der Union entspricht. Ziel der Verordnung hinsichtlich der Übermittlung von Daten in Staaten ohne angemessenes Datenschutzniveau ist nun, den diesbezüglichen Verwaltungsaufwand zu verringern – dies jedoch unter Beibehaltung des innereuropäischen Schutzniveaus. Bereits die Grundvorschrift für den Bereich der Übermittlung in Drittstaaten stellt hier klar, dass eine solche nur zulässig ist, sofern sowohl der für die Verarbeitung Verantwortliche als auch der Auftragsverarbeiter sämtliche Bestimmungen der Verordnung einhalten. Dass nun zukünftig bei Abschluss von Dienstleisterverträgen mit (von der Kommission genehmigten) Standardvertragsklauseln oder auch genehmigten Binding Corporate Rules keine zusätzliche aufsichtsbehördliche Genehmigung mehr notwendig sein soll, würde für den internationalen Datentransfer eine deutliche Erleichterung darstellen und wäre – einen entsprechenden Inhalt der Klauselkataloge, zu denen es aktuell noch keinen Entwurf gibt, vorausgesetzt – meines Erachtens auch aus datenschutzrechtlicher Sicht zu begrüßen.
[31]
Im Sinne einer Stärkung des Datenschutzes sehr zu befürworten ist das vorgesehene, verschärfte Zustimmungserfordernis des Betroffenen als Ausnahmeregelung von der Genehmigungspflicht. Während nach geltender Rechtslage für eine derartige Befreiung von der Genehmigungspflicht eine «ohne Zweifel» erteilte Zustimmung des Betroffenen – was tatsächlich «ohne Zweifel» eine Formulierung ist, die für Diskussionsstoff sorgt – vorliegen muss, wäre nach dem Verordnungsentwurf nur mehr eine explizite Zustimmung nach vorangegangener Risikobelehrung ausreichend, um eine genehmigungsfreie Übermittlung durchzuführen.

5.3.

Datensicherheit ^

[32]

Insbesondere für Kleinunternehmen kann es heutzutage zur großen finanziellen Herausforderung werden, eine leistungsfähige und dem Stand der Technik entsprechend abgesicherte IT-Infrastruktur zu unterhalten. Ohne eine solche kann es jedoch schnell zu einem Verlust der Wettbewerbsfähigkeit kommen. Gleichzeitig gilt es die Datenschutz-Compliance – also die Einhaltung relevanter datenschutzrechtlicher Vorschriften – nicht zu vernachlässigen. Obwohl man vermuten würde, dass Datenschutz und Datensicherheit grundsätzlich gleichgerichtete Ziele verfolgen, können sie nach der geltenden Rechtslage unter Umständen zu diametralen Aspekten werden. So könnte gerade ein Kleinunternehmen in die Situation kommen, dass eine Auslagerung der IT in die Cloud aus sicherheitstechnischer Sicht zwar geboten – was aufgrund der Spezialisierung und den dementsprechenden Möglichkeiten des Anbieters durchaus ein realistisches Szenario darstellen kann –, aus Gründen des Datenschutzrechts jedoch verboten sein kann. Dies mag zwar überspitzt formuliert sein, die dahinter liegende Problematik zeigt sich jedoch beispielsweise in der Auslegung der Pflicht des für die Verarbeitungsverantwortlichen, die von jedem Auftragsverarbeiter zu treffenden technischen und organisatorischen Sicherheitsmaßnahmen zu überprüfen. Wie oben angeführt wird hier in Österreich überwiegend die Meinung vertreten, dass der für die Verarbeitung Verantwortliche seine Pflicht erfüllt, indem er sich vom Vorliegen einer Gewerbeberechtigung überzeugt. Meines Erachtens zu Recht wird hier von mehreren Autoren42 kritisiert, dass das bloße Vorliegen einer Gewerbeberechtigung nicht die geringste Aussagekraft hinsichtlich angemessener Sicherheitsmaßnahmen hat. Die gesamte Problematik ist vorrangig der Tatsache geschuldet, dass keine festgelegten und verbindlichen Datensicherheitsstandards existieren. Es gibt zwar mittlerweile mehrere Zertifizierungsverfahren43 , denen jedoch der zwingende Charakter fehlt. Ohne eine derartige verbindliche Festlegung gewisser Standards, wird allerdings auch jegliche gesetzliche Bezugnahme auf den «Stand der Technik» zur leeren Hülse.

[33]

Die geplante Verordnung könnte nun genau hier für Fortschritt sorgen. Indem die Kommission ermächtigt wird, einerseits den Stand der Technik verbindlich festzulegen, andererseits aber auch die konkrete Ausgestaltung der zu treffenden Sicherheitsmaßnahmen zu regeln, könnten hier – sofern diese Aufgabe auch parallel zum Entwicklungsfortschritt wahrgenommen wird – erstmals allgemein verbindliche Standards Einzug halten und der Datenschutz auch sicherheitstechnisch auf hohem Niveau Unterstützung erhalten.

[34]
Gerade diese Änderung könnte meiner Meinung nach dazu führen, im Pool der mittlerweile schon unüberschaubaren Anzahl verschiedenster Cloud-Angebote, sprichwörtlich die Spreu vom Weizen zu trennen. Nur verbindliche Standards können für eine Vergleichbarkeit auf dem Markt sorgen, die wiederum die Einhaltung datenschutzrechtlicher Vorschriften erleichtert.

6.

Ausblick ^

[35]

Die Veröffentlichung des Vorschlages der Kommission führte bereits nach kurzer Zeit zu sehr unterschiedlichen Reaktionen. Insbesondere in Anbetracht der Erweiterung des räumlichen Anwendungsbereiches erwartungsgemäß, war speziell aus den USA heftiger Gegenwind zu spüren. Doch auch innerhalb der Mitgliedsstaaten der Europäischen Union herrscht nach wie vor Uneinigkeit44. Während der Vorschlag von manchen Staaten wie insbesondere Deutschland45 stark kritisiert wird, geht anderen die Reform wiederum nicht weit genug. Ist es bei den USA von vorrangigem Interesse, den räumlichen Anwendungsbereich nicht auch auf nicht in der EU ansässige Unternehmen zu erweitern, so sind es im Falle der Kritik Deutschlands Bedenken, dass das Datenschutzniveau nach Inkrafttreten der Verordnung unter dem Schutzniveau nach aktueller deutscher Rechtslage zurückbleiben könnte. Aufhänger ist diesbezüglich unter anderem die im Vergleich zur Datenschutzrichtlinie nun deutlicher ausformulierte Unabhängigkeit der Datenschutzaufsichtsbehörden. Gerade der deutschen Kritik ist hier meines Erachtens jedoch entgegenzuhalten, dass Kernelement der Gewährleistung eines hohen Datenschutzniveaus insbesondere auch das Bestehen einer unabhängigen Aufsicht ist. Speziell seit der Entscheidung des EuGH C-518/0746 im Jahr 2010, bei der dieser aussprach, dass die meisten der bis dahin in der Bundesrepublik Deutschland bestehenden Datenschutzaufsichtsbehörden keinesfalls dem von der Richtlinie geforderten Unabhängigkeitserfordernis genügen, sollte klar sein, dass deutsche Kritik unter Heranziehung dieser Argumentationslinie ins Leere gehen muss. Es scheint in Deutschland zwar der Versuch, europäische Legislativmaßnahmen unter Berufung auf das eigene Verfassungsrecht zu torpedieren, gängige Praxis zu sein – gerade die US-amerikanische Position bzw. Einmischung in Datenschutzangelegenheiten sollte jedoch Zeichen genug dafür sein, dass die Wahrung eines angemessenen Datenschutzniveaus nur bei einem geschlossenen und einheitlichen Vorgehen und Auftreten der Europäischen Union gewährleistet werden kann.

[36]

Der Vorschlag der Kommission sähe eine Umsetzung der geplanten Reform im Zeitraum 2014 bis 2016 vor47, was in Anbetracht der heftigen Diskussionen realistischer erscheint als zwischendurch kolportierte frühere Umsetzungstermine. Zu hoffen bleibt, dass ehestmöglich ein zumindest einheitlicher europäischer Standpunkt, der auch nicht hinter den Standards des Vorschlages zurückbleibt, gefunden wird – lässt sich doch nur so eine Verwässerung europäischer Datenschutzstandards durch außereuropäische Querschüsse verhindern.

[37]
Für den Bereich des Cloud Computing wird sich speziell der Inhalt der von der Kommission zu erlassenden konkretisierenden Rechtsakte als nächster Prüfstein erweisen. Auch für diese Instrumente – deren Schaffung allgemein zu begrüßen ist – bleibt zu hoffen, dass sie den Spagat zwischen ausreichender Berücksichtigung des technologischen Fortschritts und gleichzeitiger Beibehaltung eines hohen und angemessenen Datenschutzniveaus schaffen.

7.

Zusammenfassung ^

[38]
Betrachtet man den Entwurf der Kommission für eine Datenschutz-Grundverordnung, kann man meines Erachtens – zumindest im Zusammenhang mit Cloud Computing – ein überwiegend positives Resümee ziehen. Im Falle einer Umsetzung des Vorschlages der Europäischen Kommission, wäre nicht nur erstmals das europäische Datenschutzrecht auf eine einheitliche Grundlage gestellt, sondern – insbesondere durch die Erweiterung des räumlichen Anwendungsbereiches – der Gewährleistung eines hohen Datenschutzniveaus für in Europa ansässige Personen auch außerhalb der Grenzen der Europäischen Union der Boden geebnet. Speziell für den Bereich des Cloud Computing ist positiv zu bewerten, dass das Datenschutzniveau gestärkt werden soll, gleichzeitig aber auch Genehmigungspflichten zweckmäßig verändert werden sollen. Aus der Sicht der Cloud Computing könnten besonders die vorgesehenen von der Kommission zu erlassenden Rechtsakte für die Flexibilität sorgen, die notwendig ist, um ein zukunftsfestes – auch technische bzw. technologische Aspekte berücksichtigendes – Datenschutzregime einzuführen. Voraussetzung dafür wird jedoch vorrangig sein, dass es zu keiner Verwässerung, sondern vielleicht sogar zu einer weiteren Erhöhung der aktuell vorgeschlagenen Standards kommt und auch nicht davon abgewichen wird, das Herzstück des neuen Datenschutzrahmens in Form einer Verordnung zu erlassen.

Mag. Christian Tautschnig, BA ist Rechtsanwaltsanwärter in Klagenfurt

 

 

  1. 1 Kroes, Ensuring the Cloud happens with Europe, not to Europe, Rede: European Internet Foundation event on Cloud Computing (27. März 2012).
  2. 2 Europäische Kommission, Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, Eine Digitale Agenda für Europa, KOM (2010) 245, 27.
  3. 3 Europäische Kommission, Towards a European Cloud Computing Strategy, http://ec.europa.eu/information_society/activities/cloudcomputing/index_en.htm# (Zugriff 2. August 2012).
  4. 4 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl L 281 vom 23. November 1995, 31.
  5. 5 Europäische Kommission, Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, Der Schutz der Privatsphäre in einer vernetzten Welt – Ein europäischer Datenschutzrahmen für das 21. Jahrhundert, KOM (2012) 9 endgültig.
  6. 6 Datenschutzgesetz 2000 (DSG 2000), BGBl I 165/1999 in der geltenden Fassung.
  7. 7 Für nähere Erläuterungen und Definitionen vgl bspw Metzger/Villar/Reitz, Cloud Computing (2011) 2; NIST, The NIST Definition of Cloud Computing, http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf (Zugriff 6. Mai 2012).
  8. 8 ENISA, Cloud Computing Security Risk Assessment, http://www.enisa.europa.eu/activities/risk- management/files/deliverables/cloud-computing-risk-assessment (Zugriff 6. Mai 2012); ENISA, An SME perspective on Cloud Computing, http://www.enisa.europa.eu/activities/risk- management/files/deliverables/cloud-computing-sme-survey (Zugriff 6. Mai 2012).
  9. 9 Auch hier erfolgt nur eine geraffte, für Zwecke der Gegenüberstellung optimierte Darstellung. Für weitergehende Informationen siehe zBDohr/Weiss/Pollirer/Knyrim, DSG Datenschutzrecht 2 (2011);Knyrim, Datenschutzrecht 2 (2012).
  10. 10 Die Datenschutzrichtlinie enthält nur den Begriff der «Verarbeitung» personenbezogener Daten, während das DSG 2000 den Begriff «Verwendung» heranzieht und dann weiter unterscheidet zwischen «Verarbeitung» und «Übermittlung». Der Begriff «Übermittlung» wird von der Datenschutzrichtlinie demgegenüber als Unterfall der Verarbeitung (mit gesonderten Vorschriften) gesehen (Art. 2 lit. b, 25 ff Datenschutzrichtlinie). Um die Gegenüberstellung mit dem europäischen Reformvorschlag zu erleichtern, wird in weiterer Folge die europäische Nomenklatur verwendet.
  11. 11 Nach Art. 2 lit. a Datenschutzrichtlinie «betroffene Person», nach § 4 Z 1 DSG 2000 «Betroffener».
  12. 12 Art. 2 lit. d Datenschutzrichtlinie.
  13. 13 § 4 Z 4 DSG 2000.
  14. 14 § 3 DSG 2000.
  15. 15 § 4 Z 11, 12 und § 11 DSG 2000.
  16. 16 Auch hier erfolgt nur eine geraffte, für Zwecke der Gegenüberstellung optimierte Darstellung. Für weitergehende Informationen siehe zB Dohr/Weiss/Pollirer/Knyrim, DSG Datenschutzrecht2 (2011); Knyrim, Datenschutzrecht2 (2012). Die Datenschutzrichtlinie enthält nur den Begriff der «Verarbeitung» personenbezogener Daten, während das DSG 2000 den Begriff «Verwendung» heranzieht und dann weiter unterscheidet zwischen «Verarbeitung» und «Übermittlung». Der Begriff «Übermittlung» wird von der Datenschutzrichtlinie demgegenüber als Unterfall der Verarbeitung (mit gesonderten Vorschriften) gesehen (Art. 2 lit. b, 25 ff Datenschutzrichtlinie). Um die Gegenüberstellung mit dem europäischen Reformvorschlag zu erleichtern, wird in weiterer Folge die europäische Nomenklatur verwendet.
    Nach Art. 2 lit. a Datenschutzrichtlinie «betroffene Person», nach § 4 Z 1 DSG 2000 «Betroffener».
  17. 17 § 4 Z 5 DSG 2000.
  18. 18 Da die angesprochenen Pflichten ex lege bestehen, ist grundsätzlich Schriftlichkeit nur erforderlich wenn diese näher ausgestaltet werden sollen. Siehe hierzu auch Dohr/Pollirer/Weiss/Knyrim, DSG2 § 11 Anm 6.
  19. 19 § 12 Abs. 5 DSG 2000.
  20. 20 Die Österreichische Datenschutzkommission nimmt die Aufgaben der Datenschutzkontrollstelle im Sinne des Art. 28 Datenschutzrichtlinie wahr.
  21. 21 § 13 DSG 2000.
  22. 22 Gemäß § 12 Abs. 3 DSG 2000 von der Genehmigungspflicht – unabhängig vom Zielstaat – ausgenommen sind beispielsweise zulässigerweise veröffentlichte Daten, Daten zu deren Übermittlung/Überlassung die zweifelsfreie Zustimmung des Betroffenen erteilt wurde oder Daten, die für private Zwecke überlassen oder überlassen werden.
  23. 23 Entscheidungen gestützt auf Art. 25 Abs. 6 RL 95/46/EG; verfügbar unter http://ec.europa.eu/justice/policies/privacy/thridcountries/index_en.htm (letzter Zugriff 12. Mai 2012).
  24. 24 Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates, Beschluss der Europäischen Kommission vom 5. Februar 2010/87/EU.
  25. 25 Dohr/Pollirer/Weiss/Knyrim, DSG2 § 10 Anm 3.
  26. 26 § 13 Abs. 2 Z 1 und 2 DSG 2000.
  27. 27 Europäische Kommission, Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, Der Schutz der Privatsphäre in einer vernetzten Welt – Ein europäischer Datenschutzrahmen für das 21. Jahrhundert, KOM (2012) 11 endgültig.
  28. 28 Europäische Kommission, Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, Der Schutz der Privatsphäre in einer vernetzten Welt – Ein europäischer Datenschutzrahmen für das 21. Jahrhundert, KOM (2012) 10 endgültig.
  29. 29 Der Einfachheit halber in weiterer Folge nur mehr als Verordnung bezeichnet.
  30. 30 Art. 3 Vorschlag Datenschutz-Grundverordnung.
  31. 31 Europäische Kommission, Erster Bericht über die Durchführung der Datenschutzrichtlinie(EG 95/46) vom 15. Mai 2003, KOM (2003) 265 endgültig, 18.
  32. 32 Art. 26 Abs. 1 Vorschlag Datenschutz-Grundverordnung.
  33. 33 Art. 26 Abs. 2 Vorschlag Datenschutz-Grundverordnung.
  34. 34 Art. 28 Vorschlag Datenschutz-Grundverordnung.
  35. 35 Art. 40 Vorschlag Datenschutz-Grundverordnung.
  36. 36 Art. 42 Abs. 1 Vorschlag Datenschutz-Grundverordnung.
  37. 37 Art. 42 Abs. 2 Vorschlag Datenschutz-Grundverordnung.
  38. 38 Siehe bereits Fn 21.
  39. 39 Art. 4 Z 8 Vorschlag Datenschutz-Grundverordnung.
  40. 40 Vergleiche hierzu ausführlich Engel, Reichweite und Umsetzung des Datenschutzes gemäß der Richtlinie 95/46/EG für aus der Europäischen Union in Drittländer exportierte Daten am Beispiel der USA, Dissertation (2005), verfügbar unter: http://www.diss.fu-berlin.de/diss/receive/FUDISS_thesis_000000001587 (Zugriff 9. August 2012).
  41. 41 Loewenheim/Meessen/Riesenkampff, Kartellrecht I, Europäisches Recht, FKVO, Art. 1 Rz 38.
  42. 42 Peyerl, Cloud Computing – Datenschutzrechtliche Aspekte bei der «Datenverarbeitung in der Wolke», jusIT 2011, 57; Weichert schlägt hierfür externe Audits und Zertifizierungen vor: Weichert, Cloud Computing und Datenschutz, DuD 2010, 679.
  43. 43 Beispielsweise ISO 27001, SAS 70 und EuroPriSe.
  44. 44 Anstatt zahlreicher Medienberichte beachte man hier das 170-seitige Dokument mit sämtlichen Einwänden der mitgliedsstaatlichen Delegationen. Verfügbar unter http://www.statewatch.org/news/2012/jul/eu-council-dp-reg-ms-positions-9897-rev2-12.pdf (Zugriff 11. August 2012).
  45. 45 So kritisiert beispielsweise Masing, Richter des deutschen Bundesverfassungsgerichts, den Vorschlag heftig. Nachzulesen unter http://www.heise.de/newsticker/meldung/ Verfassungsrichter-warnt-vor-geplanter-EU-Datenschutzverordnung-1407072.html (Zugriff 11. August 2012); dessen Kritik wird meines Erachtens absolut zu Recht ebenfalls kritisiert: https://netzpolitik.org/2012/verfassungsrichter-masing-trollt-zur-eu-datenschutzreform/ (Zugriff 11. August 2012).
  46. 46 EuGH, Rs C-518/07, Europäische Kommission gegen Bundesrepublik Deutschland.
  47. 47 Europäische Kommission, Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, Der Schutz der Privatsphäre in einer vernetzten Welt – Ein europäischer Datenschutzrahmen für das 21. Jahrhundert, KOM (2012) 11 endgültig, 121.