Nachdem zunächst einmal klargestellt wurde, dass kaum einer allgemein gültige Definition geschweige denn ein allgemein gültiges Verständnis darüber besteht, was eigentlich Cloud Computing ist, ist zu konstatieren, dass in der Literatur umstritten ist, ob Cloud Computing immer als Auftragsdatenverarbeitung zu qualifizieren ist.
Das gilt auch für IAAS, also die Nutzung von externer Infrastruktur wie Rechner oder Speicherkapazitäten. Ich verweise auf meine Äußerung in dem anderen Block. Es bestehen eine Reihe von Orientierungshilfen, so z. B. seitens der Datenschutzbeauftragten des Bundes und der Länder oder für den internationalen Verkehr z B. das Sopot Memorandum der International Working Group on data protection vom April 2012. Beim Lesen dieses Blocks sollte aber unbedingt beachtet werden, dass die entsprechenden Empfehlungen schnell veralten und unter Umständen zum Zeitpunkt des Lesens dieses Blocks neuere Empfehlungen bestehen können.
Datenverarbeitung extra EU
Die „Cloud“ bereitet unter dem Aspekt der Datenschutzregelung Europas immer dann große Probleme, wenn Rechencentren eingebunden werden, die außerhalb Europas liegen. Innerhalb Europas gilt in Folge einer Fiktion, die in der europäischen Datenschutzrichtlinie geregelt ist, dass jedes Land der europäischen Union die Datenschutzbestimmungen eines anderen Landes der europäischen Union als ausreichend anzuerkennen hat. Folge ist, dass die Daten innerhalb der europäischen Union verschoben werden können, solange die Datenschutzbestimmung am Sitz des Rechencentrums eingehalten werden. Das gilt auch dann, wenn die Datenschutzbestimmung am Sitz des Rechencentrum nicht den strengen Anforderungen des deutschen Rechts entsprechen. Wenn die Daten aus dem Gebiet der europäischen Union verbracht, ist umstritten, ob die Regelung der Auftragsdatenverarbeitung eine Privilegierung des Auftraggebers herbeiführen können. Ich hatte an anderer Stelle bereits dargelegt, dass die Regelung des § 11 Abs.2 insbesondere dazu dienen, die eigentliche Zustimmung des Betroffenen gem. § 20 BDSG zu ersetzen. Beispiel: Gebe ich Amazon meine Einwilligung zur Nutzung personenbezogener Daten, darf Amazon meine personenbezogenen Daten nicht ohne meine Zustimmung an einen Dritten übergeben. Meine Zustimmung kann aber dann entfallen, wenn sich Amazon an die Regelung der Auftragsdatenverarbeitung gem. § 11 Abs. 2 BDSG hält. Frage also in diesem Kontext: Kann Amazon unter Einhaltung der Regeleung des § 11 Abs. 2 BDSG meine Daten auch an Dritte übergeben, die Ihren Sitz außerhalb der europäischen Union haben. Diese Frage ist – wie sollte es anders sein – umstritten.
Nach dem aktuellen Stand (Stand Sommer 2013) gilt, dass eine Auftragsdatenverarbeitung in einem extra EU-Staat dann möglich ist, wenn in dem Drittstaat ein angemessenes Datenschutzniveau besteht (was das ist, weiß nur der Jurist!); Der Betroffene seine Einwilligung erteilt hat (!) ausreichende Kontrollen und Garantien für die Wahrung der Rechte der Betroffenen bestehen (!); und die Standardvertragsklauseln der EU-Kommission zur Auftragsdatenverarbeitung verwendet werden. Im Übrigen verweise ich in diesem Kontext auf die einschlägigen Hinweise des BSI. Solang die Standardvertragsklauseln der EU Wort für Wort abgeschrieben werden, dürften – und das ist für den Praktiker entscheidend – Verfahren seitens der Landes– oder anderer Datenschutzbeauftragten nicht in Ordnungswidrigkeitsverfahren münden.
Es gibt schlicht weg noch keine eindeutigen Lösungen. Man muss demjenigen Recht geben, die einer Verlagerung von Daten außerhalb der EU ohne Zustimmung des Betroffenen unter den Gesichtspunkten der Auftragsdatenverarbeitung nur dann zustimmen wollen, wenn sichergestellt ist, dass die Regelung der Auftragsdatenverarbeitung auch tatsächlich eingehalten werden. Dies aber ist nur möglich, wenn bestimmte Kontrollmechanismen etabliert werden. Und ob Kontrollen tatsächlich im Drittstaat bestehen und durchgeführt werden, lässt sich auf dem Papier schnell behaupten und ist in der Praxis vermutlich nur schwer nachzuweisen. Auf der anderen Seite besteht ein großes faktisches Bedürfnis nach einer Verlagerung von personenbezogenen Daten außerhalb der EU und auch hier gilt, dass am deutschen Wesen die Welt nicht genesen wird.