Juristische Hürden bei Cloud-Collaboration-Lösungen

Probleme in der Praxis

In der Praxis stößt dies häufig auf Probleme. Zum einen möchte der Provider seinen Kunden keinen Zugang zu den Rechenzentren gewähren. In diesem Fall kann die Kontrolle durch die Vorlage aussagekräftiger Zertifikate neutraler Dritter substituiert werden, die die Umsetzung der technischen Datenschutzmaßnahmen nachweisen. Zum anderen legt der Cloud-Provider die Infrastruktur, insbesondere die Standorte seiner Rechenzentren, und die Datenflüsse nicht offen. Das Unternehmen steht vor dem Problem, dass es anhand der Zertifikate nicht sicherstellen kann, ob diese tatsächlich alle relevanten Orte, wie zum Beispiel Service-Center, die Zugriff auf die Daten haben, erfassen. Insoweit hängt der rechtskonforme Einsatz von der Kooperationsbereitschaft des Providers ab.

Ein weiteres Problem kommt hinzu, wenn personenbezogene Daten an Orte außerhalb der EU oder des Europäischen Wirtschaftsraums (EWR) übermittelt werden. Durch die EU-Datenschutzrichtlinie 95/46/EG wurde in den Mitgliedsstaaten ein einheitliches Datenschutzniveau geschaffen. Deshalb können personenbezogene Daten innerhalb Europas unter den dargestellten Erlaubnistatbeständen übermittelt werden. Sitzt der Empfänger jedoch außerhalb dieser Staaten, muss ein angemessenes Datenschutzniveau von der EU-Kommission festgestellt worden sein.

Fehlt eine solche Feststellung, muss dies durch zusätzliche Maßnahmen, wie den Abschluss der EU-Standardvertragsklauseln oder die Verpflichtung auf Safe-Harbor-Prinzipien, sichergestellt werden. Die Informationen, die das Maschinenbauunternehmen an die Standorte in Asien und den USA übermittelt, wären hiervon betroffen. Aufseiten des Providers könnte dies ebenfalls eintreten, wenn dieser Subunternehmer in einem Drittland beschäftigt. In der Praxis hat sich der Abschluss der EU-Standardvertragsklauseln bewährt. Allerdings muss stets überprüft werden, ob diese für die beabsichtigte Datenverarbeitung auch geeignet sind.