WK LEGAL | SPRECHEN SIE UNS GERNE AN

Das Team von WK LEGAL steht Ihnen gerne jederzeit für Ihre rechtlichen Fragen am Standort Berlin, telefonisch oder per E-Mail zur Verfügung. Dabei legen wir besonderen Wert darauf für unsere Mandanten wirtschaftlich optimale Ergebnisse zu entwickeln, die rechtlich fundiert sind und das Ziel unserer Mandanten erreichen.

Alles wolkig oder doch eher bedeckt? Die rechtliche Situation des Cloud Computing – Teil 2/4

20.09.2012 | Autor: Guido Kluck, LL.M.

Der erste – und vielleicht wichtigste – Schritt ist die sorgfältige Auswahl des richtigen Cloud-Anbieters.

Durch Unternehmen werden einerseits personenbezogene Daten, wie Kundendaten, Kontoinformationen, Adressen und Kontaktdaten etc. gespeichert. Aber auch Informationen über Produktionsverfahren, Lieferbeziehungen, Konstruktionszeichnungen oder Preise können schutzbedürftige Informationen sein, wenn sie z.B. Betriebs- und Geschäftsgeheimnisse enthalten. Hierdurch unterliegen auch diese Informationen, wie auch personenbezogene Daten, dem besonderen Schutzbedürfnis, welches insbesondere für bestimmte Bereiche im Bundesdatenschutzgesetz (BDSG), auf europäischer Ebene die sog. Datenschutzrichtlinie 95/46/EG, sowie ergänzend auch im Telekommunikationsgesetz (TKG) und dem Telemediengesetz (TMG) geregelt ist.

Derartige Daten dürfen jedoch nur dann an einen Cloud-Anbieter übermittelt werden, wenn der Betroffene ein gesetzlicher Erlaubnistatbestand vorliegt (sog. Privilegierung) oder der Betroffene in die Datenübermittlung eingewilligt hat.

Als gesetzlicher Erlaubnistatbestand kommt § 28 Abs. 1 Nr. 1 BDSG in Betracht. Nach dieser Regelung ist das Übermitteln personenbezogener Daten oder ihre Nutzung zur Erfüllung eigener Geschäftszwecke zulässig, wenn es für die Durchführung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist. Hiervon ist jedoch regelmäßig nicht auszugehen, da die Erfüllung eines Vertrages durch den Unternehmer grundsätzlich nicht die Übertragung der Daten in die Cloud verlangt. Entsprechendes gilt auch für andere Vertragsverhältnisse des Unternehmens, wie z.B. einen Arbeitsvertrag. Dies ist damit zu begründen, dass bei der Abwägung der berechtigten Interessen zwischen dem Unternehmen und dem Betroffenen ein strenger Maßstab anzulegen ist.

Mithin müsste für jede Datenübermittlung in die Cloud eine Einwilligung des Betroffenen beim Unternehmen vorliegen. Eine solche Einwilligung ist nur dann rechtswirksam, wenn diese freiwillig und grundsätzlich schriftlich gegeben worden ist. Ebenso ist der Betroffene gemäß § 4a BDSG auf den Zweck der Erhebung der Daten, deren Verarbeitung oder Nutzung in der Cloud hinzuweisen. Hierbei müssten dann alle an den Cloud-Diensten beteiligte Unternehmen und deren Unterauftragnehmer, sowie in der Folgezeit etwaige Wechsel, mitgeteilt werden und in diesem Moment eine erneute Einwilligung eingeholt werden, was praktisch kaum realisierbar sein dürfte.

Eine Besonderheit bietet das deutsche Recht auch hinsichtlich der Privilegierung. Die deutsche Regelung sieht vor, dass jeder Cloud-Anbieter, der außerhalb eines Mitgliedsstaates der EU/EWR seinen Sitz hat, als Dritter im datenschutzrechtlichen Sinne zu qualifizieren ist. Hierdurch würde dann die Privilegierung gemäß § 3 Abs. 4 Nr. 3 BDSG wegfallen und die Übermittlung von Daten an diesen Anbieter bedürfte einer eigenen Rechtsgrundlage. Das Unternehmen müsste in diesem Fall mit dem Cloud-Anbieter eine gesonderte Vereinbarung treffen, in welchem analoge Regelungen zu § 11 Abs. 2 BDSG getroffen wurden, um eine Datenübermittlung an diesen Anbieter überhaupt zu rechtfertigen.

 

PRAXISTIPP 1:

Aufgrund der gesetzlichen Privilegierungsregelungen ist Unternehmen in jedem Fall zu empfehlen einen Anbieter für das Cloud-Computing zu wählen, der seinen Sitz ausschließlich im Bereich der EU/EWR hat und keine außerhalb dieses Bereiches niedergelassene Unterauftragnehmer beschäftigt.

 

Dies ist insbesondere mit der Anwendbarkeit des nationalen Rechts zu begründen. Denn wenn der Cloud-Anwender in einem Mitgliedsstaat der EU/EWR niedergelassen ist, findet das Recht des Staates Anwendung, in welchem der Cloud-Anbieter niedergelassen ist. Aber auch dann, wenn der Cloud-Anbieter in einem Mitgliedsstaat der EU/EWR niedergelassen ist findet das Recht des Staates Anwendung, in welchem der Cloud-Anbieter seinen Sitz hat. 

Im dritten Teil unserer Serie zum Thema Cloud Computing erfahren Sie, welche Vorkehrungen durch Unternehmen bei dem Weg in die Cloud berücksichtigt werden müssen.

WK LEGAL ist eine auf den Bereich der Neuen Medien spezialisierte Wirtschaftsrechtskanzlei und berät eine Vielzahl von Unternehmen in diesem Bereich. Gerne stehen wir auch Ihnen für Ihre unverbindlichen Fragen zur Verfügung. Sprechen Sie uns einfach per E-Mail an.

Sie haben zu diesem Artikel weitergehende Fragen? Stellen Sie Ihre Fragen direkt und unverbindlich an den Autor dieses Artikels über das nachfolgende Kontaktformular.

[insert_ajaxcontact id=2443]

Über den Autor

Guido Kluck, LL.M.

Rechtsanwalt Guido Kluck LL.M. (Informationsrecht) ist Partner der Kanzlei WK LEGAL am Standort Berlin. Er ist Ansprechpartner für das Recht der neuen Medien sowie für die Bereiche Wettbewerbsrecht, Markenrecht, Urheberrecht, IT-Recht, Vertragsrecht und das Social Media Recht.