Datenschutzrechtliche Zulässigkeit von Cloud-Computing-Services und deren teilautomatisierte Überprüfbarkeit: Eine Betrachtung unter Anwendung der Datenschutz-Grundverordnung [1. Aufl. 2020] 978-3-658-28728-3, 978-3-658-28729-0

Table of contents :
Front Matter ....Pages I-XIX
Einleitung (Annika Selzer)....Pages 1-5
Datenschutzrechtliche Zulässigkeit des Cloud-Computings (Annika Selzer)....Pages 7-27
Datenschutzkontrollen im Cloud-Computing-Umfeld (Annika Selzer)....Pages 29-74
Schlussfolgerungen (Annika Selzer)....Pages 75-77
Back Matter ....Pages 79-128

Citation preview

DuD-Fachbeiträge

Annika Selzer

Datenschutzrechtliche Zulässigkeit von CloudComputing-Services und deren teilautomatisierte Überprüfbarkeit Eine Betrachtung unter Anwendung der Datenschutz-Grundverordnung

DuD-Fachbeiträge Reihe herausgegeben von Gerrit Hornung, Kassel, Deutschland Helmut Reimer, Erfurt, Deutschland Karl Rihaczek, Bad Homburg v.d. Höhe, Deutschland Alexander Roßnagel, Kassel, Deutschland

Die Buchreihe ergänzt die Zeitschrift DuD – Datenschutz und Datensicherheit in einem aktuellen und zukunftsträchtigen Gebiet, das für Wirtschaft, öffentliche Verwaltung und Hochschulen gleichermaßen wichtig ist. Die Thematik verbindet Informatik, Rechts-, Kommunikations- und Wirtschaftswissenschaften. Den Lesern werden nicht nur fachlich ausgewiesene Beiträge der eigenen Disziplin geboten, sondern sie erhalten auch immer wieder Gelegenheit, Blicke über den fachlichen Zaun zu werfen. So steht die Buchreihe im Dienst eines interdisziplinären Dialogs, der die Kompetenz hinsichtlich eines sicheren und verantwortungsvollen Umgangs mit der Informationstechnik fördern möge. Reihe herausgegeben von Prof. Dr. Gerrit Hornung Universität Kassel

Prof. Dr. Helmut Reimer Erfurt

Dr. Karl Rihaczek Bad Homburg v.d. Höhe

Prof. Dr. Alexander Roßnagel Universität Kassel

Weitere Bände in der Reihe http://www.springer.com/series/12486

Annika Selzer

Datenschutzrechtliche Zulässigkeit von CloudComputing-Services und deren teilautomatisierte Überprüfbarkeit Eine Betrachtung unter Anwendung der Datenschutz-Grundverordnung Mit einem Geleitwort von Prof. Dr. Benedikt Buchner

Annika Selzer Darmstadt, Deutschland

ISSN 2512-6997 ISSN 2512-7004  (electronic) DuD-Fachbeiträge ISBN 978-3-658-28729-0  (eBook) ISBN 978-3-658-28728-3 https://doi.org/10.1007/978-3-658-28729-0 Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen National­ bibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar. © Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature 2020 Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung, die nicht ausdrücklich vom Urheberrechtsgesetz zugelassen ist, bedarf der vorherigen Zustimmung des Verlags. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Die Wiedergabe von allgemein beschreibenden Bezeichnungen, Marken, Unternehmensnamen etc. in diesem Werk bedeutet nicht, dass diese frei durch jedermann benutzt werden dürfen. Die Berechtigung zur Benutzung unterliegt, auch ohne gesonderten Hinweis hierzu, den Regeln des Markenrechts. Die Rechte des jeweiligen Zeicheninhabers sind zu beachten. Der Verlag, die Autoren und die Herausgeber gehen davon aus, dass die Angaben und Informa­ tionen in diesem Werk zum Zeitpunkt der Veröffentlichung vollständig und korrekt sind. Weder der Verlag, noch die Autoren oder die Herausgeber übernehmen, ausdrücklich oder implizit, Gewähr für den Inhalt des Werkes, etwaige Fehler oder Äußerungen. Der Verlag bleibt im Hinblick auf geografische Zuordnungen und Gebietsbezeichnungen in veröffentlichten Karten und Institutionsadressen neutral. Springer Vieweg ist ein Imprint der eingetragenen Gesellschaft Springer Fachmedien Wiesbaden GmbH und ist ein Teil von Springer Nature. Die Anschrift der Gesellschaft ist: Abraham-Lincoln-Str. 46, 65189 Wiesbaden, Germany

Geleitwort Standen Unternehmen in der Vergangenheit einer Nutzung von Cloud-Computing-Angeboten auf Grund von Datenschutz- und Datensicherheitsbedenken häufig noch skeptisch gegenüber, ist cloudbasierte Datenverarbeitung mittlerweile in vielen Unternehmen Alltag. Cloud-Computing bringt Unternehmen viele Vorteile wie etwa die kostengünstige und flexible Nutzung von Ressourcen bei Bedarf, bedeutet aber gleichzeitig auch, dass Unternehmen Verantwortung für die Datenverarbeitung durch einen externen Dritten – den Cloud-Computing-Anbieter – übernehmen müssen, sofern dieser personenbezogene Daten verarbeiten soll. Die Nutzung von Cloud-Computing-Services bringt es oftmals mit sich, dass personenbezogene Daten von Kunden und Mitarbeitern eines Unternehmens durch den Cloud-Computing-Anbieter verarbeitet werden, bspw. durch ERP-/CRMSysteme oder schlicht beim E-Mail-Server-Hosting. Die Datenverarbeitung durch den Cloud-Computing-Anbieter ist dabei datenschutzrechtlich i. d. R. als Auftragsverarbeitung ausgestaltet. Den Cloud-Computing-Nutzer trifft daher die Pflicht, den Cloud-Computing-Anbieter vor Beginn der Verarbeitung und sodann regelmäßig auch im Folgenden datenschutzrechtlich zu kontrollieren. Jedoch sind in Zeiten, in denen häufig auf internationale Cloud-Computing-Anbieter in großer geographischer Distanz zurückgegriffen wird, insbesondere persönliche Vor-Ort-Kontrollen durch den Cloud-Computing-Nutzer kaum realistisch zu bewältigen. Die Arbeit von Annika Selzer befasst sich vor diesem Hintergrund mit der praktisch hochrelevanten Frage, welche Möglichkeiten für Cloud-Computing-Nutzer bestehen, ihrer Pflicht zur Auftragsverarbeitungskontrolle unter Anwendung der Datenschutz-Grundverordnung (DS-GVO) ohne die Notwendigkeit persönlicher Vor-Ort-Kontrollen nachzukommen. Mit ihrer Arbeit verfolgt Annika Selzer einen interdisziplinären Forschungsansatz und betrachtet das Thema der Auftragsverarbeitungskontrollen von CloudComputing-Anbietern aus Sicht der Informatik und der Rechtswissenschaften. Ein solcher ganzheitlicher Ansatz, der Recht und Technik vereint, liegt auch der DS-GVO zugrunde. Das in der Arbeit vorgeschlagene Konzept zur teilautomatisierten Auftragsverarbeitungskontrolle führt deshalb die Gedanken der DS-GVO konsequent fort und liefert einen wichtigen Beitrag zur praktische Umsetzung datenschutzrechtlicher Anforderungen. Das erarbeitete Prüfkonzept sieht vor, dass der Umsetzungsgrad von Datenschutzanforderungen mit Hilfe von Datenschutzmetriken und auf Basis von Logdaten automatisiert verifiziert wird und stellt damit eine Form von fortwährender Datenschutzzertifizierung dar. Diese Form der Verifikation ist neu und zukunftsträchtig, bringt sie doch viele Vorteile für Cloud-

VI

Geleitwort

Computing-Nutzer mit sich: So kann sie beispielsweise leicht den Datenschutzanforderungen unterschiedlicher Branchen wie Gesundheits- oder Bildungswesen angepasst werden und erfordert zudem kein eigenes Prüf-Knowhow des Verantwortlichen. Weiterhin wird eine kontinuierliche Verifikation von Datenschutzanforderungen ermöglicht, die es dem Cloud-Computing-Nutzer als datenschutzrechtlich Verantwortlichem erlaubt, die Umsetzung von Datenschutzanforderungen nicht nur an einem starren Prüfdatum, sondern über die gesamte Verarbeitungszeit hinweg zu kontrollieren. Art. 42 i. V. m. Art. 28 Abs. 5 DS-GVO eröffnet die Möglichkeit, die nach der DS-GVO erforderlichen Auftragsverarbeitungskontrollen durch eine Datenschutzzertifizierung zu erbringen bzw. solche Zertifizierungen bei der Auswahl von Auftragsverarbeitern als einen „Faktor“ zu berücksichtigen. Es ist das Verdienst von Annika Selzer, mit ihrer Arbeit aufzuzeigen, dass und warum in diesem Rahmen künftig auch teilautomatisierte bzw. vollständig automatisierte Datenschutzkontrollen Berücksichtigung finden können und sollten. Bremen, im September 2019

Prof. Dr. Benedikt Buchner

Danksagung Allen voran möchte ich Herrn Prof. Dr. Benedikt Buchner für die inhaltlichen Diskussionen und wichtigen Hinweise zur Verbesserung dieses Buchs danken. Beides hat mir geholfen, den Spaß und die Begeisterung für das Thema aufrechterhalten und dieses Buch stetig verbessern zu können. Weiterhin gilt Herrn Prof. Dr. Martin Führ mein Dank für die inhaltliche Begleitung und konstruktiven Hinweise zum Entwurf dieses Buchs. Des Weiteren danke ich meinen Kollegen am Fraunhofer SIT sowie dem Konsortium des Projektes „VeriMetrix“. Besonders danke ich Dr. Matthias Enzmann für die geduldige und engagierte Kommentierung, Ulrich Waldmann und Bernd Jäger danke ich für die zahlreichen inhaltlichen Diskussionen. Michael Herfert, Prof. Dr. Diana Chiampi-Ohly und Prof. Dr. Rainer Böhme möchte ich dafür danken, dass sie mich motiviert haben, dieses Buch fertigzustellen. Mein besonderer Dank gilt schließlich meiner Familie für Ihre Unterstützung. Insbesondere danke ich meinen Eltern, die mir meinen beruflichen Werdegang ermöglicht haben und ohne die ich nicht der Mensch wäre, der ich heute bin. Meinem Bruder widme ich dieses Buch. Darmstadt, im September 2019

Annika Selzer

Inhaltsüberblick Abkürzungsverzeichnis ..................................................................................... XV  Abbildungsverzeichnis ..................................................................................... XIX  Kapitel 1: Einleitung ............................................................................................ 1  A.  B.  C.  D. 

Gegenstand der Untersuchung: Cloud-Computing ................................... 1  Datenschutzrechtlicher Ausgangspunkt .................................................... 3  Technisch-organisatorischer Lösungsansatz ............................................ 4  Hintergrund der Arbeit ............................................................................... 5 

Kapitel 2: Datenschutzrechtliche Zulässigkeit des Cloud-Computings............... 7  A.  Die Zulässigkeit der Nutzung von Cloud-Computing-Services im Rahmen der Auftragsverarbeitung ............................................................ 7  B.  Rechtmäßigkeit von Cloud-Computing-Services durch Verschlüsselung von Daten .................................................................... 17  C.  Ergebnis .................................................................................................. 26  Kapitel 3: Datenschutzkontrollen im Cloud-Computing-Umfeld........................ 29  A.  B.  C.  D. 

Pflicht zur Kontrolle des Auftragsverarbeiters ......................................... 29  „Klassische“ Kontrollvarianten................................................................. 34  Probleme bei der Kontrolle des Cloud-Computing-Anbieters ................. 36  DSGVO-Zertifizierungen als Lösung für die Probleme von Kontrollen im Cloud-Computing-Umfeld ................................................................... 38  E.  Teilautomatisierte Zertifikatlösung .......................................................... 41  F.  Ergebnis .................................................................................................. 74  Kapitel 4: Schlussfolgerungen .......................................................................... 75  A.  Gesamtergebnis ...................................................................................... 75  B.  Ausblick ................................................................................................... 76  Literaturverzeichnis ............................................................................................ 79  Webverzeichnis ................................................................................................. 87  Projektdeliverables ............................................................................................ 89 

X

Inhaltsüberblick

Anhang 1 Spezifikation von Datenschutzanforderungen ................................... 91  A.  Anforderungskatalog für die Verarbeitung personenbezogener Daten nach Bundesdatenschutzgesetz ............................................................. 93  B.  Anforderungskatalog für die Verarbeitung personenbezogener Daten nach BDSG a. F., LDSG Hessen, der Verordnung über die Verarbeitung personenbezogener Daten in Schulen und statistische Erhebungen an Schulen sowie dem Hessischen SchulG ..................... 101  C.  Anforderungskatalog für die Verarbeitung personenbezogener Daten nach nach BDSG a. F., KWG, WpHG, HGB, AO sowie der AGBBanken & der Informationssicherheitsrichtlinien nach PCI ................... 110  D.  Anforderungskatalog für die Verarbeitung personenbezogener Daten nach Datenschutz-Grundverordnung .................................................... 120  Anhang 2 Implementierung der automatisierten Verifikation des Standorts.... 125 

Inhaltsverzeichnis Abkürzungsverzeichnis ..................................................................................... XV  Abbildungsverzeichnis ..................................................................................... XIX  Kapitel 1: Einleitung ............................................................................................ 1  A.  B.  C.  D. 

Gegenstand der Untersuchung: Cloud-Computing ................................... 1  Datenschutzrechtlicher Ausgangspunkt .................................................... 3  Technisch-organisatorischer Lösungsansatz ............................................ 4  Hintergrund der Arbeit ............................................................................... 5 

Kapitel 2: Datenschutzrechtliche Zulässigkeit des Cloud-Computings............... 7  A.  Die Zulässigkeit der Nutzung von Cloud-Computing-Services im Rahmen der Auftragsverarbeitung ............................................................ 7  I. Anwendbarkeit der Regelungen zur Auftragsverarbeitung .................. 7 II. Privilegierung der Auftragsverarbeitung .............................................. 9 1. Theorie der Rechtfertigungsbedürftigkeit ................................................... 10 2. Privilegierungstheorie ................................................................................ 11

III. Verantwortungen und Haftung des Auftragsverarbeiters .................. 14 IV. Rechtmäßigkeit im Rahmen der Auftragsverarbeitung ..................... 14 1. Vertragsgestaltung..................................................................................... 14 2. Genehmigung von Unteraufträgen............................................................. 15 3. Weisungsgebundenheit ............................................................................. 15 4. Kontrollpflichten ......................................................................................... 16

V. Rechtsfolgen bei Verstößen gegen Art. 28 f. DSGVO ...................... 16 B.  Rechtmäßigkeit von Cloud-Computing-Services durch Verschlüsselung von Daten .................................................................... 17  I. II. III. IV.

Verschlüsselung von Daten: ein Überblick ........................................ 18 Personenbezug verschlüsselter Daten .............................................. 20 Relative und absolute Theorie der Identifizierbarkeit ........................ 21 Datenschutzrechtliche Konsequenzen der Verschlüsselung bei der Nutzung von Cloud-Computing-Services .................................... 23 C.  Ergebnis .................................................................................................. 26  Kapitel 3: Datenschutzkontrollen im Cloud-Computing-Umfeld........................ 29  A.  Pflicht zur Kontrolle des Auftragsverarbeiters ......................................... 29  I. Prüfturnus ............................................................................................. 30

XII

Inhaltsverzeichnis

II. Dokumentation der Kontrolle ............................................................. 31 III. Kontrollinhalte .................................................................................... 31 1. Pseudonymisierung und Verschlüsselung ................................................. 32 2. Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste................................................................................. 33 3. Rasche Wiederherstellung der Verfügbarkeit personenbezogener Daten . 33 4. Regelmäßige Überprüfung, Bewertung und Evaluierung........................... 33 5. Verarbeitung personenbezogener Daten durch natürliche Personen auf Anweisung des Verantwortlichen ......................................................... 34

B.  „Klassische“ Kontrollvarianten................................................................. 34  I. Vor-Ort-Kontrolle durch den Auftragsverarbeiter .................................. 34 II. Selbstauskunft des Auftragsverarbeiters ........................................... 34 III. Zertifizierung durch Dritte .................................................................. 35 C.  Probleme bei der Kontrolle des Cloud-Computing-Anbieters ................. 36  D.  DSGVO-Zertifizierungen als Lösung für die Probleme von Kontrollen im Cloud-Computing-Umfeld ................................................................... 38  E.  Teilautomatisierte Zertifikatlösung .......................................................... 41  I. Die Notwendigkeit der Messung des Verarbeitungsstandorts .............. 44 1. Datenschutzrechtlicher Ausgangspunkt: Rechtmäßigkeitsanforderungen an eine Datenübermittlung je nach Cloud-Standort ................................... 44 2. Datenübermittlungen auf Basis eines Angemessenheitsbeschlusses ....... 45 3. Datenübermittlung vorbehaltlich geeigneter Garantien .............................. 46

II. Entwicklung von Datenschutzmetriken als Prüfbasis ........................ 49 1. Top-down-Ansatz....................................................................................... 50 2. Bottom-up-Ansatz ...................................................................................... 50 3. Standortmetrik ........................................................................................... 51

III. Automatisierte Auswertung des Umsetzungsgrades geographischer Standortanforderungen in der Cloud ....................... 52 IV. Händische Auswertung des Umsetzungsgrades geographischer Standortanforderungen durch einen Auditor ........... 56 V. Kombination automatischer und händischer Messergebnisse sowie mögliche Darstellung für Cloud-Computing-Nutzer ................. 62 VI. Exkurs: Branchenspezifische Messungen ......................................... 65 VII. Konsequenzen festgestellter Verstöße bei teilautomatisierten Datenschutzkontrollen ........................................................................ 66 VIII.Datenschutzrechtliche Aspekte automatisierter Datenschutzkontrollen ............................................................................................ 69 IX. Vor- und Nachteile teilautomatisierter Zertifikate ............................... 71 F.  Ergebnis ........................................................................................................ 74 

Inhaltsverzeichnis

XIII

Kapitel 4: Schlussfolgerungen .......................................................................... 75  A.  Gesamtergebnis ...................................................................................... 75  B.  Ausblick ................................................................................................... 76  Literaturverzeichnis ............................................................................................ 79  Webverzeichnis ................................................................................................. 87  Projektdeliverables ............................................................................................ 89  Anhang 1 Spezifikation von Datenschutzanforderungen ................................... 91  A.  Anforderungskatalog für die Verarbeitung personenbezogener Daten nach Bundesdatenschutzgesetz ............................................................. 93  B.  Anforderungskatalog für die Verarbeitung personenbezogener Daten nach BDSG a. F., LDSG Hessen, der Verordnung über die Verarbeitung personenbezogener Daten in Schulen und statistische Erhebungen an Schulen sowie dem Hessischen SchulG ..................... 101  C.  Anforderungskatalog für die Verarbeitung personenbezogener Daten nach nach BDSG a. F., KWG, WpHG, HGB, AO sowie der AGBBanken & der Informationssicherheitsrichtlinien nach PCI ................... 110  D.  Anforderungskatalog für die Verarbeitung personenbezogener Daten nach Datenschutz-Grundverordnung .................................................... 120  Anhang 2 Implementierung der automatisierten Verifikation des Standorts.... 125 

Abkürzungsverzeichnis Abb.

Abbildung

Abs.

Absatz

AV

Auftragsverarbeitung

AG

Arbeitsgruppe

AG

Amtsgericht

AGB

Allgemeine Geschäftsbedingungen

Alt.

Alternative

AO

Abgabenordnung

Art.

Artikel

Az

Aktenzeichen

BC

Zeitschrift für Bilanzierung, Rechnungswesen und Controlling

BDSG

Bundesdatenschutzgesetz, ab 25. Mai 2018

BDSG a. F.

Bundesdatenschutzgesetz, bis 24. Mai 2018

BfDI

Bundesbeauftragter für den Datenschutz und die Informationsfreiheit

BGB

Bürgerliches Gesetzbuch

BGH

Bundesgerichtshof

BITKOM

Bundesverband Informationswirtschaft, Telekommunikation und neue Medien

BvD

Berufsverband der Datenschutzbeauftragten Deutschlands

BVerfG

Bundesverfassungsgericht

BVerfGE

Entscheidungen des Bundesverfassungsgerichts

CR

Computer und Recht (Zeitschrift)

DNS

Domain Name Server

DSB

Datenschutz-Berater (Zeitschrift)

DSGVO

Datenschutz-Grundverordnung

DuD

Zeitschrift für Datenschutz und Datensicherheit

XVI

Abkürzungsverzeichnis

DStR

Deutsches Steuerrecht (Zeitschrift)

DSZ

Datenschutz Zertifizierungsgesellschaft mbH

Erwgr.

Erwägungsgrund

et al.

Et Alia

etc.

Et cetera

EU

Europäische Union

EuGH

Europäischer Gerichtshof

e.V.

Eingetragener Verein

EWR

Europäischer Wirtschaftsraum

FH

Fachhochschule (jetzt: Hochschule für Angewandte Wissenschaften, HAW)

Fn.

Fußnote

GDD

Gesellschaft für Datenschutz und Datensicherheit

gem.

Gemäß

GG

Grundgesetz für die Bundesrepublik Deutschland

Ggf.

Gegebenenfalls

HGB

Handelsgesetzbuch

Hrsg.

Herausgeber

IaaS

Infrastructure-as-a-Service

I. d. R.

In der Regel

I. S. d.

Im Sinne des

IT

Informationstechnologie

IUK

Informations- und Kommunikationstechnik

I. V. m.

In Verbindung mit

Abkürzungsverzeichnis

XVII

K&R

Kommunikation und Recht (Zeitschrift)

KWG

Kreditwesengesetz

LDSG

Landesdatenschutzgesetz

LfDI

Landesbeauftragter für den Datenschutz und die Informationsfreiheit

LG

Landgericht

Lit

Littera, Buchstabe

MMR

Multimedia und Recht (Zeitschrift)

NIST

National Institute of Standards and Technology

NJW

Neue Juristische Wochenschrift (Zeitschrift)

NN

Nearest Neighbor/ Nächste Nachbarn

NR.

Nummer

NS

Name Server

NSA

National Security Agency

O.g.

Oben genannt(e/n)

OLG

Oberlandesgericht

PaaS

Platform-as-a-Service

PCI

Payment Card Industry Data Security Standard

PDF

Portable document format

Rdnr./Rn.

Randnummer

RL

Richtlinie

S.

Seite

SaaS

Software-as-a-Service

SLA

Service Level Agreement

XVIII

Abkürzungsverzeichnis

TCDP

Trusted-Cloud-Datenschutz-Profil

TMG

Telemediengesetz

U.A.

Unter anderen/unter anderem

Urt.

Urteil

US

United States

USA

United States of America

usw.

Und so weiter

UWG

Gesetz gegen den unlauteren Wettbewerb

V.

Von (dem)

Vgl.

Vergleiche

VM

Virtuelle Maschine

VO

Verordnung

VUR

Verbraucher und Recht (Zeitschrift)

WpHG

Wertpapierhandelsgesetz

WWW

World Wide Web

z. B.

Zum Beispiel

ZD

Zeitschrift für Datenschutz

ZUM

Zeitschrift für Urheber und Medienrecht

Abbildungsverzeichnis Abbildung 1: Angebotsvarianten von Cloud-Computing-Anbietern .............................. 2 Abbildung 2: Die betroffene Person als indirekt Beteiligter eines Cloud-ComputingService .................................................................................................... 3 Abbildung 3: Symmetrische Verschlüsselung ............................................................ 19 Abbildung 4: Asymmetrische Verschlüsselung .......................................................... 19 Abbildung 5: Architektur des Cloud-Computings........................................................ 26 Abbildung 6: Entwicklung von Datenschutzmetriken.................................................. 50 Abbildung 7: Metrikensteckbrief zur Standortbestimmung ......................................... 52 Abbildung 8: Überblick über automatisierte Standortbestimmungen.......................... 53 Abbildung 9: Automatisierte Standortbestimmung auf Basis von Machine Learning . 56 Abbildung 10: Beispielhafter Inhalt eines teilautomatisierten Datenschutz-Zertifikats .. 61 Abbildung 11: Kombination von Messergebnissen....................................................... 62 Abbildung 12: Übersicht der Benutzerschnittstelle ....................................................... 63 Abbildung 13: Detailansicht der Benutzerschnittstelle.................................................. 65 Abbildung 14: Auswahl eines Cloud-Computing-Anbieters durch einen Marktplatzanbieter................................................................................. 73 Abbildung 15: Demonstrator vor Standortwechsel ..................................................... 126 Abbildung 16: Portal des Cloud-Computing-Anbieters – Anhalten der VM in Deutschland ........................................................................................ 127 Abbildung 17: Portal des Cloud-Computing-Anbieters – Starten der VM in Großbritannien .................................................................................... 127 Abbildung 18: Demonstrator nach Standortwechsel .................................................. 128

Kapitel 1: Einleitung Bei der Nutzung von Cloud-Computing-Services durch Unternehmen werden die personenbezogenen Daten der Kunden und Mitarbeiter des Unternehmens durch einen Cloud-Computing-Anbieter – und nicht durch das Unternehmen als Verantwortlichen selbst – verarbeitet. Die datenschutzkonforme Ausgestaltung des Cloud-Computings sowie Möglichkeiten der datenschutzrechtlichen Überprüfung von Cloud-Computing-Anbietern stellen die zentralen Fragen der vorliegenden Arbeit dar.

A.

Gegenstand der Untersuchung: Cloud-Computing

Cloud-Computing umfasst die Nutzung von IT-Ressourcen – u. a. Serverkapazitäten, Speicherplatz, Software sowie gebündelte Informationen –, die nicht auf dem lokalen Rechner des Nutzers vorgehalten, sondern durch einen Cloud-Computing-Anbieter als Service virtuell zur Verfügung gestellt werden. Der Zugriff auf die IT-Ressourcen durch den Cloud-Computing-Nutzer erfolgt über das Internet. Cloud-Computing basiert auf der Virtualisierung von IT-Ressourcen. Unter Virtualisierung versteht man den Umstand, dass ein Rechenzentrum nicht nur auf ITRessourcen zugreifen kann, die im eigenen Gebäude stehen, sondern auch transparent1 auf IT-Ressourcen an anderen Standorten in der Welt, gerade so, als ob der Zugriff auf hauseigene IT-Ressourcen erfolgen würde.2 Ein Cloud-Computing-Service besteht in der Regel aus parallel arbeitenden Rechnern, welche zusammen über eine sehr hohe Verarbeitungsleistung verfügen. In der so entstehenden „Wolke“ von Rechnern können verschiedene CloudComputing-Nutzer (gleichzeitig) auf verschiedene Anwendungen zugreifen und diese verwenden. Nutzer können hierbei unter anderem private Endnutzer und Unternehmen sein. Während Privatnutzer vor allem von Möglichkeiten zum Daten-Backup, zur Datensynchronisation zwischen (mobilen) Geräten sowie zur Verwaltung und gemeinsamen Nutzung von Kalendern Gebrauch machen, nutzt die Privatwirtschaft Cloud-Computing-Services häufig zum großflächigen Hosting

1

„Transparent“ ist hier im informatischen Sinne als „unsichtbar“ zu verstehen.

2

Petri in Simitis/Hornung/Spiecker, DSGVO-Kommentar, Art. 28 Rdnr. 18-20; Batmann, in: Taeger (Hrsg.), Rechtsfragen digitaler Transformationen – Gestaltung digitaler Veränderungsprozesse durch Recht, S. 87; Söbbing, MMR 2008, 13; Münzl: Cloud Computing als neue Herausforderung für Management und IT, S. 7 f.; Baun/Kunze/Nimis/Tai: Cloud Computing, S. 7.

© Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature 2020 A. Selzer, Datenschutzrechtliche Zulässigkeit von Cloud-Computing-Services und deren teilautomatisierte Überprüfbarkeit, DuD-Fachbeiträge, https://doi.org/10.1007/978-3-658-28729-0_1

2

Kapitel 1: Einleitung

von z. B. Customer-Relationship-Management-Systemen sowie E-Mail-Servern.3 Die Nutzung von Cloud-Computing-Services bietet u. a. größtmögliche Flexibilität, Potenzial für Kosteneinsparungen und die Möglichkeit, von einer professionell betriebenen IT-Infrastruktur Gebrauch zu machen, ohne die dafür benötigten Kenntnisse im eigenen Unternehmen aufbringen zu müssen. An einem Cloud-Computing-Service sind als Akteure mindestens ein CloudComputing-Anbieter und ein Cloud-Computing-Nutzer beteiligt. Der Cloud-Computing-Anbieter bietet dem Cloud-Computing-Nutzer einen kostenpflichtigen oder kostenlosen Cloud-Computing-Service an. Hierbei kann der Cloud-ComputingAnbieter selbst auf Ressourcen anderer Cloud-Computing-Anbieter zurückgreifen, die er seinem Nutzer im Anschluss in Kombination mit dem von ihm bereitgestellten Service anbietet (Variante 1), oder einen Service anbieten, den er ausschließlich auf Basis seiner eigenen Ressourcen erbringt (Variante 2). Variante 1

Cloud Nutzer Bietet dem Nutzer einen auf den Ressourcen aufbauenden Service an

Anbieter weiterführender Services Stellen Ressourcen bereit

Anbieter der Ressourcen

Variante 2

Cloud Nutzer Stellt dem Nutzer den gesamten Service zur Verfügung

Anbieter weiterführender Services Anbieter der Ressourcen

Abbildung 1: Angebotsvarianten von Cloud-Computing-Anbietern

Ein Cloud-Computing-Nutzer greift auf den vom Cloud-Computing-Anbieter angebotenen Cloud-Computing-Service zu. Cloud-Computing-Nutzer können entweder Unternehmen und sonstige Organisationen jeder Größe sowie Privatpersonen sein. Im Zentrum dieser Arbeit steht die Nutzung von Cloud-Computing3

Fargo/Helfrich/ Schneider, Betrieblicher Datenschutz, Kapitel 5 Rdnr. 3 ff.; Batmann, in: Taeger (Hrsg.), Rechtsfragen digitaler Transformationen – Gestaltung digitaler Veränderungsprozesse durch Recht, S. 87; Fickert, in: Taeger/Wiebe (Hrsg.), Inside the Cloud – Neue Herausforderungen für das Informationsrecht, S. 419 (421-423); Tezel, ZD Aktuell 2016, 05026; Bedner, Cloud Computing, S. 1-3; Söbbing, MMR 2008, 12; Hufen, BT-Magazin 2013, S. 6.

Datenschutzrechtlicher Ausgangspunkt

3

Services, die von Unternehmen genutzt werden, um ihre Kunden- und/oder Mitarbeiterdaten verarbeiten zu lassen. In diesem Fall, also wenn der Cloud-Computing-Anbieter die personenbezogenen Kunden- und Mitarbeiterdaten des Cloud-Computing-Nutzers verarbeitet, sind die Kunden/Mitarbeiter des CloudComputing-Nutzers als betroffene Personen indirekt am Service beteiligt.

Cloud Nutzer

Erhebt personenbezogene Daten zu einem rechtmäßigen Zweck

betroffene Person

Speichert die personenbezogenen Daten in der Cloud

Cloud Anbieter Quelle des Symbols: www.openclipart.org

Abbildung 2: Die betroffene Person als indirekt Beteiligter eines Cloud-Computing-Service

B.

Datenschutzrechtlicher Ausgangspunkt

Die Nutzung von Cloud-Computing-Services durch Unternehmen birgt datenschutzrechtliche Risiken, da personenbezogene Daten von betroffenen Personen durch einen Cloud-Computing-Anbieter und nicht durch den Verantwortlichen selbst verarbeitet werden. Vorgelagert wird sich diese Arbeit daher zunächst mit der Frage befassen, unter welchen Voraussetzungen deutsche Unternehmen unter Anwendung der Datenschutz-Grundverordnung Cloud-Computing-Services zur Verarbeitung von Kunden- und Mitarbeiterdaten nutzen dürfen. Nach hier vertretener Ansicht legitimiert sich die Nutzung von Cloud-Computing-Services für deutsche Unternehmen i. d. R. über einen Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DSGVO, da -

auf Cloud-Computing-Services – sofern im Rahmen des Service personenbezogene Daten verarbeitet werden – i. d. R. die Regelungen zur Auftragsverarbeitung Anwendung finden (Kap. 2 A I),

-

in der Diskussion um die neben einem Auftragsverarbeitungsvertrag zusätzlich notwenige Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO für die Weitergabe der personenbezogenen Daten an den Cloud-Computing-Anbieter dem Standpunkt der Privilegierungstheorie zu folgen ist (Kap. 2 A II) und

4

Kapitel 1: Einleitung

-

die Möglichkeit, den Personenbezug aus Sicht des Cloud-Computing-Anbieters durch Verschlüsselung zu entfernen, bisher nur für wenige CloudComputing-Services besteht (Kap. 2 B).

Sofern die Nutzung von Cloud-Computing-Services durch Verantwortliche im Sinne der Legaldefinition der Datenschutz-Grundverordnung (DSGVO) auf Grundlage der Auftragsverarbeitung erfolgen kann, trägt der Verantwortliche nach Art. 28 Abs. 1 DSGVO die Pflicht, nur mit Auftragsverarbeitern zu arbeiten, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der Datenschutz-Grundverordnung erfolgt und den Schutz der Rechte der betroffenen Personen gewährleistet. Den Verantwortlichen trifft in diesem Sinne eine Pflicht, den Auftragsverarbeiter vor Beginn der Verarbeitung („Erstkontrolle“) und sodann regelmäßig („Folgekontrollen“) datenschutzrechtlich zu kontrollieren.

C.

Technisch-organisatorischer Lösungsansatz

Bisher wurden sogenannte Erst- und Folgekontrollen (im Folgenden auch zusammenfassend als „Auftragsverarbeitungskontrollen“ oder „Kontrollen“ bezeichnet) auf unterschiedliche Weise durchgeführt. Unter anderem erfolgten die Kontrollen auf Basis sogenannter persönlicher Vor-Ort-Kontrollen, die der Verantwortliche durchführte, oder auf Basis von Zertifikaten, die der Auftragsverarbeiter dem Verantwortlichen vorlegte, um zu bescheinigen, dass er die gesetzlich geforderten Datenschutzanforderungen umsetzt. Diese Formen der Auftragskontrolle erwiesen sich jedoch als nicht praktikabel bzw. brachten keine Rechtssicherheit mit sich: So führen z. B. persönliche Vor-Ort-Kontrollen, vor allem unter Einbeziehung internationaler Cloud-Computing-Services, zu einer Art „Prüftourismus“, da der Verantwortliche die Rechenzentren des Auftragsverarbeiters im Ausland kontrollieren müsste. Dementsprechend soll in der vorliegenden Arbeit die Frage beantwortet werden, welche Möglichkeiten bestehen, der Pflicht zur Auftragsverarbeitungskontrolle unter Anwendung der Datenschutz-Grundverordnung im Anwendungskontext des Cloud-Computings rechtskonform nachzukommen und inwiefern technische Möglichkeiten zur Verifikation von Datenschutzprüfaspekten die bisherigen Herangehensweisen, Datenschutzkontrollen durchzuführen, ergänzen und verbessern können. Hierbei wird aufzuzeigen sein, dass es Alternativen zur persönlichen Vor-Ort-Kontrolle des Auftragsverarbeiters gibt, die den Verantwortlichen weitaus größere Vorteile bieten können als persönliche Vor-OrtKontrollen, da -

sich der Umsetzungsgrad von Datenschutzanforderungen mit Hilfe von Datenschutzmetriken und auf Basis von Logdaten automatisiert verifizieren lässt (Kap. 3 E),

Hintergrund der Arbeit

5

-

die automatisierte Datenschutzkontrolle branchenspezifische Anforderungen berücksichtigen kann und kein eigenes Prüfknowhow des Verantwortlichen voraussetzt (Kap. 3 E VI) und

-

eine kontinuierliche Verifikation von Datenschutzanforderungen sowie eine zeitnahe Reaktion auf mögliche Datenschutzverstöße ermöglicht (Kap. 3 E IX).

Diese Arbeit bewertet insofern die Rechtmäßigkeit der Nutzung von CloudComputing-Services im Rahmen der Weitergabe personenbezogener Daten an Cloud-Computing-Anbieter als Auftragsverarbeiter und stellt verschiedene Möglichkeiten der Datenschutzkontrolle des Cloud-Computing-Anbieters vor, die dem Cloud-Computing-Nutzer aus heutiger und zukünftiger Sicht zur Verfügung stehen.

D.

Hintergrund der Arbeit

Diese Arbeit entstand im Wesentlichen während der Arbeit der Verfasserin an dem vom Bundesministerium für Wirtschaft und Technologie geförderten Projekt CloudCycle sowie an dem vom Bundesministerium für Bildung und Forschung geförderten Projekt VeriMetrix. In beiden Projekten war es Ziel der Forschung, das Thema „Datenschutzkontrollen im Zeitalter von Cloud-Computing“ in Form eines interdisziplinären Forschungsansatzes zwischen Informatikern, Wirtschaftswissenschaftlern und Juristen zu bearbeiten, wodurch auch die vorliegende Arbeit einen interdisziplinären Forschungsansatz verfolgt, der das Thema der Datenschutzkontrollen im Cloud-Computing-Umfeld problemorientiert und getrieben von einem Problemverständnis aus Sicht der Informatik und Rechtswissenschaften betrachtet.

Kapitel 2: Datenschutzrechtliche Zulässigkeit des Cloud-Computings Grundsätzlich bemisst sich die Zulässigkeit jeder Verarbeitung personenbezogener Daten unter der Datenschutz-Grundverordnung nach Art. 6 DSGVO. Ohne das Vorliegen einer der in Art. 6 DSGVO genannten Voraussetzungen ist eine Verarbeitung personenbezogener Daten grundsätzlich unzulässig.4 Eine Ausnahme davon stellt allerdings die sogenannte Auftragsverarbeitung dar, die bereits unter dem bis Mai 2018 geltenden Datenschutzrecht privilegiert war. A.

Die Zulässigkeit der Nutzung von Cloud-Computing-Services im Rahmen der Auftragsverarbeitung

Bei einer Auftragsverarbeitung werden personenbezogene Daten von einem Verantwortlichen an einen Auftragsverarbeiter weitergegeben, um diese nach Weisung des Verantwortlichen durch den Auftragsverarbeiter im Auftrag verarbeiten zu lassen, ohne dass der Auftragsverarbeiter gegenüber der betroffenen Person im eigenen Namen handelt.5 I.

Anwendbarkeit der Regelungen zur Auftragsverarbeitung

Von der Auftragsverarbeitung sind Verarbeitungen abzugrenzen, bei denen der beauftragte Datenverarbeiter selbstständig über die Zwecke und Mittel der Datenverarbeitung entscheidet. Entscheidet er selbst über die Zwecke und Mittel, so ist er kein Auftragsverarbeiter i. S. d. Art. 4 Nr. 8 DSGVO, sondern muss als Verantwortlicher i. S. d. Art. 4 Abs. 7 DSGVO eingeordnet werden. Die Datenschutz-Grundverordnung grenzt insofern zwischen Auftragsverarbeitung (Art. 28 f. DSGVO) und der Figur des gemeinsam für die Verarbeitung Verantwortlichen (Art. 26 DSGVO) ab. Für diese Abgrenzung ist es relevant, ob der Verantwortliche, der einen Dienstleister mit der Verarbeitung personenbezogener Daten beauftragten möchte, alleine über die Zwecke und Mittel entscheidet (Auftragsverarbeitung) oder ob die Zwecke und Mittel gemeinsam mit dem Dienstleister festgelegt werden (gemeinsame Verantwortlichkeit).6

4

Kleemann/Kader, DStR 2018, S. 1091 (1092).

5

Art. 29 DSGVO; Hartung, in: Kühling/Buchner (Hrsg.), DSGVO, Art. 28 Rdnr. 26-30, 33; Klug in Gola, DSGVO, Art. 28 Rdnr. 4 f.; Selzer, DuD 2013, 215; IT-Gipfel 2011, Rechtliche Anforderungen an Cloud Computing, S. 36 f.; Eckhardt/Kramer, DuD 2014, 147; Eckhardt, DuD 2013, 587; Petri, ZD 2015, 306.

6

Hartung, in: Kühling/Buchner (Hrsg.), DSGVO, Art. 28 Rdnr. 44.

© Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature 2020 A. Selzer, Datenschutzrechtliche Zulässigkeit von Cloud-Computing-Services und deren teilautomatisierte Überprüfbarkeit, DuD-Fachbeiträge, https://doi.org/10.1007/978-3-658-28729-0_2

8

Kapitel 2: Datenschutzrechtliche Zulässigkeit des Cloud-Computings

Ob in einem konkreten Fall eine Auftragsverarbeitung vorliegt, entscheidet nicht etwa der Umstand, dass ein Auftragsverarbeitungsvertrag geschlossen wurde oder welcher Vertragstyp zivilrechtlich zugrunde liegt (z. B. Werkvertrag, Dienstvertrag), sondern die tatsächlichen Gegebenheiten in Bezug auf die Festlegung der Zwecke und Mittel einer Datenverarbeitung. Wesentlich für die Einordnung, ob eine Auftragsverarbeitung vorliegt, ist somit (allein) die rechtliche und tatsächliche Möglichkeit, über die Verarbeitung der personenbezogenen Daten zu entscheiden. Insbesondere ist bei der Einordnung zu berücksichtigen, wer die Verarbeitung der personenbezogenen Daten veranlasst hat, ob im Rahmen des geschlossenen Auftragsverarbeitungsvertrags Weisungen erteilt wurden und ob der Verantwortliche die Datenverarbeitung bei dem beauftragten Datenverarbeiter kontrolliert (z. B. im Rahmen der Überprüfung der von dem beauftragten Datenverarbeiter vorgenommenen technischen und organisatorischen Maßnahmen im Rahmen der Auswahl und regelmäßigen Kontrolle des Datenverarbeiters). Nicht schädlich für das Vorliegen einer Auftragsverarbeitung ist hingegen, wenn ein Auftragsverarbeiter über einen nur geringfügigen Spielraum verfügt, über die eingesetzten Mittel der Datenverarbeitung zu entscheiden, solange sich dieser Spielraum auf die konkrete (technische) Ausgestaltung der Umsetzung des Auftrags des Verantwortlichen begrenzt. 7 Fraglich ist, ob Cloud-Computing-Services als Auftragsverarbeitungen eingeordnet werden können. Da Cloud-Computing-Anbieter eine sehr große Bandbreite an Services anbieten können, ist eine pauschale Einordnung von CloudComputing-Services als Auftragsverarbeitung grundsätzlich nicht möglich. I. d. R. liegt zumindest dann – mangels Verarbeitung personenbezogener Daten bzw. Möglichkeiten, auf diese zuzugreifen – keine Auftragsverarbeitung vor, wenn der Cloud-Computing-Anbieter lediglich seine Datenverarbeitungsanlagen für die Datenverarbeitung des Verantwortlichen zur Verfügung stellt und ein Zugriff auf die verarbeiteten personenbezogenen Daten durch den Cloud-Computing-Anbieter durch technische und organisatorische Maßnahmen vollständig ausgeschlossen ist. Eine Auftragsverarbeitung kann hingegen vorliegen, wenn im Rahmen des Cloud-Computing-Service die Verarbeitung der personenbezogenen Daten bei dem Cloud-Computing-Anbieter erfolgt und dieser Zugriff auf die personenbezogenen Daten hat. Liegt eine Verarbeitung personenbezogener Daten durch den Cloud-Computing-Anbieter vor, so gilt es, die eben genannten weiteren Voraussetzungen zu erfüllen, um den Verarbeitungsvorgang bei dem Cloud-Computing-Anbieter als Auftragsverarbeitung einstufen zu können. Die wichtigsten Kriterien hierbei sind regelmäßig, ob der Cloud-Computing-Nutzer im Rahmen des Auftragsverarbeitungsvertrags entsprechende Weisungen an den 7

Petri in Simitis/Hornung/Spiecker, DSGVO-Kommentar, Art. 28 Rdnr. 23; Hartung in Kühling/Buchner, DS-GVO-Kommentar, Art. 28 Rdnr. 27 ff.

Die Zulässigkeit der Nutzung von Cloud-Computing-Services

9

Cloud-Computing-Anbieter formuliert hat und er somit die Zwecke und Mittel der Datenverarbeitung festlegt, ob der Cloud-Computing-Anbieter in Bezug auf die von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig ausgewählt wurde und dass der Cloud-Computing-Anbieter keine eigenmotivierte Verarbeitung der personenbezogenen Daten vornimmt.8 Entsprechend diesen Kriterien wird bei dem Großteil der derzeit angebotenen Cloud-Computing-Services das Vorliegen einer Auftragsverarbeitung regelmäßig zu bejahen sein, da der Cloud-Computing-Anbieter i. d. R. nicht über die Zwecke der Datenverarbeitung entscheidet und im Rahmen der Datenverarbeitung lediglich über einen geringfügigen Spielraum verfügt, über die eingesetzten Mittel der Datenverarbeitung zu entscheiden, und der Cloud-Computing-Nutzer i. d. R. über die wichtigsten Konfigurationen des von ihm genutzten Cloud-Computing-Service im Rahmen der Service-Auswahl selbst entscheidet (Beispiele hierfür sind u. a. die Auswahl, ob eine Private-, Public- oder Hybrid-Cloud9 genutzt wird oder ob die Verarbeitung der Daten geographisch beschränkt werden soll). Zudem wird eine eigenmotivierte Datenverarbeitung der personenbezogenen Mitarbeiterund Kundendaten des Cloud-Computing-Nutzers durch den Cloud-ComputingAnbieter i. d. R. vertraglich explizit ausgeschlossen und im Rahmen des Auftragsverarbeitungsvertrags durch regelmäßige Kontrollen des Cloud-ComputingAnbieters durch den Cloud-Computing-Nutzer verpflichtend geregelt. II.

Privilegierung der Auftragsverarbeitung

Die Auftragsverarbeitung war nach altem Recht, konkret nach dem alten Bundesdatenschutzgesetz, innerhalb des Europäischen Wirtschaftsraums privilegiert. Bedurfte die Übermittlung personenbezogener Daten an einen Dritten – aufgrund der datenschutzrechtlichen Trennung zwischen verschiedenen juristischen Einheiten – grundsätzlich einer gesetzlichen Erlaubnisnorm oder der datenschutzkonformen Einwilligung der betroffenen Person, so stellte ein Auftragsverarbeiter

8

Petri in Simitis/Hornung/Spiecker, DSGVO Kommentar, Art. 28 Rdnr. 23; Hartung in Kühling/Buchner, DS-GVO-Kommentar, Art. 28 Rdnr. 30 ff.; Ingold in Sydow, DSGVO, Art. 28 Rdnr. 23.

9

Eine Private-Cloud definiert sich durch die Tatsache, dass zwar sämtliche angebotenen Services nach dem Cloud-Computing-Prinzip funktionieren, der Service aber nur einem einzelnen Cloud-Computing-Nutzer zur Verfügung steht. Häufig wird der Service sogar unternehmensintern, also ohne Hinzuziehung eines externen Anbieters, erbracht. Eine Public-Cloud definiert sich dadurch, dass sie öffentlich ist und somit im Gegensatz zu der Private-Cloud von beliebig vielen Unternehmen beziehungsweise Privatpersonen genutzt wird. Bei einer Hybrid-Cloud werden sowohl Dienste aus Public-Clouds als auch aus Private-Clouds genutzt, wobei für kritische/vertrauliche Daten auf die Private- und bei unkritischen Daten auf die Public-Cloud zurückgegriffen wird. Fargo/Helfrich/ Schneider, Betrieblicher Datenschutz, Kapitel 5 Rdnr. 9-12; Steidle, in: Jandt/ Steidle (Hrsg.), Datenschutz im Internet, S. 246 f.; Weichert, DuD 2010, 682; Baun/Kunze/ Nimis/ Tai: Cloud Computing, S. 26 f; Mester, DuD 2010, 675; Heidrich/Wegener, MMR 2010, 803; Tezel, ZD Aktuell 2016, 05026; Obenhaus, NJW 2010, 651.

10

Kapitel 2: Datenschutzrechtliche Zulässigkeit des Cloud-Computings

innerhalb des Europäischen Wirtschaftsraums per Definition keinen „Dritten“ dar.10 Der Verantwortliche und der Auftragsverarbeiter innerhalb des Europäischen Wirtschaftsraums bildeten vielmehr eine „Einheit“ und der Auftragsverarbeiter agierte insofern lediglich als „verlängerter Arm“ des Verantwortlichen. Der Verantwortliche konnte aufgrund dessen einen Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten beauftragen, ohne dass für die Weitergabe der personenbezogenen Daten an den Auftragsverarbeiter ein (separater) Erlaubnistatbestand vorliegen musste.11 Die Datenweitergabe an den Auftragsverarbeiter zum Zweck der Verarbeitung im Auftrag konnte daher innerhalb des Europäischen Wirtschaftsraums auf Basis eines Vertrags über die Auftragsverarbeitung erfolgen. Inwiefern durch die Datenschutz-Grundverordnung die privilegierte Auftragsverarbeitung fortbesteht, wird kontrovers diskutiert. So wird zum einen die Theorie der Rechtfertigungsbedürftigkeit12 sowie zum anderen die Privilegierungstheorie13 diskutiert. 1.

Theorie der Rechtfertigungsbedürftigkeit

Die Theorie der Rechtfertigungsbedürftigkeit legt die Datenschutz-Grundverordnung dahingehend aus, dass die Auftragsverarbeitung zukünftig – entsprechend dem Grundsatz des Vorbehalts des Gesetzes – nach Art. 6 Abs. 1 DSGVO gerechtfertigt werden müsse, da es sich bei der Weitergabe personenbezogener Daten an einen Auftragsverarbeiter um einen Verarbeitungsvorgang handle und jeder Verarbeitungsvorgang dem Vorbehalt des Art. 6 Abs. 1 DSGVO unterliege. Nach der Theorie der Rechtfertigungsbedürftigkeit gibt es mehrere Möglichkeiten, die Weitergabe personenbezogener Daten an den Auftragsverarbeiter zu legitimieren: 10

Nach dem alten Bundesdatenschutzgesetz galt: „Empfänger ist jede Person oder Stelle, die Daten erhält. Dritter ist jede Person oder Stelle außerhalb der verantwortlichen Stelle. Dritte sind nicht der Betroffene sowie Personen und Stellen, die im Inland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen.“ Die Kernaussage bzgl. des AV-Privilegs war somit, dass Auftragsverarbeiter innerhalb des EWR keine Dritten sind.

11

Hartung, in: Kühling/Buchner (Hrsg.), DSGVO, Art. 28 Rdnr. 13 f.; Martini in Paal/Pauly (Hrsg.), DSGVO, Art. 28 Rdnr. 18.

12

Die Theorie der Rechtfertigungsbedürftigkeit wird u. a. von Hofmann in: Roßnagel (Hrsg.): Europäische DSGVO, S. 180 (bzw. Hofmann in: Roßnagel (Hrsg.): Das neue Datenschutzrecht, S. 173); Spoerr in Wolff/Brink, Datenschutzrecht-Online-Kommentar, Art. 28 Rdnr. 31; Härting, Datenschutz-Grundverordnung, S. 140 vertreten.

13

Die Privilegierungstheorie wird u. a. von Schmidt/Freund, ZD 2017, 16; Hartung/Büttgen, DuD 2017, 551 ff.; Gola, K&R 2017, 145, 148; Franck, ZD 2017, 510; Schmitz/von Dall’Armi, ZD 2016, 429; Bertermann in Ehmann/Selmayr, DSGVO, Art. 28 Rdnr. 7; Hartung, in: Kühling/Buchner (Hrsg.), DSGVO, Art. 28 Rdnr. 15 ff.; Martini in Paal/Pauly (Hrsg.), DSGVO, Art. 28 Rdnr. 8 a vertreten.

Die Zulässigkeit der Nutzung von Cloud-Computing-Services

11

-

Zunächst könne die Weitergabe durch Art. 6 Abs. 1 lit. f DSGVO legitimiert werden. Das berechtigte Interesse soll laut den Befürwortern der Rechtfertigungsbedürftigkeit i. d. R. vorliegen, wenn die Voraussetzungen des Art. 28 DSGVO eingehalten werden.14

-

Alternativ solle Art. 28 DSGVO als eine eigenständige Befugnisnorm für die Verarbeitung bei dem Auftragsverarbeiter angesehen werden, sodass auch in diesem Fall die Weitergabe an den Auftragsverarbeiter immer dann legitimiert sein solle, wenn die Voraussetzungen des Art. 28 DSGVO erfüllt seien.15

Durch die „Vorfrage“, ob eine Weitergabe an einen Auftragsverarbeiter zulässig sei, liegt laut der Theorie der Rechtfertigungsbedürftigkeit daher in der Auftragsverarbeitung keine höhere Hürde vor als bei Datenverarbeitungen, die von dem Verantwortlichen selbst durchgeführt werden. Vielmehr werde durch die Vorfrage sichergestellt, dass eine Weitergabe personenbezogener Daten in dem konkreten Fall tatsächlich erforderlich sei, was wiederum zu einem hohen Schutz der betroffenen Personen führe.16 2.

Privilegierungstheorie

Überzeugender ist demgegenüber die Privilegierungstheorie, die auch von der Datenschutzkonferenz vertreten wird.17 Nach der Privilegierungstheorie dürfen Auftragsverarbeitungen weiterhin privilegiert erfolgen, sofern für die Verarbeitung der personenbezogenen Daten beim Verantwortlichen die Voraussetzungen des Art. 6 Abs. 1 DSGVO vorliegen und der Auftragsverarbeiter weisungsgebunden ist.18 Die Privilegierungstheorie zieht verschiedene Aspekte heran, um diese Ansicht zu begründen: Begriffsbestimmungen, DSGVO-Systematik und Wortlaut Die Privilegierungstheorie wird u. a. damit begründet, dass die Legaldefinition des Art. 4 Nr. 2 DSGVO unter „Verarbeitung“ nicht nur einzelne Verarbeitungsvorgänge, sondern auch Reihen von Verarbeitungsvorgängen umfasst und eine Auftragsverarbeitung als Teil einer solchen Vorgangsreihe verstanden werden kann, für die wiederum nur einmal eine Legitimation gem. Art. 6 Abs. 1 DSGVO vorliegen muss. Auch macht die Legaldefinition des Art. 4 Nr. 10 DSGVO deutlich, dass Auftragsverarbeiter auch unter Anwendung der DSGVO keine Dritten

14

Härting, Datenschutz-Grundverordnung, S. 140 f.

15

Härting, Datenschutz-Grundverordnung, S. 140 f.

16

Spoerr in Wolff/Brink, Datenschutzrecht-Online-Kommentar, Art. 28 Rdnr. 30 f.

17

DSK, Kurzpapier Nr. 13 Auftragsverarbeitung, S. 4.

18

Schmidt/Freund, ZD 2017, 16.

12

Kapitel 2: Datenschutzrechtliche Zulässigkeit des Cloud-Computings

sind und somit weiterhin als „verlängerter Arm“ des Verantwortlichen zu verstehen sind.19 Nicht zuletzt stellt die Privilegierungstheorie in ihrer Argumentation auf Art. 28 Abs. 3 DSGVO, der die Verarbeitung personenbezogener Daten durch einen Auftragsverarbeiter auf der Grundlage eines Auftragsverarbeitungsvertrags erlaubt und keine weiteren Anforderungen an die Legitimation einer Auftragsverarbeitung stellt, sowie der Systematik der Datenschutz-Grundverordnung ab, nach der Verantwortliche und Auftragsverarbeiter mit unterschiedlichen Rechten und Pflichten versehen sind, die nur unter der Annahme einer Privilegierung sinnhaft sind: Insbesondere wären die ausführlichen Regelungen des Art. 28 f. DSGVO nicht nötig, wenn sich das Zusammenspiel zwischen Auftragsverarbeiter und Verantwortlichen letztendlich (doch) an den Erlaubnistatbeständen des Art. 6 Abs. 1 DSGVO messen lassen müsste.20 Für die Annahme, Art. 28 DSGVO könne – so wie von Befürwortern der Rechtfertigungstheorie vertreten – neben Art. 6 Abs. 1 DSGVO eine eigenständige Rechtsgrundlage darstellen, findet sich im Wortlaut des Art. 28 DSGVO keinerlei Anhaltspunkt. Auch Art. 6 Abs. 1 DSGVO ist dem Wortlaut nach abschließend zu verstehen.21 Einschränkungen bei Legitimation über das berechtigte Interesse Gegen das Verständnis der Theorie der Rechtsfertigungsbedürftigkeit, man könne eine Auftragsverarbeitung i. d. R. auf Art. 6 Abs. 1 lit. f DSGVO stützen, spricht zudem, dass das Widerspruchsrecht der betroffenen Personen die Verarbeitung bei dem Auftragsverarbeiter „lahmlegen“ könnte und dass Auftragsverarbeitungen bezüglich der zulässigen Datenkategorien eingeschränkt werden müssten, da Art. 9 DSGVO die Verarbeitung besonderer Kategorien personenbezogener Daten nicht auf Basis eines berechtigten Interesses des Verantwortlichen legitimiert, wohingegen die deutschen Datenschutzaufsichtsbehörden eine

19

So auch Hartung in: Kühling/Buchner (Hrsg.), DSGVO, Art. 28 Rdnr. 17, der weiter ausführt: „Der einzige Unterschied zwischen Art. 4 Nr. 10 und § 3 Abs. 8 S. 2 und 3 BDSG a.F. scheint demnach der für den Ausschluss von der Eigenschaft als Dritter verwendete Wortlaut zu sein (einmal ‚außer', einmal ‚sind nicht'); diesem leicht unterschiedlichen Wortlaut wird man aber nicht entnehmen können, dass das BDSG a.F. eine Fiktion (‚gilt nicht') enthielt, die DSGVO jedoch nicht. Somit soll auch nach der DSGVO der Auftragsverarbeiter eindeutig kein Dritter sein, sondern Teil des Verantwortlichen [….].“

20

Hartung in: Kühling/Buchner (Hrsg.), DSGVO, Art. 28 Rdnr. 18.

21

Bertermann in Ehmann/Selmayr, DSGVO, Art. 28 Rdnr. 7; Hartung in: Kühling/Buchner (Hrsg.), DSGVO, Art. 28 Rdnr. 17 f.

Die Zulässigkeit der Nutzung von Cloud-Computing-Services

13

Unzulässigkeit der Verarbeitung besonderer Kategorien personenbezogener Daten durch Auftragsverarbeiter bisher lediglich bei Auftragsverarbeitern in Drittstaaten bejaht hatten.22 Vergleich zur bisherigen Rechtslage Auch der Vergleich zwischen dem BDSG a. F. und der Richtlinie 95/46/EG („Datenschutz-Richtlinie“) spricht für die Privilegierungstheorie. Das BDSG a. F. sah eine Privilegierung der Auftragsverarbeitung vor. Entsprechend der rechtlichen Wirkung europäischer Richtlinien setzte die Datenschutz-Richtlinie den „Rahmen des Datenschutzrechts“ in Europa fest. Dieser Rahmen musste sodann in den einzelnen Mitgliedsstaaten umgesetzt werden, woraufhin in Deutschland das Bundesdatenschutzgesetz novelliert wurde, um den europäischen Vorgaben zu entsprechen. Die Datenschutz-Richtlinie war zwingend einheitlich auszulegen. Insofern ist davon auszugehen, dass nicht nur das Bundesdatenschutzgesetz, sondern auch die Datenschutz-Richtlinie die Auftragsverarbeitung privilegierte. Diese Annahme wird bekräftigt durch die Stellungnahme der Artikel-29-Datenschutzgruppe, die zur Auslegung der Datenschutzrichtlinie ausführte: „Der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter werden […] als ‚innerer Kreis der Datenverarbeitung‘ angesehen und fallen nicht unter die speziellen Bestimmungen über Dritte.“23 Insofern ist davon auszugehen, dass die Datenschutz-Richtlinie die Auftragsverarbeitung privilegierte und sich dieses Privileg auch unter Geltung der Datenschutz-Grundverordnung fortsetzen soll. Hierfür spricht nicht zuletzt auch der Umstand, dass sich die Begriffsbestimmungen zum „Empfänger“, zum „Dritten“ sowie zur „Verarbeitung“ der Datenschutz-Grundverordnung im Vergleich zu den entsprechenden Begriffsbestimmungen in der Datenschutzrichtlinie lediglich marginal geändert haben.24 Aus all diesen Gründen ist der Privilegierungstheorie zu folgen, so dass sich die Zulässigkeit der Weitergabe personenbezogener Daten an einen Auftragsverarbeiter auf den zwischen dem Verantwortlichen und dem Auftragsverarbeiter geschlossenen Auftragsverarbeitungsvertrag stützt, nicht aber eine (gesonderte) Rechtsgrundlage i. S. d. Art. 6 DSGVO die Weitergabe legitimieren muss.

22

Hartung in: Kühling/Buchner (Hrsg.), DSGVO, Art. 28 Rdnr. 17; Bertermann in Ehmann/Selmayr, DSGVO, Art. 28 Rdnr. 6.

23

Artikel-29-Datenschutzgruppe, Stellungnahme zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“, WP 169, S. 8; Hartung in: Kühling/Buchner (Hrsg.), DSGVO, Art. 28 Rdnr. 19.

24

Hartung in: Kühling/Buchner (Hrsg.), DSGVO, Art. 28 Rdnr. 19; Martini in Paal/Pauly (Hrsg.), DSGVO, Art. 28 Rdnr. 18.

14

Kapitel 2: Datenschutzrechtliche Zulässigkeit des Cloud-Computings

III.

Verantwortungen und Haftung des Auftragsverarbeiters

Die Datenschutz-Grundverordnung verpflichtet Auftragsverarbeiter umfangreicher als zuvor direkt. So treffen viele in der Datenschutz-Grundverordnung geregelten Pflichten – wie zum Beispiel die Pflicht zum Führen eines Verzeichnisses über die Verarbeitungstätigkeiten und die Pflicht zur Bestellung eines Vertreters – nicht nur den Verantwortlichen, sondern auch den Auftragsverarbeiter.25 Trotzdem verbleibt die Gesamtverantwortung für die Verarbeitung bei dem Verantwortlichen und umfasst ausdrücklich auch die Verarbeitung durch den Auftragsverarbeiter.26 Die Datenschutz-Grundverordnung bringt darüber hinaus Änderungen hinsichtlich der Haftung mit sich, die die Auftragsverarbeitung betreffen: Während eventuelle Schadensersatzansprüche nach altem Recht grundsätzlich gegenüber dem Verantwortlichen geltend zu machen waren, haften der Verantwortliche und der Auftragsverarbeiter gem. Art. 82 DSGVO grundsätzlich gemeinsam gegenüber der betroffenen Person, wenn beide gemeinsam an der Datenverarbeitung beteiligt sind.27 Art. 82 Abs. 2 S. 2 DSGVO regelt diesbezüglich, dass ein Auftragsverarbeiter regelmäßig „für den durch eine Verarbeitung verursachten Schaden nur dann [haftet], wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat“. Art. 82 Abs. 4 DSGVO konkretisiert hierzu, dass sowohl der Verantwortliche als auch der Auftragsverarbeiter regelmäßig für den gesamten Schaden haften, wenn sie an derselben Verarbeitung beteiligt sind. Durch diese Regelung soll sichergestellt werden, dass ein wirksamer Schadensersatz für die betroffene Person sichergestellt ist. IV. Rechtmäßigkeit im Rahmen der Auftragsverarbeitung Art. 28 f. DSGVO regelt eine Reihe von Pflichten, die sich auf den Verantwortlichen und Auftragsverarbeiter unmittelbar aus dem Konstrukt der Auftragsverarbeitung erstrecken. 1.

Vertragsgestaltung

Gem. Art. 28 Abs. 3 DSGVO hat die Verarbeitung durch einen Auftragsverarbeiter auf der Grundlage eines Vertrags zu erfolgen.28 Der Vertrag ist gem. Art. 28 25

Vgl. u. a. Art. 27 Abs. 1, Art. 30 Abs. 2 DSGVO; aus der Lit. s. Härting, Datenschutz-Grundverordnung, S. 139 f.

26

DSK, Kurzpapier Nr. 13 Auftragsverarbeitung, S. 3.

27

Schmitz/von Dall’Armi, ZD 2016, 429; Kahl, BvD-News 3/2017, 28.

28

Klug in Gola, DSGVO, Art. 28 Rdnr. 7; Hartung in: Kühling/Buchner (Hrsg.), DSGVO, Art. 28 Rdnr. 61 ff.; Kleemann/Kader, DStR 2018, S. 1091 (1095). Als weitere Alternativen nennt Art.

Die Zulässigkeit der Nutzung von Cloud-Computing-Services

15

Abs. 9 DSGVO schriftlich zu schließen, wobei ausdrücklich auch elektronische Formate eingeschlossen werden. Der Vertrag hat den Auftragsverarbeiter in Bezug auf den Verantwortlichen zu binden. Des Weiteren sind in dem Vertrag „Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen“ festzulegen. Art. 28 Abs. 3 S. 2 lit. a-h DSGVO nennt sodann einen Katalog inhaltlicher Anforderungen, die in dem Auftragsverarbeitungsvertrag abzubilden sind. 2.

Genehmigung von Unteraufträgen

Art. 28 Abs. 2 DSGVO verpflichtet den Auftragsverarbeiter, keine weiteren Auftragsverarbeiter – also in Bezug auf den Verantwortlichen Unterauftragsverarbeiter – in Anspruch zu nehmen, ohne dass der Verantwortliche hierzu gesondert oder allgemein schriftlich seine Zustimmung erteilt hat. Gerade wenn ausgeschlossen werden soll, dass personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums verarbeitet werden, ist es empfehlenswert, Unteraufträge zu beschränken, zum Beispiel indem man die Unterauftragsverarbeiter konkret benennt und hierbei keine Unterauftragsverarbeiter mit Rechenzentren außerhalb des Europäischen Wirtschaftsraums zulässt. Zudem sollte in diesem Fall vertraglich vereinbart werden, dass die Unterauftragsverarbeiter wiederum keine Unterauftragsverarbeiter einschalten dürfen, um die Komplexität hinsichtlich der Unteraufträge nicht unnötig zu vergrößern und den Standort der Datenverarbeitung somit besser unter Kontrolle zu halten. Die erlaubten Unteraufträge haben sich gem. Art. 28 Abs. 4 DSGVO wiederum ebenfalls an den inhaltlichen Voraussetzungen von Auftragsverarbeitungsverträgen nach Art. 28 Abs. 3 DSGVO zu messen. 3.

Weisungsgebundenheit

Art. 29 DSGVO regelt, dass der Auftragsverarbeiter und jede Person, die dem Auftragsverarbeiter unterstellt ist und Zugang zu personenbezogenen Daten hat, die personenbezogenen Daten nur auf Weisung des Verantwortlichen verarbeiten dürfen. Eine Ausnahme besteht, wenn der Auftragsverarbeiter „nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet“ ist. Die Wichtigkeit der Weisungsgebundenheit des Auftragsverarbeiters – als eine der grundlegenden Merkmale der Auftragsverarbeitung – wird zudem aus Art. 28 Abs. 3 S. 2 lit. a DSGVO deutlich, in dem die dokumentierte Weisung des Verantwortlichen als Pflichtbestandteil eines Auftragsverarbeitungsvertrags genannt

28 Abs. 3 DSGVO ein anderes „Rechtsinstrument nach dem Unionsrecht oder dem Recht der Mitgliedstaaten.“

16

Kapitel 2: Datenschutzrechtliche Zulässigkeit des Cloud-Computings

wird.29 Der Auftragsverarbeiter ist somit strengstens an die Weisungen des Verantwortlichen gebunden – diese können sich sowohl auf Art und Umfang als auch u. a. auf die Dauer der Verarbeitung beziehen. Der Umstand, dass der Auftragsverarbeiter innerhalb des durch die Weisungen des Verantwortlichen gesteckten Rahmens gewisse Entscheidungsspielräume hinsichtlich der von ihm getroffenen technischen und organisatorischen Maßnahmen innehält, widerspricht der Auftragsverarbeitung jedoch nicht.30 4.

Kontrollpflichten

Der Verantwortliche darf gem. Art. 28 Abs. 1 DSGVO nur mit Auftragsverarbeitern zusammenarbeiten, die hinreichend Garantien dafür bieten, die nach Art. 32 DSGVO geforderten technischen und organisatorischen Maßnahmen angemessen umzusetzen. Gem. Art. 28 Abs. 3 S. 2 lit. h DSGVO haben der Verantwortliche und der Auftragsverarbeiter im Rahmen des verpflichtend abzuschließenden Auftragsverarbeitungsvertrags zu regeln, dass der Auftragsverarbeiter dem Verantwortlichen Nachweise über die Einhaltung der in Artikel 28 DSGVO niedergelegten Pflichten bereitstellt. Zusätzlich hat er Kontrollen zuzulassen und zu unterstützen, die die Konformität seiner Datenschutzpflichten nachweisbar machen. Die Datenschutz-Grundverordnung geht von der Pflicht zu einer Kontrolle des Auftragsverarbeiters durch den Verantwortlichen oder einen externen Auditor aus. Der Wortlaut des Art. 28 Abs. 1 DSGVO lässt hierbei die Pflicht vor Beginn der Datenverarbeitung erkennen, da ein Verantwortlicher erst gar nicht mit Auftragsverarbeitern zusammenarbeiten darf, der keine hinreichenden Garantien i. S. d. Abs. 1 erbringen kann. Es kann jedoch im Interesse des Verantwortlichen und des Auftragsverarbeiters liegen, eine solche Kontrolle erst durchzuführen, wenn sich der Verantwortliche final für einen Auftragsverarbeiter entschieden hat. Dies ist möglich, sofern die Kontrolle vor Beginn der Auftragsverarbeitung erfolgt. Insofern ist es ratsam, die Kontrolle zwar nach der Auswahl, aber vor dem Vertragsschluss durchzuführen.31 V.

Rechtsfolgen bei Verstößen gegen Art. 28 f. DSGVO

Art. 83 Abs. 4 lit. a DSGVO sieht bei Verstößen der in Art. 28 f. DSGVO genannten Pflichten von Verantwortlichen und Auftragsverarbeitern Geldbußen von bis

29

Spoerr in Wolff/Brink, Datenschutzrecht-Online-Kommentar, Art. 28 Rdnr. 58; Hartung in: Kühling/Buchner (Hrsg.), DSGVO, Art. 28 Rdnr. 68 f.. Siehe hierzu auch Kroschwald, ZD 2013, 392-394, der betont, dass der Cloud-Computing-Nutzer nur dann alleiniger Verantwortlicher ist, wenn dieser im Rahmen der Auftragsverarbeitung tatsächlich Weisungs- und Kontrollmacht besitzt.

30

DSK, Kurzpapier Nr. 13 Auftragsverarbeitung, S. 1; Schreiber, ZD 2019, S. 55.

31

Eurocloud Deutschland_eco e.V., Leitfaden Cloud Computing, S. 14; Kroschwald, Informationelle Selbstbestimmung in der Cloud, S. 265 f.

Rechtmäßigkeit von Cloud-Computing-Services durch Verschlüsselung von Daten

17

zu 10 Millionen Euro bzw. von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens vor. Gem. Art. 83 Abs. 2 DSGVO bemisst sich die Höhe des Bußgeldes u. a. an der Art, Schwere und Dauer des Verstoßes und daran, ob der Verstoß fahrlässig oder vorsätzlich begangen wurde. Darüber hinaus finden ggf. die Regelungen zur Haftung und zum Schadensersatz gem. Art. 82 DSGVO Anwendung. Auch die Strafvorschriften des § 42 Abs. 2 BDSG, nach welchen Freiheitsstrafen von bis zu zwei Jahren oder Geldstrafen verhängt werden können, können ggf. Anwendung finden, wenn ein Auftragsverarbeiter32 z. B. vorsätzlich ohne die nach Art. 28 Abs. 2 DSGVO erforderliche Genehmigung des Verantwortlichen Unterauftragsverarbeiter einsetzt oder ein durch den Verantwortlichen genehmigtes Unterauftragsverarbeitungsverhältnis nicht durch einen Auftragsverarbeitungsvertrag gem. Art. 28 Abs. 3 DSGVO begründet und dies jeweils zu seinem finanziellen Vorteil geschieht. Die Anforderungen an eine Freiheitsstrafe auf Grund eines Datenschutzverstoßes dürften jedoch i. d. R. sehr hoch sein.

B.

Rechtmäßigkeit von Cloud-Computing-Services durch Verschlüsselung von Daten

Die Notwendigkeit der Einhaltung der Art. 28 f. DSGVO im Rahmen der Nutzung von Cloud-Computing-Services basiert auf dem Umstand, dass es sich bei den zu übermittelnden Daten um personenbezogene Daten nach Art. 4 Nr. 1 DSGVO handelt. Nur wenn es sich um personenbezogene bzw. pseudonymisierte Daten handelt, findet die Datenschutz-Grundverordnung überhaupt Anwendung. Im Gegensatz dazu findet die Datenschutz-Grundverordnung keine Anwendung auf anonymisierte Daten. In den letzten Jahren wurde vielfach die Frage diskutiert, ob eine Verschlüsselung personenbezogener Daten ausschließlich eine technische Maßnahme gemäß Art. 32 DSGVO darstellt oder ob die Verschlüsselung personenbezogener Daten dazu führen kann, dass die verschlüsselten Daten ihren Personenbezug verlieren und die Datenschutz-Grundverordnung unanwendbar wird.33 Dies hätte

32

Der persönliche Anwendungsbereich des § 42 BDSG ist – mindestens – bei Verantwortlichen und Auftragsverarbeitern gegeben. Fraglich ist, ob es sich bei § 42 um ein Jedermannsdelikt handelt. Brodowski/Nowak in Wolff/Brink, Datenschutzrecht-Online-Kommentar, § 42 Rdnr. 15.

33

Steidle in: Jandt/Steidle (Hrsg.), Datenschutz im Internet, S. 253 f.; Klabunde in Ehmann/Selmayr, DSGVO, Art. 4 Rdnr. 19; Martini in Paal/Pauly (Hrsg.), DSGVO, Art. 32 Rdnr. 33 f; Hansen in Simitis/Hornung/Spiecker, DSGVO Kommentar, Art. 32 Rdnr. 33 ff.; Kroschwald, ZD 2014, 75; Spiess, Cloud Computing und Datenschutz – macht die Verschlüsselung einen Unterschied, über: http://blog.beck.de/2011/01/14/cloud-computing-und-datenschutz-macht-dieverschluesselung-einen-unterschied, zuletzt besucht am 1.3.2019.

18

Kapitel 2: Datenschutzrechtliche Zulässigkeit des Cloud-Computings

zur Konsequenz, dass verschlüsselte Daten u. a. in Drittstaaten ohne die eben dargestellten Maßnahmen zur Herstellung eines angemessenen Datenschutzniveaus durch einen Cloud-Computing-Anbieter verarbeitet werden könnten. I.

Verschlüsselung von Daten: ein Überblick

Durch die Verschlüsselung soll ein Text bzw. eine Information vor unbefugten Zugriffen geschützt werden. Der Schlüssel ist das zentrale Element der Ver- und Entschlüsselung. Er ist eine Information, durch die implizit festlegt wird, mit welchem Algorithmus ein Text ver- bzw. entschlüsselt wird. Mit Hilfe eines Schlüssels kann ein gewöhnlicher Text, der als Klartext bezeichnet wird, in einen Text umgewandelt werden, der ohne Zuhilfenahme des Schlüssels nicht mehr verständlich ist. Dieser Text – also das Ergebnis der Verschlüsselung – wird als Chiffre- oder Geheimtext bezeichnet. Bsp.: Schlüssel: Zur Verschlüsselung soll jeder Buchstabe des Alphabets um + 2 Stellen verschoben werden.34 Klartext: Test Geheimtext: Vguv Nach dem gleichen Prinzip ist wiederum auch die Entschlüsselung eines Textes möglich. Hier wird der Schlüssel dazu eingesetzt, den Geheimtext in den Klartext zurückzuverwandeln. Bsp.: Schlüssel: Zur Entschlüsselung soll jeder Buchstabe des Alphabets um - 2 Stellen verschoben werden. Geheimtext: Vguv Klartext: Test

U. a. wurde die Fragestellung in abgewandelter Form auch für § 203 StGB diskutiert, der sich im Rahmen der Nutzung von Cloud-Services durch z. B. Ärzte und Rechtsanwälte als Hemmschuh erwies. Vgl. z. B. Kroschwald/Wicker, CR 2012, 758. Durch das Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen ergab sich diesbezüglich jedoch eine Änderung, so dass die in § 203 Abs. 1, 2 StGB genannten Berufsgeheimnisträger externen Dienstleistern unter den Voraussetzungen des § 203 Abs. 3, 4 StGB Geheimnisse offenbaren können. Im Gegenzug unterliegt der Auftragsverarbeiter nach § 203 Abs. 4 StGB nunmehr ebenfalls einer auch strafrechtlich sanktionierten Verschwiegenheitspflicht. DSK, Kurzpapier Nr. 13 Auftragsverarbeitung, S. 2. 34

Das Verschieben von Buchstaben des Alphabets um plus oder minus n Stellen ist eine der ältesten bekannten Verschlüsselungsmethoden und gilt heute nicht mehr als sicher, da es möglich ist, den verschlüsselten Text durch Ausprobieren in den Klartext umzuwandeln. Da dies jedoch sehr anschaulich ist, soll es hier als Beispiel dienen.

Rechtmäßigkeit von Cloud-Computing-Services durch Verschlüsselung von Daten

19

Eine Verschlüsselung wie im Beispiel dargestellt wird als symmetrische Verschlüsselung bezeichnet, da sowohl für die Ver- als auch für die Entschlüsselung sinngemäß der gleiche Schlüssel – im Beispielfall die Verschiebung um 2 Stellen – verwendet wird. Der verwendete Schlüssel ist geheim zu halten und darf nur dem Sender und dem Empfänger bekannt sein. Verschlüsseln mit geheimem Schlüssel

Text in Klarform

Entschlüsseln mit geheimem Schlüssel

Text in verschlüsselter Form

Quelle des Symbols: www.openclipart.org

Abbildung 3: Symmetrische Verschlüsselung

Dem gegenüber verwenden asymmetrische Verschlüsselungsverfahren Schlüsselpaare, bestehend aus einem öffentlichen Schlüssel zur Verschlüsselung, der vom Schlüsseleigentümer veröffentlicht werden kann bzw. sogar veröffentlich werden sollte, und einem privaten Schlüssel zur Entschlüsselung, der vom Schlüsseleigentümer geheim zu halten ist. Hierdurch muss zwischen Sender und Empfänger kein geheimer Schlüssel ausgetauscht werden, es muss jedoch sichergestellt werden, dass der verwendete öffentliche Schlüssel zweifellos dem Empfänger zugeordnet werden kann.35 Verschlüsseln mit öffentlichem Schlüssel

Text in Klarform

Entschlüsseln mit geheimem Schlüssel

Text in verschlüsselter Form

Quelle des Symbols: www.openclipart.org

Abbildung 4: Asymmetrische Verschlüsselung

Symmetrische Verschlüsselungsverfahren sind wesentlich schneller als asymmetrische Verfahren und werden deshalb insbesondere bei großen zu verschlüsselnden Datenmengen genutzt. Durch den Umstand, dass Sender und Empfänger den geheimen Schlüssel austauschen müssen, bergen sie jedoch ein inhärentes Sicherheitsrisiko. In der Praxis werden deshalb oft beide Verschlüsselungsarten zum so genannten hybriden Verfahren kombiniert. Bei einer hybriden Verschlüsselung werden die eigentlichen Daten mit einem symmetrischen 35

Hansen in Simitis/Hornung/Spiecker, DSGVO Kommentar, Art. 32 Rdnr. 35; Wobst, Verschlüsselungsverfahren und ihre Anwendungen, über: http://www.hei se.de/security/artikel/HarteNuesse-Verschluesselungsverfahren-und-ihre-Anwendungen-27026 6.html, zuletzt besucht am 1.3.2019; Eckert, IT-Sicherheit, S. 157.

20

Kapitel 2: Datenschutzrechtliche Zulässigkeit des Cloud-Computings

Schlüssel verschlüsselt. Der Schlüssel wiederum wird mit dem öffentlichen Schlüssel des Empfängers asymmetrisch verschlüsselt. II.

Personenbezug verschlüsselter Daten

Personenbezogene Daten sind in Art. 4 Nr. 1 DSGVO als all diejenigen Informationen definiert, die sich auf eine identifizierbare oder bereits identifizierte natürliche Person beziehen. Eine natürliche Person wird als identifizierbar angesehen, wenn sie direkt oder indirekt – z. B. mittels Zuordnung zu einem Namen oder einer Kennnummer – identifiziert werden kann. Demgegenüber sind pseudonymisierte Daten gem. Art. 4 Nr. 5 DSGVO personenbezogene Daten, die ohne das Hinzuziehen von Informationen nicht – bzw. nicht mehr – einer spezifischen natürlichen Person zugeordnet werden können. Dies setzt voraus, dass die zusätzlichen Informationen, die eine Zuordnung ermöglichen würden, getrennt aufbewahrt werden und durch entsprechende technische und organisatorische Maßnahmen geschützt werden. Anonymisierte Daten sind hingegen in der Datenschutz-Grundverordnung nicht legaldefiniert. Gemäß Erwgr. 26 soll die Datenschutz-Grundverordnung auf anonymisierte Daten – also Informationen, die sich im Gegensatz zu personenbezogenen Daten nicht auf eine identifizierbare natürliche Person beziehen oder die sich durch die Anwendung entsprechender Anonymisierungsmaßnahmen nicht mehr auf eine identifizierbare natürliche Person beziehen lassen – keine Anwendung finden. Bei der Frage, ob personenbezogene Daten, die verschlüsselt sind, noch einen Personenbezug haben, steht die Frage der Identifizierbarkeit einer natürlichen Person im Vordergrund.36 Für die Frage nach der Identifizierbarkeit einer natürlichen Person sind wiederum zwei Auslegungstheorien relevant: die relative und die absolute Theorie der Identifizierbarkeit. Bevor diese vorgestellt werden, sind jedoch zunächst die verschiedenen Zuordnungsmöglichkeiten von Ver- und Entschlüsselungsschlüsseln zu betrachten. Diese stehen im engen Zusammenhang mit der Beurteilung, ob natürliche Personen im Rahmen der relativen und absoluten Theorie identifizierbar sind. Bei der Verschlüsselung ist die Zuordnung von Ver- und Entschlüsselungsschlüsseln auf unterschiedliche Weisen denkbar. Bei der Nutzung eines CloudComputing-Service sind primär folgende Varianten möglich:

36

Vgl. u. a. Klar/Kühling in Kühling/Buchner, DSGVO, Art. 4 Nr. 1 Rdnr. 17 ff.; Karg in Simitis/Hornung/Spiecker, DSGVO Kommentar, Art. 4 Rdnr. 46 ff.; Gola in Gola, DSGVO, Art. 4 Rdnr. 16 f.; im Bundesdatenschutzgesetz a. F. wurde statt des Begriffs der Identifizierbarkeit der Begriff der Bestimmbarkeit verwendet, siehe u. a. Weichert in Däubler/Klebe/Wedde/Weichert: Bundedatenschutzgesetz, § 3 Rdnr. 14; Kroschwald, ZD 2014, 75.

Rechtmäßigkeit von Cloud-Computing-Services durch Verschlüsselung von Daten

‐

21

Zum einen kann das Schlüsselpaar durch einen Dritten generiert und vergeben werden, beispielsweise o durch den Cloud-Computing-Anbieter oder o durch einen vertrauenswürdigen Dritten/eine Vergabestelle.

‐

Zum anderen kann der Cloud-Computing-Nutzer das Schlüsselpaar selbst, also bspw. lokal auf seinem Rechner, generieren.37

Generiert der Cloud-Computing-Anbieter das Schlüsselpaar zur Ver- und Entschlüsselung, so sind die Daten nicht vor (unberechtigten) Zugriffen durch den Cloud-Computing-Anbieter selbst geschützt.38 Entsprechendes gilt für die Generierung von Schlüsselpaaren zur Ver- und Entschlüsselung durch eine Vergabestelle in Bezug auf die (theoretische) Möglichkeit des Zugriffs durch die Vergabestelle selbst. Generiert der Cloud-Computing-Nutzer das Schlüsselpaar zur Ver- und Entschlüsselung selbst, also lokal an seinem Rechner, so muss dieser zwar über ein gewisses Knowhow bzgl. der Schlüsselerzeugung und -verwaltung verfügen, seine Daten sind jedoch vor (unberechtigten) Zugriffen durch den Cloud-Computing-Anbieter bzw. eine Vergabestelle geschützt, wenn er seine Daten mit seinem selbst generierten Schlüssel auch selbst verschlüsselt. Entsprechendes gilt für den Fall, dass der Cloud-Computing-Nutzer das Schlüsselpaar unter Verwendung einer entsprechenden Software des Cloud-Computing-Anbieters lokal an seinem Rechner erzeugt und der Entschlüsselungsschlüssel nicht an den CloudComputing-Anbieter übermittelt wird. Dieser Fall hat für den Cloud-ComputingNutzer den Vorteil, dass er nicht selbst über Knowhow für die Schlüsselerzeugung und -verwaltung verfügen muss.39 III.

Relative und absolute Theorie der Identifizierbarkeit

Für die Auslegung des Begriffs der Identifizierbarkeit gibt es zwei Theorien: die relative und die absolute Theorie der Identifizierbarkeit. Die relative Theorie der Identifizierbarkeit stellt darauf ab, dass die Identifizierbarkeit einer Person auf Grund vorliegender Daten ausschließlich vom Wissen der datenverarbeitenden 37

Weichert in Däuber/Klebe/Wedde/Weichert, § 3 Rdnr. 52.

38

Hansen in Simitis/Hornung/Spiecker, DSGVO Kommentar, Art. 32 Rdnr. 35; Piltz in Gola, DSGVO, Art. 32 Rdnr. 28; Borgmann, Hahn, Herfert et. Al., On the Security of Cloud Storage Services, SIT Technical reports, S. 44, 2012, über: https://www.sit.fraunhofer.de/fileadmin/ dokumente/studien_und_technical_reports/Cloud-Storage-Security_a4.pdf, zuletzt besucht am 1.3.2019.

39

Analog: Borgmann, Hahn, Herfert et. al., On the Security of Cloud Storage Services, SIT Technical reports, S. 44, 2012, über: https://www.sit.fraunhofer.de/fileadmin/ dokumente/studien_und_technical_reports/Cloud-Storage-Security_a4.pdf, zuletzt besucht am 1.3.2019.

22

Kapitel 2: Datenschutzrechtliche Zulässigkeit des Cloud-Computings

Stelle bzgl. der Identität einer Person abhängt. Demgegenüber stellt die absolute Theorie darauf ab, dass eine Information als personenbezogen anzusehen ist, wenn es dem Verantwortlichen oder einem beliebigen Dritten möglich ist, die Information auf eine natürliche Person zu beziehen. Nach der absoluten Theorie irrelevant soll hierbei sein, ob der Verantwortliche von der Möglichkeit der Verknüpfung zwischen der Information und einer natürlichen Person Gebrauch macht. Allein dann, wenn eine Verknüpfung zwischen der Information und einer natürlichen Person praktisch ausgeschlossen ist, besteht nach der absoluten Theorie kein Personenbezug.40 Bei verschlüsselten Daten ist nach der relativen Theorie daher davon auszugehen, dass die Daten nur für den Inhaber des Entschlüsselungsschlüssels einen Personenbezug aufweisen.41 Nach der absoluten Theorie ist bei verschlüsselten Daten hingegen davon auszugehen, dass die Daten immer einen Personenbezug aufweisen, da das Zusatzwissen unter Anwendung von Verschlüsselungslösungen zumindest immer für den Inhaber des Entschlüsselungsschlüssels verfügbar bleibt.42 In einer Stellungnahme43 zu personenbezogenen Daten hat sich die Artikel-29Datenschutzgruppe u. a. mit der Weitergabe verschlüsselter Daten befasst. Entscheidend ist demnach die Sicherheit der Verschlüsselung. Ist die Sicherheit der Verschlüsselung gewährleistet, sollen verschlüsselte Daten nur für die Stelle personenbezogen sein, die Inhaber des Entschlüsselungsschlüssels ist. Darüber hinaus vertrat jüngst u. a. der Europäische Gerichtshof die relative Theorie des Personenbezugs. Bei seinen Ausführungen zur relativen Theorie des Personenbezugs ging es dem EuGH um den Personenbezug dynamischer IP-Adressen. 40

Karg in Simitis/Hornung/Spiecker, DSGVO Kommentar, Art. 4 Rdnr. 58; Selzer in Jandt/Steidle (Hrsg.), Datenschutz im Internet, S. 127 f.; Husemann in Roßnagel, Das neue Datenschutzrecht, S. 84 f.; Klar/Kühling in: Kühling/Buchner, DSGVO, Art. 4 Nr. 1 Rn. 25 ff.; Buchner, DuD 2013, 804; Kroschwald, ZD 2014, 76; Härting, NJW 2013, 2066; Kühling/Klar, NJW 2013, 3613 f.

41

Gola in Gola, DSGVO, Art. 4 Rdnr. 16; Klar/Kühling in Kühling/Buchner, DSGVO, Art. 4 Nr. 1 Rdnr. 20, 25 f.; Selzer in: Jandt/Steidle (Hrsg.), Datenschutz im Internet, S. 127 f.; Buchner, DuD 2013, 804; Kroschwald, ZD 2014, 76. In der Vergangenheit haben – im Rahmen von Fragestellungen, die nicht die Verschlüsselung von Daten betreffen – u. a. folgende Gerichte die relative Theorie unterstützt: LG Frankenthal, Beschluss vom 21.5.2008, Az. 6 O 156/08O; OLG Hamburg, Beschluss vom 3.11.2010, Az. 5 W 126/10.

42

Klar/Kühling in Kühling/Buchner, DSGVO, Art. 4 Nr. 1 Rdnr. 25; Buchner, DuD 2013, 804; Kühling/Klar, NJW 2013, 3613 f. In der Vergangenheit haben – im Rahmen von Fragestellungen, die nicht die Verschlüsselung von Daten betreffen – u. a. folgende Gerichte die absolute Theorie unterstützt: AG Berlin-Mitte, Urteil vom 27.3.2007, Az. 5 C 314/06; LG Berlin, Urteil vom 6.9.2007, Az.: 23 S 3/07.

43

Artikel-29-Datenschutzgruppe, Stellungnahme 4/2007 zum Begriff „personenbezogene Daten“, über: http://ec.europa.eu/justice/policies/privacy/ docs/wpdocs/2007/wp136_de.pdf, zuletzt besucht am 1.3.2019.

Rechtmäßigkeit von Cloud-Computing-Services durch Verschlüsselung von Daten

23

Der EuGH führt in seiner Entscheidung aus: Dynamische IP-Adressen stellen keine Information dar, die sich auf bestimmte natürliche Personen beziehen. Trotzdem können sie für den oder die Anbieter von Online-Mediendiensten ein personenbezogenes Datum darstellen. Ausschlaggebend hierfür ist die Frage, ob der Anbieter des Online-Mediendiensts die Möglichkeit hat, die dynamische IP-Adresse mit dem Zusatzwissen zu verknüpfen, über das der Anbieter des Internetzugangs verfügt bzw. ob dieses Wissen seitens des Anbieters des OnlineMediendiensts ein Mittel darstellt, das zur Bestimmung der betroffenen Person vernünftigerweise eingesetzt werden könnte. Dies ist nach Auffassung des EuGH regelmäßig nicht der Fall, wenn die Identifizierung der betreffenden Person für den Anbieter des Online-Mediendiensts praktisch nicht durchführbar bzw. sogar gesetzlich verboten ist.44 IV. Datenschutzrechtliche Konsequenzen der Verschlüsselung bei der Nutzung von Cloud-Computing-Services Eine sichere Verschlüsselung kann somit dazu führen, dass es sich bei den in die Cloud zu übermittelnden Daten nicht mehr um personenbezogene Daten i. S. v. Art. 4 Abs. 1 DSGVO handelt, wenn die personenbezogenen Daten durch den Verantwortlichen selbst vor der Übermittlung an den Cloud-Computing-Anbieter verschlüsselt werden und der Verantwortliche den Zugriff des Cloud-ComputingAnbieters auf den Entschlüsselungsschlüssel ausschließen kann.45 Die Verschlüsselung führt in diesem Fall dazu, dass die ursprünglich personenbezogenen Daten für den Cloud-Computing-Anbieter anonym sind und somit die Regelungen der Datenschutz-Grundverordnungen – bzw. des Datenschutzrechts allgemein – keine Anwendung mehr finden. Grundvoraussetzung hierfür ist jedoch wie gesagt der Ausschluss des Zugriffs auf den Entschlüsselungsschlüssel, den der Verantwortliche gegenüber dem Cloud-Computing-Anbieter sicherstellen muss. Darüber hinaus ist das Risiko externer Hackerangriffe zu berücksichtigen. Auch die Wahrscheinlichkeit, dass ein Mitarbeiter der datenübermittelnden Organisation den Entschlüsselungsschlüssel preisgibt, ist zu berücksichtigen.46 An eine Verschlüsselung sollten somit bestimmte Anforderungen gestellt werden, um eine möglichst hohe Effektivität zu erreichen und Angriffe gegen die Verschlüsselung zu erschweren. Diese Anforderungen sind u. a.: ‐

Es sollten geeignete, hinreichend gut untersuchte kryptographische Funktionen verwendet werden. Nur bei schwerwiegenden Gründen sollte von den etablierten Standardprotokollen abgewichen werden.

44

EuGH, Urteil vom 19.10.2016, NJW 2016, 3579, Leitsätze 1-3.

45

Kroschwald, ZD 2014, 80; Buchner, DuD 2013, 804.

46

Karg in Simitis/Hornung/Spiecker, DSGVO Kommentar, Art. 4 Rdnr. 19; Klar/Kühling in Kühling/Buchner, DSGVO, Art. 4 Nr. 1 Rdnr. 31; Buchner, DuD 2013, 804; Selzer, DuD 2014, 274; Koch, DuD 2014, 693.

24

Kapitel 2: Datenschutzrechtliche Zulässigkeit des Cloud-Computings

‐

Es sollten nur zum aktuellen Zeitpunkt als sicher geltende symmetrische oder asymmetrische Verschlüsselungsfunktionen verwendet werden.47

‐

Die Algorithmen und Protokolle sollten immer öffentlich bekannt sein.48

‐

Die Ver- und Entschlüsselung sollte durch den Cloud-Computing-Nutzer selbst erfolgen und der Entschlüsselungsschlüssel zugriffssicher aufbewahrt werden.49

Berücksichtigt werden sollte zudem auch, dass kryptographische Verfahren mit der Zeit an Sicherheit verlieren können. Dies wäre z. B. durch den technologischen Fortschritt in Bezug auf Rechenkapazitäten denkbar, durch den Schlüssel durch eine (vollständige) Suche gefunden werden könnten. Für Daten, die über einen sehr langen Zeitraum sicher sein sollen, kann es daher schwierig sein, zu garantieren, dass die Verschlüsselung tatsächlich über einen langen Zeitraum die Inhalte zuverlässig schützt. Daher sollte eine zukunftsgerichtete Prognose das Risiko für die zuvor genannten Entwicklungen sowie für Hackerangriffe hinreichend berücksichtigen. Sofern eine Verschlüsselung den genannten Anforderungen entspricht, ist ein Umgang mit den verschlüsselten Daten in der Cloud möglich, ohne die Anforderungen der Datenschutz-Grundverordnung an eine Übermittlung berücksichtigen zu müssen.50 Zu betonen bleibt, dass eine Verschlüsselung nach heutigem Stand nicht genutzt werden kann, wenn auf den Daten durch den Cloud-Computing-Anbieter Berechnungen ausgeführt werden sollen. Dementsprechend sind das Verschlüsseln von Daten und dessen datenschutzrechtliche Folgen nicht in jedem Anwendungsfall des Cloud-Computings relevant. Relevant sind diese insbesondere dann, wenn durch den Cloud-Computing-Anbieter lediglich „passive“ Vorgänge – im Gegensatz zu „aktiven“ Vorgängen wie bei Berechnungen – durchgeführt werden sollen. Das Speichern verschlüsselter Daten ist hierfür das aus heutiger Sicht

47

Das BSI spricht regelmäßig Empfehlungen in Form technischer Richtlinien zu Verschlüsselungsverfahren und Schlüssellängen aus, s. https://www.bsi.bund.de/DE/Publikationen/Tech nischeRichtlinien/tr02102/index_htm.html, zuletzt besucht am 1.3.2019.

48

Um sichergehen zu können, dass ein Algorithmus sicher ist, ist es dringend zu empfehlen, diesen zu veröffentlichen und von Experten untersuchen/testen zu lassen.

49

Borgmann, Hahn, Herfert et. al., On the Security of Cloud Storage Services, SIT Technical reports, S. 44, 2012, über: https://www.sit.fraunhofer.de/fileadmin/dokumente/studien_und_ technical_reports/Cloud-Storage-Security_a4.pdf, zuletzt besucht am 1.3.2019; Hansen in Simitis/Hornung/Spiecker, DSGVO Kommentar, Art. 32 Rdnr. 35; Jandt in Kühling/Buchner, DSGVO, Art. 32 Rdnr. 21.

50

Selzer, DuD 2014, 274; Kroschwald, ZD 2014, 80. Derzeit bezieht sich die Möglichkeit der Verschlüsselung primär auf Cloud-Computing-Lösungen in Form von Storage-as-a-Service, da das Rechnen mit verschlüsselten Daten derzeit noch schwierig, zeitaufwändig und kostenintensiv ist.

Rechtmäßigkeit von Cloud-Computing-Services durch Verschlüsselung von Daten

25

relevanteste Beispiel. Somit begrenzt sich die hier beschriebene Möglichkeit bisher auf Angebote des so genannten „Storage-as-a-Service“. Das Storage-as-aService-Modell, kurz StaaS genannt, stellt dem Kunden ausschließlich Speicherplatz zur Verfügung und stellt eine Variante des Infrastructure-as-a-Service-Modells dar. Das Modell des „Infrastructure-as-a-Service“, kurz IaaS, ist ein CloudComputing-Modell, durch das virtuelle Infrastruktur-Komponenten, wie zum Beispiel ganze Server und Netzwerke, zur Verfügung gestellt werden. Keine Lösung ist die Verschlüsselung personenbezogener Daten durch den Cloud-ComputingNutzer dagegen bei Cloud-Computing-Modellen, bei denen auf den Daten i. d. R. Berechnungen durch den Cloud-Computing-Anbieter ausgeführt werden müssen, wie etwa bei dem „Platform-as-a-Service-Modell“, kurz PaaS, das Nutzern innerhalb eines Cloud-Computing-Service eine Plattform, ggf. mit zugehörigen Entwicklungswerkzeugen, zur Verfügung stellt, um hierauf Anwendungen oder Dienste zu entwickeln und/oder betreiben zu können. Auch beim Software-as-aService-Modell, kurz SaaS, stellt die Verschlüsselung von Daten durch den Cloud-Computing-Nutzer i. d. R. keine Lösung dar. Beim SaaS stellt der CloudComputing-Anbieter Software über das Internet bereit und bietet darauf basierende Dienstleistungen an, so dass es sich um eine Ausgliederung von Softwareleistungen handelt.51

51

Fargo/Helfrich/Schneider, Betrieblicher Datenschutz, Kapitel 5 Rdnr. 13-15; Steidle in: Jandt/Steidle (Hrsg.), Datenschutz im Internet, S. 246; Spies, MMR 2009, 11; Schulz in: Taeger/Wiebe (Hrsg.), Inside the Cloud – Neue Herausforderungen für das Informationsrecht, S. 403; siehe http://www.itwissen.info/definition/lexikon/SaaS-storage-as-a-service-Storageas-a-Service.html, zuletzt besucht am 1.3.2019; Nägele/Jacobs, ZUM 2010, 282.

26

Kapitel 2: Datenschutzrechtliche Zulässigkeit des Cloud-Computings

Everything as a Service Software as a Service

Platform as a Service

Infrastructure as a Service

StaaS Quelle der Symbole: www.openclipart.org

Abbildung 5: Architektur des Cloud-Computings

C.

Ergebnis

Auf Cloud-Computing-Services finden regelmäßig die Regelungen der Auftragsverarbeitung des Art. 28 f. DSGVO Anwendung. Bei einer Auftragsverarbeitung werden personenbezogene Daten von einem Verantwortlichen an einen Auftragsverarbeiter weitergegeben, um diese nach Weisung des Verantwortlichen durch den Auftragsverarbeiter im Auftrag verarbeiten zu lassen. Die Gesamtverantwortung für die Verarbeitung verbleibt hierbei bei dem Verantwortlichen und umfasst ausdrücklich auch die Verarbeitung durch den Auftragsverarbeiter. Art. 28 f. DSGVO regeln eine Reihe von Pflichten, die sich auf den Verantwortlichen und Auftragsverarbeiter unmittelbar aus dem Konstrukt der Auftragsverarbeitung erstrecken und deren Nichtbeachtung Bußgelder in Höhe von bis zu 10 Millionen oder im Fall eines Unternehmens von bis zu 2 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs mit sich bringen kann. Zu beachten sind unter anderem Aspekte der Vertragsgestaltung, der Genehmigung von Unteraufträgen, der Weisungsgebundenheit und der Kontrollpflicht.

Ergebnis

27

Bei „Storage-as-a-Service“ besteht neben der Rechtmäßigkeit der Verarbeitung durch einen Cloud-Computing-Anbieter auf Basis eines Auftragsverarbeitungsvertrags eine zweite Variante, die Weitergabe an Auftrags- und Unterauftragsverarbeiter zu ermöglichen: Eine sichere Verschlüsselung kann dazu führen, dass es sich bei den in die Cloud zu übermittelnden Daten nicht mehr um personenbezogene Daten, sondern aus Sicht des Cloud-Computing-Anbieters um anonyme Daten handelt, nämlich dann, wenn die Verschlüsselung vom CloudComputing-Nutzer vorgenommen wird, bevor die Daten an den Cloud-Computing-Anbieter übermittelt werden und der Cloud-Computing-Nutzer ausschließt, dass der Cloud-Computing-Anbieter Zugriff auf den Entschlüsselungsschlüssel erhalten kann. Die verschlüsselten Daten sind in diesem Fall nur für die Stelle personenbezogen, die Inhaber des Entschlüsselungsschlüssels ist – also den Cloud-Computing-Nutzer – weil für andere Stellen die Identifizierung der betroffenen Personen praktisch nicht durchführbar ist.

Kapitel 3: Datenschutzkontrollen im Cloud-Computing-Umfeld Im vorherigen Kapitel wurde aufgezeigt, wie Datenverarbeitungen in der Cloud datenschutzkonform ausgestaltet werden können. Auch wenn Cloud-ComputingNutzer die Datenverarbeitung ihrer Kunden- und Mitarbeiterdaten durch einen Cloud-Computing-Anbieter somit grundsätzlich legitimieren können, sind sie trotzdem dazu verpflichtet, den Cloud-Computing-Anbieter hinsichtlich der von ihm getroffenen technischen und organisatorischen Schutzmaßnahmen zu überprüfen. Diese Pflicht ergibt sich aus Art. 28 Abs. 1 DSGVO, der den Verantwortlichen einer Datenverarbeitung dazu verpflichtet, nur mit Auftragsverarbeitern zu arbeiten, die hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der Datenschutz-Grundverordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. Um diese Anforderung zu erfüllen, ist regelmäßig die Kontrolle des Auftragsverarbeiters, z. B. in Form von Datenschutz-Zertifizierungen erforderlich. Im Folgenden soll untersucht werden, welche Möglichkeiten bestehen, der Pflicht zur Auftragsverarbeitungskontrolle unter Anwendung der DatenschutzGrundverordnung nachzukommen und inwiefern verbesserte Möglichkeiten zur datenschutzrechtlichen Überprüfung von Cloud-Computing-Services geschaffen werden können, wenn hierfür (auch) die technischen Möglichkeiten der Verifikation von Datenschutz-Prüfaspekten (= teilautomatisierte Datenschutzkontrollen) berücksichtigt werden. Durch die Möglichkeit teilautomatisierter Datenschutzkontrollen würde nicht nur der Cloud-Computing-Anbieter in Bezug auf Kontrollanfragen der Cloud-Computing-Nutzer entlastet, sondern die Cloud-Computing-Nutzer erhielten auch die Möglichkeit, sich den Umsetzungsstand des technisch-organisatorischen Datenschutzes nicht nur für die Vergangenheit, sondern auch für die Gegenwart bestätigen zu lassen. Dies gäbe den Cloud-Computing-Nutzern wiederum die Möglichkeit, auf ggf. stattfindende Datenschutzverstöße auf Seiten des Cloud-Computing-Anbieters zeitnah zu reagieren. A.

Pflicht zur Kontrolle des Auftragsverarbeiters

Der Verantwortliche darf gem. Art. 28 Abs. 1 DSGVO nur mit Auftragsverarbeitern zusammenarbeiten, die hinreichende Garantien dafür bieten, die nach Art. 32 DSGVO geforderten technischen und organisatorischen Maßnahmen angemessen umzusetzen. Gem. Art. 28 Abs. 3 S. 2 lit. h DSGVO haben der Verant-

© Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature 2020 A. Selzer, Datenschutzrechtliche Zulässigkeit von Cloud-Computing-Services und deren teilautomatisierte Überprüfbarkeit, DuD-Fachbeiträge, https://doi.org/10.1007/978-3-658-28729-0_3

30

Kapitel 3: Datenschutzkontrollen im Cloud-Computing-Umfeld

wortliche und der Auftragsverarbeiter im Rahmen des verpflichtend abzuschließenden Auftragsverarbeitungsvertrags zu regeln, dass der Auftragsverarbeiter dem Verantwortlichen Nachweise über die Einhaltung der in Artikel 28 DSGVO niedergelegten Pflichten bereitstellt. Zusätzlich hat er Kontrollen zuzulassen und zu unterstützen, die die Konformität seiner Datenschutzpflichten nachweisbar machen. Die Datenschutz-Grundverordnung geht dementsprechend von der Pflicht zu einer Kontrolle des Auftragsverarbeiters durch den Verantwortlichen oder einen externen Auditor aus. Der Wortlaut des Art. 28 Abs. 1 DSGVO lässt hierbei die Kontrollpflicht vor Beginn der Datenverarbeitung erkennen, da ein Verantwortlicher erst gar nicht mit Auftragsverarbeitern zusammenarbeiten darf, der keine hinreichenden Garantien i. S. d. Abs. 1 erbringen kann. Es kann jedoch im Interesse des Verantwortlichen und des Auftragsverarbeiters liegen, eine solche Kontrolle erst durchzuführen, wenn sich der Verantwortliche final für einen Auftragsverarbeiter entschieden hat. Dies ist möglich, sofern die Kontrolle vor Beginn der Datenverarbeitung durch den Auftragsverarbeiter erfolgt. Insofern ist es ratsam, die Kontrolle zwar nach der Auswahl, aber vor dem Vertragsschluss durchzuführen.52 Gem. Art. 28 Abs. 5 DSGVO können sowohl die Einhaltung genehmigter Verhaltensregeln als auch eines genehmigten Zertifizierungsverfahrens herangezogen werden, um die geforderten hinreichenden Garantien nachzuweisen. Beide genannten Mittel können hierbei als Faktor dienen, um hinreichende Garantien nachzuweisen. I.

Prüfturnus

Auch wenn Art. 28 DSGVO – entgegen § 11 Abs. 2 Satz 4 BDSG a. F., der neben der Kontrolle vor Beginn der Datenverarbeitung explizit auch regelmäßige Folgekontrollen regelte – nicht ausdrücklich die Pflicht zur regelmäßigen Kontrolle des Auftragsverarbeiters regelt, so ist davon auszugehen, dass eine Auftragsverarbeitung mit einem Auftragsverarbeiter dann nicht mehr rechtmäßig ist, wenn die in Art. 28 Abs. 1 DSGVO geforderten Garantien nicht mehr vorliegen. Es wird somit regelmäßig notwendig sein, den Auftragsverarbeiter nicht nur vor Beginn der Auftragsverarbeitung, sondern sodann regelmäßig zu kontrollieren, um der

52

Gürtler, ZD 2019, S. 51 (53); Tausch/Tausch, BC 2018, S. 219 (220); Hartung in: Kühling/Buchner (Hrsg.), DSGVO, Art. 28 Rdnr. 34; Eurocloud Deutschland_eco e.V., Leitfaden Cloud Computing, S. 14; Kroschwald, Informationelle Selbstbestimmung in der Cloud, S. 265 f. § 11 Abs. 2 Satz 1 BDSG a. F. legt dem Verantwortlichen zudem die Pflicht auf, den Auftragsverarbeiter hinsichtlich der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen.

Pflicht zur Kontrolle des Auftragsverarbeiters

31

Pflicht aus Art. 28 Abs. 1 DSGVO gerecht zu werden.53 Die Pflicht, den Auftragsverarbeiter regelmäßig zu kontrollieren, wird zumindest implizit auch durch den Umstand deutlich, dass gem. Art. 28 Abs. 5 DSGVO eine Zertifizierung nach Art. 42 DSGVO als Faktor dienen soll, um hinreichende Garantien nachzuweisen und eine Zertifizierung gem. Art. 42 Abs. 7 DSGVO für eine Höchstdauern von drei Jahren zu erteilen. Dementsprechend sollte eine Folgekontrolle – je nach Schutzbedarf der Daten – spätestens im dreijährigen Prüfturnus erfolgen. II.

Dokumentation der Kontrolle

Der Verantwortliche ist zudem zur Dokumentation der Kontrolle verpflichtet. Diese Pflicht ergibt sich aus Art. 5 Abs. 2 DSGVO, nach welchem der Verantwortliche die Einhaltung der Grundprinzipien der Datenschutz-Grundverordnung nachzuweisen hat.54 Die Dokumentation muss mindestens die Vornahme und das Ergebnis der Kontrolle festhalten. Eventuell gefundene Schwachstellen sind zu benennen. Zudem ist zu dokumentieren, ob und wie die Schwachstelle behoben werden konnte.55 III.

Kontrollinhalte

Den inhaltlichen Schwerpunkt der Kontrolle bilden die in Art. 32 Abs. 1, 4 DSGVO beschriebenen technischen und organisatorischen Maßnahmen, die zum Schutz der durch den Auftragsverarbeiter verarbeiteten personenbezogenen Daten zu treffen sind.56 Normadressat sind hierbei sowohl Verantwortliche als auch Auftragsverarbeiter. Gemäß Art. 32 Abs. 1 1 DSGVO haben der Verantwortliche und der Auftragsverarbeiter bei der Umsetzung technischer und organisatorischer Maßnahmen den Stand der Technik und die Implementierungskosten genauso zu berücksichtigen wie die Art, den Umfang, den Zweck und die Umstände der Verarbeitung. Darüber hinaus haben sie die Schwere des potenziellen Risikos der betroffenen Personen sowie die unterschiedlichen Eintrittswahrscheinlichkeiten der Risiken zu berücksichtigen. Durch diese Faktoren soll ein dem Risiko angemessenes Schutzniveau gewährleistet werden. 53

Zu diesem Schluss kommen Martini in: Paal/Pauly, DSGVO, Art. 28 Abs. 21; Hartung in: Kühling/Buchner (Hrsg.), DSGVO, Art. 28 Rdnr. 60; s. zum Prüfturnus unter Anwendung des Bundesdatenschutzgesetzes a. F. auch Selzer, DuD 2013, 216; Kroschwald, Informationelle Selbstbestimmung in der Cloud, S. 267 f.

54

Hartung in: Kühling/Buchner (Hrsg.), DSGVO, Art. 28 Rdnr. 58.

55

Jung, ZD 2018, S. 208 (209); Gürtler, ZD 2019, S. 51 (53); Eurocloud Deutschland_eco e.V., Leitfaden Cloud Computing, S. 14; Bergt, DuD 2013, 800.

56

Siehe hierzu auch Erwägungsgrund 81, der besagt, dass ein Verantwortlicher nur Auftragsverarbeiter heranziehen darf, „die – insbesondere im Hinblick auf Fachwissen, Zuverlässigkeit und Ressourcen – hinreichende Garantien dafür bieten, dass technische und organisatorische Maßnahmen – auch für die Sicherheit der Verarbeitung – getroffen werden.“

32

Kapitel 3: Datenschutzkontrollen im Cloud-Computing-Umfeld

Die Vorschrift stellt somit auf die IT-Sicherheit bei Verantwortlichen und Auftragsverarbeitern ab und ist insofern eine „Überlappung“ zwischen dem Datenschutz einerseits und der IT-Sicherheit andererseits, die u. a. die unberechtigte Kenntnisnahme personenbezogener Daten durch Maßnahmen der IT-Sicherheit sicherstellen soll.57 Art. 32 Abs. 1 2 lit. a-d, Abs. 4 DSGVO regelt die inhaltlichen Schwerpunkte der zu treffenden technischen und organisatorischen Maßnahmen – und somit auch den inhaltlichen Schwerpunkt der Überprüfung der technischen und organisatorischen Maßnahmen. Die in Art. 32 DSGVO genannten Maßnahmen sind nicht als abschließender Maßnahmenkatalog zu verstehen, sondern stellen nur Beispiele für technische und organisatorische Maßnahmen dar. Dementsprechend hat der Auftragsverarbeiter nach Möglichkeit unter anderem Folgendes sicherzustellen:58 1.

Pseudonymisierung und Verschlüsselung

Gem. Art. 32 Abs. 1 2 lit. a DSGVO sind personenbezogene Daten zu pseudonymisieren und zu verschlüsseln, wobei die Pseudonymisierung der in Art. 5 Abs. 1 lit. c DSGVO geregelten Datenminimierung und die Verschlüsselung der in Art. 5 Abs. 1 lit. b und lit. f DSGVO geregelten Zweckbindung, Vertraulichkeit und Integrität dient. Während die Pseudonymisierung in Art. 4 Nr. 5 DSGVO legal definiert ist59, verzichtet die Datenschutz-Grundverordnung auf die Legaldefinition des Begriffs der Verschlüsselung. Im Rahmen von Cloud-Computing-Services spielt die Verschlüsselung an mehreren Stellen eine wichtige Rolle: So kann der Cloud-Computing-Anbieter u. a. die physischen Festplatten verschlüsseln, auf denen bspw. das Betriebssystem des Cloud-Computing-Service, die über den Service zur Verfügung gestellte Software und die durch diese Software verarbeiteten Daten gespeichert sind. Auch bei der Datenübertragung zwischen der Cloud-Computing-Anwendung und dem

57

Denkbar wäre eine unberechtigte Kenntnisnahme etwa durch die Mitarbeiter des Verantwortlichen, des Auftragsverarbeiters sowie durch Dritte. Dreier/Vogel, Software- und Computerrecht, S. 291; Jandt in: Kühling/Buchner (Hrsg.), DSGVO, Art. 32 Rdnr. 1; Piltz in Gola, DSGVO, Art. 32 Rdnr. 2, 6, 48 ff.

58

Siehe zu den Ausführungen in den Unterkapiteln a-d insbesondere Jandt in: Kühling/Buchner (Hrsg.), DSGVO, Art. 32 Rdnr. 17-27.

59

Unter dem Begriff Pseudonymisierung ist demnach „die Verarbeitung personenbezogener Daten in einer Weise [zu verstehen], dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden“.

Pflicht zur Kontrolle des Auftragsverarbeiters

33

Cloud-Computing-Nutzer kommen Verschlüsselungsmechanismen zum Einsatz, um den Transportweg der Daten abzusichern. 2.

Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste

Gem. Art. 32 Abs. 1 2 lit. b DSGVO sind die Vertraulichkeit, Integrität und Verfügbarkeit – klassische Schutzziele der IT-Sicherheit – sicherzustellen. Darüber hinaus ist die Belastbarkeit der Systeme und Dienste sicherzustellen, wobei es sich jedoch nicht um ein klassisches Schutzziel der IT-Sicherheit handelt, sondern vielmehr um eine funktionale Anforderung an Systeme und Dienste. Bei Cloud-Computing-Services können beispielsweise mit Hilfe von digitalen Signaturen und Message-Authentication-Codes – der „symmetrischen Variante” digitaler Signaturen – Integrität sichergestellt werden sowie für Verfügbarkeit und Belastbarkeit redundant ausgelegte Systeme und redundante Internetanbindungen (Nutzung mehrerer Internet-Service-Provider) diese Schutzziele unterstützen. 3.

Rasche Wiederherstellung der Verfügbarkeit personenbezogener Daten

Gem. Art. 32 Abs. 1 2 lit. c DSGVO ist zudem sicherzustellen, dass personenbezogene Daten nach einem physischen oder technischen Zwischenfall schnell wieder verfügbar sind und der Zugang zu den Daten schnell wiederhergestellt werden kann. Diese Anforderung grenzt sich insoweit von der Verfügbarkeitsanforderung des lit. b ab, als in lit. b die grundsätzlich jederzeitige Nutzung von Systemen und Diensten sicherzustellen ist, wohingegen lit. c Maßnahmen fordert, in einem Ausnahmefall, wie zum Beispiel einem gezielten Angriff auf ein System, personenbezogene Daten rasch wiederherstellen zu können. Das Schutzziel kann durch den Cloud-Computing-Anbieter u. a. durch das regelmäßige Erstellen von Backups, das Vorhalten von Notstromaggregaten sowie das Vorbereiten des Ausnahmefalls in Form eines in ausgedruckter Form aufzubewahrenden Wiederanlaufplans erreicht werden. 4.

Regelmäßige Überprüfung, Bewertung und Evaluierung

Art. 32 Abs. 1 2 lit. d DSGVO verpflichtet zudem dazu, Verfahren einzusetzen, die das regelmäßige Überprüfen, Bewerten und Evaluieren der Wirksamkeit technisch-organisatorischer Maßnahmen ermöglicht, um hierdurch wiederum die Gewährleistung der Verarbeitungssicherheit zu erreichen. Ein Cloud-Computing-Anbieter kann diese Anforderungen u. a. durch den Einsatz von Intrusion-Detection-Systemen, (revisionssicherer) Protokollierung von Systemereignissen und Nutzerinteraktionen in sogenannten Log-Dateien sowie regelmäßigen Auditierungen der Cloud-Computing-Infrastruktur erfüllen.

34

5.

Kapitel 3: Datenschutzkontrollen im Cloud-Computing-Umfeld

Verarbeitung personenbezogener Daten durch natürliche Personen auf Anweisung des Verantwortlichen

Gem. Art. 32 Abs. 4 DSGVO haben der Verantwortliche und der Auftragsverarbeiter zudem Schritte zu unternehmen, mit denen sichergestellt wird, dass ihre Mitarbeiter, die über Zugang zu personenbezogenen Daten verfügen, die personenbezogenen Daten ausschließlich auf Anweisung des Verantwortlichen verarbeiten. Eine Ausnahme besteht in den Fällen, in denen die Mitarbeiter zu der Verarbeitung – nach dem Recht der Union oder der Mitgliedstaaten – verpflichtet sind. Bei der in Abs. 4 geforderten Maßnahme handelt es sich somit um eine Maßnahme personeller Natur. Die in Art. 32 DSGVO genannten technischen und organisatorischen Maßnahmen unterliegen – im Gegensatz zum Bundesdatenschutzgesetz a. F. – überwiegend den Begrifflichkeiten der IT-Sicherheit, was grundsätzlich zu begrüßen ist.

B.

„Klassische“ Kontrollvarianten

Die Kontrollpflicht des Auftragsverarbeiters wird durch den Verantwortlichen i. d. R. durch persönliche Vor-Ort-Kontrollen, durch Selbstauskunft des Auftragsverarbeiters oder durch Zertifizierungen Dritter erbracht.60 I.

Vor-Ort-Kontrolle durch den Auftragsverarbeiter

Bei der persönlichen Vor-Ort-Kontrolle begibt sich der Verantwortliche in das Rechenzentrum des Auftragsverarbeiters, um vor Ort zu überprüfen, ob der Auftragsverarbeiter ausreichende technische und organisatorische Maßnahmen ergriffen hat. Durch eine persönliche Vor-Ort-Kontrolle kann der Verantwortliche unter anderem kontrollieren, ob der Zutritt zum Rechenzentrum und den Serverräumen angemessen gesichert wird und ob die personenbezogenen Daten – zum Beispiel durch Backup-Verfahren und Brandschutzvorkehrungen – ausreichend vor Zerstörung geschützt sind. Auch ein Gespräch mit den Mitarbeitern des Auftragsverarbeiters kann zusätzlich Transparenz und Vertrauen schaffen. II.

Selbstauskunft des Auftragsverarbeiters

Die Selbstauskunft des Auftragsverarbeiters basiert häufig auf einem Fragenkatalog bzw. einer Checkliste, die der Verantwortliche erstellt und mit deren Hilfe er 60

Pauly in Paal/Pauly, DSGVO, Art. 28 Rdnr. 19-21; Lange/Filip in Wolff/Brink, Datenschutzrecht-Online-Kommentar, Art. 28 Rdnr. 36; Kunz/Selzer/Waldmann, Automatic Data Protection Certificates for Cloud-Services based on Secure Logging, in: Krcmar/Reussner/Rumpe: Trusted Cloud Computing, S. 64 f.

„Klassische“ Kontrollvarianten

35

sich eine Übersicht über die vom Auftragsverarbeiter getroffenen technischen und organisatorischen Maßnahmen verschaffen möchte.61 Dieser Fragenkatalog wird sodann von dem Auftragsverarbeiter ausgefüllt, evtl. um zusätzliche Dokumente und Informationen ergänzt und im Anschluss von dem Verantwortlichen auf Schlüssigkeit überprüft. Im Rahmen der Prüfung des ausgefüllten Fragebogens kann der Verantwortliche unter anderem in Erfahrung bringen, ob das Gebäude durch Wachpersonal überwacht wird und ob zusätzlich eine Alarmanlage installiert ist, ob ausreichende Verschlüsselungsverfahren zum Einsatz kommen und welche BackupVerfahren eingesetzt werden. Allerdings basiert das Konzept beinahe ausschließlich auf dem Vertrauen in die Aussage des Auftragsverarbeiters und kommt demnach einer Selbstzertifizierung des Cloud-Computing-Anbieters gleich. Da eine reine Selbstauskunft des Auftragsverarbeiters qualitativ nicht mit einer persönlichen Vor-Ort-Kontrolle des Verantwortlichen oder eines unabhängigen Dritten vergleichbar ist, wird zum Teil empfohlen, die Angaben des Auftragsverarbeiters zumindest stichprobenartig persönlich oder durch eine unabhängige Stelle zu überprüfen.62 III.

Zertifizierung durch Dritte

Des Weiteren kann sich ein Verantwortlicher63 oder ein Auftragsverarbeiter von Dritten die Eignung der vom Auftragsverarbeiter getroffenen technischen und organisatorischen Maßnahmen in Form eines Zertifikats nachweisen lassen.64 Durch ein solches Zertifikat können grundsätzlich die gleichen Aussagen getroffen werden, die auch nach einer persönlichen Vor-Ort-Kontrolle des Verantwortlichen getroffen werden können. War es vor Geltung der Datenschutz-Grundverordnung für einen Verantwortlichen noch schwierig, sich in dem bestehenden 61

Vgl. http://www.datenschutzbeauftragter-info.de/auftragsdatenverarbeitungwarumdienstleisterkontrollen/, zuletzt besucht am 1.3.2019; Kunz/Selzer /Waldmann, Automatic Data Protection Certificates for Cloud-Services based on Secure Logging, in: Krcmar/Reussner/Rumpe: Trusted Cloud Computing, S. 64 f.

62

Weichert, DuD 2010, 279; Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe Cloud Computing, S. 9; Borges et al., Datenschutzrechtliche Lösungen für Cloud Computing, 2012, S. 12; Selzer, DuD 2013, 217.

63

Die Überprüfung der vom Auftragsverarbeiter getroffenen technischen und organisatorischen Maßnahmen durch Dritte kann auch direkt vom Auftragsverarbeiter erbeten werden.

64

Petri in Simitis/Hornung/Spiecker, DSGVO-Kommentar, Art. 28 Rdnr. 86 ff.; Martini in Paal/ Pauly, DSGVO, Art. 28 Rdnr. 67; Bergt, DuD 2013, 799; der LfDI Nordrhein-Westfalen, DuD 2014, 6; Lepperhoff/Jaspers, MMR 2013. 617 f.; vgl. auch: http://www.datenschutzbeauftragter-info.de/auftragsdatenverarbeitungwarum-dienstleister kontrollen/, zuletzt besucht am 1.3.2019.

36

Kapitel 3: Datenschutzkontrollen im Cloud-Computing-Umfeld

„Dschungel“ an Datenschutz- und Datensicherheitszertifizierungen einerseits und dem „Dschungel“ an Zertifikatsanbietern andererseits zurechtzufinden und zu beurteilen, welches der Zertifikate und welcher Zertifikatsanbieter überhaupt einschlägig sind, um die Inhalte einer Auftragsverarbeitungskontrolle datenschutzkonform abzubilden und ob das alleinige Vorliegen eines solchen Zertifikats ausreichend im Sinne der Auftragsverarbeitungskontrolle ist65, so sind Datenschutzzertifikate in der Datenschutz-Grundverordnung sehr viel konkreter geregelt und erstmals auch mit einer konkreten Rechtsfolge versehen, die sich auf die Kontrollpflicht im Rahmen der Auftragsverarbeitung auswirkt: So stellt die Datenschutz-Grundverordnung klar, dass der Verantwortliche durch eine Zertifizierung seinen Kontrollpflichten nachkommen kann. Art. 28 Abs. 5 DSGVO regelt insofern, dass die Einhaltung eines genehmigten Zertifizierungsverfahrens durch einen Auftragsverarbeiter als Faktor herangezogen werden kann, um hinreichende Garantien nachzuweisen.66 Gleiches gilt im Übrigen gem. Art. 28 Abs. 5 DSGVO für die Einhaltung genehmigter Verhaltensregeln nach Art. 40 DSGVO, die auch als Faktor herangezogen werden können, um hinreichende Garantien nachzuweisen.67

C.

Probleme bei der Kontrolle des Cloud-Computing-Anbieters

Beim Cloud-Computing ist der Cloud-Computing-Nutzer der Verantwortliche der Auftragsverarbeitung und der Cloud-Computing-Anbieter der Auftragsverarbeiter. Im Zeitalter des Cloud-Computings ist die Kontrolle des Auftragsverarbeiters durch den Verantwortlichen mit einer Reihe von Problemen verbunden. Noch vor wenigen Jahren wurde eine Auftragsverarbeitung i. d. R. durch einen Auftragsverarbeiter erbracht, der sich in der Nähe des Verantwortlichen befand und zudem oftmals nicht unbedingt wirtschaftlich stärker war als der Verantwortliche selbst. Hier konnte es sich z. B. um ein Rechenzentrum in der gleichen Stadt bzw. im gleichen Bundesland oder Land handeln oder auch um ein Unternehmen, das z. B. damit beauftragt war, für ein Unternehmen den Papiermüll datenschutzkonform zu entsorgen.

65

Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe Cloud Computing, S. 9; Weichert, DuD 2010, 679; Selzer, DuD 2013, 217; Bergt, Vertragsgestaltung und Kontrolle bei Auftragsdatenverarbeitung, in: Taeger (Hrsg.), S. 47.

66

Martini in Paal/Pauly, DSGVO, Art. 28 Rdnr. 67; Selzer, DuD 2017, 242.

67

Es ist jedoch davon auszugehen, dass dieser Möglichkeit im Cloud-Computing-Umfeld höchstens eine untergeordnete Rolle zukommen wird, weswegen weitere Ausführungen zu dieser Möglichkeit in dieser Arbeit unterbleiben sollen.

Probleme bei der Kontrolle des Cloud-Computing-Anbieters

37

Die Probleme der Auftragsverarbeitungskontrolle im Zeitalter des Cloud-Computings lassen sich damit erklären, dass Cloud-Computing-Anbieter oft international tätige Unternehmen mit Rechenzentren auf verschiedenen Kontinenten sind und zudem i. d. R. wirtschaftlich stärker als der Verantwortliche sind und deshalb in der Position sind, eigene Regeln gegenüber dem Verantwortlichen durchsetzen zu können. Im Zeitalter des Cloud-Computings bieten viele wirtschaftlich besonders starke Unternehmen Cloud-Computing-Services an. Diese stehen auf Grund der bereits beschriebenen Vorteile des Cloud-Computings nicht nur einer kleinen wirtschaftlich privilegierten Nutzerschicht, sondern nahezu jedem zur Verfügung. In der Praxis kann es daher vor allem für diejenigen Cloud-Computing-Nutzer schwierig sein, eine persönliche Vor-Ort-Kontrolle durchzuführen, die Cloud-ComputingServices nutzen, welche für den Cloud-Computing-Anbieter allein gesehen wirtschaftlich nicht interessant sind. Einerseits wäre es für den Cloud-ComputingAnbieter aus rein praktischen Gründen nahezu unmöglich, seinen sämtlichen Cloud-Computing-Nutzern die Möglichkeit zu geben, eine persönliche Vor-OrtKontrolle der Rechenzentren vorzunehmen. Andererseits ist davon auszugehen, dass der Cloud-Computing-Anbieter bereits auf Grund der starken Konkurrenz zwischen den Cloud-Computing-Anbietern den Zutritt zu seinen Serverräumen so weit wie möglich beschränken möchte. Zudem geben Cloud-ComputingAnbieter gegenüber Kunden i. d. R. nicht den Standort ihres Rechenzentrums bekannt oder beschränken sich allenfalls auf die Angabe einer größeren geographischen Region (z. B. Land, Kontinent). Realistischer kann sich hingegen eine Kontrolle durch einen hierzu beauftragten Dritten vor Abschluss eines Vertrags zwischen Cloud-Computing-Anbieter und einem Cloud-Computing-Nutzer gestalten. Derartige Kontrollen werden häufig durch den Cloud-Computing-Anbieter selbst beauftragt. Die Prüfergebnisse stellt dieser allen Cloud-ComputingNutzern zur Verfügung.68 Ein weiteres Problem im Rahmen der Kontrolle des Cloud-Computing-Anbieters durch den Cloud-Computing-Nutzer im Rahmen der Auftragsverarbeitung resultiert aus dem Umstand, dass sich Cloud-Computing-Nutzer und das Rechenzentrum bzw. die Rechenzentren des Cloud-Computing-Anbieters nicht zwangsläufig an geografisch nah beieinander liegenden Orten befinden. Im Rahmen einer persönlichen Vor-Ort-Kontrolle ist somit fraglich, ob und wie sich diese Kontrolle im Zeitalter des Cloud-Computings sinnvoll umsetzen lässt. Problematisch ist hierbei primär, dass Cloud-Computing-Nutzer in der Regel eine Vielzahl verschiedener Datenverarbeitungsdienste in Anspruch nehmen und immer wieder flexibel an ihre Bedürfnisse anpassen wollen, ohne sich dabei in 68

Steidle in: Jandt/Steidle (Hrsg.), Datenschutz im Internet, S. 250 f.; Kunz/Selzer/ Viebeg/Waldmann, Automatisiertes Testat zur Kontrolle des Cloud-Betreibers, S. 6.

38

Kapitel 3: Datenschutzkontrollen im Cloud-Computing-Umfeld

der Anzahl von Cloud-Computing-Anbietern oder bezüglich der geographischen Distanz zwischen Cloud-Computing-Nutzer und Cloud-Computing-Anbieter festlegen zu müssen. Bei einer persönlichen Vor-Ort-Kontrolle müsste sich ein Cloud-Computing-Nutzer entweder sehr stark in seiner Auswahl an Cloud-Computing-Anbietern (hinsichtlich Anzahl und geographischer Distanz zwischen dem Sitz des Cloud-Computing-Nutzers und des Cloud-Computing-Anbieters) einschränken oder aber in Kauf nehmen, weltweit Vor-Ort-Kontrollen erbringen zu müssen. Eine wie obenstehend beschriebene Einschränkung bezüglich der Auswahl der Cloud-Computing-Anbieter passt jedoch nur sehr eingeschränkt mit den Vorteilen des Cloud-Computings zusammen, dass die Dienste jederzeit, flexibel, unkompliziert und kostensparend erbracht werden können. Demgegenüber ist zu bezweifeln, dass der Cloud-Computing-Nutzer weltweit zu erbringende Vor-OrtKontrollen wirtschaftlich und tatsächlich handhaben kann.69 Auftragsverarbeitungskontrollen sollten i. d. R. in einem Prüfturnus von ein bis drei Jahren durchgeführt werden, wobei angenommen werden kann, dass die meisten Verantwortlichen auf Grund der Komplexität und Kosten von Auftragsverarbeitungskontrollen den maximal zulässigen Kontrollturnus wählen. Häufig wäre es jedoch äußerst wünschenswert, nicht nur eine Momentaufnahme der Umsetzung technischer und organisatorischer Maßnahmen bei einem CloudComputing-Anbieter kontrollieren zu können, sondern den Umsetzungsstand technischer und organisatorischer Maßnahmen kontinuierlich bzw. in kürzeren, regelmäßigen zeitlichen Intervallen überprüfen zu können, um einerseits sicherzustellen, keine „geschönte“ Momentaufnahme in Vorbereitung auf eine Zertifizierung zu erhalten, und um andererseits auf ggf. festgestellte Datenschutzverstöße zeitnah reagieren zu können.

D.

DSGVO-Zertifizierungen als Lösung für die Probleme von Kontrollen im Cloud-Computing-Umfeld

Die Datenschutz-Grundverordnung enthält bezüglich Datenschutzkontrollen eine wesentliche Neuerung: Anders als die Datenschutzrichtlinie versieht die Datenschutz-Grundverordnung Datenschutzzertifizierungen erstmals großflächig mit einer konkreten Rechtsfolge. Sie stellt u. a. klar, dass der Verantwortliche seinen Kontrollpflichten durch eine Zertifizierung nachkommen kann (Art. 28 Abs. 5 DSGVO), und versieht die Zertifizierung darüber hinaus im Zusammenhang mit den bei Datenübermittlungen an Drittstaaten zu erbringenden hinreichenden Garantien mit einer konkreten Rechtsfolge, so dass genehmigte Zertifizierungsver-

69

Steidle in: Jandt/Steidle (Hrsg.), Datenschutz im Internet, S. 250 f.; Borges, DuD 2014, 165 f.; Selzer, DuD 2013, 216; Borges et al., Datenschutzrechtliche Lösungen für Cloud Computing, 2012, S. 8.

DSGVO-Zertifizierungen als Lösung für die Probleme von Kontrollen

39

fahren gem. Art. 46 Abs. 2 lit. f DSGVO eine geeignete Garantie für die Übermittlung an Drittstaaten darstellen können. Die Datenschutz-Grundverordnung setzt demnach mit der Möglichkeit zur Durchführung von Kontrollen des Auftragsverarbeiters sowie mit der Möglichkeit der Übermittlung personenbezogener Daten an Drittstaaten auf Basis eines genehmigten Zertifizierungsmechanimus einen großen Anreiz für Zertifizierungen.70 Das durch Art. 42 DSGVO geregelte Zertifizierungsverfahren soll die Transparenz von Datenverarbeitungsprozessen erhöhen und den Umsetzungsgrad der Datenschutz-Grundverordnung verbessern. Das Zertifizierungsverfahren soll in diesem Sinne betroffenen Personen, aber auch Verantwortlichen, eine schnelle Übersicht über das Datenschutzniveau des genutzten Produkts und/ oder der in Anspruch genommenen Dienstleistung ermöglichen.71 Gemäß Art. 42 Abs. 1 DSGVO sind die Mitgliedstaaten und die Kommission dazu aufgerufen, auf Unionsebene die Einführung von datenschutzspezifischen Zertifizierungsverfahren zu fördern, die dazu dienen nachzuweisen, dass diese Verordnung bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird.72 Den besonderen Bedürfnissen von Kleinunternehmen sowie kleinen und mittleren Unternehmen wird Rechnung getragen. Eine Zertifizierung gemäß Art. 42 Abs. 4 DSGVO mindert jedoch nicht die Verantwortung des Verantwortlichen bzw. des Auftragsverarbeiters für die Einhaltung der DatenschutzGrundverordnung. Konsequenterweise spricht Art. 28 Abs. 5 DSGVO bei der Zertifizierung von einem Faktor, der herangezogen werden kann, um hinreichende Garantien nachzuweisen. In der Praxis wird daher der konkrete Sachverhalt darüber entscheiden, ob die Auftragsverarbeitungskontrolle durch eine Datenschutzzertifizierung vollständig oder nur teilweise erbracht werden kann. Insbesondere wird es auf den Schutzbedarf und den Umfang der verarbeiteten personenbezogenen Daten sowie auf die potenziellen Risiken einer Offenlegung der Daten ankommen, um diese Entscheidung zu treffen.73 Zertifizierungen sind gemäß 42 Abs. 7 DSGVO nach maximal drei Jahren zu erneuern, wobei es sinnvoll erscheint, auch bei der Festlegung des Prüfturnus den Schutzbedarf und den Umfang der verarbeiteten personenbezogenen Daten sowie die potenziellen Risiken einer Offenlegung der Daten als Kriterien heranzuziehen.

70

Schröder, in: Kühling/Buchner (Hrsg.), DSGVO, Art. 46 Rdnr. 38.

71

Wedde, EU-Datenschutz-Grundverordnung, S. 132; s. auch Erwgr. 100.

72

Gemäß Art. 42 Abs. 2 DSGVO können die Zertifizierungsverfahren auch zum Nachweis geeigneter Garantien bei Übermittlungen an Drittstaaten dienen.

73

Selzer, DuD 2017, 242; siehe auch Hofmann, in: Roßnagel (Hrsg.): Europäische DSGVO, S. 182.

40

Kapitel 3: Datenschutzkontrollen im Cloud-Computing-Umfeld

Die Zertifizierung können akkreditierte Stellen durchführen, wenn diese gemäß Art. 43 Abs. 2 und 3 DSGVO u. a. unabhängig arbeiten, ihre Aufgaben und Pflichten nicht zu einem Interessenskonflikt führen und sie über das benötigte Fachwissen für die Wahrnehmung der Zertifizierungsaufgabe verfügen. Die Akkreditierung der Auditoren übernimmt gem. Art. 43 Abs. 1 lit. a und b DSGVO die zuständige Aufsichtsbehörde und/oder die nationale Akkreditierungsstelle – in Deutschland die „DAkkS“, die Deutsche Akkreditierungsstelle.74 Wenn die Voraussetzungen für eine Zertifizierung nicht mehr vorliegen, soll die Zertifizierung von der jeweils zuständigen Aufsichtsbehörde bzw. von der akkreditierten Stelle wiederrufen werden können. Eine weitere Aufgabe der Aufsichtsbehörden bzw. des Europäischen Datenschutzausschusses soll es sein, die Kriterien zu genehmigen, auf die sich das Zertifizierungsverfahren stützt. Dies soll u. a. für eine größere Transparenz in der Datenschutzzertifizierung sorgen. Darüber hinaus ist die Europäische Kommission befugt, Anforderungen an das Verfahren mittels delegierter Rechtsakte zu erlassen (Art. 42 Abs. 3 u. 5 und Art. 43 Abs. 1, 5 u. 8 DSGVO).75 In der Gesamtschau zu begrüßen sind insbesondere die Regelungen zur Transparenz der Zertifizierungsverfahren und die Möglichkeit für den Europäischen Datenschutzausschuss, Kriterien für das Zertifizierungsverfahren zu definieren. Darin liegt die Chance, möglichst einheitliche Kriterien und Prüfkataloge für die Datenschutzzertifizierung in Europa zu entwickeln. Damit lässt sich verhindern, dass die Verantwortlichen wie bisher einen Dschungel von Zertifizierungsanbietern und -verfahren vorfinden. Bisher war es Verantwortlichen kaum möglich zu erkennen, welche Qualität der Zertifizierungsanbieter und dessen Zertifizierungsverfahren hatten, wie sich die verschiedenen Datenschutzzertifizierungsangebote voneinander unterscheiden und ob die Zertifizierungsverfahren grundsätzlich geeignet sind, eine Erst- und Folgekontrolle im Rahmen der Auftragsverarbeitung zu ersetzen. Besteht derzeit im Rahmen der persönlichen Vor-Ort-Kontrolle, vor allem im Zeitalter des Cloud-Computings, das Problem des „Prüftourismus“76, so ist dieses durch Zertifizierungen akkreditierter Stellen lösbar. Auch wird sich voraussichtlich durch Zertifikate mit konkreter Rechtsfolge, wie sie Art. 28 Abs. 5 DSGVO regelt, 74

https://www.dakks.de/, zuletzt besucht am 1.3.2019.

75

Selzer, DuD 2017, 242 f.; Wedde, EU-Datenschutz-Grundverordnung, S. 132. Bereits zum Zeitpunkt des In-Kraft-Tretens der DSGVO im Mai 2016 gab es erste Vorschläge, die in der DSGVO geregelte Zertifizierung auf ISO 27001 sowie ISO 27018 basieren zu lassen, so Kraska, ZD 2016, 154. Hingegen machen Schäfer/Fox, DuD 2016, 747 den Vorschlag einer Auditierung nach dem Standard-AV-Modell, bei der die Überprüfung auf Basis eines Anforderungskatalogs des TÜV Süd erfolgt.

76

Borges et al., Datenschutzrechtliche Lösungen für Cloud Computing, 2012, S. 9; Jäger/Kraft/Selzer/Waldmann, DuD 2016, 239; Steidle, in: Jandt/Steidle (Hrsg.), Datenschutz im Internet, S. 250 f.

Teilautomatisierte Zertifikatlösung

41

das Problem der tatsächlichen Realisierbarkeit von Kontrollen lösen lassen, da der Cloud-Computing-Anbieter die Zertifizierung selbst anstoßen kann und somit gegenüber all seinen (potenziellen) Kunden die Datenschutzkonformität nachweisen kann.77 Auftragsverarbeitungskontrollen in Form von Zertifikaten sind vor Beginn der Verarbeitung und sodann regelmäßig – spätestens alle drei Jahre – durchzuführen. Die Kosten der regelmäßig zu erneuernden Zertifizierung werden dadurch vermutlich relativ hoch sein. Auch wird durch die Zertifizierung nicht das Problem gelöst, dass zwischen zwei Prüfungen ein sehr langer, „ungeprüfter“ Zeitraum liegt.

E.

Teilautomatisierte Zertifikatlösung

Zertifikate beziehen sich in der Regel auf eine Überprüfung bestimmter Abläufe/Produkte durch einen Dritten, in welcher der Dritte – also die zertifizierende Stelle – den aktuellen Zustand eines Ablaufs/Produkts überprüft. Für die Überprüfung der Umsetzung technischer und organisatorischer Maßnahmen eines Cloud-Computing-Anbieters kann es jedoch von großem Interesse und Nutzen sein, nicht nur den Ist-Zustand der Umsetzung, sondern auch die Umsetzung der technischen und organisatorischen Maßnahmen im laufenden Betrieb bewerten zu können, um sicherzustellen, dass die technischen und organisatorischen Maßnahmen (zeitlich) lückenlos umgesetzt werden.78 Da der Aufwand derartiger Kontrollen i. d. R. nicht auf wirtschaftlich angemessene Weise von einem Menschen erbracht werden kann, schlägt diese Arbeit vor, vorhandene technische Möglichkeiten in die Konzeption neuer Datenschutzkontrollkonzepte für das Cloud-Computing einzubeziehen, um Datenschutzkontrollen in Zukunft automatisiert bzw. teilautomatisiert durchführen zu können. Die Überprüfung des Umsetzungsgrades von Datenschutzanforderungen sollte daher anhand von teilautomatisiert überprüfbaren Datenschutzmetriken durchgeführt werden. Der Vorteil der Datenschutzkontrollen auf Basis von Datenschutzmetriken ist, dass das Messsystem quantifizierbare, gut darstellbare und vergleichbare Kennzahlen zur Beurteilung datenschutzrelevanter Eigenschaften liefert. Bei der Entwicklung guter, teilautomatisiert messbarer Datenschutzmetriken sind sowohl die Sicht des Rechts – also welche konkreten Anforderungen der 77

Der „Trend“ in diese Richtung – also, dass die Kontrollen durch den Cloud-Computing-Anbieter initiiert werden – besteht bereits seit einigen Jahren und wird sich durch die konkrete Rechtsfolge, wie sie in der DSGVO formuliert ist, vermutlich weiter festigen.

78

Ähnlich weisen bereits Borges et al. auf diese Möglichkeit hin: „Auch Elemente wie laufende Berichte (Monitoring) ließen sich durch Testierung feststellen und wären Bestandteil des [Zertifikats], soweit eine entsprechende gesetzliche Verpflichtung besteht.“ Borges et al., Datenschutzrechtliche Lösungen für Cloud Computing, 2012, S. 12; Selzer, DuD 2013, 218.

42

Kapitel 3: Datenschutzkontrollen im Cloud-Computing-Umfeld

Gesetzgeber im Bereich des Datenschutzrechts vorgibt – als auch die Sicht der Technik – also welche technischen Möglichkeiten zur teilautomatisierten Verifikation des Umsetzungsgrades der Datenschutzanforderungen bestehen – zu berücksichtigen. Als Messbasis einer solchen teilautomatisierten Datenschutzkontrolle schlägt diese Arbeit die Auswertung maschinell erhobener Messdaten vor, wie z. B. Logund Sensordaten, die durch die Datenverarbeitung beim Cloud-Computing-Anbieter ohnehin anfallen und/oder ohne größere Aufwände anfallen können. Da die Messdaten im Herrschaftsbereich des Cloud-Computing-Nutzers anfallen, müssen die Messdaten vor Manipulationsversuchen des Cloud-Computing-Anbieters bestmöglich geschützt werden. Ziel dieses Vorgehens ist es, Manipulationsversuche des Cloud-Computing-Anbieters so unwahrscheinlich wie möglich zu machen. Zwar ist grundsätzlich auf Grund der enormen Masse an ReportingDaten davon auszugehen, dass es einem Cloud-Computing-Anbieter aus praktischer Sicht nur schwer möglich ist, sämtliche Daten, die zwar beim Cloud-Computing-Anbieter entstehen, aber im laufenden Betrieb datenschutzrechtlich in einem vom Cloud-Computing-Anbieter unabhängigen Tool ausgewertet werden, so zu manipulieren, dass diese stets in sich stimmig sind. Dennoch sollte diese Möglichkeit jedoch nicht außer Acht gelassen werden, um Manipulationen so unwahrscheinlich wie möglich zu machen.79 Der vorgeschlagene Ansatz geht davon aus, dass i. d. R. eine Reihe unterschiedlicher maschinell erhobener Log- oder Sensordaten erhoben und ausgewertet werden muss, um über die Kombination der einzelnen Messdaten ein aussagekräftiges Messergebnis zum Umsetzungsgrad eines einzelnen Datenschutz-Prüfaspekts zu erhalten. Die einzelnen Log- und Sensordaten sollten je nach Relevanz, Aussagekraft und Bestimmtheit in unterschiedlichen Gewichtungen in die Metrikenberechnung einfließen. Die vorliegende Arbeit geht jedoch davon aus, dass sich zum jetzigen Zeitpunkt noch nicht jeder Datenschutzprüfaspekt (vollständig) auf Basis maschinell erhobener Messdaten kontrollieren lassen kann. Dementsprechend sollten der Umsetzungsgrad von Datenschutz-Prüfaspekten wann immer möglich auf der Basis maschinell erhobener Messdaten kontrolliert und diese um händisch erhobene Messdaten ergänzt werden, wann immer die maschinell erhobenen Messdaten

79

Dies könnte u. a. durch ein entsprechendes Security Framework erreicht werden, bei dem die Daten bspw. durch Verkettung von Hashwerten („Forward Integrity“: Ändern und Löschen von bestehenden Einträgen/Messungen sind nicht unbemerkt möglich – selbst dann, wenn die Log-Daten an einem unsicheren Ort gespeichert würden), Verschlüsselung und digitale Signaturen zum Einsatz kommen könnten. Kunz/Selzer/Viebeg/Waldmann, Automatisiertes Testat zur Kontrolle des Cloud Betreibers, S. 23 ff.; Kunz/Selzer/Waldmann, Automatic Data Protection Certificates for Cloud Services based on Secure Logging, in: Krcmar/Reussner/Rumpe: Trusted Cloud Computing, S. 67-71.

Teilautomatisierte Zertifikatlösung

43

nicht ausreichen würden, den Umsetzungsgrad von Datenschutzprüfaspekten zu kontrollieren. Insofern sind händisch und maschinell erhobene Messdaten miteinander zu verknüpfen, so dass die Gesamtheit der vorhandenen Messdaten als Datenbasis in die Metrikenberechnung einfließen sollte. Händisch erhobene Messdaten sollten hierbei i. d. R. durch einen unabhängigen Auditor erhoben werden. Darüber hinaus sollen die teilautomatisierten Datenschutzkontrollen auf der Basis einheitlicher, branchenspezifischer Anforderungen durchgeführt werden und somit von dem Vorteil profitieren, dass sich der Umsetzungsgrad von Datenschutzprüfaspekten auf Basis maschinell erhobener Messdaten durch die vorherige Definition von branchenspezifischen Datenschutzanforderungen ohne wirtschaftlich relevanten Mehraufwand branchenspezifisch auswerten und darstellen lässt. Darüber hinaus sollte der Cloud-Computing-Nutzer die Möglichkeit erhalten, sich den Umsetzungsgrad der Datenschutz-Prüfaspekte jederzeit über eine entsprechende Benutzerschnittstelle („User Interface“) in Form einer einfachen Darstellung – wie z. B. durch ein Ampelsymbol – anzeigen zu lassen. Das hier vorgeschlagene Konzept lässt sich zur Verifikation des Umsetzungsgrades sämtlicher Datenschutzprüfaspekte einsetzen. Ein Beispiel für einen solchen Datenschutzprüfaspekt ist der Verarbeitungsstandort personenbezogener Daten. Um eine entsprechende Datenschutzmetrik zu konzipieren, sind zunächst die datenschutzrechtlichen Anforderungen an die Zulässigkeit des/-r Verarbeitungsstandorte/-s zu erheben. Im nächsten Schritt ist zu evaluieren, welche Messdaten aus Sicht der Technik vorliegen, um den Umsetzungsgrad der rechtlichen Anforderungen kontrollieren zu können. Hierfür könnten sich u. a. verschiedene Umgebungsparameter von Rechenzentren eignen. Ggf. sind diese um händische Messdaten, wie z. B. Angaben aus Verträgen, zu ergänzen. Sodann werden die einzelnen Messdaten entsprechend ihrer Relevanz, Aussagekraft und Bestimmtheit in Bezug auf den konkreten Datenschutzprüfaspekt unterschiedlich gewichtet und die Metrikenberechnung entsprechend festgelegt. Der Umsetzungsgrad des Datenschutzprüfaspekts ist sodann in Form einer Metrik zur Zulässigkeit des/-r Verarbeitungsstandorte/-s messbar und lässt sich dem Cloud-Computing-Nutzer in Form eines Ampelsymbols anzeigen. Dass das durch diese Arbeit vorgeschlagene Konzept einer teilautomatisierten, branchenspezifischen Datenschutzkontrolle umsetzbar ist, wurde im Projekt VeriMetrix in Form eines sogenannten Proof-of-Concept nachgewiesen. Diese Arbeiten sollen im Folgenden detailliert vorgestellt werden.80 80

Die im Nachfolgenden beschriebenen Inhalte basieren im Wesentlichen auf Arbeitsergebnissen aus dem BMBF-geförderten Projekt VeriMetrix, an dem die Autorin dieser Arbeit maßgeblich mitgewirkt hat. Ziel des Projekts war es, Datenschutzmetriken zur automatisierten Verifizierung des Umsetzungsgrades branchenspezifischer Datenschutzanforderungen, die an die

44

I.

Kapitel 3: Datenschutzkontrollen im Cloud-Computing-Umfeld

Die Notwendigkeit der Messung des Verarbeitungsstandorts

Inhalt der Auftragsverarbeitungskontrollen ist im Wesentlichen die Kontrolle des Umsetzungsgrades technisch-organisatorischer Schutzmaßnahmen. Hierbei werden etwa Maßnahmen zur Umsetzung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste überprüft. Im Zeitalter des Cloud-Computings liegt ein weiterer Fokus auf der Verifikation des Verarbeitungsstandorts der durch den Cloud-Computing-Anbieter verarbeiteten personenbezogenen Daten. Letzterer Fokus wird für die Veranschaulichung der Metriken- und Messtheorien in den folgenden Unterkapitel im Mittelpunkt stehen, da die Kenntnis des Verarbeitungsstandorts von essentieller Bedeutung für die Sicherstellung der datenschutzkonformen (Auftrags-)Verarbeitung im Rahmen der Nutzung von Cloud-Computing-Services ist. 1.

Datenschutzrechtlicher Ausgangspunkt: Rechtmäßigkeitsanforderungen an eine Datenübermittlung je nach Cloud-Standort

Auftragsverarbeitungen werden durch die Datenschutz-Grundverordnung insofern privilegiert, als sie auf Basis eines Auftragsverarbeitungsvertrags möglich sind, der die inhaltlichen Anforderungen des Art. 28 Abs. 3 DSGVO berücksichtigt, solange auch die weiteren in Art. 28 f. DSGVO genannten Anforderungen umgesetzt werden. Im Unterschied zur Weitergabe personenbezogener Daten an Cloud-Computing-Anbieter innerhalb des Europäischen Wirtschaftsraums müssen bei der Weitergabe an Cloud-Computing-Anbieter aus Drittstaaten jedoch die zusätzlichen Anforderungen der Art. 44 ff. DSGVO eingehalten werden.81 Diese zusätzlichen Anforderungen ergeben sich aus dem Umstand, dass das Datenschutzniveau außerhalb des Europäischen Wirtschaftsraums – im Vergleich zu innerhalb des Europäischen Wirtschaftsraums – sehr heterogen ist. Um das hohe Datenschutzniveau innerhalb des Europäischen Wirtschaftsraums nicht abzuschwächen, müssen für Auftragsverarbeitungen unter Beteiligung von (Unter-)Auftragsverarbeitern außerhalb des Europäischen Wirtschaftsraumes besondere Voraussetzungen bestehen, um für die zu übermittelnden personenbezogenen Daten ein angemessenes Datenschutzniveau sicherstellen zu können. Dies erfolgt durch die in Art. 44 ff. DSGVO genannten Instrumente.82 Die Nutzung von Cloud-Computing-Services zu stellen sind, zu entwickeln und Techniken zur automatisierten Verifizierbarkeit der Datenschutzmetriken zu entwickeln und prototypisch umzusetzen, https://www.sit.fraunhofer.de/de/verimetrix/, zuletzt besucht am 14.2.2019. 81

Steidle, in: Jandt/ Steidle (Hrsg.), Datenschutz im Internet, S. 255; Klug in Gola, DSGVO, Art. 44 Rdnr. 1; Pauly in Paal/Pauly, DSGVO, Art. 44 Rdnr. 1; DSK, Kurzpapier Nr. 13 Auftragsverarbeitung, S. 2; Schmidt/Freund, ZD 2017, 16; Schmitz/von Dall’Armi, ZD 2016, 429.

82

Schröder in Kühling/Buchner, DS-GVO Kommentar, Art. 44 Rdnr. 1. Für die in Art. 44 ff. DSGVO genannten Instrumente siehe u. a. auch Selzer, DuD 2014, 470-474; Selzer, Datenschutz in Europa und den USA – Grenzüberschreitender Datenverkehr nach dem Safe Harbor Aus, in: Menschenrechte im Cyberraum, Schader Stiftung, 2015, S. 1-6; Pauly in Paal/Pauly, DSGVO, Art. 44 Rdnr. 11; Kamp in Wolff/Brink, Datenschutzrecht-Online-Kommentar, Art. 44

Teilautomatisierte Zertifikatlösung

45

dort geregelten Anforderungen sind zusätzlich zu Art. 28 f. DSGVO zu beachten.83 Art. 44 DSGVO regelt, dass bei der Übermittlung personenbezogener Daten an internationale Organisationen in Drittstaaten zusätzlich zu den allgemeinen Regeln der Datenschutz-Grundverordnung die Regeln zur Übermittlung an Drittstaaten (Art. 44 ff. DSGVO) zu beachten sind. Art. 45 ff. DSGVO legen sodann die Bedingungen für Datenübermittlungen an Drittstaaten fest. Im Folgenden sollen diejenigen Bedingungen vorgestellt werden, die sich im Rahmen der Nutzung von Cloud-Computing-Services unter Einbeziehung von (Unter-)Auftragsverarbeitern außerhalb des Europäischen Wirtschaftsraums in der Vergangenheit als besonders relevant erwiesen bzw. in die Zukunft gerichtet ein großes Potenzial für internationale Cloud-Computing-Services bieten. Abhängig davon, in welchem Drittstaat sich die Server des Cloud-Computing-Service befinden, ist entweder die unter 2. genannte Legitimationsgrundlagen oder eine der unter 3. genannten Legitimationsgrundlagen einschlägig. 2.

Datenübermittlungen auf Basis eines Angemessenheitsbeschlusses

Gem. Art. 45 Abs. 1 DSGVO dürfen personenbezogene Daten an einen Drittstaat bzw. an eine internationale Organisation in einem Drittstaat übermittelt werden, wenn die Europäische Kommission für den betreffenden Drittstaat eine Angemessenheitsentscheidung hinsichtlich des dort herrschenden Datenschutzniveaus getroffen hat. Eine Datenübermittlung an einen Drittstaat, für den die Europäische Kommission ein angemessenes Datenschutzniveau festgestellt hat, bedarf keiner besonderen Genehmigung. Aktuell liegt für folgende Länder eine Angemessenheitsentscheidung der Europäischen Kommission vor: Schweiz, Kanada, Israel, Japan, Jersey, Isle of Man, Guernsey, Uruguay, Andorra, Neuseeland, die Färöer-Inseln sowie Argentinien.84 Die von der Europäischen Kommission auf der Grundlage von Art. 25 Abs. 6 der Richtlinie 95/46/EG erlassenen Feststellungen – also diejenigen Entscheidungen, die bereits vor der Geltung der Datenschutz-Grundverordnung getroffen wurden – bleiben gem. Art. 45 Abs. 9 DSGVO so lange in Kraft, bis sie durch einen Beschluss der Europäischen Kommission geändert, ersetzt oder aufgehoben werden.

Rdnr. 21-2; Karg, VuR 2016, 457, 458f¸ Götz, DuD 2013, 635, 638; Schmid/Kahl, ZD 2017, 54, 54. 83

Klug in Gola, DSGVO, Art. 44 Rdnr. 1-2; Pauly in Paal/Pauly, DSGVO, Art. 44 Rdnr. 1, 6-7.

84

Eine vollständige Liste aller Drittstaaten, für welche die Europäische Kommission ein angemessenes Datenschutzniveau bestätigt hat, kann unter folgender Internetadresse abgerufen werden: https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/ adequacy-protection-personal-data-non-eu-countries_en, zuletzt besucht am 11.4.2019.

46

Kapitel 3: Datenschutzkontrollen im Cloud-Computing-Umfeld

Auch Datenübermittlungen an die USA sind im Rahmen von Art. 45 DSGVO zulässig, jedoch beschränkt sich die Zulässigkeit auf diejenigen US-Unternehmen, die dem EU-US-Privacy-Shield beigetreten sind. Der EU-US-PrivacyShield ist jedoch nicht unumstritten. Datenschützer monieren, dass das Datenschutzniveau für betroffene Personen weit hinter dem Datenschutzniveau des EWR zurücksteht. Dies bezieht sich u. a. auf den Umstand, dass das Privacy Shield zwar die beitretenden US-Unternehmen, nicht aber die US-Behörden datenschutzrechtlich verpflichtet.85 3.

Datenübermittlung vorbehaltlich geeigneter Garantien

Gem. Art. 46 Abs. 1 DSGVO dürfen personenbezogene Daten – wenn kein Beschluss nach Art. 45 DSGVO vorliegt – nur dann an einen Auftragsverarbeiter in einem Drittstaat übermittelt werden, wenn der Verantwortliche bzw. der Auftragsverarbeiter Garantien vorgesehen hat, die ein angemessenes Datenschutzniveau im Drittstaat sicherstellen.86 Gem. Art. 46 Abs. 2 DSGVO können diese Garantien u. a. wie folgt hergestellt werden:87 ‐

EU-Standard-Datenschutzklauseln,

‐

genehmigte Binding Corporate Rules,

‐

genehmigter Zertifizierungsmechanismus.

Die so genannten EU-Standard-Datenschutzklauseln sind von der Europäischen Kommission entwickelte Klauseln, welche immer dann für die Übermittlung personenbezogener Daten herangezogen werden können, wenn die Daten an eine internationale Organisation in einem Drittstaat ohne angemessenes Datenschutzniveau übermittelt werden sollen.88 Zu unterscheiden sind Standard-Datenschutzklauseln für die Übermittlung an Auftragsverarbeiter89 und StandardDatenschutzklauseln für die Übermittlung an Verantwortliche90. Da beim Cloud85

Vgl. diesbezüglich auch die Einschätzung von Roßnagel/Jandt/Richter, DuD 2014, 545 f. zu Konsequenzen der Aufdeckung von Massenüberwachungen durch die NSA.

86

Bzgl. Einschränkungen hierzu s. Art. 49 Abs. 1 DSGVO.

87

Schröder in Kühling/Buchner, DS-GVO Kommentar, Art. 46 Rdnr. 22-38; Wybitul, EU-Datenschutz-Grundverordnung im Unternehmen, S. 77.

88

Schröder in Kühling/Buchner, DS-GVO Kommentar, Art. 46 Rdnr. 25.

89

Entscheidung der Kommission 2001/497/EC v. 15.6.2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer nach der Richtlinie 95/46/EG, ABl. 2001 L 181/19; MEMO/01/228 der Kommission v. 18.6.2001 sowie Entscheidung der Kommission 2004/915/EG v. 27.12.2004 zur Änderung der Entscheidung 2001/497/EG bezüglich der Einführung alternativer Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer, ABl. 2004 L 385/74; MEMO/05/3 der Kommission v. 7.1.2005.

90

Beschluss der Kommission 2010/87/EU v. 5.2.2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates, ABl. 2010 L 39/5.

Teilautomatisierte Zertifikatlösung

47

Computing wie bereits erwähnt in der Regel Auftragsverarbeitung vorliegt, sind in der Regel die Standard-Datenschutzklauseln für die Übermittlung an Auftragsverarbeiter zu wählen.91 Eine Übermittlung personenbezogener Daten an eine internationale Organisation in einen Drittstaat ist gemäß Art. 46 Abs. 2 lit. b i.V.m. Art. 47 DSGVO innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, prinzipiell auf der Grundlage der verbindlichen internen Datenschutzvorschriften – sogenannter Binding Corporate Rules – möglich. Nachdem die – individuell auszuhandelnden – Binding Corporate Rules durch die zuständige Aufsichtsbehörde genehmigt sind, können sie auch als Grundlage für Datenübermittlungen an nicht sichere Drittstaaten dienen, ohne dass hierfür eine gesonderte Genehmigung erforderlich wird.92 Gemäß Art. 46 Abs. 2 lit. f DSGVO ist eine Übermittlung personenbezogener Daten an internationale Organisationen in Drittstaaten zudem auf Basis eines genehmigten Zertifizierungsmechanismus gemäß Art. 42 DSGVO möglich. Die Zertifizierung muss zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen erfolgen, die dem Auftragsverarbeiter in dem Drittstaat zur Anwendung der geeigneten Garantien auferlegt werden. Die Möglichkeit, ein angemessenes Datenschutzniveau eines Unternehmens im Drittstaat durch einen Zertifizierungsmechanismen gemäß Art. 42 DSGVO nachzuweisen, stellt eine Neuerung der Datenschutz-Grundverordnung dar. Der Grundgedanke hinter dieser neuen Möglichkeit ist, dass sich Unternehmen im Drittstaat den Vorgaben der Datenschutz-Grundverordnung unterwerfen können und eine entsprechende Zertifizierung erlangen können, die sodann eine Übermittlung an das Unternehmen ermöglicht.93 Auch wenn Zertifizierungen insbesondere eine Möglichkeit darstellen sollten, sich als betroffene Person auf einfache Weise einen Überblick über den Grad der Umsetzung des Datenschutzes von Produkten und Dienstleistungen zu verschaf-

91

Lange/Filip in Wolff/Brink, Datenschutzrecht-Online-Kommentar, Art. 46 Rdnr. 31, 39; Zerdick in Ehmann/Selmayr, DSGVO, Art. 46 Rdnr. 10 f.; Busche, in: Taeger/Wiebe (Hrsg.), Inside the Cloud – Neue Herausforderungen für das Informationsrecht, S. 63 (69 ff.); Tinnefeld/Buchner/Petri/Hof, Datenschutzrecht, S. 282 f.; Stögmüller, in: Leupold/Glossner (Hrsg.), Münchner Anwaltshandbuch IT-Recht, S. 213.

92

Zerdick in Ehmann/Selmayr, DSGVO, Art. 46 Rdnr. 9; Schröder in Kühling/Buchner, DS-GVO Kommentar, Art. 46 Rdnr. 24; Helbing: Datenschutz im Konzern: Internationale Datentransfers, über: http://www.thomashelbing.com/de/datenschutz-konzern-internationale-datentransferteil-2-safe-harbor-bcr-binding-corporate-rules-eu-standardvertragsklauseln, zuletzt besucht am 1.3.2019; Schröder, Die Haftung für Verstöße gegen Codes of Conducts, S. 153; Voskamp/Kipker/Yamato, DuD 2013, 455.

93

Zerdick in Ehmann/Selmayr, DSGVO, Art. 46 Rdnr. 15; Towfigh/Ulrich in Sydow, DSGVO, Art. 46 Rdnr. 11.

48

Kapitel 3: Datenschutzkontrollen im Cloud-Computing-Umfeld

fen, können Zertifizierungen darüber hinaus geeignete Garantien zur Übermittlung personenbezogener Daten an Drittstaaten nachweisen. Hierzu müssen folgende Bedingungen erfüllt sein: Die Zertifizierungskriterien, die in der Regel durch private Verbände oder Privatunternehmen erarbeitet werden, müssen zunächst durch die zuständige Datenschutzaufsichtsbehörde, eine akkreditierte Zertifizierungsstelle oder, nach Durchführung des Kohärenzverfahrens gem. Art. 63 DSGVO, durch den Europäischen Datenschutzausschuss genehmigt werden.94 Die Zertifizierungskriterien müssen geeignete Garantien – und somit die Umsetzung der wesentlichen Regelungsgrundlagen der Datenschutz-Grundverordnung – sicherstellen, um den Schutz der betroffenen Personen bei der Verarbeitung von deren personenbezogenen Daten zu gewährleisten. Schlussendlich müssen – z. B. durch entsprechende vertragliche Regelungen – die Einhaltung geeigneter Garantien sichergestellt werden, welche dem Schutz der Rechte der betroffenen Personen dienen. Dies ist insbesondere durch wirksame Rechtsschutzmöglichkeiten sowie die Möglichkeit, unabhängige Kontrollen durchzuführen, sicherzustellen.95 Durch die Möglichkeit, ein angemessenes Datenschutzniveau in internationalen Organisationen in Drittstaaten durch Zertifizierungsmechanismen nachzuweisen, wird ein hoher Anreiz zur Zertifizierung gesetzt – nicht zuletzt, da internationale Organisationen in Drittstaaten durch die Zertifizierung das Risiko, gegen geltendes europäisches Datenschutzrecht zu verstoßen, drastisch reduzieren können. Zwar ergibt sich aus dem Garantieinstrument der Zertifizierungen eine konzeptionelle Besonderheit dahingehend, dass die Entscheidung über die Erteilung des Zertifikats und somit über die Zulässigkeit der Übermittlung an internationale Organisationen in Drittstaaten häufig durch private Zertifizierungsstellen erfolgen wird. Jedoch müssen die privaten Zertifizierungsstellen sowohl einen Akkreditierungsprozess durchlaufen als auch die Zertifizierungskriterien genehmigen lassen. Darüber hinaus kann die zuständige Datenschutz-Aufsichtsbehörde gem. Art. 58 Abs. 2 lit. h DSGVO eine Zertifizierung widerrufen, wenn die Voraussetzungen einer Zertifizierung nicht (vollständig) vorliegen.96

94

Danach ist eine gesonderte Genehmigung durch die Datenschutz-Aufsichtsbehörden entbehrlich. S. Klug in Gola, DSGVO, Art. 46 Rdnr. 13.

95

Pauly in Paal/Pauly, DSGVO, Art. 46 Rdnr. 38-42; Lange/Filip in Wolff/Brink, Datenschutzrecht-Online-Kommentar, Art. 46 Rdnr. 56; Schröder in Kühling/Buchner, DSGVO, Art. 46 Rdnr. 37-38; Towfigh/Ulrich in Sydow, DSGVO, Art. 46 Rdnr. 11; ErwGr. 100.

96

Schröder in Kühling/Buchner, DSGVO, Art. 46 Rdnr. 38; Pauly in Paal/Pauly, DSGVO, Art. 46 Rdnr. 43.

Teilautomatisierte Zertifikatlösung

II.

49

Entwicklung von Datenschutzmetriken als Prüfbasis

Da – wie gerade dargestellt – der Standort der Cloud für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten durch Auftragsverarbeiter in Drittstaaten von entscheidender Bedeutung ist, ist entsprechend auch die Verifikation des datenschutzkonformen Verarbeitungsstandorts ein zentrales Element, um dem Verantwortlichen die datenschutzkonforme Verarbeitung durch den Auftragsverarbeiter zu bestätigen. Wie diese Verifikation umgesetzt werden kann – und wie die Verifikation in automatisierter Form ermöglicht werden kann – soll in den folgenden Unterkapiteln beispielhaft aufgezeigt werden. Um den Umsetzungsgrad von Datenschutzanforderungen im Rahmen von Cloud-Computing-Services kontinuierlich aufzeigen zu können und die Ergebnisse sowohl mit anderen Cloud-Computing-Services als auch mit den Ergebnissen aus vorangegangenen Kontrollen des gleichen Cloud-Computing-Service vergleichbar zu machen, werden in dieser Arbeit automatisiert überprüfbare Datenschutzmetriken vorgeschlagen. Datenschutzmetriken liefern Kennzahlen, mit deren Hilfe sich die Umsetzung datenschutzrelevanter Eigenschaften auf Basis vertrauenswürdiger Messdaten bewerten lässt. Die Kennzahlen können an unterschiedliche Zielgruppen adressiert sein, u. a. das Management und betriebliche Datenschutzbeauftragte des Cloud-Computing-Anbieters und/oder des Cloud-Computing-Nutzers sowie Datenschutz-Auditoren.97 Die Entwicklung automatisiert messbarer Datenschutzmetriken stellt eine äußerst komplexe Herausforderung dar, bei der einerseits theoretische und nicht direkt messbare rechtliche Anforderungen, wie z. B. der zulässige Verarbeitungsort, und andererseits konkrete Datenquellen, die direkte Aussagen über den Umsetzungsgrad der rechtlichen Anforderung geben, zu Aussagen zur Konformität zusammengefügt werden müssen. Die Entwicklung von automatisiert messbaren Datenschutzmetriken erfolgt auf Basis eines Top-down- sowie eines Bottom-upAnsatzes, wie Abbildung 6: Entwicklung von Datenschutzmetriken98 visualisiert.

97

Jäger/Selzer/Waldmann, DuD 2015, 26; Jäger/Kraft/Selzer/Waldmann, DuD 2016, 239; Jäger/ Kraft/Luhn/Selzer/Waldmann, Access Control and Data Separation Metrics in Cloud Infrastructures, S. 205 f. Es gibt eine Vielzahl von Definitionsversuchen für Metriken bzw. Sicherheitsmetriken. Ein Vorschlag von NIST lautet: „Metrics are tools designed to facilitate decision making and improve performance and accountability through collection, analysis, and reporting of relevant performance-related data. The purpose of measuring performance is to monitor the status of measured activities and facilitate improvement in those activities by applying corrective actions, based on observed measurements.” Siehe auch Sowa, Metriken – der Schlüssel zum erfolgreichen Security und Compliance Monitoring, S. 4 f.

98

Luhn, Rahmenwerk für Metriken, S. 1; Jäger/Selzer/Waldmann, DuD 2015, 26. Die nachfolgende Darstellung des Top-down- und Bottom-up-Ansatzes entstammt in den wesentlichen Inhalten den beiden genannten Veröffentlichungen. Zum Top-down- und Bottom-up-Ansatz s. zusätzlich Ammann/Sowa, DuD 2012, S. 247 (250 f.).

Bottom‐Up

Top‐Down

50

Kapitel 3: Datenschutzkontrollen im Cloud-Computing-Umfeld

Anforderungen Maßnahmen Indikatoren

Datenschutzmetriken

Datenquellen

Abbildung 6: Entwicklung von Datenschutzmetriken

1.

Top-down-Ansatz

Der Top-down-Ansatz geht von rechtlichen Anforderungen, wie sie z. B. der Datenschutz-Grundverordnung zu entnehmen sind, aus. Bezogen auf den Verarbeitungsstandort im Rahmen der Nutzung von Cloud-Computing-Services könnte es sich u. a. um folgende Anforderung handeln: Auftragsverarbeitungen außerhalb des EWR setzen ein angemessenes Datenschutzniveau im Empfängerland voraus (Art. 44 ff. DSGVO). Rechtliche Anforderungen dieser Art sind jedoch nicht spezifisch genug, um konkrete Vorgaben für eine automatisierte Kontrolle ihrer Erfüllung zu machen. Dementsprechend müssen die rechtlichen Anforderungen in Maßnahmen übersetzt werden. Für die oben genannte Anforderung könnte eine dieser Maßnahmen wie folgt lauten: Eine Datenverarbeitung außerhalb des EWR sowie der Schweiz, Kanadas, Israels, Japans, Jerseys, der Isle of Man, Guernseys, Argentiniens und außerhalb von Unternehmen, welche durch Standard-Datenschutzklauseln oder Binding Corporate Rules ein angemessenes Datenschutzniveau herstellen, muss unterbunden werden. 2.

Bottom-up-Ansatz

Parallel zum o. g. Top-down-Ansatz ist der Bottom-up-Ansatz erforderlich. Dieser Ansatz dient dazu, für jede Metrik geeignete Datenquellen zu finden, auf deren Basis Indikatoren gebildet werden können. Dieser Ansatz basiert auf der Annahme, erst mit dem Ausfindigmachen möglicher Messdaten die Frage klären zu können, ob eine Metrik tatsächlich auswertbar ist, technisch verfügbar ist, sich

Teilautomatisierte Zertifikatlösung

51

funktional eignet und auf Akzeptanz stößt. Letzteres bezieht sich primär auf notwendige Eingriffe in die Cloud-Computing-Systeme, die Vertrauenswürdigkeit der erhobenen und auszuwertenden Daten sowie den Implementierungsaufwand. Als Messdaten können sich u. a. folgende Daten eignen: -

IP-Adressen,

-

Paketlaufzeiten und -routen,

-

Gateway- bzw. Proxy-Parameter.

Die Messdaten eignen sich wiederum dafür, aus ihnen bestimmte Eigenschaften des jeweiligen Untersuchungsgegenstands abzuleiten – im hier verwendeten Beispiel die Rechtmäßigkeit des Verarbeitungsstandorts. Diese Eigenschaften werden als Indikatoren bezeichnet, aus welchen schließlich die eigentliche Metrik berechnet wird. Für eine Metrik zum Verarbeitungsstandort erscheinen z. B. Indikatoren für einzelne Länder, Unternehmen und Standorte sinnvoll. Ein einfaches Beispiel für einen Indikator könnte z. B. Folgendes sein: Per „Reverse DNS Lookup“ kann aus einer gemessenen IP-Adresse der Hostname einer Netzwerkdienstinstanz eines Cloud-Computing-Anbieters ermittelt werden und sodann als Indikator für die globale Region bzw. das Standortland dienen. Sofern in der Region nur ein Rechenzentrum des Cloud-Computing-Anbieters liegt, kann der Hostname sogar als Indikator für den genauen Standort dieses Rechenzentrums genutzt werden. 3. Standortmetrik Wurden eine oder mehrere automatisiert auswertbare Datenschutzmetriken unter den vorher beschriebenen Ansätzen entwickelt, so bietet es sich an, diese Metriken mit einem einheitlichen Schema, dem sogenannten Metrikensteckbrief, zu beschreiben. Ein solcher Metrikensteckbrief sollte mindestens die in der nachfolgenden Abbildung genannten Angaben99 enthalten, die eine exemplarische Datenschutzmetrik für die Messung zulässiger Verarbeitungsstandorte abbildet.100

99

Luhn, Rahmenwerk für Metriken, S. 13 f..

100

Luhn, Rahmenwerk für Metriken, S. 13; angewendet auf die Messung des Verarbeitungsstandorts: Faltin/Luhn/Palige/Selzer, Standortbestimmung, S. 13 f.; Jäger/Selzer/Waldmann, DuD 2015, S. 27.

52

Kapitel 3: Datenschutzkontrollen im Cloud-Computing-Umfeld

Bezeichnung

Erläuterung

Metrikenname

Zulässigkeit der Verarbeitungsstandorte

Beschreibung

Die Metrik misst die Zulässigkeit der in einem festgelegten Prüfzeitraum festgestellten   Verarbeitungsstandorte.

Zielgruppe

Management, Datenschutzbeauftragte, Rechtsabteilung, IT‐Abteilung, Revisionsabteilung,  Compliance Manager.

Relevanz in Phase  der Cloud‐ Nutzung 

• • •

Messhäufigkeit

5‐minütig bis stündlich, angemessenes Intervall kann flexibel festgelegt werden. 

Formel

n Zulässigkeit der Verarbeitungsstandorte:                      

Vor der Nutzung im Rahmen der Pflicht zur AV‐Erstkontrolle Während der Nutzung im Rahmen regelmäßiger AV‐Kontrollen Nach der Nutzung für ggfs. vorhandene Backups sowie für Daten, deren Löschung die Pflicht  zur Sperrung im Wege steht.

Σ 𝑖=1

Angemessen: Nicht angemessen:  Verdacht:  Schwellwerte

• • •

Zielwert

Angemessen bzw. 1

𝛼𝑖 n

αi = 1  αi = 0  αi = 0,5 

Angemessen: 1 (keine Indikatoren für Verletzung der Anforderung gefunden)  Verdacht: >0,5