C

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | UVW | XYZ

 

Cloud Computing

Cloud Computing ist im Unternehmensumfeld weit verbreitet (z.B. Office-Lösungen wie Google Apps for Work oder Microsoft Office 365; CRM-Lösungen wie Salesforce; Infrastruktur-Lösungen wie Amazon S3 und E2C; diverse ERP-Systeme). Da die Nutzdaten nicht lokal, sondern in der IT des Anbieters gespeichert und verarbeitet werden, sind datenschutzrechtlich dieselben Anforderungen zu beachten wie bei jeder anderen Art von Auftragsdatenverarbeitung. Eine Vereinbarung nach § 11 BDSG (und ggf. ergänzende Vereinbarungen für Datentransfers außerhalb des EWR) ist damit Grundvoraussetzung für eine datenschutzrechtliche zulässige Nutzung von Cloud-Diensten in Deutschland.

Problematisch ist in der Praxis jedoch, dass viele Anbieter auf das deutsche Datenschutzrecht nur unzureichend eingestellt sind. Die erforderlichen Vereinbarungen müssen dann ggf. erst mühsam individuell verhandelt werden. Cloudtypische Datenschutzprobleme ergeben sich ferner daraus, dass Anbieter mit weltweit verteilten Rechenzentren und Subdienstleistern teilweise gar keine Auskunft geben können, wo Daten überaupt verarbeitet werden – eine effektive Kontrolle über die Daten scheint dann ausgeschlossen. Die deutschen Aufsichtsbehörden äußern zudem häufig die Sorge, dass insbesondere US-amerikanische Anbieter den Zugriff von Sicherheitsbehörden auf die Cloud-Daten nicht verhindern können.

Cookies

Cookies sind (in ihrer einfachsten Form) kleine Dateien, die von einer Website mittels des Browsers auf dem Rechner des Nutzers abgelegt werden. Nach dem Telemediengesetz müssen die Anbieter von Websites darauf hinweisen, wenn sie mittels Cookies personenbezogene Daten verarbeiten (oder wenn durch den Einsatz von Cookies eine spätere personenbezogene Verarbeitung ermöglicht wird, z.B. falls der Nutzer sich später registriert). Ferner muss geprüft werden, ob die Verarbeitung von einer gesetzlichen Erlaubnis nach §§ 12 und 15 Telemediengesetz gedeckt ist oder einer Einwilligung der Nutzer bedarf. Bei der Erstellung von sog. pseudonymen Nutzungsprofilen, für die Cookies häufig genutzt werden (s. Tracking), muss eine Widerspruchsmöglichkeit bereitgestellt werden (§ 15 Abs. 3 TMG).

Inwieweit sich darüber hinaus aus der sog. „Cookie-Richtlinie“ der EU weitergehende Anforderungen ergeben (auch für Cookies ganz ohne Personenbezug), ist umstritten und bisher nicht verbindlich geklärt.

Cookie-Richtlinie

Die als „Cookie-Richtlinie“ bekannt gewordene Richtlinie 2009/136/EG (PDF) hat die für den Datenschutz im Bereich der elektronischen Kommunikation geltende „ePrivacy“-Richtlinie 2002/58/EG (PDF) zum Teil geändert. Nach der Neufassung von Art. 5 Abs. 3 der ePrivacy-Richtlinie müssen die EU-Mitgliedstaaten Gesetze erlassen, welche Telemedienanbieter verpflichten, in den Endgeräten von Nutzern nur dann Informationen zu speichern oder auf solche Informationen zuzugreifen, wenn die Nutzer zuvor transparent darüber informiert worden sind und eingewilligt haben. Dies wird zum Teil so verstanden, dass für sämtliche Cookies nun vorab ein „Opt-In“ einzuholen ist. Inwieweit die Cookie-Richtlinie dies im Ergebnis tatsächlich verlangt, ist allerdings umstritten.

Ungeklärt ist u.a., ob die Richtlinie auch Cookies erfasst, die keine personenbezogene Daten enthalten und ob „Einwilligung“ zwingend ein Opt-In bedeutet oder z.B. auch über Browser-Einstellungen stattfinden kann. Von diesen Fragen hängt es ab, ob das deutsche Recht aufgrund der Cookie-Richtlinie geändert werden muss oder ob das TMG bereits hinreichende Anforderungen für den Einsatz von Cookies enthält. Auf dem letztgenannten Standpunkt – kein Umsetzungsbedarf – steht offiziell auch die Bundesregierung; die EU-Kommission hat sich dem angeschlossen.

Hingegen haben die Datenschutzbeauftragten des Bundes und der Länder wiederholt – zuletzt in einer Entschließung vom 05.02.2015 – betont, dass nach ihrer Auffassung die Cookie-Richtlinie im TMG nicht hinreichend umgesetzt sei. Sofern eine mangelnde Umsetzung vorliegt (die Umsetzungsfrist lief im Mai 2011 ab), würde sich schließlich die Frage stellen, ob die Richtlinie in Deutschland nun unmittelbar anwendbar ist (dahin hatte sich z.B. Peter Schaar geäußert). Dann könnten die Aufsichtsbehörden Opt-Ins fordern und theoretisch sogar mit Bußgeldern durchsetzen.

Im Ergebnis sollten deutsche Websites, wenn sie nicht zur Risikovermeidung proaktiv ein generelles Cookie-Opt-In einführen, das TMG nach der bisherigen Auslegung beachten und im Übrigen die weitere Rechtsentwicklung abwarten.