Home
Intern
veröffentlicht am 2. November 2017
Datenverarbeitung ist Vertrauenssache. Das gilt umso mehr, da Nachrichten über Datenvorfälle in Unternehmen nicht abreißen – sei es, dass Unternehmensdaten verloren gehen oder dass Kundendaten preisgegeben werden. Daher ist es wichtig, neben der sicheren eigenen Datenverarbeitung die Vertragspartner, denen Daten zur weiteren Verarbeitung anvertraut werden, sorgfältig auszuwählen und einzusetzen.
Sofern nicht lediglich Unternehmensdaten, sondern auch personenbezogene Daten betroffen sind, ist das auch verpflichtend. Die deutschen und europäischen Datenschutzgesetze gestatten eine Auslagerung personenbezogener Datenverarbeitung an Dritte nur unter folgender Bedingung: Der Auslagernde wählt den Auftragnehmer sorgfältig aus, gibt ihm die Art und Weise der Verarbeitung vor und überwacht ihn.
Beim Cloud-Computing sind dabei zunächst die datenschutzrechtlichen Anforderungen an die Auftragsverarbeitung zu beachten, insbesondere der Abschluss eines Auftragsverarbeitungsvertrages. Dabei verweisen die Cloud-Vereinbarungen mit Microsoft (Bestimmungen für Onlinedienste, Online Service Terms) bereits auf die Regelungen der Datenschutzgrundverordnung (DSGVO), die am 25. Mai 2018 auch für die Vertragsverhältnisse zwischen Microsoft und den jeweiligen Kunden gilt.
Zudem ist insbesondere bei Cloud-Computing zu beachten: Ein Transfer personenbezogener Daten über Ländergrenzen bedarf dann besonderer Garantien, wenn er in Ländern mit einem geringeren datenschutzrechtlichen Schutzniveau erfolgt, worunter auch die USA fallen. Ein solcher Export kann etwa dadurch entstehen, dass die Daten nicht fest in einem lokalen Rechenzentrum verbleiben, sondern immer in Bewegung sind. Das mit dem Ziel, weltweite verteilte Rechenzentren eines Anbieters entsprechend der jeweiligen Inanspruchnahme auszulasten sowie die Zugriffszeiten auf die Daten zu verringern. Um das Risiko zu reduzieren, sind globale Anbieter von Cloud-Diensten dazu übergegangen, ihren Vertragspartnern mit Zusatzvereinbarungen zumindest bestimmte Regionen anzubieten, in deren Rechenzentren die eingebrachten Daten verbleiben.
Ein derzeit noch anhängiges Verfahren zeigt ein Risiko, nach dem amerikanische Unternehmen dennoch dazu gezwungen werden könnten, Daten aus ihrem Zugriffsbereich über Ländergrenzen hinweg in die USA zu transferieren. In dem sog. Microsoft-Irland-Fall wurde Microsoft von einem amerikanischen Bezirksgericht verpflichtet, bestimmte in einem eigenen irischen Rechenzentrum gespeicherte personenbezogene Daten in den USA herauszugeben. Das wurde damit begründet, dass die Verpflichtung eines dem US-Recht unterfallenden Unternehmens zur Herausgabe von Daten unabhängig davon bestehen müsse, wo genau die Daten physisch gespeichert sind. Die Berufung von Microsoft gegen die Entscheidung war zwar mit der Begründung erfolgreich, dass das amerikanische Recht – sofern nicht anders beabsichtigt – nur innerhalb der USA anwendbar ist. Die dagegen gerichtete Beschwerde wurde auch – allerdings bei Stimmengleichstand – abgewiesen. Nunmehr liegt der Rechtsstreit seit Juni 2017 dem US Supreme Court zur Entscheidung vor, ist also noch immer nicht abschließend entschieden.
Gegenüber Microsoft sagt T-Systems zu, einen Zugriff lediglich unter den genannten Voraussetzungen zu ermöglichen. Ein Anspruch von Microsoft auf einen Zugriff auf Kundendaten besteht daher nicht.
Nach der Konstruktion ist Microsoft weder technisch noch rechtlich in der Lage, auf die in den Bereich der Daten-Treuhand fallenden Kundendaten allein zuzugreifen. Aufforderungen amerikanischer Behörden oder Gerichte zur Übertragung von Kundendaten sollten damit ins Leere laufen.
T-Systems International GmbH muss als deutsches Unternehmen lediglich die Treuhandvereinbarungen mit dem Kunden sowie die deutschen Gesetze befolgen. Damit braucht T-Systems auf Anfragen ausländischer Behörden nur bei Rechtshilfeersuchen zu reagieren, die erst nach einer Prüfung durch deutsche Behörden an T-Systems herangetragen werden.
Das Modell stellt damit sicher, dass die Kundendaten innerhalb von Europa gespeichert werden und ein Zugriff nur nach deutschen Gesetzen möglich ist.
Weltweit agierende Unternehmen sind daran interessiert, ihr Geschäft dauerhaft zu betreiben und daher an den Orten ihrer Tätigkeit die rechtlichen Regelungen einzuhalten. Im Fall von Microsoft ist das an den Lizenzbedingungen ersichtlich, die bereits mehr als 6 Monate vor Geltung der DSGVO auf deren Anforderungen eingehen. Zudem bietet Microsoft mit der „deutschen Cloud” die Möglichkeit, Daten physisch innerhalb der EU zu halten und durch die Einschaltung eines europäischen Datentreuhänders dem Zugriff durch Weisungen außereuropäischer Behörden und Gerichte zu entziehen. Daher ist davon auszugehen, dass Microsoft auf sich weiter ändernde rechtliche Bedingungen auch künftig angemessen reagieren wird.
Alexander von Chrzanowski
Rechtsanwalt, Fachanwalt für IT-Recht und Arbeitsrecht
Associate Partner
Anfrage senden
Profil