Das Auslagern von Datenspeichern und Rechenkapazitäten auf die Server eines Diensteanbieters bietet wirtschaftliche Vorteile. Nach dem Hochladen der Dateien in die „Cloud“ müssen sie nicht mehr lokal verwaltet und gesichert werden und sind potenziell weltweit abrufbar. Die Abgabe der Daten aus dem Herrschaftsbereich des Besitzers provoziert zahlreiche, bislang zum Teil ungeklärte haftungsrechtliche und datenschutzrechtliche Problemstellungen. Die grundlegendste Frage ist die, welches nationale Datenschutzrecht denn überhaupt auf einen Sachverhalt im Zusammenhang mit dem Cloud Computing anwendbar ist, wenn ein Unternehmen in einem anderen Staat ansässig ist.
Werden Daten in Deutschland durch eine verantwortliche Stelle, die in einem anderen Mitgliedsstaat der Europäischen Union ihren Sitz hat, erhoben, verarbeitet oder genutzt, so bestimmt § 1 Abs. 5 S. 1 des Bundesdatenschutzgesetzes, dass das deutsche Datenschutzrecht keine Anwendung findet. Erhebt und speichert beispielsweise ein Unternehmen mit Sitz in Luxemburg Daten in Deutschland, so ist belgisches Datenschutzrecht einschlägig. Der Hintergedanke dabei ist, dass angenommen wird, dass alle Mitgliedsstaaten ein hohes Datenschutzniveau haben und es europäischen Unternehmen leicht gemacht werden soll, in anderen Mitgliedsstaaten tätig zu werden, ohne alle datenschutzrechtlichen Vorschriften kennen zu müssen.
Hat ein europäisches Unternehmen dagegen eine Niederlassung in Deutschland, so gilt das deutsche Datenschutzrecht auch gegenüber diesem Unternehmen, sofern die Erhebung, Verarbeitung oder Speicherung durch eine Niederlassung in der Bundesrepublik erfolgt. Beim Cloud Computing interessiert dabei die Frage, ob ein Rechenzentrum im Inland, auf dem Daten verwaltet werden und auf dem Anwendungen bereitgestellt werden, bereits als Niederlassung zu qualifizieren ist. Tatsächlich legen Erwägungsgrund 19 der europäischen Datenschutzrichtlinie sowie die deutsche Gewerbeordnung dies nahe, da sie im Wesentlichen lediglich eine feste Einrichtung und eine gewerbliche Tätigkeit voraussetzen. Damit ist deutsches Datenschutzrecht auch dann anwendbar, wenn ein europäisches Unternehmen sich eines Rechenzentrums in Deutschland bedient.
Für außereuropäische Unternehmen, beispielsweise solche in den USA, gilt das Territorialitätsprinzip. Das bedeutet, dass bei einer Datenverarbeitung in Deutschland auch deutsches Recht anwendbar ist. Dabei genügt laut Art. 4 Abs 1 lit. c) der europäischen Datenschutzrichtlinie bereits, dass das Unternehmen auf „Mittel zurückgreift“, die sich im Mitgliedsstaat befinden. Dies lässt den Schluss zu, dass nicht einmal ein Rechenzentrum nötig ist, sondern bereits das Hochladen von Dateien durch den Benutzer aus Deutschland auf einen amerikanischen Server deutsches Datenschutzrecht für anwendbar erklärt.
Bedeutung für die Praxis: Cloud Computing birgt im Bereich des Datenschutzrechts unzählige juristische Fallstricke. Während die oben genannten Beispiele noch relativ übersichtlich erscheinen, können bei der dynamisch verteilten Speicherung in unterschiedlichen Staaten schier unlösbare rechtliche Probleme auftreten. Dies bringt eine gewisse Rechtsunsicherheit für Betroffene und für Diensteanbieter mit sich.
Link to this page
