Bereits ca. 400 Jahre vor Christus war die Privatsphäre ein schützenswertes Gut, wie man an einem Ausschnitt des hippokratischen Eids eindeutig erkennen kann.
„Was auch immer ich bei der Behandlung oder auch unabhängig von der Behandlung im Leben der Menschen sehe oder höre, werde ich, soweit es niemals nach außen verbreitet werden darf, verschweigen, in der Überzeugung, daß derartige Dinge unaussprechbar sind“ (Hippokrates, 1994, S. 53-55).
Die Geschichte des Datenschutzes begann Anfang der 1960er Jahre in den USA (Witt, 2010, S. 4). Der damalige Präsident der Vereinigten Staaten, John F. Kennedy, strebte zu dieser Zeit danach, eine IT-gestützte Datenbank erstellen zu lassen, in der alle amerikanischen Staatsbürger erfasst werden sollten. Diese Datenbank sollte dem Staat als Melderegister (National Data Center) dienen. Dagegen formierten sich jedoch massive Proteste, da eine solche Datenbank von der Bevölkerung als schwerer Eingriff in ihre Privatsphäre wahrgenommen wurde. Am Ende konnten sich die protestierenden Bürger durchsetzen und diese Datenbank wurde nicht erstellt.
Die Geschehnisse in den USA waren der Anfang einer weltweiten Debatte über den Datenschutz, die schnell auch in anderen Ländern das Verlangen nach Regelung weckte. In der Bundesrepublik Deutschland reagierte Hessen mit einem Gesetz, das den Begriff Datenschutz in der deutschen Rechtssprache beschreibt. Es trat bereits 1970 in Kraft und ist somit nicht nur das erste formelle Datenschutzgesetz Deutschlands, sondern das erste Datenschutzgesetz der Welt (Der Hessische Datenschutzbeauftragte, 2007). Nach seinem Vorbild wurden bis 1981 in allen anderen Bundesländern ähnliche Landesdatenschutzgesetze erlassen.
Heutzutage sind die Anforderungen an den Schutz der Privatsphäre mit den zunehmenden technologischen Mitteln zur Datenverarbeitung jedoch stark angestiegen. In Tabelle 3-1 werden exemplarisch neu gewonnene Möglichkeiten und Gefahren dieses technischen Fortschritts aufgezeigt.
Tab. 3‑1: Moderne Datenverarbeitung: Möglichkeiten und Gefahren in Anlehunung an (Felixberger, 2012)
Der Datenschutz spielt auch bei einem so globalen Thema wie Cloud Computing eine wichtige Rolle, da häufig ein ständiger Datenaustausch zwischen verschiedenen Beteiligten und verschiedenen Ländern geschieht. Besonders mit der zunehmenden personenbezogenen Datenverarbeitung taucht oft die Frage nach dem gegebenen rechtlichen Rahmen auf.
Diese Frage kann jedoch nicht ohne weiteres beantwortet werden, denn meistens sieht man sich beim Cloud Computing mit einer sehr geringen Transparenz konfrontiert. So wird zum Beispiel in den Standardverträgen häufig nicht einmal der Ort der Datenverarbeitung angegeben (Kaur & Kaushal, 2011, S. 106). Dies kann sich insofern als sehr problematisch erweisen, da immer die Gesetze und Regelungen des Staates gelten, in dem die Daten verarbeitet werden. Bislang gibt es nämlich keine einheitlichen, international gültigen Datenschutzregelungen. So soll im Folgenden ein Überblick über die zentralen Begriffe, den rechtlichen Rahmen und die Anwendbarkeit des Rechts beim Datenschutz gegeben werden.
Datenschutz wurde als Begriff nicht allumfassend definiert. Je nach Sichtweise kann er also für etwas anderes stehen. Das Gabler Wirtschaftslexikon definiert Datenschutz wie folgt:
„Sammelbegriff über die in verschiedenen Gesetzen zum Schutz des Individuums angeordneten Rechtsnormen, die erreichen sollen, dass seine Privatsphäre in einer zunehmend automatisierten und computerisierten Welt („Der gläserene Mensch“) vor unberechtigten Zugriffen von außen (Staat, andere Private) geschützt wird“ (Wichert, Siepermann, Lackes, Krumme, & Berwanger, 2009).
Diese Beschreibung soll als ein erster Erklärungsansatz dienen, der keiner nationalen gesetzlichen Grundlage entspringt.
Eine ausführliche Behandlung aller Länder mit ihren unterschiedlichen Gesetzen und Regelungen kann hier leider nicht geschehen, da dies den Umfang dieser Arbeit deutlich überschreiten würde. Mit Blick auf die spätere Analyse der CSP soll exemplarisch die jeweilige rechtliche Situationen Deutschlands, der Europäischen Union (EU) und den Vereinigten Staaten von Amerika dargestellt werden.
Die Artikel 1 Abs. 1 und Artikel 2 Abs. 1 des Grundgesetzes, das der Bundesrepublik Deutschland seine verfassungsrechtliche Grundlage gibt, gewährleisten das sogenannte „allgemeine Persönlichkeitsrecht“. Das „Volkszählungsurteil“ des Bundesverfassungsgerichts vom 15. Dezember 1983 folgert daraus für jeden Bürger das „Recht auf informationelle Selbstbestimmung“ als abgeleitetes Grundrecht:
„Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen“ (Volkszählungsurteil, 1983).
Als Begründung führte das Gericht weiter an:
„Wer nicht mit hinreichender Sicherheit überschauen kann, welche ihn betreffenden Informationen in bestimmen Bereichen seiner sozialen Umwelt bekannt sind, und wer das Wissen möglicher Kommunikationspartner nicht einigermaßen abzuschätzen vermag, kann in seiner Freiheit wesentlich gehemmt werden, aus eigener Selbstbestimmung zu planen oder zu entscheiden“ (Volkszählungsurteil, 1983).
Auch organisatorische und verfahrensrechtliche Kontrollvorkehrungen (zum Beispiel ein betrieblicher Datenschutzbeauftragter) sind notwendig, um das Selbstbestimmungsrecht zu gewährleisten.
3.2.1.1 Datenschutzgesetzgebung
Heutzutage gibt es besonders in Deutschland eine Vielzahl von Gesetzen, die den Datenschutz regeln sollen. Abbildung 3-1 gibt einen Überblick über die verschiedenen Gesetzgebungen (schwarz) und die für sie zuständigen Organe (rot).
Abb. 3‑1: Datenschutzgesetzgebung in Deutschland in Anlehnung an (Felixberger, 2012)
3.2.1.2 Anwendbarkeit des nationalen Datenschutzrechts (BDSG)
Auf Ebene des Bundes sind insbesondere Vorschriften des Bundesdatenschutzgesetzes (BDSG) zu beachten. Deshalb wird in diesem Kapitel immer wieder auf die Gesetze im BDSG verwiesen, um aufzuzeigen, welche Besonderheiten beim Cloud Computing zu berücksichtigen sind.
Der Zweck des BDSG ist es, das Recht des Einzelnen auf informationelle Selbstbestimmung zu wahren. In Deutschland fallen nur personenbezogene Daten in den Anwendungsbereich des BDSG (Bundesdatenschutzgesetzt, §1 Abs. 1), die laut Gesetzestext wie folgt definiert sind:
„Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)“ (Bundesdatenschutzgesetz, §3 Abs.1).
Es kann sich hier beispielsweise um Angaben zu Kunden, Lieferanten, sonstigen Geschäftspartnern oder auch zu Personen handeln, die mit dem Cloud-Nutzer in keinem spezifischen Verhältnis stehen (Weichert, 2010, S. 3 f.).
Keine Anwendung findet das BDSG bei Daten über juristische Personen oder Personengesellschaften (z.B. BGB-Gesellschaft, OHG, KG). Grundsätzlich unterscheidet man zwischen juristischen Personen des Privatrechts (z.B. rechtsfähige Vereine, Genossenschaften) und juristischen Personen des öffentlichen Rechts (z.B. Gemeinden, Berufsgenossenschaften). Hierbei gibt es jedoch auch Ausnahmen. Ein Beispiel hierfür ist, wenn eine juristische Person faktisch einer Einzelperson zugeordnet werden kann, so wie es bei einer Ein-Mann-GmbH der Fall ist (Witt, 2010, S. 8).
Werden nun personenbezogene Daten in eine externe Cloud übertragen, so ist weiter zu prüfen, ob es sich um eine Funktionsübertragung oder nach § 11 BDSG um eine Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag (Auftragsdatenverarbeitung) handelt. Diese beiden Rechtsbegriffe sind voneinander differenziert zu betrachten, denn sie haben eine unterschiedliche rechtliche Konsequenz zur Folge.
Beim Cloud Computing handelt es sich üblicherweise um eine Auftragsdatenverarbeitung. Hierbei ist der Cloud-Nutzer der einzige, der über die Art und Weise der Datenverarbeitung bestimmen darf. Wie der Begriff schon suggeriert, handelt ein Auftragnehmer lediglich im Auftrag eines...