Hinweise

2011 September

Cloud Computing aus Datenschützersicht zulässig möglich

 

Viele  Datenschutzaufsichtsbehörden für private Unternehmen sind Landesbeauftragte für den Datenschutz. Sie sind zusammengeschlossen in der „Konferenz der Datenschutzbeauftragten des Bundes und der Länder“, um gewisse einheitliche Entscheidung zu befördern. Selbstverständlich ist auch der Bundesdatenschutzbeauftragte vertreten. Diese Konferenz hat gestern und heute zum 82. Mal getagt. Es ging um folgende Themen:

 

• Vorbeugender Grundrechtsschutz ist Aufgabe der Datenschutzbeauftragten!

 

• Antiterrorgesetze  zehn Jahre nach 9/11 - Überwachung ohne Überblick

 

• Datenschutz als Bildungsaufgabe

 

• Datenschutz bei sozialen Netzwerken jetzt verwirklichen!

 

• Einführung von IPv6 steht bevor: Datenschutz ins Netz einbauen!

 

• Datenschutzkonforme Gestaltung und Nutzung von Cloud-Computing

 

• Anonymes elektronisches Bezahlen muss möglich bleiben!

 

 

Für  Unternehmen ist eine besonders wichtige Entscheidungen hervorzuheben. Sie behandelt das Cloud-Computing. Was verlangt die Konferenz für ein Cloud

I.         Cloud Computing sei danach im Europäischen Wirtschaftsraum zulässig,

 

1.        [Datensicherheitskonzept muss vorliegen]

 wenn der Cloud Anbieter "offene, transparente und detaillierte
Informationen über die technischen, organisatorischen und rechtlichen
Rahmenbedingungen der von ihnen angebotenen Dienstleistungen einschließlich der Sicherheitskonzeption," liefert;

 

2.        [Cloud-Dienst detailliert beschrieben ist und die Funktionsweise damit überprüfbar ist]

 

wenn der Cloud Anbieter "transparente, detaillierte und eindeutige vertragliche
Regelungen der Cloud-gestützten Datenverarbeitung, insbesondere zum Ort der Datenverarbeitung und zur Benachrichtigung über eventuelle Ortswechsel, zur Portabilität und zur Interoperabilität, gibt;

 

3.        [Datensicherheitsmaßnahmen umgesetzt]

 

wenn der  Cloud Anbieter "transparente, detaillierte und eindeutige vertragliche
Regelungen der Cloud-gestützten Datenverarbeitung, insbesondere zum Ort der Datenverarbeitung und zur Benachrichtigung über eventuelle Ortswechsel, zur Portabilität und zur Interoperabilität, gibt;

 

4.        [Datensicherheit kontrolliert durch Prüfung von Nachweisen und Dokumentation der Einschätzung, ob Nachweise  hinreichend sind]



 

wenn der Cloud Anbieter "aktuelle und aussagekräftige Nachweise
(bspw. Zertifikate anerkannter und unabhängiger Prüfungsorganisationen) über
die Infrastruktur, die bei der Auftragserfüllung in Anspruch genommen wird, die
insbesondere die Informationssicherheit, die Portabilität und die Interoperabilität betreffen," vorlegen kann.

 

 

Zu  ergänzen ist, dass diese Voraussetzungen natürlich typischerweise in eine schriftliche Auftragsdatenverarbeitung einfließen müssen. Das und weitere Konkretisierungen finden sich in der "Orientierungshilfe
- Cloud Computing", Stand: 26.9.2011, die ebenfalls von der Konferenz verabschiedet worden ist.

 

 

II.        Cloud Anbieter in Drittstaaten

 

Auch  Drittstaaten-Cloud-Computing ist nach der Entscheidung der Konferenz zulässig. Voraussetzung ist neben den o.g.  Anforderungen (Ziffer I) beispielsweise der Abschluss von  Standardvertragsklauseln. Allerdings, das gelte nicht für Religions- und Gesundheitsdaten (Sonderregelungen im Bundesdatenschutzgesetz) und auch nur, wenn neben den Standardvertragsklauseln auch noch eine – wenn auch verkürzte –
schriftliche Auftragsdatenvereinbarung geschlossen würde.

 

QUELLE: Bayerischer Landesbeauftragter für den Datenschutz

 

FRAGEN SIE UNS

 

 

2011 September - Google Analytics von deutschen Aufsichtsbehörden freigegeben

 

FAZIT: Künftig kann das Webanalyse-Tool "Google Analytics" auch in Deutschland eingesetzt werden, wenn bestimmte - tatsächlich umsetzbare Anforderungen - eingehalten werden.

 

Lange war umstritten, ob das Webanalyse-Tool "Google Analytics" eingesetzt werden kann, ohne gegen Datenschutzvorschriften zu verstoßen. Nach mehreren Verhandlungsrunden hat das Tool-anbietende Unternehmen die Verfahren angepasst. Erfolgreich, so die Hamburger Datenschutzaufsichtsbehörde. Nunmehr dürfe diese Tool auch aus Aufsichtsbehördensicht eingesetzt werden.

 

Diese Freigabe sollte jedoch nicht als Freibrief verstanden werden. Die Entscheidung bedeutet nur, dass das Tool überhaupt eingesetzt werden darf. Jede Verarbeitung von personenbezogenen Daten, zu der auch eine Webanalyse gehören kann, setzt die Einhaltung der konkreten Anforderungen voraus, die das deutsche Datenschutzrecht stellt. Das Neue ist, dass diese Anforderungen nun aus Aufsichtsbehördensicht überhaupt als umsetzbar gelten. Für die datenschutzkonforme Umsetzung im Einzelfall hat das anwendende Unternehmen selbst zu sorgen. Zu beachten ist insbesondere:

 

1.         Die Datenschutzerklärung hat auf das Deaktivierungs-Add-On (http://tools.google.com/dlpage/gaoptout?hl=de) - und damit die Widerspruchsmöglichkeit - hinzuweisen, dass nun für jeden gängigen Browser verfügbar sein soll.

 

2.         Das Tool muss so konfiguriert sein, dass das letzte Oktett der IP-Adresse vor jeglicher Speicherung gelöscht wird (so jedenfalls die Aufsichtsbehörde Hamburg) und zwar innerhalb der Grenzen des Europäischen Wirtschaftsraums (Einbindung des Anonymisierungscodes auf der Website).

 

3.         Die schriftliche Vereinbarung mit dem Anbieter über den Einsatz muss die Vorgaben an einen Vertrag über eine Auftragsdatenverarbeitung (§ 11
Bundesdatenschutzgesetz) erfüllen (dazu die Aufsicht Hamburg: „Dabei ist zu
beachten, dass Sie trotz des vorformulierten [und mit den Datenschutzaufsichtsbehörden abgestimmten] Vertragstextes formal Auftraggeber sind und Google in Bezug auf die Verarbeitung personenbezogener Daten lediglich entsprechend Ihrer Weisungen handelt. Die Verarbeitung personenbezogener Daten im Auftrag schließt bestimmte Kontrollpflichten auf Ihrer Seite ein, bei denen Google Sie durch Vorlage entsprechender Nachweise unterstützt.).

 

Eine etwas detaillierte Erläuterung der Aufsicht finden Sie hier.

 

ACHTUNG:  Es wird mitgeteilt, dass bestehende Datenerhebungen (vor Umsetzung der aufsichtsbehördlichen Anforderungen) rechtswidrig und durch Aufgabe des bestehenden Analyseprofils zu löschen seien.

 

VORBEHALT:  Als Vorbehalt machen die Aufsichtsbehörden darauf aufmerksam, dass sich aus der Umsetzung der 2009 novellierten ePrivacy-Richtlinie der EU und der Einführung von IPv6 neue Anforderungen ergeben könnten. Die Richtlinie ist jedoch noch nicht in deutsches Recht umgesetzt.

 

KONTROLLE:  Die Berliner Datenschutzaufsicht hat angekündigt, nach einer Karenzzeit von drei Monaten die datenschutzkonforme Umsetzung im Einzelfall bei einzelnen Unternehmen stichprobenartig zu kontrollieren.

 

BEMERKENSWERT ist, dass sich die Aufsichtsbehörden Hamburg und Berlin – trotz bestehender Verbesserungswünsche an den Anbieter - eindeutig mit dieser Freigabe geäußert haben.

 

Fragen Sie uns.

2011 August - Cloud Computing

Wer die Vorteile von Dienstleistern nutzt, die personenbezogene Daten verwalten, kennt die datenschutzrechtliche Notwendigkeit, vertragliche Regelungen dafür zu schaffen. Häufig geschieht dies in Gestalt von "Auftragsdatenverarbeitungsverträgen" nach § 11 Bundesdatenschutzgesetz
(Art. 16, 17 Absatz 2/3 EU-Datenschutzrichtlinie). Über weitere Empfänger der
Daten ist zu informieren, in der Vereinbarung selbst und insbesondere auch bei Auskunftsanfragen.

 

Dazu gehören auch die Weitergaben an Behörden, die nicht auf der Basis deutschen Rechts handeln. Die beauftragten Cloudanbieter unterliegen zunächst dem Recht ihres Sitzstaates. Weitergaben an Behörden können sie sich gegebenenfalls nicht verweigern. Werden also Business Function Provider (SaaS-Leistungen), Utility Provider (IaaS-Leistungen) oder Plattform-Dienstleister (PaaS-Leistungen) wie Salesforce, Google, Microsoft, Amazon und Fujitsu - um nur einige Große zu nennen - genutzt, muss der Auftraggeber mit dieser Anforderung nach deutschem Recht umgehen. Auch hat er zu beachten, dass in der Cloud auch Geschäfts- und Betriebsgeheimnisse vom ihm liegen.

 

Besonders deutlich sind diese Risiken kürzlich für Dienstleister dargestellt worden, die ihren Sitz in den USA haben.

 

"... any data housed, stored or processed by a company that is US based or is wholly owned by a US company would have to be made available for inspection by US authorities under the Patriot Act.” [so Microsoft über seinen eigenen Dienst]

 

Es ist dem US-Dienstleister gegebenenfalls durch eine Anweisung nach lokalem Recht verwehrt, den Kunden über die Weitergabe zu informieren.

 

"... we will use commercially reasonable efforts to notify those customers in
advance, unless we are legally prohibited from doing so.” [ebenfalls Microsoft]

 

Hier gilt es, datenschutzkonforme Lösungen zu entwickeln.

2011 März

Der Kreis Hamburger Datenschützer (u.a. Datenschutzbeauftragte von Unilever, Verlagsgruppe Bauer) hat zum Thema „E-Marketing und Datenschutz" in 2011 einen Neuauflage des sehr umfangreichen und zugleich nützlichen Praxisratgebers erstellt. Die CD richtet sich in erster Linie an Marketing-Verantwortliche und natürlich auch an Datenschutzbeauftragte, die mit dem Spezialthema beschäftigt sind. Bestellformular und Besprechung.

2011 Januar

Stellungnahme der Data Protection & Data Security-Group von Guide Share Europe zum Whitepaper der EU-Kommission zur Reform des Datenschutzes in Europa