Im Gespräch mit Rechtsanwalt Oliver Süme

Wie sind regionale Cloud-Angebote aus recht­licher Sicht zu beurteilen? com! professional spricht darüber mit Oliver Süme, Rechtsanwalt für Internet- und IT-Recht bei Fieldfisher sowie Vorstandsvorsitzender beim eco-Verband.

com! professional: Herr Süme, große Cloud-Anbieter stellen Lösungen bereit, bei denen Kundendaten ausschließlich in Deutschland oder Europa gehostet werden. Bin ich damit bezüglich des Datenschutzes auf der sicheren Seite?

Oliver Süme: Aus datenschutzrechtlicher Sicht ist es zunächst gar nicht zwingend, dass personenbezogene Daten ausschließlich in Deutschland oder Europa gehostet werden. Die DSGVO sieht – wie auch das aktuelle Datenschutzrecht – durchaus Rechtsgrundlagen für den Datentransfer in sogenannte Drittstaaten vor, etwa wenn die von der Europäischen Kommission eigens dafür gedachten Standardvertragsklauseln verwendet werden. Aber unabhängig davon, ob die Daten innerhalb oder außerhalb der EU gehostet werden, sollte den Unternehmen klar sein, dass damit allein noch nicht die Anforderungen der DSGVO erfüllt sind. Die sind deutlich komplexer.

com! professional: Und welche Anforderungen sind das?

Süme: Im Hinblick auf Cloud-Service- und Hosting-Verträge müssen insbesondere die Vorgaben zur sogenannten Auftragsdatenverarbeitung umgesetzt werden, die es ähnlich bereits vor Inkrafttreten der DSGVO gab. Neu ist allerdings, dass auch den Provider datenschutzrechtliche Verpflichtungen und vor allem Haftungsrisiken treffen, die nach altem Recht nur für die Kunden als Auftraggeber vorgesehen waren.

com! professional: Kommen wir noch einmal auf die Angebote von Amazon & Co. zu sprechen. Wenn es sich um US-amerikanische Firmen handelt – muss ich damit rechnen, dass US-Behörden irgendwann Zugang zu den deutschen Rechenzentren verlangen?

Süme: Diese Frage ist im Moment Gegenstand eines spannenden Verfahrens vor dem Obersten Gerichtshof der USA. Die US-Regierung will genau dieses Recht durchsetzen und zukünftig auch auf Grundlage einer Anordnung von US-Gerichten auf Nutzerdaten in der Cloud zugreifen und zwar auch dann, wenn die Server in der EU stehen. Demgegenüber ist dies aktuell nur über Rechtshilfeabkommen möglich, bei denen die Entscheidung über einen solchen Zugriff durch ein lokales Gericht erfolgt. Sollte der Oberste Gerichtshof dem Ansinnen der US-Regierung nachgeben, wäre damit eine fundamentale Schwächung des europäischen Datenschutzrechts verbunden.

com! professional: Die großen Anbieter ermöglichen nur sogenannte Boilerplate-Verträge. So habe ich keine Möglichkeit, mich zusätzlich abzusichern, etwa mit erweiterten Schadensersatzansprüchen, wenn meine Daten doch außerhalb Europas landen. Sollte man besser die Finger von Standardverträgen lassen?

Süme: Nein, das kann man so pauschal keinesfalls sagen. Auch kleinere Anbieter nutzen in der Regel ihre Standardverträge. Der Verhandlungsspielraum ist da insgesamt sicher größer, aber die Regelungen zu Haftung und Schadensersatz sind immer ein kritischer Punkt, bei dem generell vergleichsweise wenig Verhandlungsspielraum besteht.

Für große wie für kleine Anbieter gilt mit Blick auf die DSGVO jedenfalls, dass diverse Vertragsanpassungen erforderlich sind, im eigenen Interesse wie im Kundeninteresse. Viele Anbieter haben aufgrund des erheblichen Haftungsrisikos sehr rechtzeitig mit der Umsetzung der DSGVO begonnen. Insgesamt ist der Cloud-Markt da nach meiner Einschätzung gut aufgestellt.

com! professional: Was halten Sie eigentlich von Microsofts Cloud-Angebot für deutsche Unternehmen, bei dem die Telekom-Tochter T-Systems quasi als Datentreuhänder das Rechenzentrum betreibt?

Süme: Das ist auf jeden Fall ein interessantes Modell, vor allem im Hinblick auf das bereits angesprochene Gerichtsverfahren vor dem Obersten US-Gerichtshof, das sicher ein Treiber für diese Entscheidung bei Microsoft war.

Für den Fall, dass der Europäische Gerichtshof die Standardvertragsklauseln der EU Kommission kippen sollte und damit dem Datentransfer in Drittstaaten diese Rechtsgrundlage entzieht, ist generell die Datenspeicherung innerhalb der Europä­ischen Union eine Option, auch ohne einen Treuhänder. Aber auch hier gilt, dass die DSGVO deutlich mehr beinhaltet als die Regelungen zum Datentransfer.
Auf der ersten Stufe ist immer entscheidend, dass die Datenverarbeitung selbst eine Rechtsrundlage hat. Wenn die fehlt, weil zum Beispiel erforderliche Einwilligungen nicht eingeholt oder dokumentiert wurden, nützt auch das beste deutsche Rechenzentrum nichts.