Es gibt unterschiedliche Vorschriften, die Umgang mit Daten regeln. Die bekannteste dürfte der Datenschutz sein. Dieser betrifft in Deutschland die personenbezogenen Daten – also Daten, die sich auf eine natürliche Person zurückverfolgen lassen und Merkmal eines Menschen sind. Dazu gehört beispielsweise die Tatsache, dass jemand für das Unternehmen arbeitet oder freiberuflich tätig ist. Andere Beispiele sind der Wohnort, Urlaubsort oder auch Fotos mit den betroffenen Personen. Am Ende zählt jede Information dazu, die sich einem konkreten Menschen zuordnen lässt.

Das Gesetz unterscheidet dabei zwei unterschiedliche Arten von personenbezogenen Daten: die besonderen personenbezogenen Daten und alle anderen. Die besonderen personenbezogenen Daten sind die ethnische Herkunft, alle Gesundheitsdaten, Zugehörigkeit zu einer Gewerkschaft, religiöse Überzeugung und sexuelle Orientierung. Der in Unternehmen immer am einfachsten zu erklärende Anwendungsfall liegt in den Daten der Personalabteilung. Dort ist immer mindestens die religiöse Überzeugung soweit festgehalten, um zu bestimmen, ob Kirchensteuerpflicht besteht oder nicht. Ebenfalls ist die Gewerkschaftszugehörigkeit festgehalten und sind Gesundheitsdaten hinterlegt, die schon bei Krankmeldungen anfallen. Diese Unterscheidung spielt jedoch bei unserer Frage eine große Rolle, denn besondere personenbezogene Daten dürfen Sie nur innerhalb der Europäischen Union speichern und verarbeiten. Wenn also der Speicher in der Cloud nicht in der EU liegt und Sie dort besondere personenbezogene Daten speichern wollen, ist das rechtlich schlicht unzulässig.

Personenbezogene Daten
Sie können natürlich Maßnahmen ergreifen, die Daten so zu anonymisieren oder verschlüsseln, dass es sich nicht mehr um personenbezogene Daten handelt. Wenn niemand mehr die Daten einer natürlichen Person zuordnen kann, weil sie anonymisiert sind, handelt es sich nicht mehr um personenbezogene Daten. Gleiches gilt, wenn Sie die Daten so verschlüsseln, dass wirklich nur Ihr Unternehmen die Daten entschlüsseln kann, von Brute Force-Attacken von Organisationen mit Supercomputern mal abgesehen. Personenbezogene Daten, die keine besonderen personenbezogenen Daten sind, dürfen in der ganzen Welt verarbeitet und gespeichert werden, wenn andere rechtliche Rahmenbedingungen eingehalten werden. Da kommt es auf das jeweilige Land an, in dem die Speicherung erfolgen soll.

Es gibt Länder, denen die Europäische Union bescheinigt, dass ihr Datenschutzniveau dem der EU entspricht. Die Speicherung nicht besonderer personenbezogener Daten ist in diesen Ländern deshalb prinzipiell möglich. Es bedarf allerdings der Betrachtung des Einzelfalls, da die EU in den jeweiligen Beschlüssen teilweise Einschränkungen vorgenommen hat und die Liste der Länder sich von Zeit zu Zeit ändert. Derzeit sind die Vereinigten Staaten übrigens nicht auf dieser Liste vertreten. Datenspeicherung in allen anderen Ländern – also auch den USA – bedarf der besonderen Rechtfertigung und muss rechtlich von Fall zu Fall geprüft werden. Pauschale Antworten gibt es hier nicht und das betrifft auch die oben beschriebenen Personaldaten. Diese können unter Einhaltung bestimmter Vorschriften auch in Länder außerhalb der EU übertragen und gespeichert werden.

Wenn der Anbieter eines Speichers in der Cloud nicht garantieren kann, dass die Speicherung nur in einem oder mehreren von ihm eindeutig benannten Ländern erfolgt, wird die Sache allerdings sehr schwierig. Lassen wir die personenbezogenen Daten hinter uns und kommen zu Daten, die das Interesse der Finanzbehörden erwecken könnten. Diese müssen in Deutschland liegen und zwar physisch und im Zugriff der Finanzbehörden. Eine Speicherung außerhalb Deutschlands ist zulässig, so lange sich das Original in Deutschland befindet.

Einschränkungen für Berufsgeheimnisträger
Nicht außer Acht lassen dürfen wir Einschränkungen, denen Unternehmen und Freiberufler aufgrund rechtlicher Regelungen unterliegen und die ihre Berufsausübung betreffen. So sind beispielsweise Ärzte, Rechtsanwälte, Steuerberater, Mitarbeiter von Kranken-, Unfall- oder Lebensversicherungen und viele andere gehalten, die ihnen beruflich anvertrauten Informationen geheim zu halten. Bei Verstoß dagegen droht ihnen Gefängnis. Diesen Berufsgruppen und Unternehmen ist es nicht möglich, einen Speicher in der Cloud für ihre beruflichen Daten zu nutzen. Jedenfalls keine, die öffentlich angeboten werden.

Etwas anderes stellt da dann möglicherweise der unternehmensinterne Cloud-Speicher dar, was aber im Einzelfall genau zu prüfen ist. Parallel zu den Gesetzen bestehen möglicherweise auch unternehmensinterne Regelungen. Was auch immer sich jemand in Ihrem Unternehmen zum Thema "Ort der Datenspeicherung" ausgedacht und niedergeschrieben hat, ist natürlich zu berücksichtigen. Welche Daten wo gespeichert werden dürfen, kann sich daneben aus Regelungen zur Vertraulichkeit ergeben – sei dies innerhalb Ihres Unternehmens oder auch Regeln, die Sie als Administrator in der öffentlichen Verwaltung oder als vertragliche Verpflichtung gegenüber Dritten beachten müssen. Die öffentliche Hand hat schon seit langem Regelungen zur Vertraulichkeit und privat organisierte Unternehmen haben dies teilweise als Idee übernommen und unternehmensinterne Vertraulichkeitsregelungen geschaffen.

Daneben kann es in Verträgen mit Dritten Bestimmungen zur Vertraulichkeit geben, die eine Datenspeicherung in der Cloud einschränken oder verbieten. Bevor Sie also anfangen, Daten in einem Speicher in der Cloud abzulegen, sollten Sie oder ein anderer Verantwortlicher mindestens die bisher angedeuteten Prüfungen durchgeführt haben. Wir haben die Situation nur aus der Sicht der hiesigen rechtlichen Regelungen betrachtet. Viele Administratoren arbeiten jedoch in oder für Unternehmen, die über mehrere Länder verteilt sind, was die Angelegenheit nicht einfacher macht. Denn dann müssen Sie diese Themen für jedes der betroffenen Länder prüfen.

Zugriffe Dritter
Bisher haben wir die rechtlichen Regelungen betrachtet, die das Speichern von Daten in der Cloud einschränken. Hinzu kommen natürlich noch die Regelungen für den Zugriff Dritter auf gespeicherte Daten. Das betrifft im Grunde auch die Daten, die bei Ihnen im Unternehmen gespeichert sind, und zusätzlich Regelungen, die sich aus den Verträgen der Anbieter des Speichers in der Cloud ergeben. Fangen wir mit Letzteren an. Natürlich müssen Sie, bevor Sie einen externen Dienst verwenden, die Vertragsbedingungen dazu gelesen haben. In unserem Fall bedeutet das, zu prüfen, ob sich nicht etwa der Anbieter des Speichers in der Cloud vorbehält, Zugriff auf die Daten zu nehmen oder gar Rechte daran erwirbt.

Damit Sie dies vermeiden, müssen Sie nicht nur die Vertragsbedingungen bei Abschluss des Vertrages lesen, sondern auch laufend danach kontrollieren. Die Anbieter behalten sich nämlich vor, diese Bedingungen zu ändern und nicht immer bekommen Sie dazu eine Mitteilung. Auch landet eine solche Mitteilung eventuell bei den Nutzern des Dienstes und nicht bei Ihnen als Administrator, wenn Sie den Dienst im Zweifel nicht nutzen. Wie aber stellen Sie sicher, dass die Nutzer des Dienstes bei Ihnen im Unternehmen Sie oder die Rechtsabteilung tatsächlich informieren, wenn sie solche Informationen erhalten? Am ehesten hilft es Ihnen, einfach einen eigenen Account anzulegen, auch wenn dieser keine Daten beinhaltet. Dann werden Sie per E-Mail oder beim Login über mögliche AGBÄnderungen informiert. Die weiteren angesprochenen Zugriffe betreffen hingegen Durchsuchungen von Behörden, Zugriffe aufgrund rechtlicher Auseinandersetzungen oder legal abgegriffene Daten bei der Übertragung in den Cloud-Speicher.

In den ersten beiden Fällen besteht die Gefahr auch, wenn die Daten bei Ihnen im Unternehmen gespeichert sind. Bei einer Speicherung von Daten in der Cloud kommt ein Element hinzu: der Dritte als Anbieter der Speicherlösung. Der will sich nämlich im Zweifel rechtskonform verhalten und hat gegebenenfalls nicht Ihre Möglichkeiten der Überprüfung von Anfragen von Behörden. Sie haben auch nicht die gleiche Möglichkeit, Mitarbeiter anzuweisen und zu beaufsichtigen, wie Sie es im eigenen Unternehmen haben. Handelt es sich um einen Anbieter in einem anderen Land, unterliegt dieser anderen Gesetzen und das kann gut oder schlecht sein. Angesichts des hohen Datenschutzniveaus hierzulande ist es eher schlecht.

Ablauf von Durchsuchungen
Durchsuchungen können aus den unterschiedlichsten Gründen stattfinden. Die für Sie relevantesten sind einerseits Untersuchungen von Kartellbehörden und andererseits die Sicherstellung von Daten wegen strafrechtlichen Verstößen. In beiden Fällen bedeutet es, dass Behörden bei Ihnen vorbeischauen und Daten ausgehändigt haben möchten. Und sie haben auch das Recht dazu, diese zu verlangen. Doch geht es in unserem Fall um einen Dritten, also den Betreiber des Cloud- Speichers, der hierbei angegangen wird und sich möglicherweise anders verhält als Ihr Unternehmen. So bekommen Sie beziehungsweise die Geschäftsleitung es möglicherweise gar nicht mit, dass eine Beschlagnahme von Daten erfolgte, und können sich deswegen auch nicht dagegen wehren. Der Anbieter unterliegt eventuell zudem einer anderen Rechtsordnung und Ihr Unternehmen hat aus der Unkenntnis dieser Rechtsordnung Schwierigkeiten, die Angelegenheit in den Griff zu bekommen.

Natürlich ist es unwahrscheinlich, dass eine Behörde weiß, dass Ihr Unternehmen einen bestimmten Speicherdienst nutzt. Das gilt so lange, bis Sie einen Whistleblower in den eigenen Reihen haben, der aus welchem Grund auch immer genau diese Information weitergibt. Dann könnte eine berechtigte Behörde den Speicherdienst angehen und dort die entsprechenden Informationen beschlagnahmen. Zu Ihrem Vorteil kann sich dann sogar auswirken, dass der Speicherdienst möglicherweise in einem anderen Land beheimatet ist und die Behörde erst ein Rechtshilfeersuchen stellen muss. Das kostet Zeit und Ihr Unternehmen kann in der Zwischenzeit davon Wind bekommen und juristische Maßnahmen ergreifen.

Oft finden sich in Verträgen von Cloud- Speicherdiensten Formulierungen, die den Anbieter des Speichers in der Cloud dazu verpflichten Ihr Unternehmen zu informieren, wenn Behörden Herausgabeverlangen stellen. Das sind wirksame Vereinbarungen, zu denen Sie zwei Dinge wissen müssen: Erstens verhindern solche Klauseln nicht die Herausgabe der Daten. Diese sind in aller Regel herausgegeben, bevor Sie überhaupt reagieren können. Zweitens gibt es Rechtsordnungen, die den Anbieter verpflichten, eine solche vertragliche Klausel in bestimmten Fällen nicht einzuhalten. Dies betrifft die USA und dort sind bekanntlich einige der fraglichen Dienste beheimatet.

Auskunft an Kläger
Bleiben wir in den USA, weil es dort noch eine Rechtsmaterie gibt, die uns ebenfalls interessiert, die sogenannte "EDiscovery". Dabei handelt es sich um eine Vorgehensweise in gerichtlichen Auseinandersetzungen zwischen Unternehmen, die es ermöglicht, dass der Kläger beim Beklagten Datenherausgabe verlangen kann, um seinen Anspruch zu begründen. Vereinfacht ausgedrückt, müssen Sie als beklagtes Unternehmen dem Kläger Datenkopien herausgeben, damit dieser gegen Sie vorgehen kann. Wir reden hier nicht über ein oder zwei definierte, kleine Datensätze, sondern gegebenenfalls über TByte an Daten. Es hat sich natürlich längst eine Armada von Unternehmen darauf spezialisiert, solche Daten nach den relevanten Inhalten zu durchsuchen und diese entsprechend aufzubereiten.

Wenn die entsprechenden Daten bei einem Speicherdienst in der Cloud in den USA liegen, ist natürlich der Zugriff darauf für den Kläger einfacher, als wenn die Daten in Ihrem Rechenzentrum in Deutschland lagern. Zum Schluss noch kurz etwas zu dem verbreiteten Problem, dass Mitarbeiter einfach selbst Speicherdienste in der Cloud einsetzen, ohne vorher bei der IT-Abteilung oder der Rechtsabteilung nachzufragen. Da hilft dann nur ein Bündel von Maßnahmen. Stellen Sie zunächst einmal fest, welche Daten im Speicherdienst gelandet und ob diese problematisch sind. Anschließend geht es um die Frage von Konsequenzen für die beteiligten Mitarbeiter und um interne Hinweise zum Vorgehen hinsichtlich solcher privaten Cloud-Speicher.

Fazit
Der Einsatz von Speicherdiensten in der Cloud kann aus den unterschiedlichen technischen und wirtschaftlichen Aspekten sinnvoll sein. Vor der Nutzung sollte aber immer eine ausführliche juristische Prüfung stehen. Diese sollte nicht von irgendwem durchgeführt werden, sondern von Juristen, die auf die Materie IT-Recht spezialisiert sind. Für viele der oben angeführten Themen gibt es Lösungen, wenn Sie den richtigen Weg beschreiten.

Rechtsanwalt Alexander Eichler (alexander@eichler.com) arbeitet seit mehr als 17 Jahren als IT-Anwalt unter anderem in den Bereichen Cloud Computing, Outsourcing, Datenschutz, internationaler Datentransfer, Softwarelizenzierung sowie Projektverträgen.

Alexander Eichler/dr