|
Geleitwort |
6 |
|
|
Vorwort |
8 |
|
|
Inhaltsverzeichnis |
9 |
|
|
Abkürzungsverzeichnis |
18 |
|
|
1 Einleitung |
24 |
|
|
2 Cloud Computing |
30 |
|
|
2.1 Eigenschaften der Cloud |
31 |
|
|
2.2 Beteiligte |
33 |
|
|
2.3 Cloud-Dienste |
34 |
|
|
2.4 Organisationsmodelle |
37 |
|
|
2.5 Phasenmodell für rechtlich relevante Datenwege |
38 |
|
|
3 Cloud Computing für den Mittelstand |
40 |
|
|
4 Normative Grundlagen des Datenschutzrechts |
45 |
|
|
4.1 Vereinte Nationen und OECD |
45 |
|
|
4.2 Europarat |
46 |
|
|
4.3 Charta der Grundrechte der Europäischen Union |
48 |
|
|
4.4 Artikel 16 AEUV |
50 |
|
|
4.5 Datenschutzrichtlinie |
51 |
|
|
4.6 Deutscher Grundrechtsschutz |
52 |
|
|
4.6.1 Recht auf informationelle Selbstbestimmung |
52 |
|
|
4.6.2 Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität eigengenutzter informationstechnischer Systeme |
58 |
|
|
4.7 Vorrang des unions-grundrechtlichen Datenschutzes? |
60 |
|
|
4.7.1 Vorrang Europäischer Grundrechte aus Sicht des Europäischen Gerichtshofs |
61 |
|
|
4.7.2 Eingeschränktes Vorrangverhältnis aus Sicht des Bundesverfassungsgerichts |
61 |
|
|
4.7.3 Grundrechtsvorrang im Umsetzungsspielraum von Richtlinien |
65 |
|
|
4.7.4 Umsetzungsspielräume in der Datenschutzrichtlinie |
67 |
|
|
4.7.5 Verbleibender Anwendungsbereich für das Recht auf informationelle Selbstbestimmung |
70 |
|
|
5 Anwendungsbereich des einfachgesetzlichen Datenschutzrechts |
73 |
|
|
5.1 Sachlicher Anwendungsbereich |
74 |
|
|
5.1.1 Einzelangaben |
75 |
|
|
5.1.2 Persönliche und sachliche Verhältnisse einer Person |
75 |
|
|
5.1.3 Natürliche Person |
77 |
|
|
5.1.4 Bestimmte und bestimmbare Person |
78 |
|
|
5.1.5 Folgen für die Cloud |
91 |
|
|
5.1.6 Anonymisierung |
93 |
|
|
5.1.7 Pseudonymisierung |
96 |
|
|
5.1.8 Kryptographische Verschlüsselung |
97 |
|
|
5.1.9 Verschlüsselung in der Cloud |
106 |
|
|
5.1.10 Unverschlüsselte Verarbeitung von Daten |
117 |
|
|
5.1.11 Datenversiegelung zum betreibersicheren Cloud Computing |
118 |
|
|
5.1.12 Unverschlüsselbare Metadaten |
131 |
|
|
5.2 Persönlicher Anwendungsbereich |
133 |
|
|
5.2.1 Verantwortliche Stelle im Internet |
133 |
|
|
5.2.2 Entscheidung über Zwecke und Mittel der Verarbeitung |
134 |
|
|
5.2.3 Verantwortung mehrerer Akteure |
135 |
|
|
5.2.4 Folgen für das Cloud Computing |
142 |
|
|
5.2.5 Auftragsdatenverarbeitung |
149 |
|
|
5.2.6 Auswirkungen auf verschiedene Betroffenenkonstellationen |
160 |
|
|
5.3 Räumlicher Anwendungsbereich |
162 |
|
|
5.3.1 Einordnung in das Kollisionsrecht |
162 |
|
|
5.3.2 Innereuropäische Kollisionsvermeidung |
166 |
|
|
5.3.3 Anwendungsbereich bei Drittlandbezug |
173 |
|
|
5.3.4 Durchsetzung |
188 |
|
|
5.4 Anwendbarkeit des Telekommunikations- und Telemediengesetzes |
190 |
|
|
5.4.1 Cloud Computing und Telekommunikationsgesetz |
191 |
|
|
5.4.2 Cloud Computing und Telemediengesetz |
193 |
|
|
5.4.3 Daten beim Cloud Computing |
194 |
|
|
5.4.4 Folgen für das Cloud Computing |
196 |
|
|
5.4.5 Keine Anwendbarkeit des Telekommunikations- und Telemediengesetzes auf den Datenumgang in der Cloud |
202 |
|
|
6 Datenschutzrechtliche Zulässigkeit |
205 |
|
|
6.1 Erfordernis einer Einwilligung oder einer gesetzlichen Erlaubnis |
205 |
|
|
6.2 Gesetzliche Erlaubnistatbestände |
206 |
|
|
6.3 Erhebung von Daten beim Betroffenen |
208 |
|
|
6.4 Eigene Geschäftszwecke in Abgrenzung zu geschäftsmäßigem Handeln |
212 |
|
|
6.4.1 Datenumgang durch den Cloud-Nutzer |
214 |
|
|
6.4.2 Datenumgang durch den Cloud-Anbieter |
216 |
|
|
6.4.3 Datenumgang in der Cloud für eigene Geschäftszwecke |
219 |
|
|
6.5 Zulässigkeit des Datenumgangs zur Erfüllung eigener Geschäftszwecke |
219 |
|
|
6.5.1 Erforderlichkeit für die Begründung, Durchführung oder Beendigung von Schuldverhältnissen |
221 |
|
|
6.5.2 Datenumgang aufgrund berechtigter Interessen |
230 |
|
|
6.5.3 Umgang mit allgemein zugänglichen Daten |
249 |
|
|
6.5.4 Zweckbindung und Zweckänderung |
251 |
|
|
6.5.5 Keine umfassende gesetzliche Grundlage zum Datenumgang in der Cloud |
260 |
|
|
6.6 Einwilligung |
261 |
|
|
6.6.1 Herleitung aus dem Recht auf informationelle Selbstbestimmung |
262 |
|
|
6.6.2 Rechtsnatur der Einwilligung |
263 |
|
|
6.6.3 Freiwilligkeit |
264 |
|
|
6.6.4 Informiertheit |
272 |
|
|
6.6.5 Formularmäßige Einwilligungen |
273 |
|
|
6.6.6 Bestimmtheit |
276 |
|
|
6.6.7 Formale Anforderungen |
278 |
|
|
6.6.8 Folgen für die Einwilligung beim Cloud Computing |
281 |
|
|
7 Datenweitergabe im Rahmen der Auftragsdatenverarbeitung |
284 |
|
|
7.1 Auswahl und Kontrolle des Auftragnehmers durch den Auftraggeber |
286 |
|
|
7.1.1 Sorgfältige Auswahl des Auftragnehmers |
286 |
|
|
7.1.2 Überprüfung des Auftragnehmers |
288 |
|
|
7.1.3 Auswahl und Kontrolle in der IT-basierten Auftragsdatenverarbeitung |
289 |
|
|
7.1.4 Selbstkontrolle durch den Auftragnehmer oder Fremdkontrolle |
296 |
|
|
7.2 Weitere Anforderungen an den Auftraggeber |
297 |
|
|
7.2.1 Dokumentation |
297 |
|
|
7.2.2 Schriftliche Auftragserteilung |
298 |
|
|
7.2.3 Zehn-Punkte-Katalog |
299 |
|
|
7.2.4 Weisungsbindung |
306 |
|
|
8 Entwicklung einer rechtssicheren Zertifizierung de lege ferenda |
308 |
|
|
8.1 Rechtsunsicherheit trotz Zertifizierung |
308 |
|
|
8.2 Reformen des Kontrollrechts als Reaktion auf die Rechtsunsicherheit |
309 |
|
|
8.2.1 Veränderung der Verantwortungsstruktur |
309 |
|
|
8.2.2 Rücknahme der Kontrollpflicht unter Einführung eines Haftungsregimes |
310 |
|
|
8.2.3 Reform der Kontrollpflichten nach § 11 Abs. 2 S. 4 BDSG |
310 |
|
|
8.3 Grundbedingungen eines zukünftigen Zertifizierungssystems |
311 |
|
|
8.3.1 Zertifizierung als Gegenstand gestufter Prüfsysteme |
311 |
|
|
8.3.2 Gesetzlich geregeltes Zertifikat statt privatwirtschaftlicher Standardisierung |
312 |
|
|
8.3.3 Konformitätsbestätigende statt rein marktfördernder Zertifizierung |
314 |
|
|
8.3.4 Prüfgegenstand und Prüfgruppen |
316 |
|
|
8.3.5 Konkretisierung der Prüfinhalte |
318 |
|
|
8.4 Möglichkeiten der Ausgestaltung auf Grundlage bestehender Systeme |
321 |
|
|
8.4.1 Ausgestaltung als privatrechtliches Testat in Anlehnung an die Wirtschaftsprüfung? |
321 |
|
|
8.4.2 Ausgestaltung als Verwaltungsakt in Anlehnung an die Kraftfahrzeug-Hauptuntersuchung? |
323 |
|
|
8.4.3 Ausgestaltung als Konformitätsbewertung mit Vermutungswirkung in Anlehnung an das Umwelt- oder Produktsicherheitsrecht? |
329 |
|
|
8.4.4 Ausgestaltung als „freiwillige öffentlich-rechtliche Zertifizierung“ in Anlehnung an das Signaturrecht? |
337 |
|
|
8.4.5 Gestaltungsoffenheit |
341 |
|
|
8.5 Qualitätssicherung durch Akkreditierung und Ermächtigung |
343 |
|
|
8.5.1 Akkreditierung am Beispiel des harmonisierten Produktsicherheitsrechts |
344 |
|
|
8.5.2 Akkreditierung am Beispiel des Signaturrechts |
345 |
|
|
8.5.3 Umsetzung der Akkreditierung für die Zertifizierung der Auftragsdatenverarbeitung |
346 |
|
|
8.6 Chancen und Risiken der Auftragsdatenverarbeitung für die Cloud |
348 |
|
|
9 Internationales Cloud Computing |
350 |
|
|
9.1 Datenumgang innerhalb der EU und des EWR |
351 |
|
|
9.2 Drittlandbezug |
352 |
|
|
9.2.1 Drittlandbezug bei Auseinanderfallen des Sitzes der datenverarbeitenden Stelle vom Ort des Datenumgangs |
352 |
|
|
9.2.2 Zulässigkeitsvoraussetzungen für den Datenexport in Drittländer |
354 |
|
|
9.2.3 Auswirkungen des Datenexports auf die allgemeinen Zulässigkeitstatbestände |
380 |
|
|
9.2.4 Unüberwindbare Hürden für das internationale Cloud Computing?Herkömmlicher Regelungen als „Cloud-Stopper“? |
401 |
|
|
9.2.5 Processor Binding Corporate Rules als Lösungsansatz für die Cloud? |
402 |
|
|
10 Cloud Computing und ausländische Behörden – Beispiel USA |
409 |
|
|
10.1 Erweiterte Zugriffsbefugnisse auf Daten nach dem „PATRIOT Act“ |
409 |
|
|
10.1.1 Strafverfolgung nach dem Electronic Communications Privacy Act (ECPA) |
409 |
|
|
10.1.2 Terrorismusbekämpfung und Geheimdiensttätigkeiten durch FISA-Anordnungen und National Security Letters (NSL) |
412 |
|
|
10.1.3 Zugriff auf Cloud-Server außerhalb der USA |
414 |
|
|
10.2 Electronic Discovery (E-Discovery) |
417 |
|
|
11 Betroffenenrechte |
422 |
|
|
11.1 Dispositionsverbot und Weiterleitungsgebot |
423 |
|
|
11.2 Transparenzrechte |
424 |
|
|
11.2.1 Benachrichtigung |
424 |
|
|
11.2.2 Auskunft |
428 |
|
|
11.2.3 Technische Umsetzung von Benachrichtigung und Auskunft in der Cloud |
430 |
|
|
11.3 Gestaltungsrechte |
431 |
|
|
11.3.1 Beschwerde |
431 |
|
|
11.3.2 Widerspruch bei rechtmäßigem Datenumgang |
432 |
|
|
11.3.3 Eingriffsrechte bei unrechtmäßigem Datenumgang |
433 |
|
|
12 Technische und organisatorische Maßnahmen |
440 |
|
|
12.1 Erforderlichkeit und Verhältnismäßigkeit |
441 |
|
|
12.2 Einzelne Maßnahmen nach der Anlage zu § 9 S. 1 BDSG |
443 |
|
|
12.2.1 Organisationskontrolle |
444 |
|
|
12.2.2 Zutrittskontrolle |
445 |
|
|
12.2.3 Zugangskontrolle |
446 |
|
|
12.2.4 Zugriffskontrolle |
447 |
|
|
12.2.5 Weitergabekontrolle |
448 |
|
|
12.2.6 Eingabekontrolle |
449 |
|
|
12.2.7 Auftragskontrolle |
450 |
|
|
12.2.8 Verfügbarkeitskontrolle |
451 |
|
|
12.2.9 Trennungsgebot |
451 |
|
|
12.2.10 Verschlüsselung |
452 |
|
|
13 Geheimnisschutz |
454 |
|
|
13.1 Strafbewehrter Berufsgeheimnisschutz |
454 |
|
|
13.1.1 Geheimnisschutz und Bundesdatenschutzgesetz |
455 |
|
|
13.1.2 Anvertrautes Geheimnis |
457 |
|
|
13.1.3 Offenbarung durch Nutzung der Cloud |
458 |
|
|
13.1.4 Gehilfe und Auftragsdatenverarbeitung |
463 |
|
|
13.1.5 Einwilligung als Befugnis zur Offenbarung? |
468 |
|
|
13.1.6 Schutz betroffener Dritter |
469 |
|
|
13.1.7 Verbleibende Risiken |
470 |
|
|
13.2 Geschäfts- und Betriebsgeheimnisse nach § 17 UWG |
472 |
|
|
14 Europäische Reformbemühungen im Datenschutz |
473 |
|
|
14.1 Wechsel zur Verordnung |
475 |
|
|
14.2 Anwendungsbereich |
479 |
|
|
14.2.1 Persönlicher Anwendungsbereich |
479 |
|
|
14.2.2 Sachlicher Anwendungsbereich |
480 |
|
|
14.2.3 Räumlicher Anwendungsbereich |
482 |
|
|
14.3 Zulässigkeit der Datenverarbeitung |
483 |
|
|
14.3.1 Einwilligung |
483 |
|
|
14.3.2 Erlaubnistatbestände |
484 |
|
|
14.4 Auftragsdatenverarbeitung |
484 |
|
|
14.5 Betroffenenrechte |
486 |
|
|
14.6 Internationale Datenverarbeitungen |
488 |
|
|
14.7 Technische und organisatorische Maßnahmen |
489 |
|
|
14.8 Datenschutzaufsicht |
490 |
|
|
15 Rechtsverträgliches Cloud Computing |
492 |
|
|
15.1 Regulative Begrenzung der Cloud |
492 |
|
|
15.2 Cloud-fördernde Funktion des Rechts |
494 |
|
|
15.3 Rechtliche Technikgestaltung |
496 |
|
|
Literaturverzeichnis |
500 |
|