Drucksache 17/13000
70 ––
–– 70
Deutscher Bundestag – 17. Wahlperiode
der Internetnutzer verschärft werden. Sie befürchteten
insbesondere Internetzensur und Netzsperren nach dem
„Three-Strikes-Modell“ und eine Überwachung des Internetverkehrs.
nicht nur die Datenverarbeitung erleichtern und z. B. zu
Kosteneinsparungen führen; unter bestimmten Voraussetzungen können auch weitere Synergieeffekte und zum
Beispiel ein Plus an IT-Sicherheit erreicht werden.
Die Kritik der Gegner war durchaus begründet, da der
endgültige Vertragstext viele unbestimmte Regelungen
enthält. Aus den Bestimmungen lassen sich zwar keine
konkreten Verpflichtungen zur Änderung des bestehenden Rechts entnehmen, sie lassen aber einen großen Interpretationsspielraum offen, bis hin zu einer Verpflichtung
der Zugangsprovider zur Überwachung und Filterung des
Internetverkehrs. Die Regelungen hätten somit als
Vorwand verwendet werden können, um sich für Verschärfungen der Vorschriften zur Durchsetzung von Urheberrechten zu Lasten von Informationsfreiheit und Datenschutz einzusetzen.
Über die Risiken des oft praktizierten Modells der Auftragsdatenverarbeitung nach der europäischen Datenschutzrichtlinie und § 11 BDSG für das Speichern und
Verarbeiten von Daten in weltweit vernetzte Rechenzentren habe ich bereits ausführlich im 23. TB (Nr. 5.6) berichtet. Hier hat es mit der Verabschiedung verbindlicher
Unternehmensregelungen für Auftragsdatenverarbeiter
(„BCR for processors“) durch die Artikel-29-Gruppe allerdings im Berichtszeitraum eine wichtige Entwicklung
gegeben (vgl. Nr. 2.4.1.2).
Nach der massiven Kritik der Öffentlichkeit teilte das
Bundesministerium der Justiz (BMJ) im Februar 2012
mit, Deutschland werde das Übereinkommen zunächst
nicht zeichnen. Und die Europäische Kommission erklärte, das Übereinkommen vom Europäischen Gerichtshof (EuGH) auf seine Vereinbarkeit mit den europäischen
Grundrechten prüfen zu lassen. Auf diese Prüfung kam es
dann letztlich aber nicht mehr an. Das Europäische Parlament entschied sich dagegen, seine Abstimmung über
ACTA bis nach der Entscheidung des EuGH zu vertagen.
Es stimmte am 4. Juli 2012 gegen ACTA. Damit können
auch die Mitgliedstaaten der EU dem Übereinkommen
nicht mehr wirksam beitreten.
Das Ende von ACTA ist sicherlich nicht der Schlusspunkt
hinter Bestrebungen, zu internationalen Übereinkünften
zur Durchsetzung der Rechte des geistigen Eigentums zu
kommen. Anders als bei dem gescheiterten Vorhaben dürfen die Regelungen aber nicht zu Lasten des Schutzes der
personenbezogenen Daten und der Informationsfreiheit
der Bürgerinnen und Bürger gehen. Die verschiedenen
Rechtspositionen müssen in einen angemessenen Ausgleich gebracht werden.
5.3
Cloud Computing – heiter bis wolkig
Cloud Computing hat sich zu einem gängigen Geschäftsmodell entwickelt. Grund genug, mich auf nationaler und
internationaler Ebene intensiv dieses Themas anzunehmen.
Cloud Computing hat sich innerhalb weniger Jahre von
einem Technologietrend mit überschaubaren Angeboten
hin zu einem festen Geschäftsmodell entwickelt und auf
dem weltweiten Markt etabliert. Die Cloud ist für uns allgegenwärtig geworden; egal ob sie vom Smartphone zum
Abrufen von gespeicherten E-Mails, Fotos oder Musik
oder für komplexe IT-Prozesse genutzt wird. Oft wissen
oder merken wir nicht einmal, dass wir Cloud-Dienste in
Anspruch nehmen und wo die Daten liegen oder wo „gerechnet“ wird. Dabei kann die Verwendung von Cloud
BfDI 24. Tätigkeitsbericht 2011-2012
Problematisch ist in diesem Zusammenhang aber weiterhin
die Zugriffsmöglichkeit staatlicher Stellen, insbesondere
aus Drittstaaten auf Daten, die in der Cloud gespeichert
sind. Dieses Problem betrifft z. B. Anbieter von CloudDiensten, die Regelungen wie dem US-Patriot Act unterliegen und damit zur Herausgabe von Daten an fremde Sicherheitsbehörden verpflichtet werden könnten. Selbst
Anbieter, die Subunternehmen von US-amerikanischen
Firmen mit Sitz innerhalb Europas sind, aber die Daten
außerhalb der USA speichern, können davon betroffen
sein. Diese Einschätzung wurde jüngst durch das Institute
for Information Law der Universität Amsterdam in einer
Studie bestätigt (http://www.ivir.nl/index-english.html).
Nicht zuletzt deshalb halte ich es für nötig, die in die
Cloud auszulagernden (insbes. sensiblen) personenbezogenen Daten vor dem Hochladen sicher und unter alleiniger Kontrolle des Auftraggebers nach dem Stand der
Technik zu verschlüsseln.
Die Rechtsunsicherheit bei der Verarbeitung außerhalb
der EU/des EWR und das hohe Datenschutzniveau innerhalb der EU könnten allerdings auch ein Gewinn und
Standortvorteil für Cloud „Made in Germany“ oder
Europa mit sich bringen.
Die IT-Sicherheitsbranche und Datenschutzbeauftragte
setzen sich intensiv mit dem Thema auseinander (vgl.
auch Kasten zu Nr. 5.3). Es gibt allerdings weiterhin viele
offene Fragen.
Es wäre z. B. denkbar, eine allgemeine Rechtsgrundlage
für Datenschutzzertifizierungen und Gütesiegel ähnlich
wie bei der De-Mail in Deutschland (vgl. Nr. 3.2.4) zu
schaffen. Internationale Normen und Standards könnten
für weltweite Vergleichbarkeit von sicheren und datenschutzgerechten Cloud-Lösungen sorgen. Weitere Entwicklungen, wie etwa die erwartete neue EU-Datenschutzverordnung (vgl. Nr. 2.1.1), werden vermutlich
auch Veränderungen beim Rechnen in der Wolke mit sich
bringen.
Es bleibt also spannend.