Informationelle Selbstbestimmung in der Cloud (eBook)

Steffen Kroschwald promovierte als wissenschaftlicher Mitarbeiter der Projektgruppe verfassungsverträgliche Technikgestaltung (provet) bei Prof. Dr. Alexander Roßnagel an der Universität Kassel.

Geleitwort 6
Vorwort 8
Inhaltsverzeichnis 9
Abkürzungsverzeichnis 18
1 Einleitung 24
2 Cloud Computing 30
2.1 Eigenschaften der Cloud 31
2.2 Beteiligte 33
2.3 Cloud-Dienste 34
2.4 Organisationsmodelle 37
2.5 Phasenmodell für rechtlich relevante Datenwege 38
3 Cloud Computing für den Mittelstand 40
4 Normative Grundlagen des Datenschutzrechts 45
4.1 Vereinte Nationen und OECD 45
4.2 Europarat 46
4.3 Charta der Grundrechte der Europäischen Union 48
4.4 Artikel 16 AEUV 50
4.5 Datenschutzrichtlinie 51
4.6 Deutscher Grundrechtsschutz 52
4.6.1 Recht auf informationelle Selbstbestimmung 52
4.6.2 Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität eigengenutzter informationstechnischer Systeme 58
4.7 Vorrang des unions-grundrechtlichen Datenschutzes? 60
4.7.1 Vorrang Europäischer Grundrechte aus Sicht des Europäischen Gerichtshofs 61
4.7.2 Eingeschränktes Vorrangverhältnis aus Sicht des Bundesverfassungsgerichts 61
4.7.3 Grundrechtsvorrang im Umsetzungsspielraum von Richtlinien 65
4.7.4 Umsetzungsspielräume in der Datenschutzrichtlinie 67
4.7.5 Verbleibender Anwendungsbereich für das Recht auf informationelle Selbstbestimmung 70
5 Anwendungsbereich des einfachgesetzlichen Datenschutzrechts 73
5.1 Sachlicher Anwendungsbereich 74
5.1.1 Einzelangaben 75
5.1.2 Persönliche und sachliche Verhältnisse einer Person 75
5.1.3 Natürliche Person 77
5.1.4 Bestimmte und bestimmbare Person 78
5.1.5 Folgen für die Cloud 91
5.1.6 Anonymisierung 93
5.1.7 Pseudonymisierung 96
5.1.8 Kryptographische Verschlüsselung 97
5.1.9 Verschlüsselung in der Cloud 106
5.1.10 Unverschlüsselte Verarbeitung von Daten 117
5.1.11 Datenversiegelung zum betreibersicheren Cloud Computing 118
5.1.12 Unverschlüsselbare Metadaten 131
5.2 Persönlicher Anwendungsbereich 133
5.2.1 Verantwortliche Stelle im Internet 133
5.2.2 Entscheidung über Zwecke und Mittel der Verarbeitung 134
5.2.3 Verantwortung mehrerer Akteure 135
5.2.4 Folgen für das Cloud Computing 142
5.2.5 Auftragsdatenverarbeitung 149
5.2.6 Auswirkungen auf verschiedene Betroffenenkonstellationen 160
5.3 Räumlicher Anwendungsbereich 162
5.3.1 Einordnung in das Kollisionsrecht 162
5.3.2 Innereuropäische Kollisionsvermeidung 166
5.3.3 Anwendungsbereich bei Drittlandbezug 173
5.3.4 Durchsetzung 188
5.4 Anwendbarkeit des Telekommunikations- und Telemediengesetzes 190
5.4.1 Cloud Computing und Telekommunikationsgesetz 191
5.4.2 Cloud Computing und Telemediengesetz 193
5.4.3 Daten beim Cloud Computing 194
5.4.4 Folgen für das Cloud Computing 196
5.4.5 Keine Anwendbarkeit des Telekommunikations- und Telemediengesetzes auf den Datenumgang in der Cloud 202
6 Datenschutzrechtliche Zulässigkeit 205
6.1 Erfordernis einer Einwilligung oder einer gesetzlichen Erlaubnis 205
6.2 Gesetzliche Erlaubnistatbestände 206
6.3 Erhebung von Daten beim Betroffenen 208
6.4 Eigene Geschäftszwecke in Abgrenzung zu geschäftsmäßigem Handeln 212
6.4.1 Datenumgang durch den Cloud-Nutzer 214
6.4.2 Datenumgang durch den Cloud-Anbieter 216
6.4.3 Datenumgang in der Cloud für eigene Geschäftszwecke 219
6.5 Zulässigkeit des Datenumgangs zur Erfüllung eigener Geschäftszwecke 219
6.5.1 Erforderlichkeit für die Begründung, Durchführung oder Beendigung von Schuldverhältnissen 221
6.5.2 Datenumgang aufgrund berechtigter Interessen 230
6.5.3 Umgang mit allgemein zugänglichen Daten 249
6.5.4 Zweckbindung und Zweckänderung 251
6.5.5 Keine umfassende gesetzliche Grundlage zum Datenumgang in der Cloud 260
6.6 Einwilligung 261
6.6.1 Herleitung aus dem Recht auf informationelle Selbstbestimmung 262
6.6.2 Rechtsnatur der Einwilligung 263
6.6.3 Freiwilligkeit 264
6.6.4 Informiertheit 272
6.6.5 Formularmäßige Einwilligungen 273
6.6.6 Bestimmtheit 276
6.6.7 Formale Anforderungen 278
6.6.8 Folgen für die Einwilligung beim Cloud Computing 281
7 Datenweitergabe im Rahmen der Auftragsdatenverarbeitung 284
7.1 Auswahl und Kontrolle des Auftragnehmers durch den Auftraggeber 286
7.1.1 Sorgfältige Auswahl des Auftragnehmers 286
7.1.2 Überprüfung des Auftragnehmers 288
7.1.3 Auswahl und Kontrolle in der IT-basierten Auftragsdatenverarbeitung 289
7.1.4 Selbstkontrolle durch den Auftragnehmer oder Fremdkontrolle 296
7.2 Weitere Anforderungen an den Auftraggeber 297
7.2.1 Dokumentation 297
7.2.2 Schriftliche Auftragserteilung 298
7.2.3 Zehn-Punkte-Katalog 299
7.2.4 Weisungsbindung 306
8 Entwicklung einer rechtssicheren Zertifizierung de lege ferenda 308
8.1 Rechtsunsicherheit trotz Zertifizierung 308
8.2 Reformen des Kontrollrechts als Reaktion auf die Rechtsunsicherheit 309
8.2.1 Veränderung der Verantwortungsstruktur 309
8.2.2 Rücknahme der Kontrollpflicht unter Einführung eines Haftungsregimes 310
8.2.3 Reform der Kontrollpflichten nach § 11 Abs. 2 S. 4 BDSG 310
8.3 Grundbedingungen eines zukünftigen Zertifizierungssystems 311
8.3.1 Zertifizierung als Gegenstand gestufter Prüfsysteme 311
8.3.2 Gesetzlich geregeltes Zertifikat statt privatwirtschaftlicher Standardisierung 312
8.3.3 Konformitätsbestätigende statt rein marktfördernder Zertifizierung 314
8.3.4 Prüfgegenstand und Prüfgruppen 316
8.3.5 Konkretisierung der Prüfinhalte 318
8.4 Möglichkeiten der Ausgestaltung auf Grundlage bestehender Systeme 321
8.4.1 Ausgestaltung als privatrechtliches Testat in Anlehnung an die Wirtschaftsprüfung? 321
8.4.2 Ausgestaltung als Verwaltungsakt in Anlehnung an die Kraftfahrzeug-Hauptuntersuchung? 323
8.4.3 Ausgestaltung als Konformitätsbewertung mit Vermutungswirkung in Anlehnung an das Umwelt- oder Produktsicherheitsrecht? 329
8.4.4 Ausgestaltung als „freiwillige öffentlich-rechtliche Zertifizierung“ in Anlehnung an das Signaturrecht? 337
8.4.5 Gestaltungsoffenheit 341
8.5 Qualitätssicherung durch Akkreditierung und Ermächtigung 343
8.5.1 Akkreditierung am Beispiel des harmonisierten Produktsicherheitsrechts 344
8.5.2 Akkreditierung am Beispiel des Signaturrechts 345
8.5.3 Umsetzung der Akkreditierung für die Zertifizierung der Auftragsdatenverarbeitung 346
8.6 Chancen und Risiken der Auftragsdatenverarbeitung für die Cloud 348
9 Internationales Cloud Computing 350
9.1 Datenumgang innerhalb der EU und des EWR 351
9.2 Drittlandbezug 352
9.2.1 Drittlandbezug bei Auseinanderfallen des Sitzes der datenverarbeitenden Stelle vom Ort des Datenumgangs 352
9.2.2 Zulässigkeitsvoraussetzungen für den Datenexport in Drittländer 354
9.2.3 Auswirkungen des Datenexports auf die allgemeinen Zulässigkeitstatbestände 380
9.2.4 Unüberwindbare Hürden für das internationale Cloud Computing?Herkömmlicher Regelungen als „Cloud-Stopper“? 401
9.2.5 Processor Binding Corporate Rules als Lösungsansatz für die Cloud? 402
10 Cloud Computing und ausländische Behörden – Beispiel USA 409
10.1 Erweiterte Zugriffsbefugnisse auf Daten nach dem „PATRIOT Act“ 409
10.1.1 Strafverfolgung nach dem Electronic Communications Privacy Act (ECPA) 409
10.1.2 Terrorismusbekämpfung und Geheimdiensttätigkeiten durch FISA-Anordnungen und National Security Letters (NSL) 412
10.1.3 Zugriff auf Cloud-Server außerhalb der USA 414
10.2 Electronic Discovery (E-Discovery) 417
11 Betroffenenrechte 422
11.1 Dispositionsverbot und Weiterleitungsgebot 423
11.2 Transparenzrechte 424
11.2.1 Benachrichtigung 424
11.2.2 Auskunft 428
11.2.3 Technische Umsetzung von Benachrichtigung und Auskunft in der Cloud 430
11.3 Gestaltungsrechte 431
11.3.1 Beschwerde 431
11.3.2 Widerspruch bei rechtmäßigem Datenumgang 432
11.3.3 Eingriffsrechte bei unrechtmäßigem Datenumgang 433
12 Technische und organisatorische Maßnahmen 440
12.1 Erforderlichkeit und Verhältnismäßigkeit 441
12.2 Einzelne Maßnahmen nach der Anlage zu § 9 S. 1 BDSG 443
12.2.1 Organisationskontrolle 444
12.2.2 Zutrittskontrolle 445
12.2.3 Zugangskontrolle 446
12.2.4 Zugriffskontrolle 447
12.2.5 Weitergabekontrolle 448
12.2.6 Eingabekontrolle 449
12.2.7 Auftragskontrolle 450
12.2.8 Verfügbarkeitskontrolle 451
12.2.9 Trennungsgebot 451
12.2.10 Verschlüsselung 452
13 Geheimnisschutz 454
13.1 Strafbewehrter Berufsgeheimnisschutz 454
13.1.1 Geheimnisschutz und Bundesdatenschutzgesetz 455
13.1.2 Anvertrautes Geheimnis 457
13.1.3 Offenbarung durch Nutzung der Cloud 458
13.1.4 Gehilfe und Auftragsdatenverarbeitung 463
13.1.5 Einwilligung als Befugnis zur Offenbarung? 468
13.1.6 Schutz betroffener Dritter 469
13.1.7 Verbleibende Risiken 470
13.2 Geschäfts- und Betriebsgeheimnisse nach § 17 UWG 472
14 Europäische Reformbemühungen im Datenschutz 473
14.1 Wechsel zur Verordnung 475
14.2 Anwendungsbereich 479
14.2.1 Persönlicher Anwendungsbereich 479
14.2.2 Sachlicher Anwendungsbereich 480
14.2.3 Räumlicher Anwendungsbereich 482
14.3 Zulässigkeit der Datenverarbeitung 483
14.3.1 Einwilligung 483
14.3.2 Erlaubnistatbestände 484
14.4 Auftragsdatenverarbeitung 484
14.5 Betroffenenrechte 486
14.6 Internationale Datenverarbeitungen 488
14.7 Technische und organisatorische Maßnahmen 489
14.8 Datenschutzaufsicht 490
15 Rechtsverträgliches Cloud Computing 492
15.1 Regulative Begrenzung der Cloud 492
15.2 Cloud-fördernde Funktion des Rechts 494
15.3 Rechtliche Technikgestaltung 496
Literaturverzeichnis 500