1 Einführung
Große Beliebtheit
Sogenannte Public Clouds erfreuen sich heutzutage weltweit immer größerer Beliebtheit und sind quasi nicht mehr aus der heutigen IT-Landschaft wegzudenken. Denn mittels dieser „Clouds” ist es u. a. möglich, Nutzern, die bspw. viel Rechenleistung benötigen, rund um den Globus eine preisgünstige, virtuelle Alternative zu physischen Servern anzubieten, die zudem sehr skalierbar ist.
Sogenannte Public Clouds erfreuen sich heutzutage weltweit immer größerer Beliebtheit und sind quasi nicht mehr aus der heutigen IT-Landschaft wegzudenken. Denn mittels dieser „Clouds” ist es u. a. möglich, Nutzern, die bspw. viel Rechenleistung benötigen, rund um den Globus eine preisgünstige, virtuelle Alternative zu physischen Servern anzubieten, die zudem sehr skalierbar ist.
Kontrollverlust
Doch trotz der vielen Vorteile, die mit Public Clouds einhergehen, gibt es auch einige nicht unerhebliche Risiken beim Einsatz dieser Clouds. Diese resultieren insbesondere aus der einer Public Cloud immanenten Systemarchitektur inkl. der in dieser Architektur stattfindenden Datenverarbeitung. Denn bei der in einer Cloud stattfindenden Verarbeitung von personenbezogenen Daten, im englischen Personally Identifiable Information (PII), für die der Cloud-Nutzer datenschutzrechtlich verantwortlich ist (PII Controller), verliert er zwangsläufig die Möglichkeit der Kontrolle über diese Verarbeitung.
Doch trotz der vielen Vorteile, die mit Public Clouds einhergehen, gibt es auch einige nicht unerhebliche Risiken beim Einsatz dieser Clouds. Diese resultieren insbesondere aus der einer Public Cloud immanenten Systemarchitektur inkl. der in dieser Architektur stattfindenden Datenverarbeitung. Denn bei der in einer Cloud stattfindenden Verarbeitung von personenbezogenen Daten, im englischen Personally Identifiable Information (PII), für die der Cloud-Nutzer datenschutzrechtlich verantwortlich ist (PII Controller), verliert er zwangsläufig die Möglichkeit der Kontrolle über diese Verarbeitung.
Übernahme Schutzverpflichtung
Damit ist ein Cloud-Nutzer nicht in der Lage, seinen diesbezüglich gesetzlich obliegenden (Schutz-)Verpflichtungen vollständig nachzukommen. Um dennoch ein adäquates Schutzniveau für die Daten zu erreichen, ist es somit zwingend erforderlich, dass der jeweilige Anbieter der Cloud Services, der oftmals datenschutzrechtlich als sog. Auftragsverarbeiter (PII Processor) angesehen werden kann (Einzelfallprüfung erforderlich, s. Kap. 07410), durch eine entsprechende Vereinbarung verpflichtet werden muss, die konkreten Schutzmaßnahmen in seiner Cloud weitgehend im Auftrag des PII Controller zu übernehmen.
Damit ist ein Cloud-Nutzer nicht in der Lage, seinen diesbezüglich gesetzlich obliegenden (Schutz-)Verpflichtungen vollständig nachzukommen. Um dennoch ein adäquates Schutzniveau für die Daten zu erreichen, ist es somit zwingend erforderlich, dass der jeweilige Anbieter der Cloud Services, der oftmals datenschutzrechtlich als sog. Auftragsverarbeiter (PII Processor) angesehen werden kann (Einzelfallprüfung erforderlich, s. Kap. 07410), durch eine entsprechende Vereinbarung verpflichtet werden muss, die konkreten Schutzmaßnahmen in seiner Cloud weitgehend im Auftrag des PII Controller zu übernehmen.