2. Datenschutzrechtliche Aspekte

Das österreichische Datenschutzgesetz (DSG 2000) findet dann Anwendung, wenn personenbezogene Daten, das sind Angaben über natürliche, aber auch – im Gegensatz zu den meisten anderen europäischen Datenschutzgesetzen – juristische Personen, deren Identität bestimmt oder bestimmbar ist, verarbeitet werden (§ 4 Z 1 DSG 2000).

Als besonders heikel ist die Verarbeitung der sogenannten sensiblen Daten in einer Cloud-Umgebung anzusehen: Besonders schutzwürdig sind nach § 4 Z 2 DSG 2000 Daten natürlicher Personen über ihre rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder ihr Sexualleben. Diese Daten unterliegen einem allgemeinen Verwendungsverbot, welches nur durch die in § 9 DSG 2000 taxativ aufgezählten Ausnahmen aufgehoben wird. Abgesehen von den in § 9 angeführten Ausnahmen ist die Verarbeitung sensibler Daten auch in einer Cloud-Umgebung nur mit einer ausdrücklichen Zustimmung des Betroffenen möglich.

Es stellt sich daher grundsätzlich die Frage, ob sensible Daten nach dem österreichischen Datenschutzgesetz überhaupt im Rahmen von Cloud Computing verwendet werden sollen. Insbesondere die Übertragung personenbezogener Daten in Staaten außerhalb der Europäischen Gemeinschaft (Drittstaaten) ist äußerst problematisch. Wenn nun im Rahmen von Cloud Computing personenbezogene Daten im o.a. Sinne verarbeitet werden, was in der Regel der Fall sein wird, besteht kein Zweifel daran, dass die Bestimmungen des DSG 2000 zu beachten sind.

Aber auch bei nicht personenbezogenen Daten, die einen hohen Grad an Vertraulichkeit und Integrität erfordern – wie z. B. Rezepturen und andere Geschäftsgeheimnisse, Forschungsdaten u.Ä. – sollte sich die Cloud-Nutzerin bzw. der Cloud-Nutzer überlegen, ob diese Daten wirklich in einer Cloud-Umgebung verwendet werden sollen.