Antwort geschrieben am 01.11.2011 11:46:46 
Frag-einen-Anwalt.de Antworten von diesem Anwalt als RSS-Feed abonnieren!
Rechtsanwalt Mathias F. Schell
Taunusstr. 43, 60329 Frankfurt am Main, Tel: 069 / 231741, Fax: 069 / 230793
Zivilrecht, Miet und Pachtrecht, Familienrecht, Kaufrecht, Arbeitsrecht, Versicherungsrecht, Internet und Computerrecht, Vertragsrecht
Bewertungen: 58
Taunusstr. 43, 60329 Frankfurt am Main, Tel: 069 / 231741, Fax: 069 / 230793
Zivilrecht, Miet und Pachtrecht, Familienrecht, Kaufrecht, Arbeitsrecht, Versicherungsrecht, Internet und Computerrecht, Vertragsrecht
Bewertungen: 58
vielen Dank für Ihre Anfrage, die ich unter Berücksichtigung des geschilderten Sachverhaltes sowie des Einsatzes als ERST-Beratung gerne wie folgt beantworte:
Zunächst einmal gehe ich davon aus, dass Sie mit GoogleApps die sog. "Google Apps for Business", einem Paket aus Mail und Office-Anwendungen, meinen – es also kurzum um das Thema Cloud Computing geht.
1.
Ist die Nutzung von GoogleApps in Deutschland aus datenschutzrechtlicher Sicht zulässig?
a. Zur Beantwortung der Frage, welche gesetzlichen Regelungen zum Schutz der verarbeiteten Daten bestehen und anwendbar sind, ist zunächst grundsätzlich die Feststellung erforderlich, wo die entsprechenden Daten verarbeitet werden und ggf. aus welcher Rechtsordnung diese Daten stammen.
Dementsprechend lässt sich bei dieser Thematik keine generelle Aussage treffen: Bei einer Private-Cloud-Lösung, die aus Deutschland stammende Daten ausschließlich auf in Deutschland betriebenen Rechnern und Speichersystemen enthält, ist lediglich deutsches Recht zu beachten. Werden dem gegenüber in einer Public Cloud Daten aus unterschiedlichen Staaten auf Rechnern und Speichersystemen in unterschiedlichen Ländern gehalten, sind in der Regel auch internationale bzw. verschiedene nationale Rechtsnormen zu beachten.
b. Da sich Ihre Frage der datenschutzrechtlichen Zulässigkeit jedoch ausdrücklich auf Deutschland beschränkt, beziehen sich die nachfolgenden Ausführungen auf die die datenschutzrechtlichen Anforderungen nach dem deutschen Recht.
Die im Rahmen der Google Apps verarbeiteten Daten können vielfältiger Art sein: Sie umfassen allgemeine Daten inklusive Wirtschaftsdaten. Derartige Daten von sehr hoher Bedeutung sein. Sie sind daher als vertraulich und ggf. auch als geheim einzustufen. Dementsprechend sind diese Daten von den Verantwortlichen der jeweiligen Unternehmen vor fremdem Zugriff zu schützen. Hier gelten die allgemeinen gesellschaftsrechtlichen Regelungen des Aktien- und des GmbH-Gesetzes. Danach haben Geschäftsführer bzw. Vorstandsmitglieder bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen gewissenhaften Geschäftsleiters anzuwenden (vgl. § 43 GmbHG und § 93 AktG). Im Vordergrund steht hierbei somit ein allgemeiner Datenschutz im Sinne von Datensicherheit.
Gleichermaßen haben die Verantwortlichen sicherzustellen, dass die handels- und die steuerrechtlichen Bestimmungen eingehalten werden. Im Vordergrund stehen dabei die Pflicht zur Archivierung unveränderbarer Geschäftsdaten und deren gezielte Auffindbarkeit im Prüfungsfalle. Diese Pflichten ergeben sich zum Beispiel aus dem Handelsgesetzbuch (§ 257 HGB) oder der Abgabenordnung (§ 147 AO) sowie deren nachgelagerten Ausführungsbestimmungen wie die „Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU)" des Bundesministeriums der Finanzen.
Teilweise geben aber auch die Berufsordnungen oder Berufsverbände Vorgaben, wie/wo die personenbezogenen Daten zu sein haben oder eben auch nicht.
c. Im deutschen Datenschutzrecht gilt der Grundsatz des „Verbots mit Erlaubnisvorbehalt". Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist daher nach § 4 BDSG verboten, sofern nicht eine spezielle Erlaubnis durch Rechtsnorm oder die vorherige Einverständniserklärung des Betroffenen erteilt ist. Die datenschutzrechtlichen Restriktionen können somit in der überwiegenden Mehrzahl der Anwendungsfälle mittels Einwilligung aufgehoben werden. Erforderlich ist jedoch, dass der Betroffene den detaillierten Sachverhalt der Datenverarbeitung kennt und die Einwilligung freiwillig, d.h. ohne sozialen oder wirtschaftlichen Druck, erteilt.
Ergänzend ist allerdings festzuhalten, dass eine einmal gegebene Einwilligung nicht bedeutet, dass mit den erhobenen personenbezogenen Daten nach Belieben verfahren werden kann. Selbstverständlich dürfen Daten nur im Rahmen der gegebenen Erklärungen und Hinweise (zweckgebunden) verarbeitet werden – auch im Rahmen der Google Apps.
Schließlich ist darauf hinzuweisen, dass Einwilligungen widerruflich sind und in den Systemen diese Möglichkeit als Option berücksichtigt werden sollten.
d. Sofern die vorgenannten datenschutzrechltichen Voraussetzungen vorliegen, eingehalten und erfüllt werden können, könnte die Nutzung von Google Apps aus datenschutzrechtlicher Sicht in Deutschland zulässig sein.
Google ist jedoch ein „Worldplayer" und dies macht es schwer herauszufinden wo sich die Daten in welcher Umgebung befinden und wie sicher diese wirklich ist und was der Anbieter ggf. noch mit diesen Daten und Datenströmen macht oder machen kann.
Das Problem ist also vor allem (auch) die fehlende Prüfmöglichkeit und natürlich auch die Möglichkeit, dass sich die geprüften Umgebungen immer wieder verändern können.
2.
Darf ich einem deutschen Kunden als GoogleAppsReseller das Produkt überhaupt anbieten?
Ohne weitergehende Konkretisierung Ihrer Frage, kann diese derzeit nur allgemein damit beantworten, dass Sie als Google Apps Reseller das Produkt anbieten dürfen.
Anbieter von Technologielösungen können sich als autorisierter Google-Apps-Reseller zertifizieren lassen und ihren Kunden dann die Google-Programmsammlung (z.B. "Google Mail", "Google Kalender", "Google Docs", "Google Sites", "Google Talk" sowie "Google Video für Unternehmen") verkaufen, individuell anpassen und Support dafür leisten.
Ich hoffe, meine Antwort hat Ihnen als rechtliche Orientierung im Rahmen der Erstberatung weitergeholfen.
Ich möchte Sie gerne noch abschließend auf Folgendes hinweisen: Bitte beachten Sie, dass meine Ausführungen nur eine erste rechtliche Einschätzung auf der Grundlage Ihrer Angaben darstellen können. Der Umfang meiner Beratung ist dabei durch die zwingenden gesetzlichen Vorgaben des § 4 RVG begrenzt. Die Beantwortung Ihrer Frage erfolgt ausschließlich auf Grundlage Ihrer Schilderung. Die Antwort dient lediglich einer ersten rechtlichen Einschätzung, die eine persönliche und ausführliche Beratung durch einen Rechtsanwalt in den seltensten Fällen ersetzen kann. Das Weglassen oder Hinzufügen weiterer Sachverhaltsangaben kann möglicherweise zu einer anderen rechtlichen Beurteilung führen. Eine endgültige Einschätzung der Rechtslage ist nur nach umfassender Sachverhaltsermittlung möglich.
Mit freundlichen Grüßen
Mathias F. Schell, Rechtsanwalt
Rechtsanwaltskanzlei Schell & Kollegen
Taunusstr. 43, 60329 Frankfurt
Telefon: (069) 23 17 41 / 42
Mobilfunk RA Schell: 0170 - 4 14 16 18
Telefax: 03212 - 4 14 16 18
ra-schell@frankfurtanwalt.de
www.frankfurtanwalt.de
Als Leser können Sie
oder Rechtsanwalt Schell direkt
Ähnliche Themen auf www.frag-einen-anwalt.de:
