Die Nutzung von Cloud-Diensten durch kleine und mittelständische Unternehmen
BOOK
Cite BOOK
Style
Schmid, D. (2017). Die Nutzung von Cloud-Diensten durch kleine und mittelständische Unternehmen. Eine datenschutzrechtliche Betrachtung der Auslagerung von Kunden-, Personal- und Mandantendaten. Duncker & Humblot. https://doi.org/10.3790/978-3-428-55092-0
Schmid, Daniel. Die Nutzung von Cloud-Diensten durch kleine und mittelständische Unternehmen: Eine datenschutzrechtliche Betrachtung der Auslagerung von Kunden-, Personal- und Mandantendaten. Duncker & Humblot, 2017. Book. https://doi.org/10.3790/978-3-428-55092-0
Schmid, D (2017): Die Nutzung von Cloud-Diensten durch kleine und mittelständische Unternehmen: Eine datenschutzrechtliche Betrachtung der Auslagerung von Kunden-, Personal- und Mandantendaten, Duncker & Humblot, [online] https://doi.org/10.3790/978-3-428-55092-0
Format
Die Nutzung von Cloud-Diensten durch kleine und mittelständische Unternehmen
Eine datenschutzrechtliche Betrachtung der Auslagerung von Kunden-, Personal- und Mandantendaten
Internetrecht und Digitale Gesellschaft, Vol. 5
(2017)
Additional Information
Book Details
Pricing
About The Author
Daniel Schmid studierte Rechtswissenschaften an der Universität Augsburg. Seit Januar 2013 ist er als wissenschaftlicher Mitarbeiter am Lehrstuhl für Bürgerliches Recht, Wirtschaftsrecht, Gewerblichen Rechtsschutz und Arbeitsrecht von Herrn Prof. Dr. Michael Kort an der Universität Augsburg tätig.Abstract
Cloud Computing, also die flexible und bedarfsabhängige Bereitstellung bzw. Nutzung von IT-Ressourcen, nimmt aufgrund der möglichen Kostenersparnis in kleinen und mittelständischen Unternehmen eine immer größere Rolle ein. Die Nutzung von Cloud-Diensten stellt diese Unternehmen vor datenschutzrechtliche Herausforderungen. Das gilt besonders derzeit, da es mit der Safe-Harbor-Entscheidung des EuGH, dem EU-US Privacy Shield und der Europäischen Datenschutzgrundverordnung zu einigen weitreichenden Änderungen im europäischen Datenschutzrecht gekommen ist bzw. kommen wird. Diese Untersuchung geht der Frage nach, ob kleine und mittelständische Unternehmen bzw. Rechtsanwaltskanzleien mit Sitz in Deutschland ihre Kunden-, Personal- bzw. Mandantendaten im Rahmen eines sog. Software-as-a-Service (SaaS)-Dienstes an einen deutschen, europäischen oder US-amerikanischen Cloud-Anbieter datenschutzkonform auslagern können. Dabei wird u.a. ein Schwerpunkt auf die Auftragsdatenverarbeitung und die Möglichkeiten eines internationalen Datentransfers am Beispiel eines US-amerikanischen Cloud-Anbieters gelegt.»The Use of Cloud-Services by Small and Medium-Sized Businesses«More and more businesses use cloud-services, i.e. services that provide the cloud-user with IT-resources. This research addresses the question of whether small and medium-sized businesses and law firms based in Germany are allowed to outsource their consumer, employee or client data as part of a software-as-a-service solution to a German, European or US American cloud provider compliant to data protection law.
Table of Contents
| Section Title | Page | Action | Price |
|---|---|---|---|
| Vorwort | 7 | ||
| Inhaltsübersicht | 9 | ||
| Inhaltsverzeichnis | 11 | ||
| Abkürzungsverzeichnis | 21 | ||
| A. Einführung | 25 | ||
| I. Problemstellung | 25 | ||
| II. Cloud Computing als Chance für kleine und mittelständische Unternehmen | 28 | ||
| III. Gang der Untersuchung | 29 | ||
| B. Grundlagen des Cloud Computing | 31 | ||
| I. Definition des Begriffs „Cloud Computing“ | 31 | ||
| 1. National Institute of Standards and Technology (NIST) | 31 | ||
| 2. EU-Kommission | 33 | ||
| 3. Bundesamt für Sicherheit in der Informationstechnik (BSI) | 33 | ||
| 4. Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. (BITKOM) | 33 | ||
| 5. Giedke | 34 | ||
| 6. Baun / Kunze / Nimis / Tai | 34 | ||
| 7. Youseff / Butrico / Da Silva | 34 | ||
| 8. Buyya / Yeo / Venugopal | 34 | ||
| 9. Gemeinsamkeiten der Definitionen von „Cloud Computing“ | 35 | ||
| II. Historische Entwicklung | 35 | ||
| 1. Verteilte Systeme und Skalierbarkeit | 36 | ||
| 2. Cluster-Computing | 36 | ||
| 3. Grid-Computing | 37 | ||
| 4. Utility-Computing | 38 | ||
| 5. IT-Outsourcing | 38 | ||
| 6. Application Service Providing (ASP) | 40 | ||
| 7. Cloud Computing | 41 | ||
| III. Grundlegende Techniken und Technologien als Basis des Cloud Computing | 42 | ||
| 1. Virtualisierung | 42 | ||
| 2. Service-orientierte Architektur (SOA) | 46 | ||
| 3. Breitbandinternetverbindung | 46 | ||
| IV. Erscheinungsformen (Service-Modelle / Delivery Models) | 47 | ||
| 1. Infrastructure-as-a-Service (IaaS) | 48 | ||
| 2. Platform-as-a-Service (PaaS) | 49 | ||
| 3. Software-as-a-Service (SaaS) | 50 | ||
| 4. Passendes Service-Modell für das Kunden- und Personaldatenmanagement kleiner und mittelständischer Unternehmen | 51 | ||
| V. Cloud-Modelle (Deployment-Modelle) | 52 | ||
| 1. Private Cloud | 52 | ||
| 2. Public Cloud | 53 | ||
| 3. Community Cloud | 54 | ||
| 4. Hybrid Cloud | 55 | ||
| 5. Passendes Cloud-Modell für kleine und mittelständische Unternehmen | 55 | ||
| VI. Wirtschaftliche Bedeutung des Cloud Computing | 56 | ||
| VII. Vorteile von Cloud Computing | 57 | ||
| 1. Wirtschaftliche Vorteile | 58 | ||
| 2. Technische Vorteile | 59 | ||
| 3. Vorteile für den Cloud-Anbieter | 61 | ||
| VIII. Cloud Computing und Datensicherheit | 63 | ||
| 1. „Klassische“ Risiken | 64 | ||
| 2. Cloudspezifische Risiken | 64 | ||
| IX. Nachteile von Cloud Computing | 65 | ||
| X. Beteiligte Personen und deren datenschutzrechtliche Rollen | 68 | ||
| 1. Der Cloud-Nutzer (Cloud-Anwender / Cloud-Kunde) | 69 | ||
| 2. Der Cloud-Anbieter | 69 | ||
| 3. Der Unterauftragnehmer (Subunternehmer / Ressourcen-Anbieter) | 69 | ||
| 4. Der Betroffene | 70 | ||
| XI. Zusammenfassung | 70 | ||
| C. Auslagerung von Kunden- und Personaldaten in die Cloud | 71 | ||
| I. Anwendbares Datenschutzrecht | 71 | ||
| 1. Sachlicher Anwendungsbereich und Normadressat | 73 | ||
| a) Vorrang spezialgesetzlicher Regelungen | 74 | ||
| aa) Anwendbarkeit des TKG | 74 | ||
| bb) Anwendbarkeit des TMG | 76 | ||
| cc) Anwendbarkeit des BDSG | 79 | ||
| b) BDSG | 80 | ||
| aa) Das personenbezogene Datum | 80 | ||
| (1) Einzelangaben über persönliche oder sachliche Verhältnisse | 80 | ||
| (2) Bestimmte bzw. bestimmbare Person | 81 | ||
| (a) Bestimmtheit | 81 | ||
| (b) Bestimmbarkeit | 82 | ||
| (aa) Theorie des absoluten (bzw. objektiven) Personenbezugs | 83 | ||
| (bb) Theorie des relativen (bzw. subjektiven) Personenbezugs | 84 | ||
| (cc) Subjektive Theorie unter Einbezug von ohne großem Aufwand beziehbarem Zusatzwissen | 84 | ||
| (dd) Stellungnahme | 85 | ||
| (ee) Anonymisieren und Pseudonymisieren | 88 | ||
| (ff) Auswirkungen durch Verschlüsselung | 90 | ||
| (gg) Verschlüsselung im Rahmen von SaaS-Diensten | 92 | ||
| (hh) Entfallen des Personenbezugs durch Einsatz der „Sealed Cloud“ | 93 | ||
| (c) Kunden- und Personaldaten als bestimmte bzw. bestimmbare Daten | 95 | ||
| (3) Besondere Arten personenbezogener Daten | 95 | ||
| (4) Aufspaltung (Fragmentierung) der personenbezogenen Daten | 96 | ||
| (5) Natürliche Person | 97 | ||
| bb) Erhebung, Verarbeitung und Nutzung | 97 | ||
| (1) Erhebung | 97 | ||
| (2) Verarbeitung | 98 | ||
| (3) Nutzung | 100 | ||
| cc) Normadressat | 100 | ||
| c) Sachlicher Anwendungsbereich des BDSG | 102 | ||
| d) Sachlicher Anwendungsbereich der DS-GVO | 102 | ||
| 2. Räumlicher Anwendungsbereich | 104 | ||
| a) Grundsatz: Territorialprinzip | 104 | ||
| b) Sitzlandprinzip (§ 1 Abs. 5 Satz 1 Halbsatz 1 BDSG) | 105 | ||
| c) Ausnahme vom Sitzlandprinzip: Niederlassungsprinzip bzw. abgeschwächtes Sitzlandprinzip (§ 1 Abs. 5 Satz 1 Halbsatz 2 BDSG) | 106 | ||
| d) Geltung des Territorialprinzips für verantwortliche Stellen außerhalb der EU bzw. des EWR (§ 1 Abs. 5 Satz 2 BDSG) | 106 | ||
| e) Problematik der Anwendbarkeit des Territorialprinzips und des Sitzlandprinzips auf das Cloud Computing | 107 | ||
| f) Anwendbarkeit des Territorialprinzips und des Sitzlandprinzips auf das Cloud Computing | 108 | ||
| g) Räumlicher Anwendungsbereich gem. BDSG | 109 | ||
| h) Räumlicher Anwendungsbereich gem. DS-GVO | 110 | ||
| II. Datenschutzrechtliche Rechtmäßigkeit der Auslagerung von Kunden- und Personaldaten in die Cloud | 111 | ||
| 1. Prinzip des Verbots mit Erlaubnisvorbehalt | 111 | ||
| 2. Vorliegen eines Erlaubnistatbestandes im nationalen Kontext | 112 | ||
| a) Abgrenzung von §§ 28, 29 und 32 BDSG | 113 | ||
| b) Prüfung der einschlägigen Rechtsgrundlage für die Auslagerung von Kunden- und Personaldaten | 114 | ||
| c) Kundendaten: Datenerhebung und -speicherung für eigene Geschäftszwecke (§ 28 BDSG) | 115 | ||
| aa) Verhältnis der drei Erlaubnistatbestände des § 28 Abs. 1 Satz 1 BDSG | 115 | ||
| bb) Rechtsgeschäftliche oder rechtsgeschäftsähnliche Schuldverhältnisse (§ 28 Abs. 1 Satz 1 Nr. 1 BDSG) | 115 | ||
| cc) Wahrung berechtigter Interessen (§ 28 Abs. 1 Satz 1 Nr. 2 BDSG) | 116 | ||
| (1) Berechtigte Interessen des Unternehmens | 119 | ||
| (2) Schutzwürdige Interessen des Kunden | 119 | ||
| (3) Gegenüberstellung der betroffenen Interessen des Unternehmens und des Kunden | 119 | ||
| (a) Verarbeitungszweck | 120 | ||
| (b) Dauer der Speicherung | 120 | ||
| (c) Art bzw. Sensibilität der ausgelagerten Daten | 121 | ||
| (d) Größe des auslagernden Unternehmens | 121 | ||
| (e) Transparenz der Datenverarbeitung | 122 | ||
| (f) Größe und Vertrauenswürdigkeit des Cloud-Anbieters | 122 | ||
| (g) Interessenabwägung zugunsten des Unternehmens | 122 | ||
| dd) Allgemein zugängliche Daten (§ 28 Abs. 1 Satz 1 Nr. 3 BDSG) | 123 | ||
| d) Personaldaten: § 32 Abs. 1 Satz 1 BDSG bzw. § 28 Abs. 1 Satz 1 Nr. 2 BDSG | 123 | ||
| e) Besondere Arten personenbezogener Daten (§ 28 Abs. 6 bis 9 BDSG) | 125 | ||
| f) Einschlägige Rechtsgrundlage für die Auslagerung von Kundendaten und Personaldaten im nationalen Kontext | 126 | ||
| g) Erlaubnistatbestände der DS-GVO | 127 | ||
| 3. Einwilligung gem. § 4a BDSG | 128 | ||
| a) Freiwillige Entscheidung des Betroffenen | 129 | ||
| b) Bestimmtheit | 131 | ||
| c) Schriftform | 132 | ||
| d) Besondere Arten personenbezogener Daten | 133 | ||
| e) Widerrufsmöglichkeit | 134 | ||
| f) Konsequenzen bei Versagung der Einwilligung | 134 | ||
| aa) Versagung der Einwilligung bei Vorliegen eines anderen Erlaubnistatbestandes | 135 | ||
| bb) Versagung der Einwilligung bei Nicht-Vorliegen eines anderen Erlaubnistatbestandes | 135 | ||
| g) Nachträgliches Einholen der Einwilligung | 135 | ||
| h) Geringe Praktikabilität der Einwilligung bei der Auslagerung von Kunden- und Personaldaten | 136 | ||
| i) Einwilligung gem. DS-GVO | 136 | ||
| 4. Betriebsvereinbarung | 138 | ||
| 5. Auftragsdatenverarbeitung | 140 | ||
| a) Dogmatische Einordnung und Rechtsnatur | 141 | ||
| b) Funktionsübertragungstheorie und Vertragstheorie | 144 | ||
| aa) Funktionsübertragungstheorie | 144 | ||
| bb) Vertragstheorie | 146 | ||
| cc) Bewertung | 147 | ||
| c) Voraussetzungen einer Auftragsdatenverarbeitung (§ 11 Abs. 2 BDSG) | 149 | ||
| aa) Auswahl des Auftragnehmers unter Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen (§ 11 Abs. 2 Satz 1 BDSG) | 150 | ||
| (1) Organisationskontrolle (Satz 1 der Anlage zu § 9 Satz 1 BDSG) | 151 | ||
| (2) Zutrittskontrolle (Satz 2 Nr. 1 der Anlage zu § 9 Satz 1 BDSG) | 152 | ||
| (3) Zugangskontrolle (Satz 2 Nr. 2 der Anlage zu § 9 Satz 1 BDSG) | 152 | ||
| (4) Zugriffskontrolle (Satz 2 Nr. 3 der Anlage zu § 9 Satz 1 BDSG) | 154 | ||
| (5) Weitergabekontrolle (Satz 2 Nr. 4 der Anlage zu § 9 Satz 1 BDSG) | 155 | ||
| (6) Eingabekontrolle (Satz 2 Nr. 5 der Anlage zu § 9 Satz 1 BDSG) | 156 | ||
| (7) Auftragskontrolle (Satz 2 Nr. 6 der Anlage zu § 9 Satz 1 BDSG) | 156 | ||
| (8) Verfügbarkeitskontrolle (Satz 2 Nr. 7 der Anlage zu § 9 Satz 1 BDSG) | 156 | ||
| (9) Trennungskontrolle (Satz 2 Nr. 8 der Anlage zu § 9 Satz 1 BDSG) | 157 | ||
| (10) Einhalten der Auswahlpflicht bei der Auswahl eines Cloud-Anbieters | 158 | ||
| (11) Kritik an der Anlage zu § 9 Satz 1 BDSG | 158 | ||
| bb) Vertragsgestaltung bei der Auftragsdatenverarbeitung (§ 11 Abs. 2 Satz 2 BDSG) | 158 | ||
| (1) Schriftformerfordernis | 159 | ||
| (2) Gegenstand und Dauer des Auftrags (§ 11 Abs. 2 Satz 2 Nr. 1 BDSG) | 160 | ||
| (3) Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, Art der Daten und Kreis der Betroffenen (§ 11 Abs. 2 Satz 2 Nr. 2 BDSG) | 161 | ||
| (4) Nach § 9 BDSG zu treffende technische und organisatorische Maßnahmen (§ 11 Abs. 2 Satz 2 Nr. 3 BDSG) | 161 | ||
| (5) Berichtigung, Löschung und Sperrung von Daten (§ 11 Abs. 2 Satz 2 Nr. 4 BDSG) | 162 | ||
| (6) Nach § 11 Abs. 4 BDSG bestehende Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmende Kontrollen (§ 11 Abs. 2 Satz 2 Nr. 5 BDSG) | 162 | ||
| (7) Berechtigung zur Begründung von Unterauftragsverhältnissen (§ 11 Abs. 2 Satz 2 Nr. 6 BDSG) | 163 | ||
| (8) Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers (§ 11 Abs. 2 Satz 2 Nr. 7 BDSG) | 163 | ||
| (9) Mitteilungen über Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen die im Auftrag getroffenen Festlegungen (§ 11 Abs. 2 Satz 2 Nr. 8 BDSG) | 164 | ||
| (10) Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält (§ 11 Abs. 2 Satz 2 Nr. 9 BDSG) | 164 | ||
| (11) Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags (§ 11 Abs. 2 Satz 2 Nr. 10 BDSG) | 165 | ||
| (12) Kontrolle des Cloud-Anbieters und Dokumentation der Kontrollen | 165 | ||
| (a) Kontrolle vor Beginn der Datenverarbeitung | 166 | ||
| (b) Regelmäßige Kontrolle während der Datenverarbeitung | 167 | ||
| (c) Vorgehensweise bei Kontrollen | 167 | ||
| (d) Problematik der Durchführung von Kontrollen beim Cloud Computing | 168 | ||
| (e) Zertifizierung | 169 | ||
| d) Weisungsgebundenheit (§ 11 Abs. 3 BDSG) | 172 | ||
| e) Einsatz von Unterauftragnehmern | 173 | ||
| f) Privilegierungswirkung der Auftragsdatenverarbeitung | 174 | ||
| aa) Nicht-Vorliegen einer Nutzung i. S. v. § 3 Abs. 5 BDSG bei der Auslagerung von Daten im Rahmen einer Auftragsdatenverarbeitung | 175 | ||
| bb) Vorliegen einer Nutzung i. S. v. § 3 Abs. 5 BDSG bei der Auslagerung von Daten im Rahmen einer Auftragsdatenverarbeitung | 176 | ||
| cc) Bewertung | 176 | ||
| g) Erlaubnistatbestand für die Nutzung der personenbezogenen Daten | 177 | ||
| h) Auftragsdatenverarbeitung gem. DS-GVO | 178 | ||
| 6. Datenübermittlung und Auftragsdatenverarbeitung im internationalen Kontext | 179 | ||
| a) Datenübermittlung und Auftragsdatenverarbeitung innerhalb der EU bzw. des EWR | 179 | ||
| aa) Datenübermittlung innerhalb der EU bzw. des EWR | 179 | ||
| bb) Auftragsdatenverarbeitung innerhalb der EU bzw. des EWR | 180 | ||
| b) Datenübermittlung und Auftragsvergabe in einen Drittstaat | 180 | ||
| aa) Datenübermittlung in einen Drittstaat | 180 | ||
| bb) Auftragsvergabe in einen Drittstaat | 181 | ||
| (1) Bestimmen der Grenzüberschreitung | 181 | ||
| (2) Privilegierungswirkung bei Auftragsdatenverarbeitern aus Drittstaaten | 182 | ||
| (a) Fehlende Privilegierungswirkung des § 3 Abs. 8 Satz 3 BDSG für Auftragsdatenverarbeiter aus Drittstaaten | 183 | ||
| (b) Privilegierung des Auftragsdatenverarbeiters aus einem Drittstaat bei der Verwendung von EU-Standardvertragsklauseln | 184 | ||
| (aa) Analogie zu § 3 Abs. 8 BDSG | 185 | ||
| (bb) Modifizierte Interessenabwägung im Rahmen von § 28 Abs. 1 Satz 1 Nr. 2 BDSG | 186 | ||
| (c) Vollharmonisierende Wirkung der DS-RL: Möglichkeit der unmittelbaren Anwendung | 187 | ||
| (d) Konsequenzen der Rechtsprechung des EuGH: Unionsrechtswidrigkeit von § 3 Abs. 8 Satz 3 BDSG | 189 | ||
| cc) Prüfung der ersten Stufe: Zulässigkeit der Datenübermittlung bzw. der Auftragsdatenverarbeitung nach dem BDSG | 189 | ||
| (1) Zulässigkeit der Datenübermittlung | 189 | ||
| (a) § 28 Abs. 1 Satz 1 Nr. 1 BDSG | 190 | ||
| (b) § 28 Abs. 1 Satz 1 Nr. 2 BDSG | 190 | ||
| (c) § 28 Abs. 6 bis 9 BDSG | 191 | ||
| (2) Zulässigkeit der Auftragsdatenverarbeitung | 191 | ||
| (3) Möglichkeit einer Datenübermittlung bzw. Auftragsdatenverarbeitung nach dem BDSG | 191 | ||
| dd) Prüfung der zweiten Stufe: Einhaltung der besonderen Anforderungen im Rahmen von Datentransfers an Cloud-Anbieter in Drittstaaten | 192 | ||
| (1) Angemessenes Datenschutzniveau | 193 | ||
| (a) Unionsrechtswidrigkeit von § 4b Abs. 2 Satz 2 Halbsatz 2 BDSG | 193 | ||
| (b) Kriterien für die Angemessenheit des Datenschutzniveaus | 193 | ||
| (c) Feststellung der Angemessenheit durch die EU-Kommission | 194 | ||
| (2) Sonderfall USA: Safe Harbor-Prinzipien | 195 | ||
| (a) „Safe Harbor 1.0“ | 195 | ||
| (aa) Grundlagen der Safe Harbor-Zertifizierung | 195 | ||
| (bb) Kritik an der Safe Harbor-Zertifizierung | 198 | ||
| (b) Urteil des EuGH: Ungültigkeit von „Safe Harbor“ | 199 | ||
| (aa) Ursachen | 199 | ||
| (bb) Sachverhalt | 201 | ||
| (cc) Aussagen und Folgen des Urteils | 202 | ||
| (c) „Safe Harbor 2.0“ | 207 | ||
| (3) Erlaubnistatbestände trotz unangemessenem Datenschutzniveau | 210 | ||
| (4) Angemessene Garantien | 212 | ||
| (a) Genehmigung durch die zuständige Aufsichtsbehörde | 212 | ||
| (b) EU-Standardvertragsklauseln | 213 | ||
| (c) Binding Corporate Rules (BCR) | 216 | ||
| ee) Eingeschränkte Möglichkeit des datenschutzkonformen Auslagerns der Kunden- und Personaldaten in die USA | 217 | ||
| ff) Datentransfers auf europäische Server von US-amerikanischen Cloud-Anbietern | 217 | ||
| c) Eingeschränkte Möglichkeit der datenschutzkonformen Auslagerung von Kunden- bzw. Personaldaten auf internationale Cloud-Anbieter | 219 | ||
| d) Datenübermittlung und Auftragsdatenverarbeitung im internationalen Kontext gem. DS-GVO | 220 | ||
| 7. Rechtskonformität der Auslagerung von Kunden- bzw. Personaldaten in die Cloud nach dem BDSG | 221 | ||
| D. Auslagerung von Mandantendaten in die Cloud durch Rechtsanwaltskanzleien | 222 | ||
| I. Anwendbares Datenschutzrecht | 222 | ||
| 1. Vorrang der Bundesrechtsanwaltsordnung (BRAO) bzw. der Berufsordnung für Rechtsanwälte (BORA) | 222 | ||
| 2. Normadressat | 225 | ||
| 3. Räumlicher Anwendungsbereich | 225 | ||
| II. Datenschutzrechtliche Rechtmäßigkeit der Auslagerung von Mandantendaten | 225 | ||
| 1. Datenschutzrechtliche Prüfung: Einwilligung, Erlaubnistatbestand oder Auftragsdatenverarbeitung | 226 | ||
| 2. Prüfung von § 203 StGB | 227 | ||
| a) Geschütztes Rechtsgut | 227 | ||
| b) Fremdes Geheimnis | 228 | ||
| c) Täterkreis, Tathandlung und Taterfolg | 229 | ||
| d) Befugnis zur Offenbarung | 230 | ||
| e) Subjektiver Tatbestand | 231 | ||
| f) Drittgeheimnis | 231 | ||
| g) Straflose Auslagerung von Mandantendaten in die Cloud | 232 | ||
| aa) Gehilfe i. S. v. § 203 Abs. 3 Satz 2 StGB | 232 | ||
| bb) Ausdrückliche Einwilligung in Form einer Schweigepflichtentbindung | 238 | ||
| cc) Befugnis in Form einer konkludenten oder mutmaßlichen Einwilligung | 239 | ||
| dd) Gesetzliche Befugnisnorm | 240 | ||
| ee) Verschlüsselung | 240 | ||
| ff) Arbeitnehmerüberlassung oder Doppelarbeitsverhältnis | 241 | ||
| gg) Verschwiegenheitserklärung des Cloud-Anbieters und dessen Mitarbeiter | 241 | ||
| hh) Genossenschaft von Berufsgeheimnisträgern am Beispiel der DATEV e.G. | 242 | ||
| ii) Community Cloud und Sealed Cloud für Rechtsanwälte | 242 | ||
| h) Auswirkung der Neufassung von § 2 BORA auf die Strafbarkeit im Rahmen von § 203 StGB | 243 | ||
| III. Eingeschränkte Möglichkeit der Auslagerung von Mandantendaten in die Cloud | 246 | ||
| E. Zusammenfassung und Ausblick | 248 | ||
| I. Zusammenfassung | 248 | ||
| II. Ausblick | 254 | ||
| Literaturverzeichnis | 255 | ||
| Glossar | 280 | ||
| Sachwortverzeichnis | 286 |