Kapitel 2 Schwerpunkte verlassen, sondern er muss eigene Recherchen betreiben, um sich Gewissheit darüber zu verschaffen, dass gesetzlich normierte oder vertraglich vereinbarte Sicherheitsstandards eingehalten werden. Die Lösung kann darin bestehen, dass der Cloud-Anbieter sich einem Zertifizierungs- bzw. Gütesiegelverfahren zu Fragen des Datenschutzes und der Datensicherheit bei einer unabhängigen und kompetenten Prüfstelle unterwirft. Fehlende Ortsgebundenheit der Datenverarbeitung und internationale Datentransfers Public Clouds, die auf dem freien Markt angeboten und genutzt werden, sind nicht an geografische Grenzen gebunden, und die darin stattfindende Datenverarbeitung ist nicht ortsgebunden. Daher muss dem Anwender deut- lich werden, wo die Cloud-Anbieter und deren Unter-Anbieter tätig sind. Der Cloud-Anwender wird aber oft nicht wissen, an welchem „Ort“ im jeweili- gen Augenblick die Verarbeitung erfolgt. Deshalb ist es wichtig, dass er sämt- liche Verarbeitungsorte kennt und über jeden Wechsel des Verarbeitungsorts vorab informiert wird. Erfolgen die Datenverarbeitungen außerhalb der EU und des EWR, indem die Cloud-Anbieter und/oder Unter-Anbieter eine Datenverarbeitung in Dritt- staaten vornehmen, so gelten für den Transfer der Daten in Drittstaaten beson- dere gesetzliche Anforderungen.78 Allerdings ist zu beachten, dass für die Anbie- ter in den Drittstaaten gegenüber ihren Regierungen gesetzliche Pflichten bestehen können, unter bestimmten Voraussetzungen transferierte Daten zu offenbaren (z.B. USA, Patriot Act). Ferner ist nicht ausgeschlossen, dass die Ver- arbeitung in Staaten stattfindet, in denen ein Schutz vor staatlichem Zugriff auf die Daten auch ohne gesetzliche Vorgaben nicht sichergestellt werden kann. 78   §§ 4b, 4c BDSG, § 14 BlnDSG 40                                                         Jahresbericht BlnBDI 2011

2.1 Cloud Computing Cloud-spezifische Risiken Eine wesentliche Eigenschaft des Cloud Computing ist, dass die Anwender Computerressourcen nutzen, auf die sie selbst keinen konkreten Zugriff haben. Daraus ergeben sich folgende Risiken: • Das Löschen im Sinne des endgültigen Unkenntlichmachens von Daten kann nicht ohne Weiteres realisiert und überprüft werden. • Die meisten Protokolle und Dokumentationen zur Datenverarbeitung in der Cloud befinden sich beim Cloud-Anbieter, sodass die darauf aufbauende Kontrolle nicht durch den verantwortlichen Cloud-Anwender, sondern nur durch den Cloud-Anbieter erfolgen kann. • Anbieter von Cloud-Services sind gemeinhin an Standorten angesiedelt, die über extrem breitbandige Internet-Anbindungen verfügen. Diese leistungs- fähigen Anbindungen sind notwendig. Sie ermöglichen es aber auch, in kür- zester Zeit große Datenmengen an andere Standorte zu verschieben oder zu kopieren. Neben diesen besonderen Risiken spielen auch in der Cloud die klassischen Risiken für die IT-Sicherheit eine wesentliche Rolle. So sind z.B. Angriffe mit Schadsoftware auf die Dienste in der Cloud denkbar. Auch kann die gebotene Trennung der Daten unterschiedlicher Anwender gefährdet sein. Die Transparenz der Datenverarbeitung in der Cloud ist für die aus der Ferne arbeitenden Cloud-Anwender ohne besondere Maßnahmen des Cloud- Anbieters kaum gegeben. Dies führt u.U. dazu, dass • die Cloud-Anwender die Kontrolle über den Zugriff auf die eigenen Daten aufgeben, • bei der Nutzung einer Public Cloud in Drittländern der Zugriff auf Daten des Cloud-Anwenders durch staatliche und private Stellen möglich und nicht kontrollierbar ist, • Cloud-Anwender nicht über den Ort der Verarbeitung oder die Wege ihrer Daten durch die Cloud und die näheren Umstände der Verarbeitung beim Cloud-Anbieter informiert werden, Jahresbericht BlnBDI 2011                                                 41

Kapitel 2 Schwerpunkte • Cloud-Anwender nicht kontrollieren können, ob die Umstände der Daten- verarbeitung und die Maßnahmen zum organisatorischen Datenschutz beim Cloud-Anbieter den Verträgen zur Auftragsdatenverarbeitung gerecht wer- den, • Cloud-Anwender keine Kontrolle über die Datenspuren haben, die sie bei der Nutzung der Cloud hinterlassen, • Cloud-Anwender keine Kontrolle über Subunternehmer der Cloud-Anbie- ter haben, denen der Zugriff auf die Rechner ermöglicht wird. Zusammenfassung Die Anforderungen an die Datenverarbeitung der Unternehmen und Behör- den, zu denen Datenschutz und Informationssicherheit, aber auch die Kont- rollierbarkeit, Transparenz und Beeinflussbarkeit gehören, sind auch unter den Rahmenbedingungen des Cloud Computing, insbesondere in der Public Cloud, zu erfüllen. Es muss verhindert werden, dass die Fähigkeit der Organisationen, allen voran ihrer Leitungen, die Verantwortung für die eigene Datenverarbei- tung noch tragen zu können, durch das Cloud Computing untergraben wird. Diese Verantwortung darf nicht „verdunsten“. Zu verlangen sind mindestens • offene, transparente und detaillierte Informationen der Anbieter über die technischen, organisatorischen und rechtlichen Rahmenbedingungen der von ihnen angebotenen Dienstleistungen einschließlich der Sicherheitskon- zeption, damit die Anwender klare Entscheidungskriterien bei der Wahl zwi- schen den Anbietern haben, aber auch, ob Cloud Computing überhaupt in Frage kommt, • transparente, detaillierte und eindeutige vertragliche Regelungen der Cloud- gestützten Auftragsdatenverarbeitung, insbesondere zum Ort der Datenver- arbeitung und zur Benachrichtigung über eventuelle Ortswechsel, zur Por- tabilität und Interoperabilität für den Fall, dass z.B. wegen einer Insolvenz des Anbieters die Datenverarbeitung zu einem anderen Anbieter „umzie- hen“ kann, • die Umsetzung von abgestimmten Sicherheitsmaßnahmen auf Seiten von Cloud-Anbietern und Cloud-Anwendern, 42                                                          Jahresbericht BlnBDI 2011

2.1 Cloud Computing • die Vorlage aktueller Zertifikate, die die Infrastruktur betreffen, die bei der Auftragserfüllung in Anspruch genommen wird, zur Gewährleistung der Informationssicherheit und der o. g. Portabilität und Interoperabilität durch anerkannte und unabhängige Prüfungsorganisationen. Wir haben diese Mindestanforderungen an die Initiative „Nationale Plattform Sichere Cloud“ im Rahmen der von der Bundesregierung unterstützten For- schungsunion Wirtschaft-Wissenschaft eingebracht. Dort soll ein Erprobungs- und Testumfeld für deutsche Sicherheitsanbieter entwickelt werden. 2.1.2 Cloud Computing in Berlin Das ITDZ gab Ende 2010 den Startschuss zu einer „Government-Cloud“, um der Berliner Verwaltung künftig Cloud-Services anbieten zu können. Speicher- und Serverkapazitäten, Software und Rechenleistung können innerhalb des Berliner Landesnetzes in Anspruch genommen werden. Voraussetzung war die bereits seit mehreren Jahren erfolgte Virtualisierung des Serverparks des ITDZ. Bei diesem Dienst handelt es sich um eine Private Cloud, bei der die typischen, in der Orientierungshilfe angesprochenen datenschutzrechtlichen Risiken nicht auftreten. Gleichwohl sind auch hier die rechtlichen Rahmenbedingungen der Auftragsdatenverarbeitung nach § 3 BlnDSG zu beachten und die vor allem mit dem Einsatz virtueller Maschinen zusammenhängenden Sicherheitsrisiken in den Sicherheitskonzepten zu berücksichtigen. Ein bedeutendes Wirtschaftsunternehmen hat weniger sensitive, aber gleich- wohl personenbezogene Datenverarbeitungen als „Infrastructure as a Service“ auf eine Public Cloud des amerikanischen Anbieters Amazon World Ser- vice (AWS) ausgelagert. AWS gibt seinen Kunden die Möglichkeit, bei der Registrierung und Parametrisierung des Dienstes den Verarbeitungsort selbst festzulegen, wobei sich das Wirtschaftsunternehmen für das irische Rechen- zentrum des Anbieters entschied, um den rechtlichen Problemen des Transfers von personenbezogenen Daten in Drittstaaten außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums zu entgehen. AWS garantierte, die Wünsche der europäischen Kunden strikt einzuhalten. Gleichwohl fand sich im Standardvertrag der Vorbehalt, dass ein Transfer der Daten in die USA Jahresbericht BlnBDI 2011                                                    43

Kapitel 2 Schwerpunkte zu erfolgen hätte, wenn staatliche Stellen der USA dieses fordern würden. Das Wirtschaftsunternehmen ist unserer Forderung, andere Lösungen als die Beauf- tragung amerikanischer Unternehmen für die Datenverarbeitungen zu finden, bisher nicht gefolgt. Google Text & Tabellen (Google Docs) ist ein Angebot von Google zur Erstellung und Speicherung von Dokumenten, Tabellen und Präsentationen, also zur Nutzung üblicher Office-Programme. Die Nutzung von Google Text & Tabellen unterscheidet sich jedoch in der normalen täglichen Anwendung von den übrigen Office-Paketen dadurch, dass die Verarbeitung über das Inter- net bei Google stattfindet und die erstellten Dateien bei Google gespeichert werden. Man kann auch Dateien beliebiger Dokumenten-Formate zu Google hochladen und dort verwalten. Bei dem Angebot von Google handelt es sich um ein Software-as-a-Service-Angebot in einer Public Cloud. Die Nutzung des Angebots führt zur Speicherung der Daten in einem Datencenter von Google, wobei der Ort der Speicherung nicht festgelegt ist, möglicherweise in den USA erfolgt. Damit greifen dann, wenn die Dokumente personenbezo- gene Daten erhalten, die verschärften rechtlichen Anforderungen bei Daten- transfers in Drittstaaten und die Zugriffsvorbehalte der amerikanischen Admi- nistration. Offenbar ist die Nutzung von Google Text & Tabellen auch zur Verwendung bei der Erstellung von Zeugnissen und dazugehörigen Listen in Berliner Schulen attraktiv. Eltern fragten uns, ob die Schule ihrer Kinder mit dem Ein- satz von Google Docs rechtmäßig handelt. Der Schulleiter erklärte in seiner Stellungnahme, dass es nach seiner Meinung keine bessere Lösung der Textver- arbeitungsaufgaben bei der Zeugniserstellung seiner Schule gäbe. Nach einem längeren Schriftwechsel mit dem Schulleiter teilte er mit, dass er die Nutzung von Google Docs eingestellt habe. Damit konnte von einer Beanstandung abge- sehen werden. Die Nutzung von Cloud-Diensten, bei denen personenbezogene Daten ent- weder in Länder ohne angemessenes Datenschutzniveau exportiert oder dem unkontrollierten Zugriff ausländischer Behörden ausgesetzt werden, ist unzulässig. 44                                                       Jahresbericht BlnBDI 2011

2.2 Aktuelle Datenschutzgesetzgebung in Berlin 2.2 Aktuelle Datenschutzgesetzgebung in Berlin 2.2.1 Novellierung des Berliner Datenschutzgesetzes Das seit Februar geltende Vierte Gesetz zur Änderung des Berliner Daten- schutzgesetzes (BlnDSG) hat zu verschiedenen Verbesserungen geführt. Die 79 wichtigsten Änderungen werden im Folgenden dargestellt: Der Landesgesetzgeber hat Konsequenzen aus dem Urteil des Europäischen Gerichtshofes (EuGH) vom 9. März 2010 gezogen und die Unabhängigkeit des Berliner Beauftragten für Datenschutz und Informationsfreiheit gestärkt.80 Der EuGH hatte die Bundesrepublik Deutschland wegen der Verletzung von Gemeinschaftsrecht verurteilt, weil die Aufsicht über den Datenschutz in der Wirtschaft nicht – wie vorgeschrieben – in völliger Unabhängigkeit statt- fand. In Umsetzung der Vorgaben des EuGH wurde die Rechtsaufsicht des Senats über den Berliner Beauftragten für Datenschutz und Informationsfrei- heit gestrichen; der Dienstaufsicht des Präsidenten des Abgeordnetenhauses von Berlin unterliegt er nur insoweit, als seine Unabhängigkeit dadurch nicht beeinträchtigt wird.81 Die Mehrzahl der Änderungen des Berliner Datenschutzgesetzes erfolgte, um im Anschluss an die Novellierung des Bundesdatenschutzgesetzes (BDSG) in den Jahren 2009 und 2010 die bestehenden Verweisungen der aktuellen Rechtslage anzupassen und verschiedene Regelungen zur Stärkung des Daten- schutzes zu übernehmen. Nach der Novellierung müssen Behörden und öffentliche Stellen des Lan- des Berlin, die Dritte mit der Verarbeitung personenbezogener Daten beauf- tragen, den Umgang des Auftragnehmers mit den Daten entsprechend dem BDSG im Einzelnen festlegen. Die genaueren Festlegungen und Weisungen des Auftraggebers führen auch dazu, dass dieser die Einhaltung der Maßnahmen 79 Gesetz vom 2. Februar 2011, GVBl. S. 51 80 Vgl. JB 2010, Einleitung 81 § 22 Abs. 2 Satz 2 BlnDSG Jahresbericht BlnBDI 2011                                                 45

Kapitel 2 Schwerpunkte b­ esser überprüfen kann.82 Wichtig ist der Hinweis, dass die neuen Mindestan- forderungen für Auftragsdatenverarbeitungsverträge auch für Alt-Verträge gel- ten. Die Verwaltungen sind somit verpflichtet, alle Auftragsdatenverarbeitungs- verträge zu überarbeiten. § 18 a BlnDSG verpflichtet entsprechend unserem Vorschlag öffentliche Stellen des Landes Berlin dazu, unverzüglich den Betroffenen und den Berliner Beauf- tragten für Datenschutz und Informationsfreiheit zu informieren, wenn per- sonenbezogene Daten jemandem unrechtmäßig bekannt geworden sind und dies zu schwerwiegenden Beeinträchtigungen der schutzwürdigen Interessen der Betroffenen führen kann. § 18 a BlnDSG orientiert sich dabei an dem für die Wirtschaft geltenden § 42a BDSG, ist aber weitergehend, da § 42a BDSG nur für bestimmte Datenkategorien gilt.83 Berlin hat damit als eines der ers- ten Bundesländer die Verpflichtung zur Information über Datenlecks auf die öffentliche Verwaltung erstreckt. Durch die Novellierung wurde die Rechtsposition der oder des behörd­lichen Datenschutzbeauftragten gestärkt, indem das Arbeitsverhältnis unter einen besonderen Kündigungsschutz gestellt wird84. Auch hat der Berliner Gesetz- geber der bzw. dem behördlichen Datenschutzbeauftragten ein ausdrückliches Fort- und Weiterbildungsrecht eingeräumt.85 Die positiv zu beurteilenden Veränderungen des BlnDSG werden zu einer Verbesserung des Datenschutzes in Berlin beitragen. 2.2.2 Landeskrankenhausgesetz Am 1. Oktober 2011 ist das neue Landeskrankenhausgesetz (LKG) in Kraft getreten.86 Wir haben die Novellierung intensiv begleitet. Unsere Prüferfah- rung hatte gezeigt, dass für eine Reihe von Abläufen in einem modernen Kran- 82   § 3 Abs. 1 Satz 4 BlnDSG 83   § 42a Satz 1 Nrn. 1 bis 4 BDSG; vgl. 11.2 84   § 19 a Abs. 2 Satz 4 und 5 BlnDSG 85   § 19 a Abs. 5 BlnDSG 86   GVBl. S. 483 46                                                       Jahresbericht BlnBDI 2011

2.2 Aktuelle Datenschutzgesetzgebung in Berlin kenhaus das alte Berliner Landeskrankenhausrecht unzureichende Regelungen enthielt. Die Berliner Krankenhäuser haben in den vergangenen Jahren die 87 Erbringung von nichtmedizinischen Leistungen zunehmend an Dritte überge- ben oder in Tochterunternehmen ausgelagert. Viele Krankenhäuser kochen die Speisen für ihre Patientinnen und Patienten nicht mehr selbst und bedienen sich Externer, um Kranke von einem Standort zum anderen zu transportieren. Der Transporteur muss die Patientinnen und Patienten ansprechen können. Speziell zubereitete Speisen werden mit Namen versehen, um Verwechslun- gen auszuschließen. Das novellierte Gesetz erlaubt die Bekanntgabe der Patientennamen an die Dienstleister dort, wo dies unumgänglich ist und die Nutzung von Daten eine untergeordnete Rolle spielt. Auch die Verarbeitung der Daten im Auftrag ist geregelt worden: Ein Krankenhaus kann die Rechenkapazitäten und techni- sche Expertise eines anderen Krankenhauses nutzen. Auftragnehmern außerhalb eines Krankenhauses müssen die Daten so übergeben werden, dass es ihnen nicht möglich ist, einen Bezug zu den Patientinnen und Patienten herzustellen. Lässt ein Krankenhaus Teile seines Archivs durch Dritte aufbewahren, so müs- sen die Akten verschlossen bzw. verschlüsselt übergeben werden. Häufig erbringen Dienstleister Wartungsleistungen an den im Krankenhaus benutzten Geräten und Systemen. Hierbei lässt sich nicht immer vermeiden, dass sie auch Patientendaten zu Gesicht bekommen. Das neue Krankenhaus- gesetz erlaubt eine solche Wartung, unterwirft sie jedoch strengen Anforderun- gen. Die Initiative zu jedem Wartungsvorgang muss vom Krankenhaus ausgehen, die Wartungsvorgänge unter seiner Kontrolle bleiben und von ihm protokol- liert werden. Informationen über die Kranken dürfen nicht „abfließen“. Die Dienstleister dürfen nur aus Deutschland oder einem anderen Land der EU heraus operieren. Wenn eine Patientin oder ein Patient das Krankenhaus verlässt, schließt dieses die Patientenakte ab und gibt sie in das Archiv. Für elektronische Akten ist das Äquivalent die Sperrung der Akte: Nur noch für eng begrenzte Zwecke, etwa bei Nachfragen einer nachbehandelnden Ärztin oder eines nachbehandelnden 87 JB 2008,8.2.5 Jahresbericht BlnBDI 2011                                                 47

Kapitel 2 Schwerpunkte Arztes, darf auf die gesperrten bzw. archivierten Akten zugegriffen werden. Für die Sperrung gibt das neue Gesetz eine konkrete Frist vor. Patientendaten werden nicht nur für die Behandlung und deren Abrechnung gegenüber den Versicherungen und Krankenkassen genutzt, sondern werden auch benötigt, um die Qualität der Behandlung zu erhöhen. Krankenhäuser und ihre spezialisierten Arbeitsgemeinschaften analysieren Daten aus der Ver- sorgung hierzu zielgerichtet, um festzustellen, ob bestimmte Qualitätsparame- ter eingehalten werden. Schließlich sollen Daten aus der Behandlung auch für Forschungszwecke genutzt werden können. Diesen Verarbeitungszwecken ist gemein, dass sie außerhalb der eigentlichen Behandlung stehen und es gar nicht oder nicht durchgängig erforderlich ist, dass die Verarbeitenden um die Identität der Patientinnen und Patienten wissen, mit deren Daten sie arbeiten. Daher verlangt der Gesetzgeber hier eine Vorge- hen in drei Stufen: Zunächst soll das Krankenhaus prüfen, inwieweit sich die Ziele auch mit anonymen Daten erreichen lassen. So genügen oft anonyme Auszüge aus Patientenakten, um Studierende mit bestimmten Krankheitsbil- dern bekannt zu machen. Sollen über einen längeren Zeitraum Daten zu einer Patientin oder einem Patienten zusammengeführt werden, etwa für die Quali- tätssicherung der Behandlung, so ist dies über ein Pseudonym möglich. Hier- für sind die klinischen Krebsregister einiger Krankenhäuser ein gutes Beispiel. 88 Nur wenn der angestrebte Zweck mit anonymisierten oder pseudonymisierten Daten nicht erreicht werden kann, darf der Patientenname offenbart werden. Völlig neu regelt das novellierte Landeskrankenhausgesetz den Datenzugriff für Forschungszwecke. Die Patientinnen und Patienten sollen die Kontrolle dar- über behalten, wie mit den Daten über ihre Erkrankung und die Behandlung geforscht wird. Sie sollen wissen, für welches Forschungsvorhaben die Daten eingesetzt und wem sie übermittelt werden. Nur in engen Grenzen kann For- schung ohne das Wissen und Wollen der Patientinnen und Patienten betrie- ben werden: Die Ärztinnen oder Ärzte, die eine Patientin oder einen Patienten behandelt haben, können für ihre eigene Forschung auf die Dokumentation der jeweiligen Behandlung zurückgreifen. Auch andere krankenhausinterne Forschung von hohem Allgemeininteresse darf auf die Behandlungsakten des 88 Siehe 7.2.4 48                                                        Jahresbericht BlnBDI 2011

2.2 Aktuelle Datenschutzgesetzgebung in Berlin Krankenhauses zurückgreifen. In jedem dieser Fälle müssen jedoch entgegen- stehende Interessen der Patientin und des Patienten berücksichtigt werden, deren Geheimhaltungsinteresse mit dem Interesse am Forschungsresultat abge- wogen wird. An einrichtungsübergreifend Forschende, Forschungsregister und Proben- sammlungen darf ein Krankenhaus die Patientendaten nur ohne Patientenna- men, allenfalls mit einem Pseudonym versehen, übermitteln. Veröffentlichun- gen der Forschungsergebnisse dürfen Patientennamen, andere identifizierende Merkmale oder Pseudonyme nur dann enthalten, wenn die Patientin oder der Patient ausdrücklich und im Wissen um die konkrete Veröffentlichung zuge- stimmt hat. Das novellierte Landeskrankenhausgesetz mit seinen Regelungen zur Verar- beitung von Patientendaten ist ein wesentlicher Schritt zur Modernisierung des Datenschutzes in einem besonders wichtigen Bereich: Bei der Verar- beitung von Patientendaten. Die Verarbeitung dieser sensitiven Daten und die Grenzen zulässiger Offenbarung im erforderlichen Umfang wurden klar und in einem ausgewogenen Interessensausgleich geregelt. Die Berliner Krankenhäuser sind aufgefordert, die neuen Anforderungen insbesondere zur Verarbeitung von Patientendaten im Auftrag, zur Qualitätssicherung und zur Forschung unverzüglich umzusetzen. 2.2.3 Justizvollzugsdatenschutzgesetz Bereits im Sommer 2009 informierte uns die Senatsverwaltung für Justiz dar- über, dass die Erarbeitung eines Entwurfs für ein Justizvollzugsdatenschutzge- setz geplant ist, um die bisher in verschiedenen Gesetzen festgeschriebenen 89 Regelungen zur Zulässigkeit der Datenverarbeitung im Justizvollzug in einem Gesetz zu bündeln. Gleichzeitig wurden wir gebeten, eigene Vorschläge und Anregungen in dieses Gesetzgebungsvorhaben einzubringen. Dieser Bitte sind wir gern nachgekommen. 89 JVollzDSG Jahresbericht BlnBDI 2011                                                49