Optimized Storage, zu deutsch optimierte Speicherung, ist eine von Apple in macOS Sierra angekündigte Funktion, die das Löschen und Auslagern von nicht bzw. selten benötigten Daten automatisieren soll. Mit Hilfe von Optimized Storage sollen die Nutzer bei der Organisation des Speicherplatzes auf der Festplatte unterstützt werden. Nicht mehr benötigte Daten sollen automatisiert in den Papierkorb wandern und nach 30 Tagen, sofern vom Nutzer gewünscht, gelöscht werden. Selten genutzte Daten sollen hingegen gar nicht gelöscht, allerdings automatisch in die iCloud ausgelagert werden. Zunächst erscheint die Funktion als sehr nützlich, da der begrenzte Speicherplatz auf der Festplatte regelmäßig zum Problem wird. Das automatisierte Löschen und Auslagern von Daten kann allerdings zu datenschutzrechtlichen Risiken führen.

Wieso Optimized-Storage Datenschutz-Probleme hervorruft?

Bei der beruflich veranlassten Erhebung, Verarbeitung und Nutzung personenbezogener Daten sollte stets das Datenschutzrecht befolgt werden. Laut § 3 Abs. 4 BDSG fällt das Speichern, Auslagern (Übermitteln) sowie das Löschen personenbezogener Daten unter die Verarbeitung. Die Verarbeitung darf wiederrum nur erfolgen, wenn eine gesetzliche Grundlage dies erlaubt oder der Betroffene eine informierte Einwilligung abgibt. Das beschriebene Erfordernis einer Rechtsgrundlage oder einer informierten (freiwilligen) Einwilligung kann, insbesondere in Hinblick auf die Auslagerung in die iCloud, zu rechtlichen Schwierigkeiten führen.

Möchte eine „verantwortliche Stelle“ personenbezogene Daten in die iCloud auslagern, so erfordert die Übermittlung eine gesetzliche Grundlage oder die informierte Einwilligung des Betroffenen. Das Speichern in einer Cloud wird regelmäßig als Auftragsdatenverarbeitung (ADV), gemäß § 11 BDSG, eingestuft, die eine Ausnahme darstellt. Der Gesetzgeber betrachtet den Auftraggeber („verantwortliche Stelle“) und den Auftragnehmer (Cloud-Anbieter) als eine Einheit. Die Weitergabe der Daten wird deshalb als „Nicht-Übermittlung“ eingestuft wird. Handelt es sich um eine Auftragsdatenverarbeitung, sollten Auftraggeber und –nehmer einen ADV-Vertrag abschließen. Dieser sollte unter anderem die Weisungsbefugnis des Auftraggebers regeln. Das Einholen einer informierten Einwilligung der Betroffenen ist in diesen Fällen nicht notwendig. Die Fiktion der „Nicht-Übermittlung“ gilt allerdings nur für Auftragsdatenverarbeitungen innerhalb der europäischen Union (EU) und des europäischen Wirtschaftsraums (EWR).

Hat der Auftragnehmer (Cloud-Anbieter) seinen Sitz in einem Drittland (außerhalb der EU / EWR) greift diese Sonderregelung nicht. Das Auslagern in die iCloud, Sitz in den USA, wird als eine Übermittlung, die eine Rechtsgrundlage oder eine informierte Einwilligung erfordert, angesehen. Des Weiteren sollten „verantwortliche Stellen“, wie Unternehmen und Behörden, ein angemessenes Datenschutzniveau herstellen. Der Gesetzgeber geht bis auf wenige Ausnahmen, wie Kanada, davon aus, dass in Drittländern kein angemessenes Datenschutzniveau herrscht. Neben dem erheblichen Aufwand, den ein „verantwortliche Stelle“ mit der Beschaffung der informierten Einwilligungen hätte, müsste sie sich mit Verträgen, wie EU-Standardvertragsklauseln oder Binding Corporate Rules (BCR), beschäftigen. Mit Hilfe dieser Verträge kann die „verantwortliche Stelle“ ein angemessenes Datenschutzniveau herstellen.

Das automatisierte Löschen sollte ebenfalls als sehr kritisch angesehen werden, da die Löschung, ohne angepasstes Backup-Konzept, zu weiteren rechtlichen Problemen führen könnte. Das automatisierte Löschen von Daten, denen gesetzlichen Aufbewahrungsfristen  entgegenstehen, wäre als klares Beispiel für ein zu lösendes Problem zu sehen.

Wo dürften Probleme bei Optimized-Storage verstärkt zu erwarten sein?

Handlungsbedarf dürfte natürlich insbesondere dort auftreten, wo verstärkt Apple-Hardware eingesetzt wird bzw. in der Zukunft Hardware anderer Hersteller, die ähnliche Funktionen ermöglicht. Eine überaus typische Branchenbeispiel sind Agenturen, da Apple-Geräte einfach „schick“ aussehen,  „trendy“ sind und zudem für Grafiker sehr gute Möglichkeiten bieten.

Daneben ist in den letzten Jahren ein klarer Trend zu Gerätewildwuchs rund um den Einsatz von Bring Your Own Device (BYOD) oder Abwandlungen wie Choose Your Own Device (CYOD) zu verzeichnen. Die Entwicklung rund um BYOD / CYOD aber auch Corporate Owned Personally (COPE) ist sowohl in Unternehmen als auch Behörden und natürlich ganz besonders in Vereinen oder bei ehrenamtlich Tätigen zu beobachten. Hier heißt es anzuknüpfen, klare und gesetzlich zulässige Strukturen zu schaffen. Dies geht zumeist nur mit professioneller Unterstützung.

Fazit

Unternehmen, Vereinen sowie anderen „verantwortlichen Stellen“ ist aus Datenschutzsicht von der Nutzung der Funktion abzuraten. Die Verwendung von Optimized Storage bezweckt einen erheblichen Mehraufwand, der sich mit dem Nutzen zumeist nicht decken lässt. Die Nutzung dieser Funktion, insbesondere das Auslagern der personenbezogenen Daten in die iCloud, führt zu neuen Datenschutz-Risiken. Kann oder möchte eine „verantwortliche Stelle“ nicht auf Cloud-Storage-Lösungen verzichten, so wäre ein deutscher Cloud-Anbieter bzw. ein Anbieter mit dem Sitz innerhalb der EU/EWR anzuraten.

Des Weiteren sollten „verantwortliche Stellen“ die Löschung von Daten „selbst in die Hände nehmen“ und geeignete Löschkonzepte mit Ihrer IT-Abteilung erarbeiten.

Eine weitere wichtige Maßnahme wäre die Schulung der Mitarbeiter, da diese häufig, vor allem im Rahmen von BYOD / CYOD / COPE auf Cloud-Lösungen, wie iCloud oder Dropbox, zurückgreifen.

Ähnliche Beiträge