Juristisch nicht uninteressant sind ja auch die AGB (vulgo auch AGBs bzw., besonders ekelhaft, AGB’s, also Allgemeine Geschäftsbedingungen’s) der meisten Internetdienste, die man täglich so nutzt. Wer etwa Google Drive (ehemals “Google Docs” (ehemals “Google Text & Tabellen”)) zum Erstellen geschäftlicher Dokumente nutzt, der weiß vielleicht gar nicht, dass er zeitweise das Nutzungsrecht an diesen Dokumenten an Google übertragen hatte.
(Weshalb man das mit der cloud in Deutschland im geschäftlichen Umfeld ja auch gar nicht machen darf, weil die Kontrolle über die eigenen Daten nichts ist, was man outsourcen sollte, sonst hat sich das mit den Geschäftsgeheimnissen dann auch bald erledigt; aber wir schweifen ab.)
Wie wir kulturell interessierten Menschen spätestens seit der South-Park-Folge “HUMANCENTiPAD” wissen, könnte das Nichtlesen von Nutzungs- und/oder Geschäftsbedingungen unter Umständen zu Problemen führen, die gravierenden Einfluss auf unser Leben haben können. Dummerweise sind selbige Bedingungen meist so umfangreich (oder schlicht stinklangweilig), dass der übliche Klick auf “Ich habe die Bedingungen gelesen und bin mit ihnen einverstanden” eine der häufigsten Lügen im Internet geworden ist: “Wir erfassen vielleicht Ihre Telefonnummer” (ich berichtete).
Im Netzjargon hat sich für lange, unspannende Texte das Akronym “TL;DR” (Too Long; Didn’t Read — “zu lang, nicht gelesen”) etabliert. Auf diese Abkürzung ist wahrscheinlich der Name des Dienstes ToS;DR (Terms of Service; Didn’t Read — “AGB; nicht gelesen”) zurückzuführen, dessen Betreiber momentan noch mit Unterstützung von den Benutzern die AGB vieler großer Webdienste in Stichpunkten zusammenfassen und diese Dienste in fünf “Klassen” — je nach Freiheit der AGB — einteilen.
Martin Weigert berichtet:
Die im Aufbau befindliche Website listet momentan 32 bekannte Dienste, von Facebook über Google und foursquare bis zu Twitter und Dropbox, und versucht sich an einer kompakten Zusammenfassung der wichtigsten Bedingungen sowie an einer Kategorisierung der einzelnen Anforderungen ausgehend von den vier Attributen “gut”, “mittelmäßig”, “alarmierend” und “informativ”. Das Ziel der Macher ist es, für jeden aufgeführten Service ein Gesamtprädikat zu vergeben, das einen Eindruck über die Aggressivität und Benutzerfreundlichkeit der jeweiligen Geschäftsbedingungen vermittelt.
Natürlich sind AGB immer nur ungefähre Richtlinien, und nicht alles, was ein Unternehmen sich in ihnen erlaubt, wird es auch tun. Vorsicht ist dennoch geboten: Der beliebte Bildhostingdienst Twitpic etwa beansprucht ähnlich Facebook volle Rechte an jedem hochgeladenen Bild und löscht auch “gelöschte” Bilder nicht.
Auf der ToS;DR Working Group, einer Mailingliste, kann über Dienste diskutiert werden, die noch nicht vollständig analysiert und klassifiziert worden sind. ToS;DR ist also ein schnell wachsendes Projekt, das Aufmerksamkeit verdient. Meine hat es hiermit bekommen.
.
Wieso darf man das eigentlich nicht?
Weil der physikalische Speicherort der Daten bekannt sein muss. “Irgendwo in der cloud bzw. auf AWS” o.s.ä. ist nicht spezifisch genug.
Wo steht das? Wie würde ein solches Handeln sanktioniert werden? Wer darf was nicht? Konkretisiere “man”.
Nicht sensible (personenbezogene) Daten darf “man” (also ein Mitarbeiter eines Unternehmens) speichern, wo gerade Platz ist. Das BDSG sowie ein Urteil des EuGH, das ich natürlich gerade nicht vorliegen habe, stellen personenbezogene Daten aber unter besonderen Schutz.
Die Speicherung von Daten “in der Cloud” — sofern sie außerhalb Deutschlands gehostet wird — ist etwa gleichbedeutend mit dem Einsatz von Akismet in der eigenen WordPress-Installation: Es werden höchstwahrscheinlich personenbezogene Daten in die USA exportiert. Die Safe-Harbor-Regelungen sind nur eine Krücke, aber keine dauerhafte Prothese, denn es wird vorausgesetzt, dass regelmäßig kontrolliert wird, dass die Einhaltung des BDSG auch dort gewährleistet bleibt.
Einen ungefähren Überblick hat SPON: Hier.
Alles falsch. Es geht hier, wie Du eingehend vorausgesetzt hast, um “geschäftliche Dokumente”. Um die Sache abzukürzen: Die Antwort liefert § 203 StGB.
Quelle.
TL;DR
Nein, ToS;DR.
Dein scheinbarer Einwand geht schon vom Gesetzeswortlaut her fehl: § 203 III S. 2 StGB erweitert den Anwendungsbereich des Abs. I um die berufsmäßig tätigen Gehilfen. Auch sie machen sich strafbar, soweit sie aus Sicht des Geheimnisberechtigten in den organisatorischen und weisungsgebundenen internen Bereich der vertrauensbegründenden Sonderbeziehung einbezogen sind. Externe Partner scheiden daher von vorneherein aus. IT-Dienstleister stehen völlig außen vor. Die Weitergabe an Google bzw. dadurch bedingt an Dritte (durch Verwertung Googles; und genau das ist der springende Punkt) ist für denjenigen strafbar, der die Dokumente hochgeladen hat.
Das da oben war ich.
Womit wir uns zumindest in der Sache selbst einig wären, richtig?
Ja ich merkte es an der Wortwahl.
Wir sind uns darin einig, dass sich Angehörige bestimmter Berufsgruppen strafbar machen können, wenn sie Dokumente in die Cloud verlagern. Aber eben nicht jedermann im Sinne von “man”.
Darum verlagere ich Dokumente, die solche Geheimnisse i. S. de. § 203 StGB beinhalten, nicht zu Google. Eigene, vorformulierte Schriftsätze, die ich unterwegs mal benötigen könnte, werden verschlüsselt abgelegt. Und dann gibt es noch einige meiner Daten, die ich nicht für schützenswert halte. Diese lege ich unverschlüsselt ab.
Mir kam es darauf an, dass nicht irgendetwas Aufgefangenes nachgeplappert wird, sondern dass der Grund dafür bekannt ist…
Ach, weißt du,
mir als Verbraucher
sind die genauen juristischen Zusammenhänge zu kompliziert. Mir ist nur wichtig, dass ich zumindest die Rechtslage verstehe, ich muss sie nicht en detail nachvollziehen können.
Mit der Faustregel “Geschäftliches gehört nicht auf fremde Server” fährt man sicher auch noch ein paar Jahre lang gut, Gesetzesreformen unberücksichtigt. Wenn man für Sicherung oder Kollaboration unbedingt einen zentralen Server benötigt, wird stets die Installation eines internen Servers empfohlen. Das erleichtert obendrein die Wartung.
Ach weißt Du,
die juristischen Zusammenhänge machen ja gerade die Rechtslage aus. Ich vermisse bei Deinen Artikeln zumindest eine Parallelwertung in der Laienspähre. Dass die nicht vorhanden ist, hast Du ja durch die Antworten auf meine eingehend gestellten Fragen, indem Du alles in einen Topf geworfen und einmal kräftig umgerührt hast, bewiesen.
Nicht alles, was geschäftlich ist, gehört auf einen fremden Server. Insoweit bin ich einverstanden.
Die Wertung überlasse ich Dritten. Es war auch lediglich eine Randbemerkung.