Die deutschen Datenschutz-Aufsichtsbehörden haben bei der 82. Konferenz der Datenschutzbeauftragten der Länder und des Bundes in München eine Entschließung in Sachen Datenschutz beim Cloud Computing verabschiedet. Unter dem Titel “Datenschutzkonforme Gestaltung und Nutzung von Cloud Computing” wurden die entsprechenden Grundlagen festgehalten. Bekanntermaßen hat diese Technologie wirtschaftliche und organisatorische Vorteile, was zu einem großen Einsparpotenzial in der Anschaffung, dem Betrieb und der anschließenden Wartung von IT-Systemen bietet. Zudem werden Rechenkapazitäten nur nach Bedarf – abhängig vom Verbrauch – bezahlt und Geschäftsanwendungen und Dokumentenmanagement können an jedem beliebigen geografischen Ort genutzt werden. Im Nachfolgenden werden die wichtigsten Punkte aufgezeigt.
Orientierungshilfe soll Zuständige unterstützen
Im Vorfeld der Konferenz wurde hierzu eine Orientierungshilfe in Sachen Datenschutz beim Cloud Computing entwickelt. Mit dieser will die Datenschutz-Aufsichtsbehörden eine Förderung des datenschutzgerechten Cloud Computing erreichen. Diese Orientierungshilfe richtet sich dabei an die Entscheidungsträger, IT-Verantwortliche sowie die betrieblichen oder auch behördlichen Datenschutzbeauftragten. Neben einem Katalog mit ausführlichen Informationen rund um die Technologie enthält die Orientierungshilfe auch die Mindestanforderungen im Bereich des Vertragswesens, der Technik und des Organisatorischen rund um das Cloud Computing.
Die datenschutzrechtlichen Schwerpunkte und die Verantwortung
In der Orientierungshilfe wird zunächst ein Fokus auf die datenschutzrechtlichen Schwerpunkte gelegt. Dabei geht es vor allem um die speziellen Risiken des Cloud Computing – unabhängig von den klassischen Bedrohungen wie einer Schadsoftware und Anti Virus Schutz. Ausgangspunkt dieses Bereiches ist, dass es sich bei den Anwendern der Technologie um verantwortliche Stellen nach dem Bundesdatenschutzgesetz handelt, die gewährleisten müssen, dass alle datenschutzrechtlichen Bestimmungen eingehalten werden. Darüber hinaus wird in der Orientierungshilfe auch auf die datenschutzrechtlichen Gefahren der IT-Verantwortlichen ausführlich eingegangen, die sich daraus ergibt, dass die IT ausgelagert wird. Hierbei spielen insbesondere die Themen Transparenz sowie Beeinflussung und Kontrolle eine wichtige Rolle. Denn Protokollierung und Dokumentation der DV-Prozesse finden beim Anbieter des Cloud Computings statt – die sich daraus ergebende Folge ist fehlende Transparenz. Insofern ergibt sich auch die Schwierigkeit der Kontrolle, ob die Pflichten des Datenschutzes eingehalten werden. Die IT-Verantwortlichen stehen vor der Gefahr, dass keine Gewährleistung der Rechtmäßigkeit der kompletten Datenverarbeitung mehr möglich ist. Dies aber ist die gesetzliche Verpflichtung. Dabei geht die in München vorgelegte Orientierungshilfe auch nochmals auf die möglichen haftungsrechtlichen Folgen ein. Sollten die Datenschutzbestimmungen nicht eingehalten werden, drohen Schadenersatzforderungen der Betroffenen oder aber Bußgelder und Anordnungen der Aufsichtsbehörden.
Datentransfers ins Ausland
Ein weiterer Fokus, einer DSL-Leitung (nach der Wahl zum Bester DSL Anbieter), und der Orientierungshilfe ist die Frage nach den Datentransfers in das außereuropäische Ausland. Hier greifen schon nach dem Bundesdatenschutzgesetz besondere Anforderungen (§§4b, 4c). Insofern gibt es beim Cloud Computing keine Besonderheiten zu beachten. Besteht nämlich in dem Land außerhalb Europas, wie beispielsweise den USA, kein Datenschutzniveau, das von der EU-Kommission anerkannt ist, dann muss der Cloud-Anwender dieses vorweisen und auch garantieren. Möglich ist dies unter anderem durch Standardvertragsklauseln der EU. Mit den Vereinigten Staaten gilt seit langer Zeit das Safe-Harbor-Agreement, wobei es nun von der Konferenz in München zum ersten Mal konkrete Anforderungen gibt, wie mit US-Cloud-Anbietern verfahren werden soll. Im Resultat sieht die Orientierungshilfe vor, dass es zwischen Anbieter und Anwender des Cloud Computings einen Vertrag zu geben hat, der nach § 11 Abs. 2 des Bundesdatenschutzgesetzes eine Auftragsdatenverarbeitung vorsieht. Damit werden die hierin verankerten Garantien zum Gegenstand der Vereinbarung. Dies gilt auch schon für bestehende Vertragsabschlüsse. Keine konkreten Informationen gibt es in der Orientierungshilfe hingegen, wie mit dem Zugriff beispielsweise von Ermittlungsbehörden aus den USA umzugehen ist. Dafür zeigt die umfangreiche Orientierungshilfe aber zahlreiche weitere Punkte auf, die den IT-Verantwortlichen im Bereich des Cloud Computing wichtige Details näherbringen.
