EU forciert Datenschutz in Clouds

Die Datenschutzgruppe der Europäischen Union (EU) hat sich das Cloud Computing vorgeknöpft und Empfehlungen zum Datenschutz ausgesprochen. Ein Überblick über die wesentlichen Tipps.
von Michael Rath (ist auf IT-Recht spezialisierter Anwalt bei der Luther Rechtsanwaltsgesellschaft mbH in Köln) und Britta Rothe (ist Anwältin für IT-Recht bei der Luther Rechtsanwaltgesellschaft mbH in Köln.)

Foto: maxkabakov - Fotolia.com

Die so genannte Artikel-29-Datenschutzgruppe hat sich Anfang Juli mit einer offiziellen Stellungnahme zum Thema Cloud Computing zu Wort gemeldet. Darin spricht die Arbeitsgruppe keine konkrete Empfehlungen aus, wie man Cloud-Modelle sicher nutzen beziehungsweise wie man die größten Cloud-Risiken vermeiden kann. Die als erste Orientierungshilfe zu verstehende Stellungnahme greift grundsätzliche Aspekte heraus, ohne dabei detailliert auf außereuropäische Cloud-Modelle einzugehen.

Die Artikel-29-Datenschutzgruppe ist ein unabhängige Beratungsgremium, die die Europäische Kommission in Fragen des Datenschutzes berät. Die Bezeichnung geht auf den Artikel 29 der Datenschutzrichtlinie zurück, die im Oktober 1995 verabschiedet wurde (Richtlinie 95/46/EG). Der Artikel sieht den Einsatz eines entsprechenden Expertengremiums für die Kommission vor (siehe Wikipedia-Eintrag zur Artikel-29-Datenschutzgruppe).

Im Folgenden stellen wir die wesentlichen Punkte der Artikel 29-Datenschutzgruppe vor.

Datenkontrollverlust und Intransparenz

Intransparenz in der Datenverarbeitung und der Kontrollverlust über Daten stellen bei der Nutzung von Cloud-Diensten die häufigsten Probleme dar und werden auch in dem Bericht der Artikel 29-Datenschutzgruppe besonders herausgegriffen. Dabei können sich diese Problemfelder auf vielerlei Weise beim Cloud-Computing bemerkbar machen:

Interoperabilität der Daten: Ein häufiges Dilemma stellt bislang die mangelnde Datenportabilität der in einer Cloud gespeicherten Daten dar. Häufig verarbeiten Cloud-Anbieter die Daten nicht in standardisierten Datenformaten, was bei einem Wechsel des Cloud-Anbieters zu einem großen Problem führen kann, da die Daten dann häufig nicht mehr weiterverarbeitet werden können (vendor lock-in). Ähnliches gilt, wenn Daten, die auf unterschiedlichen Cloud-Systemen unterschiedlicher Provider gespeichert sind, untereinander ausgetauscht werden sollen (zum Beispiel innerhalb von Konzernen).
Empfehlung: Lassen Sie sich die Datenportabilität von dem Cloud-Anbieter garantieren und vereinbaren Sie dahingehend sichere Exit-Regelungen.

Behördliche Zugriffe: Überdies besteht die Gefahr, dass staatliche Behörden insbesondere im EU-Ausland Zugriff auf Cloud-Systeme nehmen. Sie können damit gegebenenfalls europäische Daten ausspähen und hiesige Datenschutzgesetze verletzen. Ein prominentes Beispiel stellen die Zugriffsrechte der US-Behörden nach dem so genannten Patriot Act dar (siehe auch Vorsicht vor Clouds im Ausland).
Empfehlung: Meiden Sie außereuropäische Clouds.

Betroffenenrechte: Ein weiteres Risiko bei Cloud-Lösungen stellt die Gefahr dar, dass der Cloud-Nutzer durch das "Aus-der-Hand-geben" seiner Daten die Hoheit über diese verliert und so zum Beispiel nicht mehr in der Lage ist, in angemessener Form auf die im deutschen Datenschutzrecht verankerten Betroffenenrechte wie Auskunft, Löschung und Berichtigung einzugehen.
Empfehlung: Der Cloud-Provider sollte bei der Beantwortung der Anfragen von Betroffenen unterstützen und die korrekte Behandlung der Betroffenenrechte sicherstellen.