Die Mindestforderungen der Konferenz
In der Presseerklärung sowie dem Fazit der Entschließung der Konferenz der Datenschutz-Aufsichtsbehörden wurden nochmals die Mindestforderungen bei der Nutzung von Cloud-Computing-Dienstleistungen zusammengefasst. Zu verlangen sind danach mindestens
- offene, transparente und detaillierte Informationen der Anbieter über die technischen, organisatorischen und rechtlichen Rahmenbedingungen der von ihnen angebotenen Dienstleistungen einschließlich der Sicherheitskonzeption, damit die Cloud-Anwender einerseits entscheiden können, ob Cloud Computing überhaupt in Frage kommt und andererseits Aussagen haben, um zwischen den Cloud-Anbietern wählen zu können;
- transparente, detaillierte und eindeutige vertragliche Regelungen der cloud-gestützten Datenverarbeitung, insbesondere zum Ort der Datenverarbeitung und zur Benachrichtigung über eventuelle Ortswechsel, zur Portabilität und Interoperabilität für den Fall, dass zum Beispiel wegen einer Insolvenz des Anbieters die Datenverarbeitung zu einem anderen Anbieter "umziehen" kann;
- die Umsetzung von abgestimmten Sicherheitsmaßnahmen auf Seiten von Cloud-Anbieter und Cloud-Anwender;
- aktuelle und aussagekräftige Nachweise (zum Beispiel Zertifikate anerkannter und unabhängiger Prüfungsorganisationen) über die Infrastruktur, die bei der Auftragserfüllung in Anspruch genommen wird, die insbesondere die Informationssicherheit, die Portabilität und die Interoperabilität betreffen.
Datenzugriff von US-Ermittlungsbehörden
Wenngleich die Konkretisierungen der datenschutzrechtlichen Anforderungen durch die Aufsichtsbehörden im Sinne der Rechtssicherheit zu begrüßen sind, wird gerade der Aspekt der datenschutzrechtlich in der Regel unzulässigen Nutzung von US-Cloud-Anbietern aufgrund des potentiellen Datenzugriffs von US-Ermittlungsbehörden nicht thematisiert. Danach behalten sich US-Behörden vor, jederzeit auf die Daten von amerikanischen Unternehmen zurückgreifen zu dürfen. Wie dies in den Vorgang der datenschutzrechtlich zulässigen Gestaltung von US-Cloud-Angeboten eingebunden werden kann wurde nicht behandelt. (oe)
Der Autor Dr. Sebastian Kraska ist Rechtsanwalt und externer Datenschutzbeauftragter. Der Ko-Autor Michael Stolze, LL.M., ist Diplom-Jurist (univ.).
Kontakt:
IITR GmbH, Tel.: 089-5130 3920, E-Mail: email@iitr.de, Internet: www.iitr.de