Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder (=Aufsichtsbehörden) hat vor kurzem ein Papier veröffentlicht, das einen datenschutzkonformen Einsatz von Cloud-Angeboten fördern soll und sich mit diesem Ansatz gezielt an Unternehmen richtet: Orientierungshilfe – Cloud Computing Version 1.0
Der Inhalt im Überblick
Die Aufsichtsbehörden bekennen erstmals Farbe
Bemerkenswert ist dies vor allem deshalb, weil die Aufsichtsbehörden sich damit erstmals ausführlicher dazu äußern, wie der Umgang mit personenbezogenen Daten in Clouds datenschutzgerecht erfolgen kann. Bisherige Aussagen beschränkten sich – passend zum Thema recht nebulös – auf so etwas wie
… viel zu gefährlich, nicht mit dem Datenschutz vereinbar…
Ein im Datenschutzrecht bekanntes Phänomen. Leider helfen solche Aussagen kaum weiter, da einen die Wirklichkeit in einer globalisierten Wirtschaft einholt, auch wenn in Deutschland datenschutzrechtliche Bedenken bestehen. Lösungsansätze sind also gefragt.
Vorsicht ist angebracht
Allerdings muss man den Aufsichtsbehörden hier auch zugute halten, dass keine Patentrezepte für einen datenschutzkonformen Einsatz von Cloud-Lösungen auf der Hand liegen. Das liegt zunächst daran, dass es verschiedenste Ausprägungen von Cloud-Angeboten gibt, die auch aus Datenschutzsicht unterschiedlich zu bewerten sind.
Darüber hinaus bestehen bei Cloud-Lösungen in der Tat vielfältige Gefahren für die Informationssicherheit, da oft nicht transparent ist, welche Server welcher (Sub-)Auftragnehmer genutzt und ob diese ausreichend administriert werden.
Weitere Sicherheitsrisiken drohen durch unbefugte Zugriffe auf die Daten. Um diesen Problemen angemessen begegnen zu können, empfiehlt sich die Lektüre des Cloud Computing Eckpunktepapiers des BSI.
Clouds in den USA
Die Orientierungshilfe greift sogar das heiße Eisen internationaler Clouds auf. Beispielsweise besteht die Gefahr staatlicher Zugriffe auf die Daten, wenn die Server in den USA stehen (wir berichteten). Hier werden verschiedene Lösungsansätze genannt (S. 10 ff.), die zumindest darauf schließen lassen, dass die Aufsichtsbehörden einen datenschutzkonformen Betrieb internationaler Clouds (auch außerhalb Europas) grundsätzlich für zulässig halten.
Ein Anfang ist gemacht
Auch wenn die Empfehlungen der Orientierungshilfe insgesamt noch etwas unstrukturiert und unübersichtlich daherkommen, ist die Initiative der Datenschutzbehörden grundsätzlich zu begrüßen. Auf diese Vorschläge kann in der weiteren Diskussion aufgebaut werden. Sicher ist hier nur, dass die Relevanz von Cloud-Lösungen weiter zunehmen wird und deshalb auch die fortlaufende Datenschutzdiskussion zu brauchbaren Lösungen führen muss.