Nach einer repräsentativen Umfrage des Branchenverbandes BITKOM im März diesen Jahres nutzt bereits jedes 4. Unternehmen in Deutschland Cloud Computing – und dass, obwohl die „Cloud“ von Datenschützer durchaus kritisch gesehen wird. Da kommt die Stellungnahme der Artikel 29 Gruppe zum Thema „Cloud Copmputing“ gerade recht…
Der Inhalt im Überblick
Der schlechte Ruf der Cloud
Dass die Cloud nicht das höchste Ansehen unter Datenschützern genießt, hat sich schon des Öfteren recht deutlich gezeigt. Es begann mit einer Orientierungshilfe der Aufsichtsbehörden im Oktober letzten Jahres, bei der erstmals von der bis dahin gültigen Aussage „geht alles gar nicht“ etwas abgerückt wurde und (noch etwas unstrukturierte) Lösungsansätze für den datenschutzkonformen Einsatz geboten wurden. Dennoch erhielt die Cloud einen Big Brother Award und auch das Frauenhofer Institut bescheinigte schlechten Datenschutz.
Die Probleme bei der Cloud
Die Artikel 29 Gruppe hat nun eine Stellungnahme zum Thema Cloud Computing veröffentlicht. Darin werden vorab die größten Risiken beim Einsatz von Cloud Computing aufgezeigt, nämlich
- die fehlende Kontrollmöglichkeit und
- die fehlende Transparenz hinsichtlich der verarbeiteten Daten.
Außerdem sind die Verantwortungsbereiche oft nicht klar definiert. Daher müssen diese klar abgesteckt und benannt werden.
Datenschutzrechtliche Anforderungen an Cloud Computing
Im Bereich des Cloud Computings dürfte es sich in den allermeisten Fällen um eine Auftragsdatenverarbeitung handeln. An diese hat die Artikel 29 Gruppe nun datenschutzrechtliche Anforderungen im Rahmen des Cloud Computing gestellt:
Compliance with basic principles
Grundsätze des Datenschutzes müssen auch im Bereich des Cloud Computing beachtet werden. Dazu gehören etwa Transparenz, Zweckbestimmung und –bindung sowie Festlegung von definierten Löschfristen.
Contractual safeguards
Es muss ein wirksamer, das heißt schriftlicher Vertrag zur Auftragsdatenverarbeitung zwischen Auftraggeber und Auftragnehmer abgeschlossen werden. Dabei werden die zu regelnden Vertragsinhalte von der Artikel 29 Gruppe aufgeführt.
Technical and organisational measures of data protection and data security
Es müssen konkrete technische und organisatorische Maßnahmen zu Datenschutz und Datensicherheit festgelegt sein, wobei unter anderem folgende Aspekte gewährleistet werden müssen:
- Verfügbarkeit,
- Integrität,
- Vertraulichkeit,
- Trennung (nach unterschiedlichen Zwecken unter Beachtung der Zweckbindung),
- Transparenz,
- Gewährleistung der Rechte Betroffener,
- Möglichkeit der Datenübertragung bei Anbieterwechsel und
- Eingabekontrolle.
International transfers
Im Falle von internationalem Datentransfer muss geprüft werden, ob sich dieser auf dem Gebiet der EU/ EWR abspielt oder Daten in unsichere Drittländer übertragen werden, für die zusätzliche datenschutzrechtliche Vereinbarungen notwendig sind.
Ende Gut – alles gut?
Am Ende der Stellungnahme gibt die Artikel 29-Gruppe noch eine Zusammenfassung sowie weitergehende Empfehlungen. Sicherlich ist es eine positive Entwicklung, dass inzwischen versucht wird, das Thema Cloud Computing aktiv anzugehen und nicht länger als „grundsätzlich unzulässig, weil böse“ weg zu ignorieren. Bei den steigenden Nutzern dieses Services hätte dies auch sicherlich keinen Sinn. Ob das Papier der Artikel 29 Gruppe in der Praxis tatsächlich weiterhilft und sich als praktikabel erweist, bleibt abzuwarten…
