Datenschützer gibt Hinweise zu Cloud Computing
Anhand einer Analyse europäischer Datenschützer hat das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein Hinweise über die Risiken und das im Cloud Computing anwendbare Recht veröffentlicht.
Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat Hinweise für datenschutzgerechte Cloud-Dienstleistungen nach deutschem und europäischem Recht veröffentlicht. Sie beruhen auf einer Stellungnahme (PDF-Datei) der Artikel-29-Datenschutzgruppe vom 1. Juli 2012. Sie hatte darin die für Cloud Computing geltenden Bestimmungen des EU-Datenschutzrechts analysiert und Empfehlungen herausgegeben. In einem Fact-Sheet (PDF-Datei) hat das ULD die datenschutzrechtlichen Risiken und das anwendbare Recht zusammengefasst. Mit ihnen soll datenschutzkonformes Cloud Computing möglich sein.
Da der Cloud-Anwender über das Outsourcing an einen Cloud-Dienst entscheidet, sei er damit die datenschutzrechtlich verantwortliche Stelle, der Cloud-Anbieter sei Auftragnehmer, schreibt das ULD. Das sei auch dann so, wenn der Anwender ein kleines oder mittleres Unternehmen und der Anbieter ein internationaler Konzern sei. Der Anwender als verantwortliche Stelle sei bei der Vertragsgestaltung nicht berechtigt, Klauseln zu akzeptieren, die nicht mit dem Datenschutzrecht vereinbar seien. Die Auftragsvereinbarung sollte auch regeln, dass der Anbieter verpflichtet ist, den Anwender über alle Unterauftragsverhältnisse und über alle Orte zu informieren, an denen personenbezogene Daten gespeichert oder verarbeitet werden können.
"Wer personenbezogene Daten in der Cloud verarbeiten lässt, ist gesetzlich dazu verpflichtet, den bzw. die Dienstleister sorgfältig auszuwählen", heißt es weiter in den Hinweisen. Dafür reiche ein Blick auf die Datensicherheit nicht. "Neben Verfügbarkeit, Vertraulichkeit und Integrität müssen die Datenschutz-Ziele Transparenz, Nicht-Verkettbarkeit und Intervenierbarkeit umgesetzt werden." Personenbezogene Daten in Staaten außerhalb des europäischen Wirtschaftsraums zu übermitteln sei nur unter bestimmten Voraussetzungen zulässig, zum Beispiel wenn Standardvertragsklauseln verwendet werden. Bei einer Datenübermittlung in die USA könne sich der Cloud-Anwender nicht auf eine Selbstzertifizierung nach den Safe-Harbor-Prinzipien verlassen. Er müsse die Zertifizierung und ob die Prinzipien eingehalten werden selbst überprüfen. (anw)
