DIE REISEWIRTSCHAFT - Alle Ziele. Eine Stimme.
DIE REISEWIRTSCHAFT - Alle Ziele. Eine Stimme.

Orientierungshilfe - Cloud Computing der Datenschutzbeauftragten des Bundes und der Länder

„Cloud Computing darf nicht zu einer Absenkung der Datenschutzstandards im Vergleich zur herkömmlichen Datenverarbeitung führen“, das ist eine der Kernaussagen der Expertengruppe der Konferenz der Datenschutzbeauftragten des Bundes und der Länder. Auf 41 Seiten werden in der Orientierungshilfe systematisch datenschutzrechtliche, aber auch technische und organisatorische Aspekte dieser Form der Datenverarbeitung dargestellt. Der datenschutzgerechte Einsatz dieser neuen Technologie soll damit gefördert werden.

Wer personenbezogene Daten im Rahmen von Cloud Services – Infrastructure as a Service (IaaS), Platform as a Service (PaaS), Software as a Service (SaaS) – erhebt, verarbeitet oder nutzt, sollte diese Orientierungshilfe kennen. Zielgruppe sind Cloud-Anwender: Entscheider, IT-Verantwortliche und Datenschutzbeauftragte.

Zum Inhalt:

Grundsätzlich bleibt ein Cloud-Anwender, der von einem Cloud-Anbieter Dienstleistungen in Anspruch nimmt, die verantwortliche Stelle im Sinne des Bundesdatenschutzgesetzes (BDSG). Er ist damit verantwortlich für die Einhaltung sämtlicher datenschutzrechtlicher Bestimmungen. Und zwar sowohl bei dem von ihm beauftragten Cloud-Anbieter, wie auch bei weiteren Unter-Anbietern, die Dienstleistungen für den Cloud-Anbieter erbringen.

Bei Beauftragung des Cloud-Anbieters sind insbesondere die Bestimmungen des

§11 Abs. 1 BDSG, Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag, zu beachten. Gefordert ist u.a. ein schriftlicher Auftrag, der unter Abs. 2, 6. auch regelt, ob Unterauftragsverhältnisse begründet werden dürfen. Der Arbeitskreis empfiehlt dringend, bereits hier sämtliche mögliche Unter-Anbieter, sowie deren Standorte der Datenverarbeitung, gegenüber dem Auftraggeber zu benennen. Direkte Kontrollrechte des Auftraggebers, auch gegenüber Unter-Anbietern, sollten vertraglich vereinbart werden.

Besonders schwierig gestaltet sich im Rahmen des Cloud-Computing die ebenfalls in § 11 Abs. 2 BDSG geforderte Kontrolle der technischen und organisatorischen Maßnahmen durch den Auftragnehmer vor und während der Datenverarbeitung. Der Arbeitskreis zeigt auf, unter welchen Voraussetzungen Zertifizierungen die Vor-Ort-Prüfungen ersetzen können.

Ausführlich geht die Orientierungshilfe dann auf die Aspekte des grenzüberschreitenden Datenverkehrs sowohl im inner- (EU/EWR) als auch im außereuropäischen Raum ein. Es wird ausdrücklich davor gewarnt, bei einer Verweigerung der Auskunft zu den Standorten der Datenverarbeitung von einer Cloud im innereuropäischen Raum auszugehen.

Mit einer Übersicht der technischen und organisatorischen Aspekte der Verarbeitung personenbezogener Daten – allgemein und cloud-spezifisch - schließt diese sehr empfehlenswerte Orientierungshilfe.