Cloud-Computing ist in aller Munde; das Verständnis für die Technologie allerdings noch nicht in den Köpfen. Strenge Datenschutzbehörden, die in Alleingängen versuchen, die Cloud-Anbieter und deren Kunden “anzuleinen” scheitern, denn die Wolke macht vor den geographischen Grenzen der Gesetze nicht halt. Nun aber gibt es erstmals internationale Standards, die daher eine berechtigte Chance haben, den Cloud-Markt zu regulieren und den Verwendern (Unternehmen, Behörden usw.) aber auch eine Richtschnur für die Frage in die Hand geben, ob der Anbieter der Wahl wirklich ausreichend Datenschutz sichert.
1. Die neuen Regeln
In einem Memorandum der sog. Berlin Group, also der Internationalen Arbeitsgruppe zum Datenschutz in der Telekommunikation, wurden erstmals internationale Standards für den Datenschutz in der Cloud festgelegt. Hierbei handelt es sich zunächst einmal um eine Vielzahl ausdifferenzierter Empfehlungen. Doch Unternehmen, die eine Cloud anbieten oder mit ihren Daten in die Cloud gehen, müssen sich darauf einstellen, dass die Aufsichtsbehörde künftig die Cloud-Produkte an diesen Standards messen werden. Soll heißen: Ein Unternehmen, das seine Kunden- und/oder Beschäftigtendaten in eine Cloud gibt, die diesen Standards nicht gerecht wird, verstößt möglicherweise selbst gegen das Datenschutzrecht. Aufgrund der Vielzahl der Regelungen soll hier auf die Zusammenfassung der Berlin Group zurückgegriffen werden:
•Durch die Verlagerung der Datenverarbeitung in die Cloud darf der Datenschutz für die Betroffenen nicht abgesenkt werden;
•verantwortliche Stellen müssen vor einer Inanspruchnahme von Cloud-Diensten eine Folgenabschätzung vornehmen;
•Anbieter von Cloud-Diensten müssen für größtmögliche Transparenz sorgen und ihren Nutzern ein Höchstmaß an Kontrolle ermöglichen;
•mehr Anstrengungen im Bereich der Zertifizierung und der Entwicklung von datenschutzgerechten und vertrauenswürdigen Geschäftsmodellen sind nötig;
•die Gesetzgeber müssen die rechtlichen Rahmenbedingungen überprüfen und notwendige Ergänzungen ins Auge fassen.
2. Fazit
Aus diesen Regeln können nicht nur Cloud-Anbieter lernen, sondern auch diejnigen Unternehmer, die ihre Daten in die Cloud geben. Denn sie bleiben verantwortlich für die Daten, auch wenn sie sie weitergeben. Üblicherweise spricht man von einer sog. Auftragsdatenverarbeitung. Mithin können und müssen Unternehmer und Behörden diese Regeln sehr ernst nehmen und bei der Auswahl ihrer Cloudanbieter berücksichtigen.
Dr. iur. Stephan Gärtner
Rechtsanwalt Compliance Manager
ilex Datenschutz – Potsdam
Alleestraße 13
14469 Potsdam
Telefon: (0331) 97 93 75 0
Telefax: (0331) 97 93 75 20
Internet: www.ilex-datenschutz.de
Die ilex Datenschutz GbR ist ein hochspezialisiertes Beratungshaus mit Büros in Potsdam und berät in- und ausländische, mittelständische Unternehmen der privaten und öffentlichen Hand, kommunale Gebietskörperschaften und Behörden auf den Gebieten des Datenschutzes und des Datenschutzrechts!