EDSB: Cloud Computing Verantwortung sollte nicht in der Luft hängen

Heute hat der Europäische Datenschutzbeauftragte (EDSB) seine Stellungnahme zur Mitteilung der Kommission über "die Freisetzung des Cloud-Computing-Potenzials in Europa" veröffentlicht, in welcher die Kommission Schlüsselaktionen und politische Maßnahmen zur Beschleunigung der Nutzung von Cloud-Computing-Diensten in Europa vorschlägt. Die Stellungnahme des EDSB reagiert nicht nur auf die Mitteilung, sondern hebt auch die durch Cloud-Computing entstehenden Herausforderungen für den Datenschutz hervor und erklärt, wie die vorgeschlagene Datenschutzverordnung diese nach ihrem Inkrafttreten angehen wird.

Während viele Unternehmen, öffentliche Behörden und Verbraucher erwarten, durch Cloud-Computing von einer Senkung der IT-Dienstleistungskosten und/oder durch Zugang zu besseren Dienstleistungen zu profitieren, ist die Hauptsorge für Cloud-Kunden, dass das System zuverlässig und vertrauenswürdig ist und dass die Datenverarbeitung in Übereinstimmung mit Datenschutzregeln durchgeführt wird.

Peter Hustinx, Europäischer Datenschutzbeauftragter, erklärt hierzu: "Von Cloud-Computing können Einzelne ebenso wie Organisationen profitieren; doch muss es ein angemessenes Datenschutz-Niveau bereitstellen. Momentan haben viele Cloud-Kunden, darunter auch Mitglieder bei Sozialen Medien, wenig Einfluss auf die Geschäftsbedingungen des von Cloud-Anbietern bereitgestellten Diensts. Wir müssen sicherstellen, dass die Anbieter von Cloud-Diensten sich nicht ihrer Verantwortung entziehen und dass es Cloud-Kunden möglich ist, ihre Datenschutzverpflichtungen zu erfüllen. Die Komplexität der Cloud-Computing-Technologie kann nicht als Rechtfertigung für eine Herabsetzung von Datenschutzstandards dienen. "

Die Rechenschaftspflicht ist ein Grundpfeiler des Datenschutzes und die Verantwortlichkeiten aller im Cloud-Computing beteiligten Parteien müssen im Gesetz klar definiert sein. Ohne solche Definitionen könnte die Komplexität und die Beteiligung verschiedener Dienstanbieter dazu führen, dass die Zuordnung von Datenschutzverpflichtungen und Verantwortlichkeiten zwischen Cloud-Kunden und Cloud-Anbietern führen, die nicht deren Rollen und ihrem tatsächlichen Einfluss auf die Dienstleistung entspricht, und damit einen erheblichen Mangel an Datenschutz in der Praxis verursachen. Es besteht ein echtes Risiko, dass in der komplexen Cloud-Umgebung niemand die volle Verantwortung für den Datenschutz übernimmt.

Aus Sicht des EDSB könnten standardisierte allgemeine Geschäftsbedingungen, die Datenschutzvoraussetzungen für Handelsverträge, öffentliches Auftragswesen und internationale Datenübermittlung festlegen, dem Ungleichgewicht zwischen Cloud-Kunden und Cloud-Dienstanbietern begegnen.

Dies würde zusammen mit der vorgeschlagenen Datenschutzrichtlinie, die durch klare Regeln sicherstellt, dass Cloud-Dienstanbieter voll für ihre Verarbeitung haftbar sind, davor schützen, dass die Verantwortung für den Datenschutz in der Schwebe bleibt und sich in den "Wolken" verflüchtigt .

Der EDSB empfiehlt unter anderem:

• Klarstellung und weitere Anleitung dazu, wie wirksame Datenschutzmaßnahmen in der Praxis und die Anwendung verbindlicher unternehmensinterner Vorschriften zu gewährleisten sind
• Entwicklung optimierter Verfahren zu Themen wie Verantwortung von Auftragsverarbeitern und Verarbeitungsverantwortlichen, Datenspeicherungsdauer, Datenübertragbarkeit und Ausübung der Datenschutzrechte der Betroffenen
• Entwicklung von Standards und Zertifizierungsverfahren, die Datenschutzkriterien voll berücksichtigen
• Klare Definition des Begriffs der Übermittlung von Daten und der Kriterien für Zugang zu Daten in der Cloud durch Strafverfolgungsbehörden außerhalb der EWR-Länder.