Cloud Computing: "Orientierungshilfe" der Datenschutzbeauftragten

von Dr. Axel Spies, veröffentlicht am 18.10.2011

Der Arbeitskreis Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat eine „Orientierungshilfe“ zum Cloud Computing veröffentlicht, die sehr lesenswert ist: Meines Wissens ist dies die erste detaillierte rechtliche Ausarbeitung der DPAs zu diesem wichtigen Thema.: Clould Computing Dienste fallen grds. unter die Auftragsdatenverarbeitung und müssen die detaillierten Voraussetzungen des § 11 Abs.2 BDSG erfüllen.

Etwas zu kurz kommt  in dem Papier das Thema Verschlüsselung (Kryptographie), das wir hier im Blog ausführlich diskutiert  haben. Fest steht, dass es einer Verschlüsselung von hoher Qualität bedarf, um den Personenbezug der in die Cloud gegebenen Daten sicher zu verhindern.

Besondere Probleme stellen sich, wenn die Daten (auch) außerhalb der EU/EWR abgespeichert werden. Aber nicht nur dann: Microsoft u.a. haben ja im Sommer (wenig überraschend) bestätigt, dass sie auf Anfrage von US-Sicherheitsbehörden an diese möglicherweise Kontendaten herausgeben, die in US-Rechenzentren gespeichert sind (siehe Blog-Eintrag).

Wie realistisch sind nach Ihrer Meinung die neue Orientierungshilfe der Datenschutzbeauftragten? Sind Zertifizierungen der Cloud-Anbieter vielleicht eine Lösung? Was meinen Sie?

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

7 Kommentare

Kommentare als Feed abonnieren

Die "Orientierungshilfe" ist m.E. nur eine grobe Richtlinie und bietet für Nutzer und Cloud Provider keine ausreichende Rechtssicherheit. Viel Neues hat sie nicht zu bieten. Beispielsweise bleibt das Papier gerade bei der durch den Nutzer als verantwortliche Stelle vorzunehmenden Kontrolle des Cloud Providers als Auftragsdatenverarbeiter vage:

"Allerdings darf er sich nicht auf bloße Zusicherungen des Cloud-Anbieters verlassen, sondern er muss eigene Recherchen betreiben,  um sich  Gewissheit  darüber  zu  verschaffen,  dass gesetzlich normierte oder vertraglich vereinbarte Sicherheitsstandards eingehalten werden."

Nutzer und Cloud Provider werden durch das Lesen dieses Satzes sicherlich genauso schlau wie vorher sein. Wahrscheinlich werden sie sich Rechtsrat bei auf Datenschutz spezialisierten Kanzleien holen müssen, um die Risiken zu minimieren.

Datenschutzbehörden beklagen einerseits die mangelnde Einhaltung datenschutzrechtlicher Vorschriften bei der Nutzung von Cloud Computing, bieten aber auf der anderen Seite keine ausreichende Hilfestellung an, wie Nutzer/Cloud Provider die datenschutzrechtlichen Anforderungen so erfüllen können, dass die Behörden keine Beanstandungen haben. Die "Orientierungshilfe" nehme ich da nicht aus. Die Kritik der Datenschutzbehörden ist daher zu einem gewissen Grad "unlauter", weil sie selbst keine ausreichenden Lösungsansätze zur Verfügung stellen.

Zertifikate können in meinen Augen eine Lösung sein, wenn sie von den Datenschutzbehörden in regelmäßiger Verwaltungspraxis anerkannt werden und ihre Erteilung tatsächlich den Anforderungen des BDSG genügt.

0

Vielen Dank. Interessant finde ich z.B. folgende Feststellung in der Orientierungshilfe zum EU/EWR - internen Datenfluss: "Ein völlig gleichwertiges [Datenschutz]-Niveau wird nicht erreicht, wenn die Daten in Unternehmen gespeichert und verarbeitet werden, die EU/EWR-fremden staatlichen Kontrollen unterstehen." (S. 21) Das ist ein zusätzliches Kriterium, das auf den o.g. Microsoft-Fall gemünzt ist und den ungehinderten Datenfluss innerhalb der EU/EWR nach der EU RiLi (siehe § 4b BDSG) aufweicht.  Was meinen Sie?

diese aussage ist deswegen problematisch, weil es dann praktisch nie ein angemessenes datenschutzniveau in einem drittland gäbe. dabei begehen die datenschutzbehörden meines erachtens einen taktischen fehler: sie hätten das verhalten von microsoft für rechtswidrig erklären können, weil es einen unzulässigen datenverarbeitungsvorgang darstellt, die daten an us behörden herauszugeben.stattdessen beschränken sie sich darauf, ein “nicht völlig gleichwertiges niveau“ festzustellen, versäumen es aber, die rechtsfolgen darzustellen.

Es bleibt daher die frage für nutzer und provider offen, welche konsequenzen ihnen von den datenschutzbehörden drohen.

Schließlich gibt es m.E.im rahmen des § 4b BDSG lediglich eine binäre entscheidung: entweder das datenschutzniveau ist angemessen oder eben nicht.

0

Naja, warum etwas gegen Microsoft feststellen, was schon seit langem auch für Outsourcer gilt und hier nie beanstandet wurde? Da müßten doch zuerst Unternehmen wir IBM, HP,.... oder aber auch die Telekom mit signifikanten Niederlassungen in den USA in den Bereich der Rechtswidrigkeit gerückt werden.

Es ist zwar einfacher die Betrachtung fokussiert auf cloud computing zu führen, deswegen aber leider nicht richtiger. Die Frage nach eine praktikablen Abgrenzung und Vorgehensweise bleibt offen. Es klingt ja fast so, als müßte man konsequenterweise alles, was mit den USA zu tun hat vermeiden.

In der Betrachtung von Unternehmen findet eine Riskioabwägung statt. Es ist ja nicht so, dass die amerikanischen Behörden freien Zugang zu den Daten haben. Darüber hinaus ist der erste Ansprechpartner immer das Besitzer der Daten. Einzig der Fall sealed subpoena führt zu einem direkten Herantreten an den Provider. Nun stellt sich doch die Frage, wieviele dieser Vorfälle eintreten. Ich habe hier Unternehmen getroffen, welche in beide Richtungen entschieden haben.

Zur Riskioabwägung gehört auch die Trennung von Datenströmen. So werden Forschungsergebnisse lokal verarbeitet und colaboration findet in der Wolke statt. Dies ist dann allerdings eine Betrachtung ausserhalb des Datenschutzes.

0

Ich stimme Herrn Barnitzke zu, dass Dokument gibt nur einen sehr groben Überblick.

 

Gerade in Fragen des Datenschutz und seiner Vereinbarung in Verträgen bzw. der Überwachung gibt es doch noch große Interpretationsräume. Google setzt z.B. konsequent auf den Safe Harbor Act während Microsoft auf die Kritik an jenem reagiert hat und die sogenannten EU Model Clauses integriert. Wie wenig Behörden und Politik hier am Puls der Entwicklung sind, zeigt alleine die Diskussion der Artikel 29 Gruppe und des Düsseldorfer Kreises zur Frage, wer eigentlich mit wem die EU Model Clauses vereinbaren kann.

Auch die Position von europäischen Unternehmen ist hier zumindest fragwürdig. Auch ein Kundenunternehmen selber sowie ein vermeintlich deutscher Anbieter unterliegen dem Patriot Act sowie eine substantielle Niederlassung in den USA existiert. Insofern ist das mit dem Finger auf Google, Microsoft oder Salesforce.com zeigen nicht ohne Risiko. Die entscheidende Frage ist nämlich, was das Unternehmen im Falle eine Anfrage macht. Microsoft hat sich deutlich erklärt und  wird im Zweifel die Daten in einem sealed subpoena Verfahren herausgeben anstatt Steve Ballmer in Erzwingungshaft gehen zu lassen. Eine solche Klarheit in der Aussage kenne ich von deutschen une europäischen Anbietern nicht. Darüber hinaus darf nicht vergessen werden, dass es sich nicht um Cloud Computing Problem handelt. Auch ein Outsourcing mit einem amerikanischen Anbieter bzw. einem Anbieter mit substantieller Niederlassung in den U.S.A. unterliegt diesen Regeln.

 

Der allgemeine Datenschutz ist mit DPA, Eu Model Clauses und Verinbarungen zur Auditierung noch regelbar. Schwer wird es, wenn branchen Spezifische Anforderungen hinzukommen. Als Beispiel sei hier der §203 STGB mit seinen Auswirkungen auf Versicherungsunternehmen genannt.

 

Mehr Informationen auch auf www.cloud-discussions.com

0

Kommentar hinzufügen