Bei ihrer Sitzung im polnischen Sopot hat die Internationale Arbeitsgruppe zum Datenschutz in der Telekommunikation Kriterien zur Informationsverarbeitung in der Cloud festgelegt. Die in der sogenannten Berlin Group versammelten Experten aus 21 Ländern, fordern im "Sopot Memorandum" von den Cloud-Anbietern unter anderem mehr Transparenz und ein Höchstmaß an Kontrolle für ihre Nutzer.

Die Verlagerung von IT-Prozessen in die Cloud dürfe laut der Erklärung nicht den Datenschutz der Betroffenen mindern. Auch im Bereich der Zertifizierung und Auditierung seien mehr Anstrengungen nötig. Ebenso müssten zunehmend datenschutzgerechte und vertrauenswürdige Geschäftsmodelle entwickelt werden.

Rechtliche Rahmenbedingungen

Auch der Appell an die Politik war eindeutig: Die rechtlichen Rahmenbedingungen müssen überprüft und gegebenenfalls ergänzt werden. Datenschutz und Datensicherheit erlangt schließlich bei Cloud Computing in besonderem Maße Bedeutung.

Steve Durbin, Global Vice-President des Information Security Forums (ISF), sieht ebenfalls ein Problem in den weiterhin bestehenden Bedenken zur grenzüberschreitenden Rechtsprechung: „Das Risiko für Services und Leistungserbringung in der Cloud liegt in den mehrfachen, übergreifenden und widersprüchlichen Gesetzen, die sowohl in einem Land als auch über länderspezifische Zuständigkeiten hinweg bestehen.“ Und weiter: „Deshalb müssen unserer Meinung nach klare und stabile rechtliche Rahmenbedingungen bestehen, unter denen die Cloud-Anbieter arbeiten können. Sowohl die Cloud-Anbieter als auch die Cloud-Nutzer müssen sich über ihre gesetzliche Verpflichtungen und den Vorschriften im Klaren sein."

Kommt der „Gold-Standard“ dem Gesetzgeber zuvor?

Einige Konzerne wie SAP sprechen sich mittlerweile dafür aus, dass die Branche einen sogenannten "Gold-Standard" für Datensicherheit, Verfügbarkeit, Vertrauenswürdigkeit und Integrität für die Cloud-Dienste selber festlegt und damit dem Gesetzgeber zuvorkommt. So hat sich Bernd Welz, Leiter Cloud Services bei SAP, dafür ausgesprochen, die Datenverarbeitung in Rechnerwolken einheitlich international zu zertifizieren und auditieren.

Der möglichst globale "Gold-Standard" für die Cloud müsse für Anbieter und Kunden gewährleisten, dass alle legalen Anforderungen erfüllt werden: Sicherheit, Vertrauenswürdigkeit, Verfügbarkeit, Integrität und Datenschutz. Laut Welz gebe es zwar bereits einige Auditierungsmöglichkeiten und Gütesiegel, diese orientierten sich jedoch häufig am Outsourcing beziehungsweise an der "Auftragsverarbeitung" und bleibe somit zu unverbindlich.

Eine einheitliche rechtliche Basis würde letztendlich auch den Wettbewerb stärken, indem sie mittelständischen Unternehmen, die im Cloud Computing Fuß fassen wollen, helfen würde.

Externer Datenschutzbeauftragter für gesetzeskonforme Cloud-Dienste

Der Einsatz von sozialen Netzwerken, Cloud Computing, Mobile Web oder Geodatendiensten bietet für viele Unternehmen Optimierungsmöglichkeiten. Gleichzeitig sind jedoch Auswirkungen auf Datenschutz und Datensicherheit zu bedenken. Nach den Vorgaben von § 11 Bundesdatenschutzgesetz findet in der Regel eine rechtlich abzusichernde Auftragsdatenverarbeitung statt, wenn sich ein Unternehmen einer Cloud-Anwendung bedient. Schließlich ist durch die steigende Komplexität auch eine Spezialisierung im Datenschutz nötig.

Gerne bieten wir Ihnen eine Beratung zu dem gesetzeskonformen Umgang mit Cloud-Computing an. Als Spezialisten im Datenschutz können wir Ihre Innovationen und unsere Kompetenz verbinden und Lösungen schaffen.