Deutscher Bundestag – 17. Wahlperiode
71 –
–
–– 71
Drucksache 17/13000
K a s t e n z u N r. 5 . 3
Arbeitsgruppen und Veröffentlichungen zum Cloud Computing
Mit einer Entschließung der 82. Konferenz der Beauftragten für den Datenschutz des Bundes und der Länder wurde die
Orientierungshilfe – Cloud Computing angenommen. Sie richtet sich an Entscheidungsträger, betriebliche und behördliche
Datenschutzbeauftragte sowie an IT-Verantwortliche und soll den datenschutzgerechten Einsatz dieser Technologie fördern.
http://www.datenschutz.bund.de
Die Artikel-29-Datenschutzgruppe hat im Juli 2012 das Working Paper WP 196 der europäischen Datenschutzbeauftragten veröffentlicht, welches auf rechtliche Probleme und Risiken beim Cloud Computing aufmerksam macht und
entsprechende Hinweise gibt. Kerninhalte des Papiers sind Ausführungen zum anwendbaren Recht für die Pflichten
und Verantwortlichkeiten von Cloud-Anbietern und Cloud-Anwendern, technisch-organisatorische Maßnahmen zum
Schutz der Daten in der Cloud sowie rechtliche und technische Vorgaben für Datentransfers in Drittstaaten. Es wird
insbesondere darauf hingewiesen, dass alle Subunternehmer benannt und alle relevanten Details offen gelegt und vertraglich geregelt werden sollten. Aufgenommen in die Opinion wurden auch technische und organisatorische Maßnahmen des Datenschutzes und der Datensicherheit, wie Sie in der Veröffentlichung „Ein modernes Datenschutzrecht
für das 21. Jahrhundert“ von der Konferenz der Datenschutzbeauftragten des Bundes und der Länder veröffentlicht
wurden. Demnach sind neben der Vertraulichkeit, Integrität und Verfügbarkeit ebenso die Schutzziele Isolierung (entspricht dem in Deutschland gebräuchlichen Begriff der Unverkettbarkeit), Intervenierbarkeit, Rechenschaft und Portabilität aufgeführt.
http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp196_de.pdf#h2-1
Weitere Diskussionen auf internationaler Ebene fanden in der Arbeitsgruppe der IWGDPT (International Working
Group on Data Protection in Telecommunications) im Frühjahr 2012 und auf der 34. Internationalen Datenschutzkonferenz in Uruguay im letzten Herbst statt (vgl. Nr. 2.4.3). In ihrem Sopot Memorandum weist die IWGDPT auf ein
hohes Transparenzgebot hin, während auf der internationalen Datenschutzkonferenz in einer Entschließung unter anderem die Überprüfung und Einhaltung eines ausreichenden Datenschutzniveaus sowie die frühzeitige Berücksichtigung und Implementierung des sogenannten „Privacy by Design“ (PbD) in den Vordergrund gestellt wurden.
http://datenschutz-berlin.de/content/nachrichten/datenschutznachrichten/%2027-april-2012,
http://www.datenschutz.bund.de
Der BfDI engagierte sich zudem in der AG-Rechtsrahmen der Trusted-Cloud-Initiative des BMWi (http://www.trus
ted-cloud.de) und in mehreren Arbeitsgruppen der AG4 des IT-Gipfels der Bundesregierung. Dabei wurden in beiden
Bereichen Papiere mit Datenschutzbezug erarbeitet. Die Veröffentlichung „Datenschutzrechtliche Lösungen für
Cloud Computing – Ein rechtspolitisches Thesenpapier“ der AG-Rechtsrahmen geht in ihren zehn Thesen auf die
Problematiken beim Cloud Computing im Zusammenhang mit der Auftragsdatenverarbeitung, der Erteilung von Testaten und mögliche Akkreditierungen ein. Ein innerhalb der UAG Cloud des IT-Gipfels erarbeitetes Dokument
„Rechtliche Anforderungen an Cloud Computing – Sichere Cloud-Dienste“ steht leider immer noch aus. Bei einer
Veranstaltung der AG4 in Bonn im September 2012 hat sich gezeigt, dass Cloud innerhalb der IT-Branche ein kontrovers diskutiertes Thema ist und dass weiterhin offene Fragen der IT-Sicherheit und des Datenschutzes bestehen, auch
wenn sich bei vertraglicher Beauftragung zur Nutzung von Cloud-Diensten im Vergleich zum klassischen IT-Outsourcing rein datenschutzrechtlich gesehen bis auf die Unbekanntheit des Ortes der Speicherung und Verarbeitung
nicht „all zu viel“ geändert hat.
Allgemein werden derzeit immer wieder Forderungen nach Standards und Zertifizierungen beim Cloud Computing
gestellt. In einem ersten Schritt hat das Bundesamt für die Sicherheit in der Informationstechnik (BSI) ein Eckpunktepapier unter meiner Mitwirkung erstellt und veröffentlicht, welches Basisanforderungen, Anforderungen an hohe
Vertraulichkeit und hohe Verfügbarkeit auf Grundlage des IT-Grundschutzes beim Einsatz von Cloud Computing sowie Hinweise zum Datenschutz enthält. Das Eckpunktepapier ist unter (http://www.bsi.de) abrufbar. In einem nächsten Schritt ist man gerade dabei eine IT-Sicherheitszertifizierung von Cloud-Technologien vorzubereiten. Schon in
naher Zukunft wird es beim Cloud Computing geprüfte IT-Sicherheit in Deutschland geben.
5.4
Stillstand: der Cookie-Paragraph
Es ist unklar, ob und auf welcher Grundlage die als Cookie-Paragraph bekannte Regelung der E-Privacy-Richtlinie in Deutschland angewendet werden soll.
Die Sache ist festgefahren: Das zuständige Bundesministerium für Wirtschaft und Technologie bleibt bei seiner Meinung, das Einwilligungserfordernis für das Setzen von
Cookies sei eigentlich schon immer im Telemediengesetz
(TMG) festgeschrieben gewesen (vgl. 23. TB Nr. 4.4), die
Datenschutzaufsichtsbehörden wenden bisher weiterhin
überwiegend die Widerspruchsregelung des § 15 Absatz 3
TMG an, die EU-Kommission schweigt. Sie prüft.
Verunsichert sind die Anbieter von Internetdiensten, die
ihr Angebot rechtskonform gestalten wollen, und die Nutzer, die sich nicht heimlich beobachten lassen wollen.
Nach einer Lösung gefragt sind immer wieder die Datenschutzbehörden, die für Anbieter und Nutzer gleichermaßen Ansprechpartner sind.
BfDI 24. Tätigkeitsbericht 2011-2012