Drucksache 17/5200
– 64 –
Die in § 11 BDSG festgelegten Anforderungen sind sowohl bei Vergabe an inländische wie an ausländische
Auftragnehmer zu beachten. So muss der schriftliche
Auftrag beispielsweise Gegenstand und Dauer, den Umfang, die Art der Daten und den Kreis der Betroffenen,
die technischen und organisatorischen Maßnahmen, Regelung der Berichtigung und Löschung und weitere Festlegungen nach § 11 Absatz 2 BDSG enthalten. Dies setzt
voraus, dass der Auftraggeber im Detail weiß, welche der
Daten wo unter welchen Bedingungen verarbeitet werden. Dies ist bei Cloud Computing dann schwer zu bewerkstelligen, wenn freie Serverkapazitäten erst ad hoc
zugewiesen werden.
Der Auftraggeber muss sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der
technisch-organisatorischen Maßnahmen zur Gewährleistung des Datenschutzes überzeugen. Dies kann durch eine
Vor-Ort-Inspektion geschehen oder durch Zertifizierung
durch einen unabhängigen und vertrauenswürdigen Dritten, der kein eigenes Interesse an einer positiven Zertifizierung hat. Auf jeden Fall sind dabei die Bedingungen
der im Einzelnen genutzten Rechenzentren und deren Bedingungen vor Ort einzubeziehen.
Eine wirksame Datenschutzkontrolle muss auch beim
Auftragnehmer gewährleistet sein. Auch hier dürften sich
angesichts des verteilten Ansatzes diverse praktische
Schwierigkeiten ergeben.
Aus den genannten Gründen ist das Cloud Computing
derzeit nur unter eingeschränkten Bedingungen zulässig
und praktikabel.
Ein Lösungsansatz wäre z. B. eine Vorschrift zur gemeinsamen Datenverarbeitung mehrerer verantwortlicher Stellen. Möglicherweise kann auch das Konzept der nachhaltigen Verantwortlichkeit („Accountability“) in dieser
Richtung hilfreich sein. Accountability bedeutet, die Verantwortung für die Rechtmäßigkeit der Datenverarbeitung
bei der Beteiligung mehrerer Stellen durch entsprechende
Vorschriften von den tatsächlichen Einflussmöglichkeiten
und der Interessenlage der Betroffenen abhängig zu machen. Die Konferenz der Datenschutzbeauftragten des
Bundes und der Länder hat hierzu in ihren Eckpunkten zur
Modernisierung des Datenschutzrechts bereits erste Vorschläge unterbreitet (vgl. Nr. 1).
Erforderlich ist eine interessengerechte Verteilung der
Verantwortlichkeiten, d. h. beim Cloud Computing auch
des oder der Auftragnehmer(s). Jede Stelle, die in tatsächlicher Hinsicht über Mittel und Zwecke der Datenverarbeitung verantwortlich bestimmen kann, soll in diesem
Umfang auch verantwortlich für die Rechtmäßigkeit der
Datenverarbeitung sein.
Nur wenn bestimmte rechtliche, technische und organisatorische Voraussetzungen erfüllt sind, sollten Dienstleitungen über eine Cloud realisiert werden (vgl. Kasten zu
Nr. 5.6). Personenbezogene Daten dürfen nur dann in der
Cloud verarbeitet werden, wenn sie effektiv gegen Missbrauch geschützt werden. Hierzu sollte auch dem Grundsatz des Privacy by Design gefolgt werden, um frühzeitig,
bereits bei der Erstellung von Cloud-Services, einen effek-
BfDI 23. Tätigkeitsbericht 2009-2010
Deutscher Bundestag – 17. Wahlperiode
tiven Datenschutz zu implementieren. Zudem sollte ein
Höchstmaß an Transparenz bei der Inanspruchnahme von
Cloud-Diensten gewährleistet sein. Insgesamt sehe ich
beim Cloud Computing noch viele offene rechtliche und
technische Fragen.
K a s t e n zu Nr. 5.6
Zum Einsatz von Cloud Computing befindet sich ein Leitfaden „BSI-Mindestsicherheitsanforderungen an CloudComputing-Anbieter“ in der öffentlichen Abstimmung.
In diesem Dokument (Version 0.96 vom 27. September
2010) werden Basisanforderungen, Anforderungen an
hohe Vertraulichkeit und hohe Verfügbarkeit auf Grundlage des IT-Grundschutzes beim Einsatz von Cloud
Computing aufgeführt. Betrachtet werden hier u. a. das
Sicherheitsmanagement beim Anbieter, Sicherheitsarchitektur, ID- und Rechtemanagement, Transparenz, organisatorische Anforderungen, Kontrollmöglichkeiten
für den Nutzer und Datenschutz/Compliance. Mit Hilfe
des Leitfadens soll ein so komplexes Thema wie der Einsatz von Cloud Computing unter IT-Sicherheitsgesichtspunkten für Anbieter von Cloud Diensten ermöglicht
werden.
5.7
Ohne Vollprotokollierung keine
„Waffen“-Gleichheit!
Ohne eine umfassende Vollprotokollierung, d. h. eine
Protokollierung aller Datenbanktransaktionen und deren
Inhalte, und die automatisierte Auswertung dieser Daten
ist eine angemessene und effiziente Datenschutzkontrolle
bei den Sicherheitsbehörden vielfach nicht mehr möglich.
Die Sicherheitsarchitektur hat sich in den letzten Jahren
gravierend verändert (vgl. Nr. 7.1). Hervorzuheben ist die
zunehmende informationelle Vernetzung der Sicherheitsbehörden und die Errichtung zentraler Großdateien mit
enormen Datenmengen. Zudem werden zunehmend Datenbanken fusioniert bzw. neue gemeinsame Datenbanken,
wie z. B. die Antiterrordatei in Deutschland (vgl. 21. TB
Nr. 5.1.1), geschaffen, in denen die Daten von Polizeien
und Geheimdiensten zusammenfließen.
Hieraus resultieren neue Herausforderungen für den Datenschutz. Die riesigen Datenmengen müssen effizient und
sachgerecht kontrolliert werden können. Dies ist aber vielfach nur möglich, wenn zum Zweck der Datenschutzkontrolle alle Transaktionen (z. B. jede Speicherung, Löschung, Änderung, Übermittlung) und deren Inhalte
protokolliert werden (sog. Inhalts- und Transaktionsvollprotokollierung). Ohne eine derartige Protokollierung sind
oftmals komplexe Bearbeitungsvorgänge, insbesondere in
Datenbanken, in denen viele Behörden große Datenmengen gemeinsam verarbeiten, durch die Datenschutzkontrollorgane in Gänze, d. h. lückenlos von Anfang bis Ende,
kaum bzw. nur mit extremen Aufwand überprüfbar. Dies
betrifft beispielsweise die Frage, welche Behörde wann,
welches (Teil-)Datum gespeichert, wie sie es bzw. wann
sie es verarbeitet bzw. mit welchem Inhalt an andere Behörden übermittelt hat und ob dieses Datum als Teil eines
neuen Datensatzes von der Empfängerbehörde erneut in