ULD gibt Tipps zum datenschutzkonformen Cloud Computing

Datenschutzkonformes Cloud Computing sei möglich, bestätigt das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD). Voraussetzung sei jedoch, dass bestimmte Bewertungen und Empfehlungen beachtet würden.

Auf Basis einer Stellungnahme der Artikel 29-Datenschutzgruppe, eines unabhängigen Beratungsgremiums der Europäischen Union, hat das ULD ein Fact Sheet (PDF) zur datenschutzgerechten Erbringung und Nutzung von Cloud-Dienstleistungen nach deutschem beziehungsweise europäischem Recht erstellt. Darin stellen die Datenschützer klar, dass der Cloud-Anwender die datenschutzrechtlich verantwortliche Stelle ist, entscheide er doch über das Outsourcing an einen Cloud-Dienst. Dessen Anbieter sei nur Auftragnehmer.

Somit trägt der Cloud-Anwender die volle Verantwortung, einen Cloud-Anbieter auszuwählen, der die angemessenen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten getroffen hat. Das sei auch dann der Fall, so das ULD, wenn der Cloud-Anwender nur ein kleines Unternehmen ist, der Cloud-Anbieter jedoch ein internationaler Konzern. Auch ein solches Ungleichgewicht berechtige nicht zum Akzeptieren von nicht-datenschutzkonformen Vertragsklauseln.

Was der Cloud-Anwender im Vertrag mit dem Cloud-Anbieter regeln sollte, legt das ULD in seinem Fact Sheet ebenfalls dar. Mindestvoraussetzung sei, dass der Cloud-Anbieter als Auftragnehmer allen Weisungen des Cloud-Anwenders, dem Auftraggeber, Folge zu leisten und alle technischen und organisatorischen Maßnahmen zu treffen habe, die personenbezogenen Daten angemessen zu schützen. Zudem sollte der Cloud-Anbieter verpflichtet sein, den Cloud-Anwender über Unterauftragsverhältnisse zu informieren und über alle Orte, an denen die personenbezogenen Daten gespeichert oder verarbeitet werden. Der Cloud-Anwender müsse Änderungen jederzeit widersprechen oder den Vertrag kündigen können.

Eine Übermittlung personenbezogener Daten in Staaten außerhalb der EU sei nur unter bestimmten Voraussetzungen zulässig, schreibt das ULD. Bei einer Übermittlung in die USA dürfe sich der Cloud-Anwender nicht auf eine Selbstzertifizierung des Cloud-Anbieters nach den Safe Harbor-Prinzipien verlassen, sondern müsse Zertifizierung und Einhaltung der Prinzipien selbst prüfen.

(Bild: Gerd Altmann / pixelio.de)

Anzeige

Ähnliche Artikel


TAGS: , , , ,

Kommentare sind geschlossen.