ULD bestätigt Zulässigkeit von internationalen Cloud Angeboten

Wie heute in einer Meldung bei Heise Online zu lesen ist, wird aus einer schriftlichen Stellungnahme der Artikel-29-Datenschutzgruppe zitiert, das “unter bestimmten Voraussetzungen” zulässig sei. Als Bedingung wird hier das Beispiel der Anwendung der “Standardvertragsklauseln” erwähnt.

Mit dieser Aussage gibt es nun erstmals auch die schriftliche Bestätigung seitens der deutschen Datenschützer, das nicht alles in der Cloud “schlecht” sei. Aber man müsse sich sehr genau den Vertragspartner und vor allem die Verträge anschauen. Ebenfalls wird darauf hingewiesen, das der Anwender immer der datenschutzrechtlich Verantwortliche bleiben wird.

.
Der Anwender als verantwortliche Stelle sei bei der Vertragsgestaltung nicht berechtigt, Klauseln zu akzeptieren, die nicht mit dem Datenschutzrecht vereinbar seien.
.

So das Zitat des ULD aus dem heise Artikel.

In dem Papier des ULD im Namen der “EuroPriSe” (eine Initiative des Unabhängigen Landeszentrums für Datenschutz (ULD)) sind dann auch noch die deutschen Ausführungen des Papiers der Gruppe “Artikel-29” der EU Arbeitsgruppe zu lesen.

Als Mindestvoraussetzungen nach Art. 17 Abs. 3 sind im Vertrag zu regeln, dass die Auftragnehmerin den Weisungen der Auftraggeberin Folge zu leisten hat und dass letztere technische und organisatorische Maßnahmen zu treffen hat,
um die personenbezogenen Daten angemessen zu schützen. Aus Gründen der Rechtssicherheit sollte der Vertrag außerdem Folgendes regeln:

.
  • Detaillierte Angaben zu den Weisungsbefugnissen der Cloud-Anwenderin an die Cloud-Anbieterin, insbesondere im Hinblick auf anwendbare SLAs und relevante Strafen.
  • Regelung der technischen und organisatorischen Maßnahmen, die die Cloud- Anbieterin zu erfüllen
    hat. Dabei ist eine Beschreibung der konkreten Maßnahmen
    unbedingt erforderlich.
  • Gegenstand und Laufzeit der Cloud-Nutzung sowie Umfang, Art und Zweck der Verarbeitung personenbezogener Daten und die Art der Daten.
  • Regelung der Bedingungen für die Rückgabe personenbezogener Daten oder zur Zerstörung der Daten nach Vertragsende.
  • Vereinbarung einer Vertraulichkeitsklausel, die verbindlich gegenüber der Cloud- Anbieterin und ihres zugriffsberechtigten Personals ist.
  • Verpflichtung der Cloud-Anbieterin, die Anwenderin dabei zu unterstützen, die Ausübung der Betroffenenrechte im Hinblick auf Auskunft, Berichtigung und Löschung ihrer Daten zu gewährleisten.
  • Der Cloud-Anbieterin ist es untersagt, die Daten an Dritte weiterzugeben, es denn, eine Übermittlung oder Weitergabe an eine Unterauftragnehmerin sind vertraglich geregelt (zu den Anforderungen an Unterauftragsverhältnisse s.u.).
  • Klarstellung der Verpflichtung der Cloud-Anbieterin, die Cloud-Anwenderin im Falle eines Datenschutz-Verstoßes, der die Daten der Cloud-Anwenderin betrifft, zu informieren.
  • Verpflichtung der Cloud-Anbieterin, eine Liste der Orte, an denen die Daten verarbeitet werden können, bereitzustellen.
  • Das Recht der Cloud-Anwenderin, die Einhaltung der Verpflichtungen der Cloud-Anbieterin zu überwachen, und die Verpflichtung zur Kooperation für die Cloud- Anbieterin.
  • Die Cloud-Anbieterin hat die Cloud-Anwenderin des Cloud-Dienstes über relevante Änderungen, wie beispielsweise die Implementierung zusätzlicher Funktionalitäten, zu informieren.
  • Das Loggen und Auditieren wesentlicher Verarbeitungen personenbezogener Daten bei der Cloud-Anbieterin oder ihren Unterauftragnehmerinnen.
  • Verpflichtung der Cloud-Anbieterin, die Cloud-Anwenderin über rechtlich zulässige Zugriffe durch Strafverfolgungsbehörden und andere staatliche Stellen zu informie- ren (ausgenommen solche Zugriffe, die unter dem Schutz eines Strafgesetzes die Vertraulichkeit der strafrechtlichen Ermittlung schützen) sowie die Verpflichtung, un- zulässige und nicht zwingend gesetzlich gebotene Anfragen abzuweisen.
  • Eine allgemeine Verpflichtung der Cloud-Anbieterin zuzusichern, dass ihre interne Organisation und Datenverarbeitungsvorgänge mit den Anforderungen des jeweils geltenden Rechts und mit entsprechenden technischen Standards übereinstimmen.

 

.

Was sagt uns nun dies alles über die Nutzung der Cloud Dienste von Microsoft?

Im Grunde genommen, ist meiner Meinung nach hier die wichtigste Nachricht und Information, das der ULD als Sprecher der deutschen Datenschützer sich mit diesem Dokument ebend nicht gegen das Cloud Computing stellt. oft wurde nämlich behauptet, das der ULD generell Cloud Computing als verboten ansehen würde. Das gleiche gilt im übrigen auch für Cloud Anbieter in den Staaten, wie Microsoft. “Safe-Harbor-Prinzipen” sind rechtlich vollkommen korrekt anwendbare Massnahmen im Sinne des BDSG, es sollte jedoch ein gewisses Mass an Überprüfung statt finden, ob der gewählte Anbieter sich tatsächlich daran hält. Im Falle von Microsoft (wie bei den Angeboten von Office 365 und Windows Intune, Azure und CRM Online) dürfte man davon ausgehen können, bei einem Drittanbieter, dessen Geschäft die Weitergabe oder Verarbeitung von Informationen im Vordergrund steht, könnte das Misstrauen schon ein wenig größer sein.

Das eine sind Cloud Anbieter, wo der Softwarehersteller und Anbieter in der gleichen Person zu finden sind. Doch was ist mit Anbeitern, die nicht Hersteller sind? Der normale “Hosting Dienstleister” um die Ecke, dem man nun schon seit Jahren vertraut. Hat er auch alle die geforderten Zertifikate? Und bei dem Kostendruck heutzutage, setzt er denn überhaupt die aktuelle Software ein oder hostet tatsächlich alle Daten an der Stelle, wie man bisher annehmen konnte?
Einige der Fragen sollte man sich auch in Deutschland stellen, denn nur der Speicherort selbst, sagt nichts über die Qualität aus. Laut Gesetz (wie in dem Links zu lesen ist) bleibt die Datenverarbeitung immer bei einem selbst und kann nicht abgetreten werden.
Das bedeutet auch, wenn mal die Daten beim Anbieter weg sind, dann ist man persönlich dafür verantwortlich, wenn keine weitere Kopie oder Sicherung vorliegt und nicht der Anbieter.

Vielleicht können wir ja mal auf der nächsten CloudConf.de im November noch einmal darüber diskutieren :-)

Grüße
Michael

The short URL of the present article is: http://wp.me/p1MQAv-wt

Tagged with:

Filed under: AzureCloudOffice365